علاج جديد لفيروسات الفدية. فيروس التشفير. كيفية إزالة الفيروس واستعادة الملفات المشفرة. ومن أين تحصل على الملفات المشفرة؟

وفقًا للتقارير الأولى، تم تصنيف فيروس التشفير الذي قام المهاجمون بتنشيطه يوم الثلاثاء على أنه عضو في عائلة Petya المعروفة بالفعل لبرامج الفدية، ولكن تبين لاحقًا أن هذه كانت عائلة جديدة من البرامج الضارة ذات وظائف مختلفة بشكل كبير. أطلقت شركة كاسبرسكي لاب على الفيروس الجديد اسم ExPetr.

"أظهر التحليل الذي أجراه خبراؤنا أن الضحايا لم يكن لديهم في البداية أي فرصة لاستعادة ملفاتهم. "قام باحثو كاسبرسكي لاب بتحليل جزء من كود البرمجيات الخبيثة المرتبط بتشفير الملف، ووجدوا أنه بمجرد تشفير القرص، لم يعد لدى منشئي الفيروس القدرة على فك تشفيره مرة أخرى"، حسبما أفاد المختبر.

وكما لاحظت الشركة، يتطلب فك التشفير معرفًا فريدًا لتثبيت حصان طروادة محددًا. في الإصدارات المعروفة مسبقًا من برامج التشفير المماثلة Petya/Mischa/GoldenEye، كان معرف التثبيت يحتوي على المعلومات اللازمة لفك التشفير. في حالة ExPetr، هذا المعرف غير موجود. وهذا يعني أن منشئي البرامج الضارة لا يمكنهم الحصول على المعلومات التي يحتاجونها لفك تشفير الملفات. وبعبارة أخرى، فإن ضحايا برامج الفدية ليس لديهم طريقة لاستعادة بياناتهم، كما يوضح كاسبرسكي لاب.

وقال Group-IB لـ RIA Novosti إن الفيروس يحجب أجهزة الكمبيوتر ويطلب 300 دولار من عملات البيتكوين. بدأ الهجوم يوم الثلاثاء حوالي الساعة 11:00. وبحسب تقارير إعلامية، حتى الساعة السادسة مساء الأربعاء، تلقت محفظة بيتكوين المخصصة لتحويل الأموال إلى المبتزين تسعة تحويلات. ومع الأخذ في الاعتبار عمولة التحويلات، قام الضحايا بتحويل حوالي 2.7 ألف دولار إلى المتسللين.

بالمقارنة مع WannaCry، يعتبر هذا الفيروس أكثر تدميرا، لأنه ينتشر باستخدام عدة طرق - باستخدام Windows Management Instrumentation وPsExec واستغلال EternalBlue. بالإضافة إلى ذلك، يتضمن برنامج الفدية أداة Mimikatz المجانية.

أفادت شركة كاسبرسكي لاب، التي تحقق في موجة إصابات الكمبيوتر، يوم الأربعاء، أن عدد المستخدمين الذين تعرضوا لهجوم فيروس التشفير الجديد "بيتيا" الجديد وصل إلى ألفي مستخدم.

ووفقا لشركة مكافحة الفيروسات ESET، بدأ الهجوم في أوكرانيا، التي عانت أكثر من الدول الأخرى. وبحسب تصنيف الشركة للدول المتضررة من الفيروس، تأتي إيطاليا في المركز الثاني بعد أوكرانيا، وإسرائيل في المركز الثالث. وشملت المراكز العشرة الأولى أيضًا صربيا والمجر ورومانيا وبولندا والأرجنتين وجمهورية التشيك وألمانيا. احتلت روسيا المركز الرابع عشر في هذه القائمة.

وبالإضافة إلى ذلك، ذكرت شركة Avast ما هي أنظمة التشغيل الأكثر تأثراً بالفيروس.

كان نظام التشغيل Windows 7 في المقام الأول - بنسبة 78% من جميع أجهزة الكمبيوتر المصابة. ويأتي بعد ذلك نظام التشغيل Windows XP (18%)، وWindows 10 (6%)، وWindows 8.1 (2%).

وعلى هذا فإن فيروس WannaCry لم يعلم المجتمع العالمي أي شيء تقريباً ـ فقد ظلت أجهزة الكمبيوتر غير محمية، ولم يتم تحديث الأنظمة، وذهبت جهود مايكروسوفت لإصدار التصحيحات حتى للأنظمة القديمة سدى.

منذ حوالي أسبوع أو أسبوعين، ظهر على الإنترنت اختراق آخر من صانعي الفيروسات الحديثة، والذي يقوم بتشفير جميع ملفات المستخدم. مرة أخرى سأفكر في مسألة كيفية علاج جهاز الكمبيوتر بعد فيروس الفدية مشفر000007واستعادة الملفات المشفرة. في هذه الحالة، لم يظهر أي شيء جديد أو فريد، مجرد تعديل للإصدار السابق.

فك تشفير مضمون للملفات بعد فيروس الفدية - dr-shifro.ru. تفاصيل العمل ومخطط التفاعل مع العميل موجودة أدناه في مقالتي أو على الموقع الإلكتروني في قسم "إجراءات العمل".

وصف فيروس الفدية CRYPTED000007

لا يختلف برنامج التشفير CRYPTED000007 بشكل أساسي عن سابقاته. إنه يعمل بنفس الطريقة تقريبًا. ولكن لا تزال هناك العديد من الفروق الدقيقة التي تميزه. سأخبرك عن كل شيء بالترتيب.

يصل، مثل نظائره، عن طريق البريد. تُستخدم تقنيات الهندسة الاجتماعية للتأكد من اهتمام المستخدم بالرسالة وفتحها. في حالتي، تحدثت الرسالة عن نوع من المحكمة ومعلومات مهمة عن القضية في المرفق. بعد تشغيل المرفق، يفتح المستخدم مستند Word مع مقتطف من محكمة التحكيم في موسكو.

بالتوازي مع فتح المستند، يبدأ تشفير الملفات. تبدأ رسالة معلومات من نظام التحكم في حساب مستخدم Windows في الظهور باستمرار.

إذا وافقت على الاقتراح، فسيتم حذف النسخ الاحتياطية للملفات الموجودة في النسخ الاحتياطية لنظام Windows وستكون استعادة المعلومات صعبة للغاية. ومن الواضح أنه لا يمكنك الموافقة على الاقتراح تحت أي ظرف من الظروف. في هذا التشفير، تظهر هذه الطلبات باستمرار، واحدة تلو الأخرى ولا تتوقف، مما يجبر المستخدم على الموافقة وحذف النسخ الاحتياطية. هذا هو الفرق الرئيسي عن التعديلات السابقة لبرامج التشفير. لم أواجه أبدًا طلبات لحذف النسخ الاحتياطية دون توقف. عادة، بعد 5-10 عروض توقفوا.

سأقدم على الفور توصية للمستقبل. من الشائع جدًا أن يقوم الأشخاص بتعطيل تحذيرات التحكم في حساب المستخدم. ليست هناك حاجة للقيام بذلك. يمكن لهذه الآلية أن تساعد حقًا في مقاومة الفيروسات. النصيحة الثانية الواضحة هي عدم العمل باستمرار تحت حساب مسؤول الكمبيوتر ما لم تكن هناك حاجة موضوعية لذلك. في هذه الحالة، لن تتاح للفيروس الفرصة لإحداث ضرر كبير. سيكون لديك فرصة أفضل لمقاومته.

ولكن حتى لو كنت قد أجبت دائمًا بشكل سلبي على طلبات برامج الفدية، فإن جميع بياناتك مشفرة بالفعل. بعد اكتمال عملية التشفير، سترى صورة على سطح المكتب الخاص بك.

وفي الوقت نفسه، سيكون هناك العديد من الملفات النصية التي تحتوي على نفس المحتوى على سطح المكتب الخاص بك.

لقد تم تشفير الملفات الخاصة بك. لفك تشفير ux، عليك إرسال الرمز: 329D54752553ED978F94|0 إلى عنوان البريد الإلكتروني [البريد الإلكتروني محمي]. بعد ذلك سوف تتلقى جميع التعليمات اللازمة. لن تؤدي محاولات فك التشفير بنفسك إلى أي شيء آخر غير عدد لا رجعة فيه من المعلومات. إذا كنت لا تزال ترغب في المحاولة، فقم بعمل نسخ احتياطية من الملفات أولاً، وإلا، في حالة التغيير، سيصبح فك التشفير مستحيلاً تحت أي ظرف من الظروف. إذا لم تتلق إشعارًا على العنوان أعلاه خلال 48 ساعة (في هذه الحالة فقط!)، استخدم نموذج الاتصال. يمكن القيام بذلك بطريقتين: 1) تنزيل متصفح Tor وتثبيته باستخدام الرابط: https://www.torproject.org/download/download-easy.html.en في عنوان متصفح Tor، أدخل العنوان: http: //cryptsen7fo43rr6 .onion/ واضغط على Enter. سيتم تحميل الصفحة التي تحتوي على نموذج الاتصال. 2) في أي متصفح، انتقل إلى أحد العناوين: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ تم تشفير جميع الملفات المهمة الموجودة على جهاز الكمبيوتر الخاص بك. لفك تشفير الملفات عليك إرسال الكود التالي: 329D54752553ED978F94|0 إلى عنوان البريد الإلكتروني [البريد الإلكتروني محمي]. ثم سوف تتلقى جميع التعليمات اللازمة. جميع محاولات فك التشفير بنفسك لن تؤدي إلا إلى خسارة بياناتك بشكل لا رجعة فيه. إذا كنت لا تزال ترغب في محاولة فك تشفيرها بنفسك، فيرجى عمل نسخة احتياطية في البداية لأن فك التشفير سيصبح مستحيلاً في حالة حدوث أي تغييرات داخل الملفات. إذا لم تتلق الرد من البريد الإلكتروني المذكور لأكثر من 48 ساعة (وفي هذه الحالة فقط!)، استخدم نموذج التعليقات. يمكنك القيام بذلك بطريقتين: 1) تنزيل متصفح Tor من هنا: https://www.torproject.org/download/download-easy.html.en قم بتثبيته واكتب العنوان التالي في شريط العناوين: http:/ /cryptsen7fo43rr6.onion/ اضغط على Enter ثم سيتم تحميل الصفحة التي تحتوي على نموذج الملاحظات. 2) انتقل إلى أحد العناوين التالية في أي متصفح: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

قد يتغير العنوان البريدي. كما وجدت العناوين التالية:

يتم تحديث العناوين باستمرار، بحيث يمكن أن تكون مختلفة تمامًا.

