Tratament nou împotriva virusului ransomware. Virusul de criptare. Cum să eliminați un virus și să restaurați fișierele criptate. De unde obțineți fișierele criptate?

Potrivit primelor rapoarte, virusul de criptare activat de atacatori marți a fost clasificat ca membru al familiei deja cunoscute de ransomware Petya, dar ulterior s-a dovedit că aceasta era o nouă familie de malware cu funcționalități semnificativ diferite. Kaspersky Lab a numit noul virus ExPetr.

„Analiza efectuată de experții noștri a arătat că inițial victimele nu au avut nicio șansă să-și recupereze dosarele. „Cercetătorii de la Kaspersky Lab au analizat partea din codul malware care este asociată cu criptarea fișierelor și au descoperit că, odată ce discul este criptat, creatorii virusului nu mai au capacitatea de a-l decripta înapoi”, raportează laboratorul.

După cum observă compania, decriptarea necesită un identificator unic pentru o anumită instalare troiană. În versiunile cunoscute anterior ale criptoarelor similare Petya/Mischa/GoldenEye, identificatorul de instalare conținea informațiile necesare pentru decriptare. În cazul ExPetr, acest identificator nu există. Aceasta înseamnă că creatorii malware-ului nu pot obține informațiile de care au nevoie pentru a decripta fișierele. Cu alte cuvinte, victimele ransomware-ului nu au cum să-și recupereze datele, explică Kaspersky Lab.

Virusul blochează computerele și solicită 300 de dolari în bitcoini, a declarat Group-IB pentru RIA Novosti. Atacul a început marți în jurul orei 11:00. Potrivit rapoartelor din presă, miercuri, la ora 18, portofelul Bitcoin care a fost specificat pentru a transfera fonduri către extorsionişti a primit nouă transferuri. Ținând cont de comisionul pentru transferuri, victimele au transferat hackerilor circa 2,7 mii de dolari.

În comparație cu WannaCry, acest virus este considerat mai distructiv, deoarece se răspândește folosind mai multe metode - folosind Windows Management Instrumentation, PsExec și exploit-ul EternalBlue. În plus, ransomware-ul include utilitarul gratuit Mimikatz.

Numărul utilizatorilor atacați de noul virus de criptare „noul Petya” a ajuns la 2 mii, a anunțat miercuri Kaspersky Lab, care investighează valul de infecții computerizate.

Potrivit companiei antivirus ESET, atacul a început în Ucraina, care a suferit mai mult decât alte țări. Potrivit ratingului companiei pentru țările afectate de virus, Italia se află pe locul doi după Ucraina, iar Israelul pe locul trei. Primele zece au inclus și Serbia, Ungaria, România, Polonia, Argentina, Cehia și Germania. Rusia a ocupat locul 14 în această listă.

În plus, Avast a spus care sisteme de operare au fost cele mai afectate de virus.

Windows 7 a fost pe primul loc - 78% din toate computerele infectate. Urmează Windows XP (18%), Windows 10 (6%) și Windows 8.1 (2%).

Astfel, WannaCry a învățat comunitatea globală practic nimic - computerele au rămas neprotejate, sistemele nu au fost actualizate, iar eforturile Microsoft de a emite patch-uri chiar și pentru sistemele învechite au fost pur și simplu irosite.

În urmă cu aproximativ o săptămână sau două, pe Internet a apărut un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după un virus ransomware criptat000007și recuperați fișierele criptate. În acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare.

Decriptare garantată a fișierelor după un virus ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact în același mod. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnicile de inginerie socială sunt folosite pentru a se asigura că utilizatorul devine interesat de scrisoare și o deschide. În cazul meu, în scrisoare se vorbea despre un fel de instanță și despre informații importante despre caz din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras de la Curtea de Arbitraj din Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, atunci copiile de rezervă ale fișierelor în copii umbre ale Windows vor fi șterse și restaurarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. În acest criptator, aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să fie de acord și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere a copiilor umbre fără să mă opresc. De obicei, după 5-10 oferte s-au oprit.

Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze avertismentele de Control cont utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant sub contul de administrator al computerului decât dacă există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor exista multe fișiere text cu același conținut pe desktop.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Tor Browser folosind link-ul: https://www.torproject.org/download/download-easy.html.en În caseta de adrese Tor Browser, introduceți adresa: http ://cryptsen7fo43rr6 .onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul dvs. au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți face acest lucru în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http:/ /cryptsen7fo43rr6.onion/ Apăsați Enter și apoi va fi încărcată pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. De asemenea, am dat peste următoarele adrese:

• [email protected]
• [email protected]

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare atât pe computerul local, cât și pe unitățile de rețea. Un virus de criptare poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, ransomware-ul nu a avut timp să cripteze totul pe o unitate de rețea cu o capacitate de aproximativ 100 de gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de o persoană care este bine versată în sistemele informaționale. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiunile incorecte în această etapă pot complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia de fișier va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arata cam asa.

Într-o astfel de situație, va fi dificil să evaluați amploarea tragediei, deoarece nu vă veți putea aminti pe deplin ce ați avut în diferite dosare. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Și dacă folderele dvs. de rețea au fost criptate și nu există copii de siguranță complete, atunci acest lucru poate opri complet activitatea întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai importantă întrebare este cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul, șansele de a decripta datele scad. Dacă trebuie să recuperați fișiere cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptarea completă a fișierelor, este și mai profitabil pentru el să se ștergă și să dispară, ceea ce face mai dificilă investigarea incidentului și decriptarea fișierelor.

Este dificil de descris eliminarea manuală a unui virus, deși am încercat să fac asta înainte, dar văd că cel mai adesea este inutilă. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant după o săptămână sau două. De obicei, virușii sunt trimiși prin poștă în valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Instrumentele universale care verifică pornirea și detectează activități suspecte în folderele de sistem ajută.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

1. Kaspersky Virus Removal Tool - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați manual virusul. Am dat un exemplu de metoda de eliminare și o puteți vedea acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
2. Găsim procesul de virus, deschidem folderul în care se află și îl ștergem.
3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere se pune în primul rând atunci când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina principală faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista un decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptare pentru descărcare pe o pagină separată - https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care în rețea au apărut decriptoare pentru unele modificări ale criptoarelor. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișiere folosind metode improvizate. Acestea includ:

• Instrument copii umbră ferestre.
• Programe de recuperare a datelor șterse

Mai întâi, haideți să verificăm dacă avem copii umbre activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă în timpul infecției nu ați confirmat solicitarea UAC de ștergere a fișierelor în copii umbră, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai detaliat la începutul poveștii, când am vorbit despre cum funcționează virusul.

Pentru a restaura cu ușurință fișierele din copii umbră, vă sugerez să utilizați un program gratuit pentru aceasta - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Cea mai recentă copie a fișierelor și rădăcina unității C se vor deschide În colțul din stânga sus, puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verificați diferite copii pentru fișierele necesare. Comparați după dată pentru cea mai recentă versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am făcut clic dreapta, am selectat Export și am specificat folderul în care să le restabilesc.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi o versiune mai veche decât ne-am dori, dar, cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare a fișierelor șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansarea versiunii grafice a programului execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau un hard disk extern pentru a face acest lucru.

Procesul de căutare va dura mult timp. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, câteva fișiere utile pot fi găsite în această listă. Nu există garanții aici; ceea ce veți găsi este ceea ce veți găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei când trebuie să recuperez numărul maxim de fișiere:

• R.saver
• Recuperare fișier Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

În mod tradițional, antivirușii ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Este lansată o nouă versiune de ransomware, dar antivirusurile nu răspund la aceasta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanțe tehnice pe acest subiect care nu ne permite să răspundem în mod adecvat și să împiedicăm criptarea fișierelor utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să sugerați oprirea procesului.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși de criptare, inclusiv CRYPTED000007. Adresa lor este http://www.dr-shifro.ru. Plata numai după decriptarea completă și verificarea dvs. Iată o schemă aproximativă de lucru:

1. Un specialist al companiei vine la birou sau acasă și semnează un acord cu tine, care stabilește costul lucrării.
2. Lansează decriptorul și decriptează toate fișierele.
3. Vă asigurați că toate fișierele sunt deschise și semnați certificatul de livrare/acceptare pentru lucrarea finalizată.
4. Plata se face numai pe baza rezultatelor reușite ale decriptării.