بمجرد أن تكتشف أن ملفاتك مشفرة، قم بإيقاف تشغيل جهاز الكمبيوتر الخاص بك على الفور. يجب أن يتم ذلك لمقاطعة عملية التشفير سواء على الكمبيوتر المحلي أو على محركات أقراص الشبكة. يمكن لفيروس التشفير تشفير كافة المعلومات التي يمكنه الوصول إليها، بما في ذلك تلك الموجودة على محركات أقراص الشبكة. ولكن إذا كان هناك قدر كبير من المعلومات، فسوف يستغرق الأمر وقتا طويلا. في بعض الأحيان، حتى في غضون بضع ساعات، لم يكن لدى برامج الفدية الوقت لتشفير كل شيء على محرك أقراص الشبكة بسعة حوالي 100 غيغابايت.

بعد ذلك عليك أن تفكر مليًا في كيفية التصرف. إذا كنت بحاجة إلى معلومات على جهاز الكمبيوتر الخاص بك بأي ثمن وليس لديك نسخ احتياطية، فمن الأفضل في هذه اللحظة أن تلجأ إلى المتخصصين. ليس بالضرورة من أجل المال لبعض الشركات. أنت فقط بحاجة إلى شخص على دراية جيدة بنظم المعلومات. ومن الضروري تقييم حجم الكارثة، وإزالة الفيروس، وجمع كل المعلومات المتاحة عن الوضع من أجل فهم كيفية المضي قدما.

يمكن أن تؤدي الإجراءات غير الصحيحة في هذه المرحلة إلى تعقيد عملية فك تشفير الملفات أو استعادتها بشكل كبير. وفي أسوأ الحالات، يمكنهم جعل الأمر مستحيلاً. لذا خذ وقتك وكن حذرًا ومتسقًا.

كيف يقوم فيروس الفدية CRYPTED000007 بتشفير الملفات

بعد إطلاق الفيروس وانتهاء نشاطه، سيتم تشفير جميع الملفات المفيدة وإعادة تسميتها من الامتداد.crypted000007. علاوة على ذلك، لن يتم استبدال امتداد الملف فحسب، بل سيتم أيضًا استبدال اسم الملف، لذلك لن تعرف بالضبط نوع الملفات الموجودة لديك إذا لم تتذكرها. سيبدو شيئا من هذا القبيل.

في مثل هذه الحالة، سيكون من الصعب تقييم حجم المأساة، لأنك لن تكون قادرا على تذكر ما كان لديك في مجلدات مختلفة. تم القيام بذلك خصيصًا لإرباك الأشخاص وتشجيعهم على الدفع مقابل فك تشفير الملفات.

وإذا تم تشفير مجلدات الشبكة الخاصة بك ولا توجد نسخ احتياطية كاملة، فقد يؤدي ذلك إلى إيقاف عمل المؤسسة بأكملها تمامًا. سوف يستغرق الأمر بعض الوقت لمعرفة ما تم فقده في النهاية من أجل البدء في عملية الترميم.

كيفية التعامل مع جهاز الكمبيوتر الخاص بك وإزالة CRYPTED000007 Ransomware

الفيروس CRYPTED000007 موجود بالفعل على جهاز الكمبيوتر الخاص بك. السؤال الأول والأهم هو كيفية تطهير جهاز الكمبيوتر وكيفية إزالة الفيروس منه لمنع المزيد من التشفير إذا لم يكتمل بعد. أود أن ألفت انتباهك على الفور إلى حقيقة أنه بعد أن تبدأ بنفسك في تنفيذ بعض الإجراءات باستخدام جهاز الكمبيوتر الخاص بك، تنخفض فرص فك تشفير البيانات. إذا كنت بحاجة إلى استعادة الملفات بأي ثمن، فلا تلمس جهاز الكمبيوتر الخاص بك، ولكن اتصل بالمتخصصين على الفور. أدناه سأتحدث عنها وأقدم رابطًا للموقع وأصف كيفية عملها.

وفي غضون ذلك، سنستمر في معالجة الكمبيوتر بشكل مستقل وإزالة الفيروس. تقليديًا، تتم إزالة برامج الفدية بسهولة من جهاز الكمبيوتر، نظرًا لأن الفيروس ليس لديه مهمة البقاء على الكمبيوتر بأي ثمن. وبعد تشفير الملفات بالكامل، يكون من المربح له أن يحذف نفسه ويختفي، بحيث يصعب التحقيق في الحادثة وفك تشفير الملفات.

من الصعب وصف كيفية إزالة الفيروس يدويًا، على الرغم من أنني حاولت القيام بذلك من قبل، لكنني أرى أنه في أغلب الأحيان لا معنى له. تتغير أسماء الملفات ومسارات وضع الفيروسات باستمرار. ما رأيته لم يعد ذا صلة خلال أسبوع أو أسبوعين. عادةً ما يتم إرسال الفيروسات عبر البريد على شكل موجات، وفي كل مرة يوجد تعديل جديد لم تكتشفه برامج مكافحة الفيروسات بعد. تساعد الأدوات العالمية التي تتحقق من بدء التشغيل وتكتشف الأنشطة المشبوهة في مجلدات النظام.

لإزالة فيروس CRYPTED000007، يمكنك استخدام البرامج التالية:

  1. أداة إزالة فيروسات Kaspersky - أداة مساعدة من Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. دكتور ويب كيور إت! - منتج مماثل من مواقع ويب أخرى http://free.drweb.ru/cureit.
  3. إذا لم تساعد الأداة المساعدة الأولى والثانية، فجرب MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

على الأرجح، سيقوم أحد هذه المنتجات بمسح جهاز الكمبيوتر الخاص بك من برنامج الفدية CRYPTED000007. إذا حدث فجأة أنها لا تساعد، فحاول إزالة الفيروس يدويًا. لقد قدمت مثالاً على طريقة الإزالة ويمكنك رؤيتها هناك. باختصار، خطوة بخطوة، عليك أن تتصرف على النحو التالي:

  1. نحن ننظر إلى قائمة العمليات، بعد إضافة عدة أعمدة إضافية إلى مدير المهام.
  2. نجد عملية الفيروس ونفتح المجلد الذي يوجد فيه ونحذفه.
  3. نقوم بمسح ذكر عملية الفيروس حسب اسم الملف في التسجيل.
  4. نقوم بإعادة التشغيل والتأكد من عدم وجود فيروس CRYPTED000007 في قائمة العمليات الجارية.

مكان تنزيل برنامج فك التشفير CRYPTED000007

يتم طرح مسألة فك التشفير البسيط والموثوق أولاً عندما يتعلق الأمر بفيروس برامج الفدية. أول شيء أوصي به هو استخدام الخدمة https://www.nomoreransom.org. ماذا لو كنت محظوظًا وكان لديهم برنامج فك التشفير لإصدار التشفير CRYPTED000007 الخاص بك. سأقول على الفور أنه ليس لديك الكثير من الفرص، لكن المحاولة ليست تعذيبا. في الصفحة الرئيسية اضغط نعم:

ثم قم بتنزيل بعض الملفات المشفرة وانقر فوق "انتقال"! اكتشف:

في وقت كتابة هذا التقرير، لم يكن هناك فك التشفير على الموقع.

ربما سيكون لديك حظا أفضل. يمكنك أيضًا الاطلاع على قائمة برامج فك التشفير للتنزيل على صفحة منفصلة - https://www.nomorransom.org/decryption-tools.html. ربما هناك شيء مفيد هناك. عندما يكون الفيروس جديدًا تمامًا، تكون فرصة حدوث ذلك ضئيلة، ولكن مع مرور الوقت، قد يظهر شيء ما. هناك أمثلة عندما ظهرت برامج فك التشفير لبعض تعديلات التشفير على الإنترنت. وهذه الأمثلة موجودة في الصفحة المحددة.

لا أعرف أي مكان آخر يمكنك العثور فيه على وحدة فك التشفير. ومن غير المرجح أن تكون موجودة بالفعل، مع الأخذ في الاعتبار خصوصيات عمل أدوات التشفير الحديثة. يمكن فقط لمؤلفي الفيروس الحصول على برنامج فك تشفير كامل.

كيفية فك تشفير واستعادة الملفات بعد فيروس CRYPTED000007

ماذا تفعل عندما يقوم الفيروس CRYPTED000007 بتشفير ملفاتك؟ لا يسمح التنفيذ الفني للتشفير بفك تشفير الملفات بدون مفتاح أو أداة فك التشفير، والتي يمتلكها مؤلف التشفير فقط. ربما هناك طريقة أخرى للحصول عليه، لكن ليس لدي هذه المعلومات. يمكننا فقط محاولة استعادة الملفات باستخدام طرق مرتجلة. وتشمل هذه:

  • أداة نسخ الظلشبابيك.
  • برامج استعادة البيانات المحذوفة

أولاً، دعونا نتحقق من تمكين النسخ الاحتياطية لدينا. تعمل هذه الأداة بشكل افتراضي في نظام التشغيل Windows 7 والإصدارات الأحدث، إلا إذا قمت بتعطيلها يدويًا. للتحقق، افتح خصائص الكمبيوتر وانتقل إلى قسم حماية النظام.