Sincer să fiu, nu știu cum fac, dar nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să eviți daune materiale și morale? Există câteva sfaturi simple și eficiente:

1. Backup! Copiere de rezervă a tuturor datelor importante. Și nu doar un backup, ci un backup la care nu există acces constant. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de distribuție a unei noi modificări a ransomware-ului.
3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
4. Nu deschideți neatenționat link-uri trimise către dvs. de la prieteni prin rețelele sociale sau mesagerie instantanee. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
5. Activați Windows pentru a afișa extensiile de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Video despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.

Tehnologiile moderne permit hackerilor să-și îmbunătățească în mod constant metodele de fraudă împotriva utilizatorilor obișnuiți. De regulă, software-ul virus care pătrunde în computer este utilizat în aceste scopuri. Virușii de criptare sunt considerați deosebit de periculoși. Amenințarea este că virusul se răspândește foarte repede, criptând fișierele (utilizatorul pur și simplu nu va putea deschide un singur document). Și dacă este destul de simplu, atunci este mult mai dificil să decriptezi datele.

Ce trebuie să faceți dacă un virus are fișiere criptate pe computer

Oricine poate fi atacat de ransomware, chiar și utilizatorii care au un software antivirus puternic nu sunt imuni. Troienii de criptare a fișierelor vin într-o varietate de coduri care pot depăși capacitățile unui antivirus. Hackerii reușesc chiar să atace companiile mari într-un mod similar care nu s-au ocupat de protecția necesară a informațiilor lor. Deci, după ce ați luat un program ransomware online, trebuie să luați o serie de măsuri.

Principalele semne de infecție sunt funcționarea lentă a computerului și modificările denumirilor documentelor (pot fi văzute pe desktop).

1. Reporniți computerul pentru a opri criptarea. La pornire, nu confirmați lansarea de programe necunoscute.
2. Rulați antivirusul dacă nu a fost atacat de ransomware.
3. În unele cazuri, copiile umbre vor ajuta la restabilirea informațiilor. Pentru a le găsi, deschideți „Proprietăți” documentului criptat. Această metodă funcționează cu date criptate din extensia Vault, despre care există informații pe portal.
4. Descărcați cea mai recentă versiune a utilitarului pentru a combate virușii ransomware. Cele mai eficiente sunt oferite de Kaspersky Lab.

Viruși ransomware în 2016: exemple

Atunci când luptați cu orice atac de virus, este important să înțelegeți că codul se schimbă foarte des, completat de o nouă protecție antivirus. Desigur, programele de securitate au nevoie de ceva timp până când dezvoltatorul actualizează bazele de date. Am selectat cei mai periculoși viruși de criptare din ultima vreme.

Ishtar Ransomware

Ishtar este un ransomware care stoarce bani de la utilizator. Virusul a fost observat în toamna anului 2016, infectând un număr mare de computere ale utilizatorilor din Rusia și din alte țări. Distribuit prin newsletter prin e-mail, care conține documente atașate (instalatori, documente etc.). Datele infectate de criptorul Ishtar primesc prefixul „ISHTAR” în numele lor. Procesul creează un document de testare care indică unde să mergi pentru a obține parola. Atacatorii cer de la 3.000 la 15.000 de ruble pentru el.

Pericolul virusului Ishtar este că astăzi nu există un decriptor care să ajute utilizatorii. Companiile de software antivirus au nevoie de timp pentru a descifra tot codul. Acum puteți izola informațiile importante (dacă sunt de o importanță deosebită) doar pe un mediu separat, așteptând lansarea unui utilitar capabil să decripteze documentele. Se recomandă reinstalarea sistemului de operare.

Neitrino

Criptorul Neitrino a apărut pe Internet în 2015. Principiul atacului este similar cu alți viruși dintr-o categorie similară. Schimbă numele folderelor și fișierelor adăugând „Neitrino” sau „Neutrino”. Virusul este greu de decriptat nu toți reprezentanții companiilor antivirus se angajează, invocând un cod foarte complex. Unii utilizatori pot beneficia de restaurarea unei copii umbră. Pentru a face acest lucru, faceți clic dreapta pe documentul criptat, accesați fila „Proprietăți”, „Versiuni anterioare”, faceți clic pe „Restaurare”. Ar fi o idee bună să utilizați un utilitar gratuit de la Kaspersky Lab.

Portofel sau .portofel.

Virusul de criptare Wallet a apărut la sfârșitul anului 2016. În timpul procesului de infecție, schimbă numele datelor în „Nume..portofel” sau ceva similar. La fel ca majoritatea virușilor ransomware, acesta intră în sistem prin atașamentele din e-mailurile trimise de atacatori. Deoarece amenințarea a apărut foarte recent, programele antivirus nu o observă. După criptare, el creează un document în care fraudatorul indică e-mailul pentru comunicare. În prezent, dezvoltatorii de software antivirus lucrează pentru a descifra codul virusului ransomware. [email protected]. Utilizatorii care au fost atacați nu pot decât să aștepte. Dacă datele sunt importante, se recomandă să le salvați pe o unitate externă prin ștergerea sistemului.

Enigmă

Virusul ransomware Enigma a început să infecteze computerele utilizatorilor ruși la sfârșitul lunii aprilie 2016. Este utilizat modelul de criptare AES-RSA, care se găsește astăzi în majoritatea virușilor ransomware. Virusul pătrunde în computer folosind un script pe care îl rulează utilizatorul prin deschiderea fișierelor dintr-un e-mail suspect. Încă nu există un mijloc universal de a combate ransomware-ul Enigma. Utilizatorii cu licență antivirus pot cere ajutor pe site-ul oficial al dezvoltatorului. A fost găsită și o mică „lacună” - Windows UAC. Dacă utilizatorul face clic pe „Nu” în fereastra care apare în timpul procesului de infectare cu virusul, el va putea ulterior să restabilească informațiile folosind copii umbre.

Granit

Un nou virus ransomware, Granit, a apărut pe internet în toamna lui 2016. Infecția are loc conform următorului scenariu: utilizatorul lansează programul de instalare, care infectează și criptează toate datele de pe PC, precum și unitățile conectate. Combaterea virusului este dificilă. Pentru a-l elimina, puteți folosi utilitare speciale de la Kaspersky, dar încă nu am putut descifra codul. Poate că restaurarea versiunilor anterioare ale datelor va ajuta. În plus, un specialist cu o vastă experiență poate decripta, dar serviciul este costisitor.

Tyson

A fost depistat recent. Este o extensie a ransomware-ului deja cunoscut no_more_ransom, despre care puteți afla pe site-ul nostru. Acesta ajunge la computerele personale din e-mail. Multe PC-uri corporative au fost atacate. Virusul creează un document text cu instrucțiuni de deblocare, oferind să plătească o „răscumpărare”. Ransomware-ul Tyson a apărut recent, așa că nu există încă o cheie de deblocare. Singura modalitate de a restabili informații este să returnați versiunile anterioare dacă acestea nu au fost șterse de un virus. Puteți, desigur, să vă asumați un risc transferând bani în contul specificat de atacatori, dar nu există nicio garanție că veți primi parola.

Spora

La începutul anului 2017, un număr de utilizatori au devenit victime ale noului ransomware Spora. În ceea ce privește principiul său de funcționare, nu este foarte diferit de omologii săi, dar se laudă cu un design mai profesionist: instrucțiunile pentru obținerea unei parole sunt mai bine scrise, iar site-ul arată mai frumos. Virusul ransomware Spora a fost creat în limbajul C și folosește o combinație de RSA și AES pentru a cripta datele victimei. De regulă, computerele pe care a fost utilizat activ programul de contabilitate 1C au fost atacate. Virusul, ascunzându-se sub pretextul unei simple facturi în format .pdf, obligă angajații companiei să o lanseze. Nu a fost găsit încă niciun tratament.

1C.Scădere.1

Acest virus de criptare 1C a apărut în vara anului 2016, perturbând activitatea multor departamente de contabilitate. A fost dezvoltat special pentru computere care utilizează software 1C. Odată ajuns pe computer printr-un fișier într-un e-mail, acesta solicită proprietarului să actualizeze programul. Indiferent de butonul pe care îl apăsă utilizatorul, virusul va începe să cripteze fișierele. Specialiștii Dr.Web lucrează la instrumente de decriptare, dar încă nu a fost găsită o soluție. Acest lucru se datorează codului complex, care poate avea mai multe modificări. Singura protecție împotriva 1C.Drop.1 este vigilența utilizatorului și arhivarea regulată a documentelor importante.

da_vinci_code

Un nou ransomware cu un nume neobișnuit. Virusul a apărut în primăvara anului 2016. Diferă de predecesorii săi prin codul îmbunătățit și modul de criptare puternică. da_vinci_code infectează computerul datorită unei aplicații de execuție (de obicei atașată unui e-mail), pe care utilizatorul o lansează independent. Instrumentul de criptare da Vinci copiază corpul în directorul de sistem și în registru, asigurând lansarea automată atunci când Windows este pornit. Fiecărei computere victimei i se atribuie un ID unic (ajută la obținerea unei parole). Este aproape imposibil să decriptați datele. Puteți plăti bani atacatorilor, dar nimeni nu vă garantează că veți primi parola.