إذا لم تؤكد أثناء الإصابة طلب UAC لحذف الملفات في النسخ الاحتياطية، فيجب أن تظل بعض البيانات هناك. وتحدثت بشكل أكثر تفصيلاً عن هذا الطلب في بداية القصة، عندما تحدثت عن عمل الفيروس.

لاستعادة الملفات من النسخ الاحتياطية بسهولة، أقترح استخدام برنامج مجاني لهذا - ShadowExplorer. قم بتنزيل الأرشيف وفك ضغط البرنامج وتشغيله.

سيتم فتح أحدث نسخة من الملفات وجذر محرك الأقراص C. في الزاوية اليسرى العليا، يمكنك تحديد نسخة احتياطية إذا كان لديك العديد منها. تحقق من نسخ مختلفة للملفات الضرورية. قارن حسب التاريخ للحصول على أحدث إصدار. في المثال أدناه، وجدت ملفين على سطح المكتب منذ ثلاثة أشهر عندما تم تحريرهما آخر مرة.

لقد تمكنت من استعادة هذه الملفات. للقيام بذلك، قمت بتحديدها، والنقر بزر الماوس الأيمن، وتحديد تصدير وتحديد المجلد الذي تريد استعادتها فيه.

يمكنك استعادة المجلدات على الفور باستخدام نفس المبدأ. إذا كانت لديك نسخ احتياطية تعمل ولم تقم بحذفها، فلديك فرصة جيدة لاستعادة جميع الملفات المشفرة بواسطة الفيروس، أو معظمها تقريبًا. ربما يكون بعضها إصدارًا أقدم مما نود، لكنه مع ذلك أفضل من لا شيء.

إذا لم يكن لديك نسخ احتياطية من ملفاتك لسبب ما، فإن فرصتك الوحيدة للحصول على شيء ما على الأقل من الملفات المشفرة هي استعادتها باستخدام أدوات استرداد الملفات المحذوفة. للقيام بذلك، أقترح استخدام برنامج Photorec المجاني.

قم بتشغيل البرنامج وحدد القرص الذي ستقوم باستعادة الملفات عليه. يؤدي تشغيل الإصدار الرسومي للبرنامج إلى تنفيذ الملف qphotorec_win.exe. يجب عليك تحديد المجلد حيث سيتم وضع الملفات التي تم العثور عليها. من الأفضل ألا يكون هذا المجلد موجودًا على نفس محرك الأقراص الذي نبحث فيه. قم بتوصيل محرك أقراص فلاش أو محرك أقراص ثابت خارجي للقيام بذلك.

سوف تستغرق عملية البحث وقتا طويلا. في النهاية سترى الإحصائيات. يمكنك الآن الانتقال إلى المجلد المحدد مسبقًا ومعرفة ما هو موجود هناك. من المرجح أن يكون هناك الكثير من الملفات وسيكون معظمها إما تالفًا أو سيكون نوعًا من النظام وملفات عديمة الفائدة. ولكن مع ذلك، يمكن العثور على بعض الملفات المفيدة في هذه القائمة. لا توجد ضمانات هنا، ما تجده هو ما ستجده. عادة ما يتم استعادة الصور بشكل أفضل.

إذا كانت النتيجة لا ترضيك، فهناك أيضًا برامج لاستعادة الملفات المحذوفة. فيما يلي قائمة بالبرامج التي أستخدمها عادةً عندما أحتاج إلى استرداد الحد الأقصى لعدد الملفات:

  • ر. التوقف
  • استعادة ملفات ستاروس
  • JPEG الانتعاش برو
  • برنامج استعادة الملفات النشط

هذه البرامج ليست مجانية، لذا لن أقدم روابط لها. إذا كنت تريد حقًا، يمكنك العثور عليها بنفسك على الإنترنت.

يتم عرض عملية استرداد الملفات بأكملها بالتفصيل في الفيديو الموجود في نهاية المقالة.

Kaspersky وeset nod32 وآخرون في المعركة ضد تشفير Filecoder.ED

تكتشف برامج مكافحة الفيروسات الشهيرة برامج الفدية CRYPTED000007 على أنها Filecoder.EDوبعد ذلك قد يكون هناك بعض التعيينات الأخرى. لقد بحثت في منتديات مكافحة الفيروسات الرئيسية ولم أجد أي شيء مفيد هناك. لسوء الحظ، كالعادة، تبين أن برامج مكافحة الفيروسات غير مستعدة لغزو موجة جديدة من برامج الفدية. إليك مشاركة من منتدى Kaspersky.

عادةً ما تفوت برامج مكافحة الفيروسات التعديلات الجديدة على أحصنة طروادة الخاصة ببرامج الفدية. ومع ذلك، أوصي باستخدامها. إذا كنت محظوظًا وتلقيت بريدًا إلكترونيًا عن برنامج الفدية ليس في الموجة الأولى من الإصابات، ولكن بعد ذلك بقليل، فهناك احتمال أن يساعدك برنامج مكافحة الفيروسات. كلهم يعملون على بعد خطوة واحدة من المهاجمين. تم إصدار نسخة جديدة من برامج الفدية، لكن برامج مكافحة الفيروسات لا تستجيب لها. بمجرد تراكم كمية معينة من المواد المخصصة للبحث عن فيروس جديد، يقوم برنامج مكافحة الفيروسات بإصدار تحديث ويبدأ في الاستجابة له.

لا أفهم ما الذي يمنع برامج مكافحة الفيروسات من الاستجابة فورًا لأي عملية تشفير في النظام. ربما يكون هناك بعض الفروق الفنية الدقيقة حول هذا الموضوع والتي لا تسمح لنا بالاستجابة بشكل مناسب ومنع تشفير ملفات المستخدم. يبدو لي أنه سيكون من الممكن على الأقل عرض تحذير بشأن قيام شخص ما بتشفير ملفاتك وعرض إيقاف العملية.

إلى أين تذهب لفك التشفير المضمون

لقد صادف أن قابلت إحدى الشركات التي تقوم بالفعل بفك تشفير البيانات بعد عمل فيروسات التشفير المختلفة، بما في ذلك CRYPTED000007. عنوانهم هو http://www.dr-shifro.ru. الدفع فقط بعد فك التشفير الكامل والتحقق. فيما يلي مخطط تقريبي للعمل:

  1. يأتي أحد متخصصي الشركة إلى مكتبك أو منزلك ويوقع معك اتفاقية تحدد تكلفة العمل.
  2. يطلق برنامج فك التشفير ويفك تشفير جميع الملفات.
  3. عليك التأكد من فتح كافة الملفات والتوقيع على شهادة تسليم/قبول العمل المكتمل.
  4. يتم الدفع فقط بناءً على نتائج فك التشفير الناجحة.

سأكون صادقًا، لا أعرف كيف يفعلون ذلك، لكنك لا تخاطر بأي شيء. الدفع فقط بعد عرض تشغيل جهاز فك التشفير. يرجى كتابة مراجعة عن تجربتك مع هذه الشركة.

طرق الحماية من فيروس CRYPTED000007

كيف تحمي نفسك من برامج الفدية وتتجنب الأضرار المادية والمعنوية؟ هناك بعض النصائح البسيطة والفعالة:

  1. دعم! النسخ الاحتياطي لجميع البيانات الهامة. وليست مجرد نسخة احتياطية، بل نسخة احتياطية لا يمكن الوصول إليها بشكل دائم. وبخلاف ذلك، يمكن أن يصيب الفيروس كلاً من مستنداتك ونسخك الاحتياطية.
  2. مكافحة الفيروسات المرخصة. وعلى الرغم من أنها لا توفر ضمانًا بنسبة 100%، إلا أنها تزيد من فرص تجنب التشفير. غالبًا ما يكونون غير مستعدين للإصدارات الجديدة من برنامج التشفير، ولكن بعد 3-4 أيام يبدأون في الاستجابة. وهذا يزيد من فرصك في تجنب الإصابة إذا لم تكن مدرجًا في الموجة الأولى من توزيع التعديل الجديد لبرنامج الفدية.
  3. لا تفتح المرفقات المشبوهة في البريد. لا يوجد شيء للتعليق هنا. وصلت جميع برامج الفدية التي عرفتها إلى المستخدمين عبر البريد الإلكتروني. علاوة على ذلك، في كل مرة يتم اختراع حيل جديدة لخداع الضحية.
  4. لا تفتح دون تفكير الروابط المرسلة إليك من أصدقائك عبر شبكات التواصل الاجتماعي أو برامج المراسلة الفورية. وهذه أيضًا هي الطريقة التي تنتشر بها الفيروسات أحيانًا.
  5. تمكين النوافذ من عرض امتدادات الملفات. من السهل العثور على كيفية القيام بذلك على الإنترنت. سيسمح لك ذلك بملاحظة امتداد الملف الموجود على الفيروس. في أغلب الأحيان سيكون كذلك .إملف تنفيذى, .vbs, .src. في عملك اليومي مع المستندات، من غير المرجح أن تصادف امتدادات الملفات هذه.

حاولت استكمال ما كتبته من قبل في كل مقال حول فيروس الفدية. وفي هذه الأثناء أقول وداعا. يسعدني تلقي تعليقات مفيدة حول المقالة وفيروس الفدية CRYPTED000007 بشكل عام.