[email protected] / [email protected]

Două adrese de e-mail care au fost adesea însoțite de viruși ransomware în 2016. Acestea servesc la conectarea victimei cu atacatorul. Au fost atașate adrese pentru o varietate de tipuri de viruși: da_vinci_code, no_more_ransom și așa mai departe. Este foarte recomandat să nu contactați sau să transferați bani către escroci. În majoritatea cazurilor, utilizatorii rămân fără parole. Astfel, arătând că ransomware-ul atacatorilor funcționează, generând venituri.

Breaking Bad

A apărut la începutul anului 2015, dar s-a răspândit activ abia un an mai târziu. Principiul de infectare este identic cu al altor ransomware: instalarea unui fișier dintr-un e-mail, criptarea datelor. Programele antivirus convenționale, de regulă, nu observă virusul Breaking Bad. Unele coduri nu pot ocoli Windows UAC, lăsând utilizatorului opțiunea de a restaura versiunile anterioare ale documentelor. Nicio companie care dezvoltă software antivirus nu a prezentat încă un decriptor.

XTBL

Un ransomware foarte comun care a cauzat probleme multor utilizatori. Odată ajuns pe computer, virusul schimbă extensia fișierului în .xtbl în câteva minute. Este creat un document în care atacatorul stoarce bani. Unele variante ale virusului XTBL nu pot distruge fișierele pentru recuperarea sistemului, ceea ce vă permite să recuperați documente importante. Virusul în sine poate fi eliminat de multe programe, dar decriptarea documentelor este foarte dificilă. Dacă sunteți proprietarul unui antivirus licențiat, utilizați asistența tehnică atașând mostre de date infectate.

Kukaracha

Ransomware-ul Cucaracha a fost descoperit în decembrie 2016. Virusul cu un nume interesant ascunde fișierele utilizatorului folosind algoritmul RSA-2048, care este foarte rezistent. Antivirusul Kaspersky l-a etichetat ca Trojan-Ransom.Win32.Scatter.lb. Kukaracha poate fi eliminat de pe computer, astfel încât alte documente să nu fie infectate. Cu toate acestea, cei infectați sunt în prezent aproape imposibil de decriptat (un algoritm foarte puternic).

Cum funcționează un virus ransomware?

Există un număr mare de ransomware, dar toate funcționează pe un principiu similar.

1. Urcarea pe un computer personal. De obicei, datorită unui fișier atașat unui e-mail. Instalarea este inițiată de utilizator însuși prin deschiderea documentului.
2. Infecția fișierului. Aproape toate tipurile de fișiere sunt criptate (în funcție de virus). Este creat un document text care conține contacte pentru comunicarea cu atacatorii.
3. Toate. Utilizatorul nu poate accesa niciun document.

Agenți de control din laboratoare populare

Utilizarea pe scară largă a ransomware-ului, care este recunoscut drept cea mai periculoasă amenințare la adresa datelor utilizatorilor, a devenit un impuls pentru multe laboratoare antivirus. Fiecare companie populară oferă utilizatorilor săi programe care îi ajută să lupte împotriva ransomware-ului. În plus, multe dintre ele ajută la decriptarea documentelor și la protecția sistemului.

Viruși Kaspersky și ransomware

Unul dintre cele mai cunoscute laboratoare antivirus din Rusia și din lume oferă astăzi cele mai eficiente instrumente pentru combaterea virușilor ransomware. Prima barieră în calea virusului ransomware va fi Kaspersky Endpoint Security 10 cu cele mai recente actualizări. Antivirusul pur și simplu nu va permite amenințării să intre în computerul dvs. (deși este posibil să nu oprească versiunile noi). Pentru a decripta informațiile, dezvoltatorul prezintă mai multe utilitare gratuite: XoristDecryptor, RakhniDecryptor și Ransomware Decryptor. Acestea ajută la găsirea virusului și la selectarea parolei.