فيديو حول فك تشفير الملفات واستعادتها

فيما يلي مثال لتعديل سابق للفيروس، لكن الفيديو مناسب تمامًا لـ CRYPTED000007.

تسمح التقنيات الحديثة للمتسللين بتحسين أساليب الاحتيال الخاصة بهم باستمرار ضد المستخدمين العاديين. وكقاعدة عامة، يتم استخدام برامج الفيروسات التي تخترق الكمبيوتر لهذه الأغراض. تعتبر فيروسات التشفير خطيرة بشكل خاص. التهديد هو أن الفيروس ينتشر بسرعة كبيرة، ويقوم بتشفير الملفات (لن يتمكن المستخدم ببساطة من فتح مستند واحد). وإذا كان الأمر بسيطًا جدًا، فسيكون فك تشفير البيانات أكثر صعوبة.

ماذا تفعل إذا كان هناك فيروس يحتوي على ملفات مشفرة على جهاز الكمبيوتر الخاص بك

من الممكن أن يتعرض أي شخص للهجوم بواسطة برامج الفدية، حتى المستخدمين الذين لديهم برامج قوية لمكافحة الفيروسات ليسوا محصنين. تأتي أحصنة طروادة التي تقوم بتشفير الملفات في مجموعة متنوعة من الرموز التي قد تتجاوز قدرات برامج مكافحة الفيروسات. حتى أن المتسللين تمكنوا من مهاجمة الشركات الكبيرة بطريقة مماثلة والتي لم تهتم بالحماية اللازمة لمعلوماتها. لذلك، بعد أن التقطت برنامج الفدية عبر الإنترنت، تحتاج إلى اتخاذ عدد من التدابير.

العلامات الرئيسية للإصابة هي بطء تشغيل الكمبيوتر والتغييرات في أسماء المستندات (يمكن رؤيتها على سطح المكتب).

  1. أعد تشغيل جهاز الكمبيوتر الخاص بك لإيقاف التشفير. عند التشغيل، لا تؤكد إطلاق البرامج غير المعروفة.
  2. قم بتشغيل برنامج مكافحة الفيروسات الخاص بك إذا لم يتم مهاجمته بواسطة برامج الفدية.
  3. في بعض الحالات، ستساعد النسخ الاحتياطية في استعادة المعلومات. للعثور عليهم، افتح "خصائص" المستند المشفر. تعمل هذه الطريقة مع البيانات المشفرة من ملحق Vault، والتي توجد معلومات حولها على البوابة.
  4. قم بتنزيل أحدث إصدار من الأداة المساعدة لمكافحة فيروسات برامج الفدية. يتم تقديم أكثرها فعالية بواسطة Kaspersky Lab.

فيروسات برامج الفدية في عام 2016: أمثلة

عند مكافحة أي هجوم فيروسي، من المهم أن نفهم أن الكود يتغير كثيرًا، بالإضافة إلى الحماية الجديدة من الفيروسات. وبطبيعة الحال، تحتاج برامج الأمان إلى بعض الوقت حتى يقوم المطور بتحديث قواعد البيانات. لقد اخترنا أخطر فيروسات التشفير في الآونة الأخيرة.

عشتار الفدية

عشتار هو برنامج فدية يبتز المال من المستخدم. ولوحظ الفيروس في خريف عام 2016، حيث أصاب عددا كبيرا من أجهزة الكمبيوتر الخاصة بالمستخدمين من روسيا وعدد من البلدان الأخرى. يتم توزيعها عبر البريد الإلكتروني، والذي يحتوي على المستندات المرفقة (المثبتات، المستندات، وما إلى ذلك). البيانات المصابة بواسطة برنامج تشفير عشتار تحمل البادئة "عشتار" في اسمها. تقوم العملية بإنشاء مستند اختبار يشير إلى المكان الذي يجب الذهاب إليه للحصول على كلمة المرور. ويطلب المهاجمون ما بين 3000 إلى 15000 روبل مقابل ذلك.

يكمن خطر فيروس عشتار في أنه لا يوجد اليوم برنامج فك تشفير من شأنه أن يساعد المستخدمين. تحتاج شركات برامج مكافحة الفيروسات إلى وقت لفك جميع الرموز. الآن يمكنك فقط عزل المعلومات المهمة (إذا كانت ذات أهمية خاصة) على وسيط منفصل، في انتظار إصدار أداة مساعدة قادرة على فك تشفير المستندات. يوصى بإعادة تثبيت نظام التشغيل.

نيترينو

ظهر برنامج تشفير Neitrino على الإنترنت في عام 2015. مبدأ الهجوم مشابه للفيروسات الأخرى من نفس الفئة. - تغيير أسماء المجلدات والملفات بإضافة "Neitrino" أو "Neutrino". من الصعب فك تشفير الفيروس، ولا يقوم جميع ممثلي شركات مكافحة الفيروسات بذلك، مستشهدين برمز معقد للغاية. قد يستفيد بعض المستخدمين من استعادة نسخة الظل. للقيام بذلك، انقر بزر الماوس الأيمن على المستند المشفر، وانتقل إلى "خصائص"، وعلامة التبويب "الإصدارات السابقة"، ثم انقر فوق "استعادة". سيكون من الجيد استخدام أداة مساعدة مجانية من Kaspersky Lab.

المحفظة أو .wallet.

ظهر فيروس تشفير Wallet في نهاية عام 2016. أثناء عملية الإصابة، يقوم بتغيير اسم البيانات إلى “Name..wallet” أو شيء مشابه. مثل معظم فيروسات برامج الفدية، فإنها تدخل النظام من خلال المرفقات في رسائل البريد الإلكتروني التي يرسلها المهاجمون. نظرًا لأن التهديد ظهر مؤخرًا، فإن برامج مكافحة الفيروسات لا تلاحظه. بعد التشفير، يقوم بإنشاء مستند يشير فيه المحتال إلى البريد الإلكتروني للتواصل. حاليًا، يعمل مطورو برامج مكافحة الفيروسات على فك رموز فيروس الفدية. [البريد الإلكتروني محمي]. يمكن للمستخدمين الذين تعرضوا للهجوم الانتظار فقط. إذا كانت البيانات مهمة، فمن المستحسن حفظها على محرك أقراص خارجي عن طريق مسح النظام.

لغز

بدأ فيروس Enigma Ransomware في إصابة أجهزة الكمبيوتر الخاصة بالمستخدمين الروس في نهاية أبريل 2016. يتم استخدام نموذج التشفير AES-RSA، الموجود في معظم فيروسات برامج الفدية اليوم. يخترق الفيروس جهاز الكمبيوتر باستخدام برنامج نصي يقوم المستخدم بتشغيله عن طريق فتح الملفات من بريد إلكتروني مشبوه. لا توجد حتى الآن وسيلة عالمية لمكافحة برنامج Enigma Ransomware. يمكن للمستخدمين الذين لديهم ترخيص مكافحة فيروسات طلب المساعدة على الموقع الرسمي للمطور. تم العثور أيضًا على "ثغرة" صغيرة - Windows UAC. إذا قام المستخدم بالنقر فوق "لا" في النافذة التي تظهر أثناء عملية الإصابة بالفيروس، فسيكون قادرًا على استعادة المعلومات لاحقًا باستخدام النسخ الاحتياطية.

الجرانيت

ظهر فيروس طلب الفدية الجديد، Granit، على الإنترنت في خريف عام 2016. تحدث العدوى وفقًا للسيناريو التالي: يقوم المستخدم بتشغيل برنامج التثبيت، الذي يصيب جميع البيانات الموجودة على جهاز الكمبيوتر ويقوم بتشفيرها، بالإضافة إلى محركات الأقراص المتصلة. محاربة الفيروس أمر صعب. لإزالته، يمكنك استخدام أدوات مساعدة خاصة من Kaspersky، لكننا لم نتمكن بعد من فك الشفرة. ربما تكون استعادة الإصدارات السابقة من البيانات مفيدة. بالإضافة إلى ذلك، يمكن للمتخصص الذي يتمتع بخبرة واسعة فك التشفير، لكن الخدمة باهظة الثمن.

تايسون

تم رصدها مؤخرا. وهو امتداد لبرنامج الفدية no_more_ransom المعروف بالفعل، والذي يمكنك التعرف عليه على موقعنا الإلكتروني. يصل إلى أجهزة الكمبيوتر الشخصية من البريد الإلكتروني. تعرضت العديد من أجهزة الكمبيوتر الشخصية للشركات للهجوم. يقوم الفيروس بإنشاء مستند نصي يحتوي على تعليمات فتح القفل، ويعرض دفع "فدية". ظهر برنامج Tyson Ransomware مؤخرًا، لذلك لا يوجد مفتاح إلغاء القفل حتى الآن. الطريقة الوحيدة لاستعادة المعلومات هي إرجاع الإصدارات السابقة إذا لم يتم حذفها بواسطة فيروس. يمكنك، بالطبع، المخاطرة عن طريق تحويل الأموال إلى الحساب المحدد من قبل المهاجمين، ولكن ليس هناك ما يضمن حصولك على كلمة المرور.

سبورا

في بداية عام 2017، وقع عدد من المستخدمين ضحايا لبرنامج Spora Ransomware الجديد. من حيث مبدأ التشغيل، فهو لا يختلف كثيرًا عن نظيراته، لكنه يتميز بتصميم أكثر احترافية: تعليمات الحصول على كلمة المرور مكتوبة بشكل أفضل، ويبدو الموقع أكثر جمالاً. تم إنشاء فيروس Spora Ransomware بلغة C ويستخدم مزيجًا من RSA وAES لتشفير بيانات الضحية. كقاعدة عامة، تعرضت أجهزة الكمبيوتر التي تم استخدام برنامج المحاسبة 1C عليها بشكل نشط للهجوم. الفيروس، المختبئ تحت ستار فاتورة بسيطة بتنسيق .pdf، يجبر موظفي الشركة على إطلاقه. لم يتم العثور على علاج حتى الآن.

1C.Drop.1

ظهر فيروس التشفير 1C هذا في صيف عام 2016، مما أدى إلى تعطيل عمل العديد من أقسام المحاسبة. تم تطويره خصيصًا لأجهزة الكمبيوتر التي تستخدم برنامج 1C. بمجرد وصوله إلى جهاز الكمبيوتر عبر ملف في رسالة بريد إلكتروني، فإنه يطالب المالك بتحديث البرنامج. مهما كان الزر الذي يضغط عليه المستخدم، سيبدأ الفيروس في تشفير الملفات. يعمل المتخصصون في Dr.Web على أدوات فك التشفير، ولكن لم يتم العثور على حل حتى الآن. ويرجع ذلك إلى الكود المعقد، والذي قد يكون له عدة تعديلات. الحماية الوحيدة ضد 1C.Drop.1 هي يقظة المستخدم والأرشفة المنتظمة للمستندات المهمة.

شيفرة دافنشي

برنامج فدية جديد باسم غير عادي. ظهر الفيروس في ربيع عام 2016. إنه يختلف عن سابقاته في الكود المحسن ووضع التشفير القوي. يصيب da_vinci_code جهاز الكمبيوتر بفضل تطبيق التنفيذ (المرفق عادةً برسالة بريد إلكتروني)، والذي يقوم المستخدم بتشغيله بشكل مستقل. تقوم أداة تشفير Da Vinci بنسخ النص إلى دليل النظام والتسجيل، مما يضمن التشغيل التلقائي عند تشغيل Windows. يتم تعيين معرف فريد لكل كمبيوتر خاص بالضحية (يساعد في الحصول على كلمة مرور). يكاد يكون من المستحيل فك تشفير البيانات. يمكنك دفع المال للمهاجمين، ولكن لا أحد يضمن أنك سوف تتلقى كلمة المرور.

[البريد الإلكتروني محمي] / [البريد الإلكتروني محمي]

عنوانا بريد إلكتروني كانا مصحوبين غالبًا بفيروسات برامج الفدية في عام 2016. أنها تعمل على ربط الضحية بالمهاجم. تم إرفاق عناوين لمجموعة متنوعة من أنواع الفيروسات: da_vinci_code، no_more_ransom، وما إلى ذلك. يوصى بشدة بعدم الاتصال أو تحويل الأموال إلى المحتالين. يتم ترك المستخدمين في معظم الحالات بدون كلمات مرور. وبالتالي، فإن إظهار أن برامج الفدية التي يستخدمها المهاجمون تعمل على توليد الدخل.

سيئة للغاية

ظهر في بداية عام 2015، لكنه انتشر بنشاط بعد عام واحد فقط. مبدأ العدوى مطابق لبرامج الفدية الأخرى: تثبيت ملف من بريد إلكتروني، وتشفير البيانات. برامج مكافحة الفيروسات التقليدية، كقاعدة عامة، لا تلاحظ فيروس Breaking Bad. لا يمكن لبعض التعليمات البرمجية تجاوز Windows UAC، مما يترك للمستخدم خيار استعادة الإصدارات السابقة من المستندات. لم تقم أي شركة تعمل على تطوير برامج مكافحة الفيروسات بتقديم برنامج فك التشفير حتى الآن.

XTBL

أحد برامج الفدية الشائعة جدًا والتي تسببت في حدوث مشكلات للعديد من المستخدمين. وبمجرد دخوله إلى جهاز الكمبيوتر، يقوم الفيروس بتغيير امتداد الملف إلى .xtbl في غضون دقائق. يتم إنشاء مستند يبتز فيه المهاجم الأموال. لا تستطيع بعض متغيرات فيروس XTBL تدمير الملفات لاسترداد النظام، مما يسمح لك باستعادة المستندات المهمة. يمكن إزالة الفيروس نفسه بواسطة العديد من البرامج، لكن فك تشفير المستندات أمر صعب للغاية. إذا كنت مالك برنامج مكافحة فيروسات مرخص، فاستخدم الدعم الفني عن طريق إرفاق عينات من البيانات المصابة.

كوكاراتشا

تم اكتشاف برنامج الفدية Cucaracha في ديسمبر 2016. يخفي الفيروس الذي يحمل اسمًا مثيرًا للاهتمام ملفات المستخدم باستخدام خوارزمية RSA-2048 شديدة المقاومة. وقد صنفه برنامج مكافحة الفيروسات Kaspersky على أنه Trojan-Ransom.Win32.Scatter.lb. يمكن إزالة Kukaracha من الكمبيوتر حتى لا تصاب المستندات الأخرى. ومع ذلك، يكاد يكون من المستحيل حاليًا فك تشفير المصابين (خوارزمية قوية جدًا).

كيف يعمل فيروس الفدية؟

هناك عدد كبير من برامج الفدية، لكنها جميعًا تعمل وفقًا لمبدأ مماثل.

  1. الوصول إلى جهاز كمبيوتر شخصي. عادة، وذلك بفضل ملف مرفق بالبريد الإلكتروني. يبدأ التثبيت بواسطة المستخدم نفسه عن طريق فتح المستند.
  2. عدوى الملف. يتم تشفير جميع أنواع الملفات تقريبًا (اعتمادًا على الفيروس). يتم إنشاء مستند نصي يحتوي على جهات اتصال للتواصل مع المهاجمين.
  3. الجميع. لا يمكن للمستخدم الوصول إلى أي مستند.

عوامل التحكم من المختبرات الشعبية

أصبح الاستخدام الواسع النطاق لبرامج الفدية، والذي يُعرف بأنه أخطر تهديد لبيانات المستخدم، حافزًا للعديد من مختبرات مكافحة الفيروسات. توفر كل شركة مشهورة لمستخدميها برامج تساعدهم في مكافحة برامج الفدية. بالإضافة إلى ذلك، يساعد الكثير منهم في فك تشفير المستندات وحماية النظام.

فيروسات كاسبيرسكي وبرامج الفدية

يقدم أحد أشهر مختبرات مكافحة الفيروسات في روسيا والعالم اليوم الأدوات الأكثر فعالية لمكافحة فيروسات برامج الفدية. سيكون العائق الأول أمام فيروس برامج الفدية هو Kaspersky Endpoint Security 10 مع آخر التحديثات. لن يسمح برنامج مكافحة الفيروسات ببساطة للتهديد بالدخول إلى جهاز الكمبيوتر الخاص بك (على الرغم من أنه قد لا يوقف الإصدارات الجديدة). لفك تشفير المعلومات، يقدم المطور العديد من الأدوات المساعدة المجانية: XoristDecryptor، وRakhniDecryptor، وRansomware Decryptor. أنها تساعد في العثور على الفيروس واختيار كلمة المرور.

دكتور. الويب وبرامج الفدية

يوصي هذا المختبر باستخدام برنامج مكافحة الفيروسات الخاص به، والذي تتمثل ميزته الرئيسية في النسخ الاحتياطي للملفات. يتم أيضًا حماية التخزين مع نسخ المستندات من الوصول غير المصرح به من قبل المتسللين. أصحاب المنتج المرخص د. وظيفة الويب متاحة لطلب المساعدة من الدعم الفني. صحيح أنه حتى المتخصصين ذوي الخبرة لا يمكنهم دائمًا مقاومة هذا النوع من التهديد.

ESET Nod 32 وبرامج الفدية

ولم تقف هذه الشركة جانبًا أيضًا، حيث توفر لمستخدميها حماية جيدة ضد الفيروسات التي تدخل أجهزة الكمبيوتر الخاصة بهم. بالإضافة إلى ذلك، أصدر المختبر مؤخرًا أداة مساعدة مجانية تحتوي على قواعد بيانات محدثة - Eset Crysis Decryptor. يقول المطورون إنه سيساعد في مكافحة حتى أحدث برامج الفدية.

الفيروسات نفسها باعتبارها تهديدًا للكمبيوتر لا تفاجئ أحداً اليوم. ولكن إذا أثرت في السابق على النظام ككل، مما تسبب في حدوث اضطرابات في أدائه، اليوم، مع ظهور مجموعة متنوعة مثل فيروس التشفير، فإن تصرفات التهديد المخترق تؤثر على المزيد من بيانات المستخدم. ربما يشكل تهديدًا أكبر من التطبيقات القابلة للتنفيذ المدمرة لنظام التشغيل Windows أو تطبيقات برامج التجسس.

ما هو فيروس الفدية؟

يتضمن الكود نفسه، المكتوب بفيروس النسخ الذاتي، تشفير جميع بيانات المستخدم تقريبًا باستخدام خوارزميات تشفير خاصة، دون التأثير على ملفات النظام الخاصة بنظام التشغيل.

في البداية، لم يكن منطق تأثير الفيروس واضحا تماما للكثيرين. أصبح كل شيء واضحًا فقط عندما بدأ المتسللون الذين أنشأوا مثل هذه التطبيقات الصغيرة في المطالبة بالمال لاستعادة بنية الملف الأصلية. وفي الوقت نفسه، لا يسمح لك الفيروس المشفر نفسه بفك تشفير الملفات بسبب خصائصه. للقيام بذلك، تحتاج إلى برنامج فك تشفير خاص، إذا أردت، رمز أو كلمة مرور أو خوارزمية مطلوبة لاستعادة المحتوى المطلوب.

مبدأ اختراق النظام وتشغيل كود الفيروس

كقاعدة عامة، من الصعب جدًا "التقاط" مثل هذه الهراء على الإنترنت. المصدر الرئيسي لانتشار "العدوى" هو البريد الإلكتروني على مستوى البرامج المثبتة على جهاز كمبيوتر معين، مثل Outlook وThunderbird وThe Bat وما إلى ذلك. دعونا نلاحظ على الفور: هذا لا ينطبق على خوادم بريد الإنترنت، نظرًا لأن لديهم درجة عالية من الحماية إلى حد ما، ولا يمكن الوصول إلى بيانات المستخدم إلا على المستوى

شيء آخر هو تطبيق على محطة الكمبيوتر. هذا هو المكان الذي يكون فيه مجال عمل الفيروسات واسعًا لدرجة أنه من المستحيل تخيله. صحيح أن الأمر يستحق أيضًا إجراء حجز هنا: في معظم الحالات، تستهدف الفيروسات الشركات الكبيرة التي يمكنها "سرقة" الأموال منها لتوفير رمز فك التشفير. وهذا أمر مفهوم، لأنه ليس فقط على محطات الكمبيوتر المحلية، ولكن أيضا على خوادم هذه الشركات، يمكن تخزين الملفات، إذا جاز التعبير، في نسخة واحدة، والتي لا يمكن تدميرها تحت أي ظرف من الظروف. ومن ثم يصبح فك تشفير الملفات بعد فيروس الفدية مشكلة كبيرة.

بالطبع، يمكن أن يتعرض المستخدم العادي لمثل هذا الهجوم، ولكن في معظم الحالات يكون هذا غير مرجح إذا اتبعت أبسط التوصيات لفتح المرفقات ذات الامتدادات من نوع غير معروف. حتى إذا اكتشف عميل البريد الإلكتروني مرفقًا بامتداد .jpg كملف رسومي قياسي، فيجب أولاً التحقق منه كملف قياسي مثبت على النظام.

إذا لم يتم ذلك، عند فتحه بالنقر المزدوج (الطريقة القياسية)، سيبدأ تنشيط الكود وستبدأ عملية التشفير، وبعد ذلك لن يكون من المستحيل إزالة نفس Breaking_Bad (فيروس التشفير) فحسب، ولكن أيضًا لن يكون من الممكن استعادة الملفات بعد القضاء على التهديد.

العواقب العامة لاختراق جميع الفيروسات من هذا النوع

وكما ذكرنا سابقًا، فإن معظم الفيروسات من هذا النوع تدخل النظام عبر البريد الإلكتروني. حسنًا، لنفترض أن مؤسسة كبيرة تتلقى خطابًا إلى بريد إلكتروني مسجل محدد يحتوي على محتويات مثل "لقد قمنا بتغيير العقد، وتم إرفاق نسخة ممسوحة ضوئيًا" أو "لقد تم إرسال فاتورة لك لشحن البضائع (نسخة هناك)". وبطبيعة الحال، يفتح الموظف المطمئن الملف و...

يتم تشفير جميع ملفات المستخدم على مستوى المستندات المكتبية أو الوسائط المتعددة أو مشاريع AutoCAD المتخصصة أو أي بيانات أرشيفية أخرى على الفور، وإذا كانت محطة الكمبيوتر موجودة على شبكة محلية، فيمكن نقل الفيروس بشكل أكبر، وتشفير البيانات على الأجهزة الأخرى (هذا يصبح ملحوظًا فورًا بعد "كبح" النظام وتجميد البرامج أو التطبيقات قيد التشغيل حاليًا).

في نهاية عملية التشفير، يبدو أن الفيروس نفسه يرسل نوعًا من التقرير، وبعد ذلك قد تتلقى الشركة رسالة مفادها أن هذا التهديد أو ذاك قد اخترق النظام، وأن منظمة كذا وكذا هي وحدها القادرة على فك تشفيره. وهذا عادة ما ينطوي على فيروس. [البريد الإلكتروني محمي]. يأتي بعد ذلك مطلب الدفع مقابل خدمات فك التشفير مع عرض إرسال عدة ملفات إلى البريد الإلكتروني للعميل، وهو ما يكون في أغلب الأحيان وهميًا.

ضرر من التعرض للتعليمات البرمجية

إذا لم يفهم أي شخص بعد: يعد فك تشفير الملفات بعد فيروس الفدية عملية كثيفة العمالة إلى حد ما. حتى لو لم تستسلم لمطالب المهاجمين وتحاول إشراك الوكالات الحكومية الرسمية في مكافحة جرائم الكمبيوتر ومنعها، فعادةً لا يأتي شيء جيد.

إذا قمت بحذف جميع الملفات، وإنتاج البيانات الأصلية وحتى نسخها من الوسائط القابلة للإزالة (بالطبع، إذا كانت هناك نسخة كهذه)، فسيظل كل شيء مشفرًا مرة أخرى إذا تم تنشيط الفيروس. لذلك لا ينبغي أن تخدع نفسك كثيرًا، خاصة أنه عند إدخال نفس محرك الأقراص المحمول في منفذ USB، لن يلاحظ المستخدم حتى كيف سيقوم الفيروس بتشفير البيانات الموجودة عليه أيضًا. ثم لن يكون لديك أي مشاكل.

البكر في الأسرة

الآن دعونا نوجه انتباهنا إلى فيروس التشفير الأول. وفي وقت ظهوره، لم يكن أحد يفكر بعد في كيفية علاج وفك تشفير الملفات بعد تعرضه لرمز قابل للتنفيذ موجود في مرفق بريد إلكتروني مع عرض مواعدة. ولم يأت الوعي بحجم الكارثة إلا مع مرور الوقت.

كان لهذا الفيروس الاسم الرومانسي "أنا أحبك". قام مستخدم مطمئن بفتح مرفق في رسالة بريد إلكتروني وتلقى ملفات وسائط متعددة غير قابلة للتشغيل تمامًا (الرسومات والفيديو والصوت). ومع ذلك، في ذلك الوقت، بدت مثل هذه الإجراءات أكثر تدميراً (إضرارًا بمكتبات وسائط المستخدمين)، ولم يطالب أحد بالمال مقابل ذلك.

أحدث التعديلات

كما نرى، أصبح تطور التكنولوجيا عملاً مربحًا للغاية، خاصة بالنظر إلى أن العديد من مديري المؤسسات الكبيرة يركضون على الفور لدفع تكاليف جهود فك التشفير، دون التفكير على الإطلاق في أنهم قد يخسرون المال والمعلومات.

بالمناسبة، لا تنظر إلى كل هذه المنشورات "الخاطئة" على الإنترنت، والتي تقول "لقد دفعت/دفعت المبلغ المطلوب، أرسلوا لي رمزًا، وتم استعادة كل شيء". كلام فارغ! كل هذا كتبه مطورو الفيروس أنفسهم من أجل جذب الإمكانات، معذرةً، “المغفلين”. ولكن، وفقا لمعايير المستخدم العادي، فإن المبالغ الواجب دفعها خطيرة للغاية: من مئات إلى عدة آلاف أو عشرات الآلاف من اليورو أو الدولارات.

والآن دعونا نلقي نظرة على أحدث أنواع الفيروسات من هذا النوع والتي تم تسجيلها مؤخرًا نسبيًا. جميعها متشابهة عمليًا ولا تنتمي إلى فئة برامج التشفير فحسب، بل تنتمي أيضًا إلى مجموعة ما يسمى ببرامج الفدية. وفي بعض الحالات، يتصرفون بشكل صحيح أكثر (مثل paycrypt)، ويبدو أنهم يرسلون عروض عمل رسمية أو رسائل تفيد بأن شخصًا ما يهتم بأمن المستخدم أو المؤسسة. مثل هذا الفيروس المشفر يقوم ببساطة بتضليل المستخدم برسالته. إذا اتخذ ولو أدنى إجراء للدفع، فهذا كل شيء - سيكون "الطلاق" كاملاً.

فيروس XTBL

يمكن تصنيف هذا الإصدار الحديث نسبيًا على أنه إصدار كلاسيكي من برامج الفدية. عادة، يدخل النظام من خلال رسائل البريد الإلكتروني التي تحتوي على مرفقات الملفات، وهو أمر قياسي لحافظات شاشة Windows. يعتقد النظام والمستخدم أن كل شيء على ما يرام ويقومون بتنشيط عرض المرفق أو حفظه.

لسوء الحظ، يؤدي ذلك إلى عواقب وخيمة: حيث يتم تحويل أسماء الملفات إلى مجموعة من الأحرف، ويتم إضافة .xtbl إلى الامتداد الرئيسي، وبعد ذلك يتم إرسال رسالة إلى عنوان البريد الإلكتروني المطلوب حول إمكانية فك التشفير بعد دفع المبلغ المحدد (عادة 5 آلاف روبل).

فيروس CBF

ينتمي هذا النوع من الفيروسات أيضًا إلى كلاسيكيات هذا النوع. ويظهر على النظام بعد فتح مرفقات البريد الإلكتروني، ثم يعيد تسمية ملفات المستخدم، ويضيف امتدادًا مثل .nochance أو .perfect في النهاية.

لسوء الحظ، فإن فك تشفير فيروس طلب الفدية من هذا النوع لتحليل محتويات الكود حتى في مرحلة ظهوره في النظام أمر غير ممكن، لأنه بعد الانتهاء من إجراءاته يقوم بالتدمير الذاتي. حتى ما يعتقد الكثيرون أنه أداة عالمية مثل RectorDecryptor لا يساعد. مرة أخرى، يتلقى المستخدم خطابًا يطالب بالدفع، ويتم منحه يومين.

فيروس_سيء للغاية

يعمل هذا النوع من التهديد بنفس الطريقة، ولكنه يعيد تسمية الملفات في الإصدار القياسي، ويضيف .breaking_bad إلى الامتداد.

الوضع لا يقتصر على هذا. على عكس الفيروسات السابقة، يمكن لهذا الفيروس إنشاء امتداد آخر - .Heisenberg، لذلك ليس من الممكن دائمًا العثور على جميع الملفات المصابة. لذا فإن Breaking_Bad (فيروس طلب الفدية) يمثل تهديدًا خطيرًا إلى حد ما. بالمناسبة، هناك حالات تفتقد فيها حزمة ترخيص Kaspersky Endpoint Security 10 هذا النوع من التهديد.

فايروس [البريد الإلكتروني محمي]

وهنا تهديد آخر، ربما يكون الأكثر خطورة، والذي يستهدف في الغالب المنظمات التجارية الكبيرة. كقاعدة عامة، تتلقى بعض الأقسام خطابًا يحتوي على تغييرات واضحة في اتفاقية التوريد، أو حتى مجرد فاتورة. قد يحتوي المرفق على ملف .jpg عادي (مثل صورة)، ولكن في أغلب الأحيان - ملف script.js قابل للتنفيذ (برنامج Java الصغير).

كيفية فك تشفير هذا النوع من فيروس التشفير؟ إذا حكمنا من خلال حقيقة أنه يتم استخدام بعض خوارزمية RSA-1024 غير المعروفة هناك، بأي حال من الأحوال. بناءً على الاسم، يمكنك الافتراض أن هذا نظام تشفير 1024 بت. ولكن، إذا كان أي شخص يتذكر، يعتبر اليوم 256 بت AES هو الأكثر تقدما.

فيروس التشفير: كيفية تطهير الملفات وفك تشفيرها باستخدام برامج مكافحة الفيروسات

حتى الآن، لم يتم العثور على حلول لفك تهديدات من هذا النوع. حتى هؤلاء الأساتذة في مجال الحماية من الفيروسات مثل Kaspersky، Dr. يتعذر على Web وEset العثور على مفتاح حل المشكلة عند إصابة النظام بفيروس مشفر. كيفية تطهير الملفات؟ في معظم الحالات، يُقترح إرسال طلب إلى الموقع الرسمي لمطور برنامج مكافحة الفيروسات (بالمناسبة، فقط إذا كان النظام يحتوي على برنامج مرخص من هذا المطور).

في هذه الحالة، تحتاج إلى إرفاق عدة ملفات مشفرة، بالإضافة إلى نسخها الأصلية "السليمة"، إن وجدت. بشكل عام، عدد قليل من الناس يقومون بحفظ نسخ من البيانات، وبالتالي فإن مشكلة غيابهم لا تؤدي إلا إلى تفاقم الوضع غير السار بالفعل.

الطرق الممكنة لتحديد التهديد والقضاء عليه يدويًا

نعم، يؤدي المسح باستخدام برامج مكافحة الفيروسات التقليدية إلى تحديد التهديدات بل وإزالتها من النظام. ولكن ماذا تفعل بالمعلومات؟

يحاول البعض استخدام برامج فك التشفير مثل الأداة المساعدة RectorDecryptor (RakhniDecryptor) المذكورة بالفعل. دعونا نلاحظ على الفور: هذا لن يساعد. وفي حالة فيروس Breaking_Bad، فإنه لا يمكن إلا أن يسبب الضرر. وهذا هو السبب.

والحقيقة هي أن الأشخاص الذين يصنعون مثل هذه الفيروسات يحاولون حماية أنفسهم وتقديم التوجيه للآخرين. عند استخدام أدوات فك التشفير، يمكن للفيروس أن يتفاعل بطريقة تؤدي إلى تعطل النظام بأكمله، مع التدمير الكامل لجميع البيانات المخزنة على محركات الأقراص الثابتة أو الأقسام المنطقية. وهذا، إذا جاز التعبير، درس إرشادي لتنوير كل من لا يريد أن يدفع. لا يمكننا الاعتماد إلا على مختبرات مكافحة الفيروسات الرسمية.

الأساليب الكاردينالية

ومع ذلك، إذا كانت الأمور سيئة حقًا، فسيتعين عليك التضحية بالمعلومات. للتخلص تمامًا من التهديد، تحتاج إلى تهيئة القرص الصلب بالكامل، بما في ذلك الأقسام الافتراضية، ثم تثبيت نظام التشغيل مرة أخرى.

لسوء الحظ، لا يوجد مخرج آخر. حتى ما يصل إلى نقطة استعادة محفوظة معينة لن يساعد. قد يختفي الفيروس، لكن الملفات ستبقى مشفرة.

بدلا من الكلمة الختامية

في الختام، تجدر الإشارة إلى أن الوضع هو كما يلي: يخترق فيروس برامج الفدية النظام ويقوم بعمله القذر ولا يتم علاجه بأي طرق معروفة. أدوات الحماية من الفيروسات لم تكن جاهزة لهذا النوع من التهديدات. وغني عن القول أنه من الممكن اكتشاف الفيروس بعد التعرض له أو إزالته. لكن المعلومات المشفرة ستبقى قبيحة المظهر. لذلك أود أن آمل أن تجد أفضل العقول في شركات تطوير برامج مكافحة الفيروسات حلاً، على الرغم من أنه سيكون من الصعب جدًا القيام بذلك بناءً على خوارزميات التشفير. فقط تذكر آلة التشفير إنجما التي كانت تمتلكها البحرية الألمانية خلال الحرب العالمية الثانية. لم يتمكن أفضل مصممي التشفير من حل مشكلة خوارزمية فك تشفير الرسائل حتى وضعوا أيديهم على الجهاز. وهكذا هي الأمور هنا أيضا.

هو برنامج خبيث يقوم، عند تفعيله، بتشفير جميع الملفات الشخصية، مثل المستندات والصور وغيرها. وعدد هذه البرامج كبير جدًا ويتزايد كل يوم. لقد واجهنا مؤخرًا العشرات من متغيرات برامج الفدية: CryptoLocker، وCrypt0l0cker، وAlpha Crypt، وTeslaCrypt، وCoinVault، وBit Crypt، وCTB-Locker، وTorrentLocker، وHydraCrypt، وbetter_call_saul، وcrittt، و.da_vinci_code، وtoste، وfff، وما إلى ذلك. الهدف من فيروسات التشفير هذه هو إجبار المستخدمين على شراء البرنامج والمفتاح الضروريين لفك تشفير ملفاتهم، مقابل مبلغ كبير من المال في كثير من الأحيان.

بالطبع، يمكنك استعادة الملفات المشفرة ببساطة عن طريق اتباع الإرشادات التي يتركها منشئو الفيروس على الكمبيوتر المصاب. ولكن في أغلب الأحيان، تكون تكلفة فك التشفير كبيرة جدًا، وتحتاج أيضًا إلى معرفة أن بعض فيروسات برامج الفدية تقوم بتشفير الملفات بطريقة تجعل من المستحيل فك تشفيرها لاحقًا. وبالطبع، من المزعج أن تدفع مقابل استعادة ملفاتك الخاصة.

وفيما يلي سنتحدث بمزيد من التفصيل عن فيروسات التشفير وكيفية اختراقها لحاسوب الضحية، وكذلك كيفية إزالة فيروس التشفير واستعادة الملفات المشفرة به.

كيف يخترق فيروس الفدية جهاز الكمبيوتر؟

عادةً ما ينتشر فيروس برامج الفدية عبر البريد الإلكتروني. تحتوي الرسالة على مستندات مصابة. يتم إرسال مثل هذه الرسائل إلى قاعدة بيانات ضخمة من عناوين البريد الإلكتروني. يستخدم مؤلفو هذا الفيروس رؤوسًا ومحتويات رسائل مضللة، في محاولة لخداع المستخدم لفتح مستند مرفق بالرسالة. تبلغ بعض الرسائل عن الحاجة إلى دفع الفاتورة، والبعض الآخر يعرض إلقاء نظرة على أحدث قائمة الأسعار، والبعض الآخر يعرض فتح صورة مضحكة، وما إلى ذلك. على أية حال، سيؤدي فتح الملف المرفق إلى إصابة جهاز الكمبيوتر الخاص بك بفيروس طلب الفدية.

ما هو فيروس الفدية؟

فيروس الفدية هو برنامج خبيث يصيب الإصدارات الحديثة من أنظمة تشغيل ويندوز، مثل Windows XP، Windows Vista، Windows 7، Windows 8، Windows 10. تحاول هذه الفيروسات استخدام أقوى أوضاع التشفير الممكنة، على سبيل المثال RSA-2048 مع يبلغ طول المفتاح 2048 بت، مما يلغي عمليًا إمكانية اختيار مفتاح لفك تشفير الملفات بشكل مستقل.

عند إصابة جهاز كمبيوتر، يستخدم فيروس برامج الفدية دليل النظام %APPDATA% لتخزين ملفاته الخاصة. لتشغيل نفسه تلقائيًا عند تشغيل الكمبيوتر، يقوم برنامج الفدية بإنشاء إدخال في سجل Windows: الأقسام HKCU\Software\Microsoft\Windows\CurrentVersion\Run، HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce، HKCU\Software\ Microsoft\Windows\CurrentVersion\Run، HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

مباشرة بعد الإطلاق، يقوم الفيروس بفحص جميع محركات الأقراص المتوفرة، بما في ذلك الشبكة والتخزين السحابي، لتحديد الملفات التي سيتم تشفيرها. يستخدم فيروس برامج الفدية امتداد اسم الملف كوسيلة لتحديد مجموعة من الملفات التي سيتم تشفيرها. يتم تشفير جميع أنواع الملفات تقريبًا، بما في ذلك الملفات الشائعة مثل:

0، .1، .1st، .2bp، .3dm، .3ds، .sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mddata ، .itl، .itdb، .icxs، .hvpl، .hplg، .hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos، . mov، .vdf، .ztmp، .sis، .sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، .iwd، .vpk، .tor، .psk، .rim، .w3x، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta ، .vfs0، .mpqge، .kdb، .db0، .dba، .rofl، .hkx، .bar، .upk، .das، .iwi، .litemod، .asset، .forge، .ltx، .bsa، . apk، .re4، .sav، .lbf، .slm، .bik، .epk، .rgss3a، .pak، .big، Wallet، .wotreplay، .xxx، .desc، .py، .m3u، .flv، . js، .css، .rb، .png، .jpeg، .txt، .p7c، .p7b، .p12، .pfx، .pem، .crt، .cer، .der، .x3f، .srw، .pef، .ptx، .r3d، .rw2، .rwl، .raw، .raf، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2 ، .srf، .arw، .3fr، .dng، .jpe، .jpg، .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، . rtf، .wpd، .dxg، .xf، .dwg، .pst، .accdb، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm، .odp، .ods، .odt، .wav، .wbc، .wbd، .wbk، .wbm، .wbmp، .wbz، .wcf ، .wdb، .wdp، .webdoc، .webp، .wgz، .wire، .wm، .wma، .wmd، .wmf، .wmv، .wn، .wot، .wp، .wp4، .wp5، . wp6، .wp7، .wpa، .wpb، .wpd، .wpe، .wpg، .wpl، .wps، .wpt، .wpw، .wri، .ws، .wsc، .wsd، .wsh، .x، .x3d، .x3f، .xar، .xbdoc، .xbplate، .xdb، .xdl، .xld، .xlgc، .xll، .xls، .xlsm، .xlsx، .xmind، .xml، .xmmap، .xpm ، .xwp، .xx، .xy3، .xyp، .xyw، .y، .yal، .ybk، .yml، .ysp، .z، .z3d، .zabw، .zdb، .zdc، .zi، . زيف، .zip، .zw

مباشرة بعد تشفير الملف، يتلقى الملف امتدادًا جديدًا، والذي غالبًا ما يمكن استخدامه لتحديد اسم أو نوع برنامج الفدية. يمكن لبعض أنواع هذه البرامج الضارة أيضًا تغيير أسماء الملفات المشفرة. يقوم الفيروس بعد ذلك بإنشاء مستند نصي بأسماء مثل HELP_YOUR_FILES وREADME، والذي يحتوي على تعليمات لفك تشفير الملفات المشفرة.

أثناء تشغيله، يحاول فيروس التشفير منع القدرة على استعادة الملفات باستخدام نظام SVC (نسخة الظل من الملفات). للقيام بذلك، يستدعي الفيروس في وضع الأوامر الأداة المساعدة لإدارة النسخ الاحتياطية من الملفات باستخدام مفتاح يبدأ الإجراء الخاص بحذفها بالكامل. وبالتالي، يكون من المستحيل دائمًا تقريبًا استعادة الملفات باستخدام النسخ الاحتياطية الخاصة بها.

يستخدم فيروس برامج الفدية بشكل فعال أساليب التخويف من خلال إعطاء الضحية رابطًا لوصف خوارزمية التشفير وعرض رسالة تهديد على سطح المكتب. وبهذه الطريقة، يحاول إجبار مستخدم الكمبيوتر المصاب، دون تردد، على إرسال معرف الكمبيوتر إلى عنوان البريد الإلكتروني لمؤلف الفيروس لمحاولة استعادة ملفاته. غالبًا ما يكون الرد على مثل هذه الرسالة هو مبلغ الفدية وعنوان المحفظة الإلكترونية.

هل جهاز الكمبيوتر الخاص بي مصاب بفيروس الفدية؟

من السهل جدًا تحديد ما إذا كان جهاز الكمبيوتر مصابًا بفيروس تشفير أم لا. انتبه إلى امتدادات ملفاتك الشخصية، مثل المستندات والصور والموسيقى وما إلى ذلك. إذا تم تغيير الامتداد أو اختفت ملفاتك الشخصية، تاركة وراءها العديد من الملفات بأسماء غير معروفة، فهذا يعني أن جهاز الكمبيوتر الخاص بك مصاب. بالإضافة إلى ذلك، من علامات الإصابة وجود ملف باسم HELP_YOUR_FILES أو README في الأدلة الخاصة بك. سيحتوي هذا الملف على تعليمات لفك تشفير الملفات.

إذا كنت تشك في أنك فتحت بريدًا إلكترونيًا مصابًا بفيروس طلب الفدية، ولكن لا توجد أعراض للإصابة حتى الآن، فلا تقم بإيقاف تشغيل جهاز الكمبيوتر الخاص بك أو إعادة تشغيله. اتبع الخطوات الموضحة في قسم هذا الدليل. وأكرر مرة أخرى، من المهم جدًا عدم إيقاف تشغيل الكمبيوتر؛ ففي بعض أنواع برامج الفدية، يتم تنشيط عملية تشفير الملفات في المرة الأولى التي تقوم فيها بتشغيل الكمبيوتر بعد الإصابة!

كيفية فك تشفير الملفات المشفرة بفيروس الفدية؟

إذا حدثت هذه الكارثة فلا داعي للذعر! ولكن عليك أن تعرف أنه في معظم الحالات لا يوجد برنامج فك تشفير مجاني. ويرجع ذلك إلى خوارزميات التشفير القوية التي تستخدمها هذه البرامج الضارة. وهذا يعني أنه بدون مفتاح خاص، يكاد يكون من المستحيل فك تشفير الملفات. إن استخدام طريقة اختيار المفتاح ليس خيارًا أيضًا، نظرًا لطول المفتاح الكبير. ولذلك، لسوء الحظ، فإن دفع كامل المبلغ المطلوب لمؤلفي الفيروس هو الطريقة الوحيدة لمحاولة الحصول على مفتاح فك التشفير.

وبطبيعة الحال، ليس هناك أي ضمان على الإطلاق أنه بعد الدفع، سيتصل بك مؤلفو الفيروس ويقدمون لك المفتاح اللازم لفك تشفير ملفاتك. بالإضافة إلى ذلك، عليك أن تفهم أنه من خلال دفع الأموال لمطوري الفيروسات، فإنك تشجعهم بنفسك على إنشاء فيروسات جديدة.

كيفية إزالة فيروس الفدية؟

قبل أن تبدأ، عليك أن تعرف أنه من خلال البدء في إزالة الفيروس ومحاولة استعادة الملفات بنفسك، فإنك تمنع القدرة على فك تشفير الملفات عن طريق دفع المبلغ الذي طلبه لمؤلفي الفيروس.

يمكن لأداة إزالة الفيروسات Kaspersky وMalwarebytes Anti-malware اكتشاف أنواع مختلفة من فيروسات برامج الفدية النشطة وإزالتها بسهولة من جهاز الكمبيوتر الخاص بك، لكن لا يمكنها استعادة الملفات المشفرة.

5.1. قم بإزالة برامج الفدية باستخدام أداة إزالة الفيروسات Kaspersky

بشكل افتراضي، تم تكوين البرنامج لاستعادة جميع أنواع الملفات، ولكن لتسريع العمل، يوصى بترك أنواع الملفات التي تحتاج إلى استردادها فقط. عند الانتهاء من اختيارك، انقر فوق موافق.

في الجزء السفلي من نافذة برنامج QPhotoRec، ابحث عن زر Browse وانقر عليه. تحتاج إلى تحديد الدليل حيث سيتم حفظ الملفات المستردة. يُنصح باستخدام قرص لا يحتوي على ملفات مشفرة تتطلب الاسترداد (يمكنك استخدام محرك أقراص فلاش أو محرك أقراص خارجي).

لبدء إجراء البحث عن النسخ الأصلية من الملفات المشفرة واستعادتها، انقر فوق الزر "بحث". تستغرق هذه العملية وقتًا طويلاً، لذا كن صبورًا.

عند اكتمال البحث، انقر فوق الزر "إنهاء". افتح الآن المجلد الذي اخترته لحفظ الملفات المستردة.

سيحتوي المجلد على أدلة باسم recup_dir.1 وrecup_dir.2 وrecup_dir.3 وما إلى ذلك. كلما زاد عدد الملفات التي يعثر عليها البرنامج، زاد عدد الأدلة. للعثور على الملفات التي تحتاجها، تحقق من كافة الدلائل واحداً تلو الآخر. لتسهيل العثور على الملف الذي تحتاجه من بين عدد كبير من الملفات المستردة، استخدم نظام بحث Windows المدمج (حسب محتويات الملف)، ولا تنس أيضًا وظيفة فرز الملفات في الدلائل. يمكنك تحديد تاريخ تعديل الملف كخيار فرز، حيث يحاول QPhotoRec استعادة هذه الخاصية عند استعادة ملف.

كيفية منع فيروس الفدية من إصابة جهاز الكمبيوتر الخاص بك؟

تحتوي معظم برامج مكافحة الفيروسات الحديثة بالفعل على نظام حماية مدمج ضد اختراق وتفعيل فيروسات التشفير. لذلك، إذا لم يكن لديك برنامج مكافحة فيروسات على جهاز الكمبيوتر الخاص بك، فتأكد من تثبيته. يمكنك معرفة كيفية اختياره من خلال قراءة هذا.

علاوة على ذلك، هناك برامج حماية متخصصة. على سبيل المثال، هذا هو CryptoPrevent، مزيد من التفاصيل.

بضع كلمات أخيرة

باتباع هذه التعليمات، سيتم مسح جهاز الكمبيوتر الخاص بك من فيروس الفدية. إذا كان لديك أي أسئلة أو كنت بحاجة إلى مساعدة، يرجى الاتصال بنا.