Dr. Web și ransomware

Acest laborator recomandă utilizarea programului lor antivirus, a cărui caracteristică principală este backupul fișierelor. Depozitarea cu copii ale documentelor este, de asemenea, protejată de accesul neautorizat al intrușilor. Proprietarii produsului licențiat Dr. Funcția web este disponibilă pentru a solicita ajutor de la suportul tehnic. Adevărat, chiar și specialiștii cu experiență nu pot rezista întotdeauna acestui tip de amenințare.

ESET Nod 32 și ransomware

Nici această companie nu a stat deoparte, oferind utilizatorilor săi o bună protecție împotriva virușilor care le pătrund în computer. În plus, laboratorul a lansat recent un utilitar gratuit cu baze de date actualizate - Eset Crysis Decryptor. Dezvoltatorii spun că va ajuta în lupta chiar și împotriva celui mai nou ransomware.

Virușii înșiși ca amenințări informatice nu surprind pe nimeni astăzi. Dar dacă anterior afectau sistemul în ansamblu, provocând întreruperi în performanța acestuia, astăzi, odată cu apariția unei astfel de varietati precum virusul de criptare, acțiunile unei amenințări penetrante afectează mai multe date ale utilizatorilor. Reprezintă poate o amenințare și mai mare decât aplicațiile executabile distructive pentru Windows sau applet-urile spyware.

Ce este un virus ransomware?

Codul în sine, scris într-un virus care se copiază automat, presupune criptarea aproape a tuturor datelor utilizatorului cu algoritmi criptografici speciali, fără a afecta fișierele de sistem ale sistemului de operare.

La început, logica impactului virusului nu a fost complet clară pentru mulți. Totul a devenit clar abia atunci când hackerii care au creat astfel de applet-uri au început să ceară bani pentru a restabili structura originală a fișierelor. În același timp, virusul criptat în sine nu vă permite să decriptați fișiere datorită caracteristicilor sale. Pentru a face acest lucru, aveți nevoie de un decriptor special, dacă doriți, un cod, o parolă sau un algoritm necesar pentru a restabili conținutul dorit.

Principiul pătrunderii în sistem și funcționarea codului virusului

De regulă, este destul de dificil să „primi” astfel de prostii pe internet. Principala sursă de răspândire a „infecției” este e-mailul la nivelul programelor instalate pe un anumit terminal de computer, cum ar fi Outlook, Thunderbird, The Bat etc. Să remarcăm imediat: acest lucru nu se aplică serverelor de e-mail de pe Internet, întrucât au un grad de protecție destul de ridicat, iar accesul la datele utilizatorilor este posibil doar la nivel

Un alt lucru este o aplicație pe un terminal de computer. Aici câmpul de acțiune al virușilor este atât de larg încât este imposibil de imaginat. Adevărat, merită să faceți și o rezervare aici: în cele mai multe cazuri, virușii vizează companii mari de la care pot „scăpa” bani pentru furnizarea unui cod de decriptare. Acest lucru este de înțeles, deoarece nu numai pe terminalele locale de computer, ci și pe serverele unor astfel de companii, fișierele pot fi stocate, ca să spunem așa, într-o singură copie, care nu poate fi distrusă sub nicio formă. Și apoi decriptarea fișierelor după un virus ransomware devine destul de problematică.

Desigur, un utilizator obișnuit poate fi supus unui astfel de atac, dar în majoritatea cazurilor acest lucru este puțin probabil dacă urmați cele mai simple recomandări pentru deschiderea atașamentelor cu extensii de tip necunoscut. Chiar dacă un client de e-mail detectează un atașament cu extensia .jpg ca fișier grafic standard, acesta trebuie mai întâi verificat ca standard instalat pe sistem.

Dacă nu se face acest lucru, atunci când îl deschideți făcând dublu clic (metoda standard), va începe activarea codului și va începe procesul de criptare, după care același Breaking_Bad (virus de criptare) nu numai că va fi imposibil de eliminat, dar nici fișierele nu vor putea fi restaurate după eliminarea amenințării.

Consecințele generale ale pătrunderii tuturor virușilor de acest tip

După cum am menționat deja, majoritatea virușilor de acest tip intră în sistem prin e-mail. Ei bine, să presupunem că o organizație mare primește o scrisoare către un anumit e-mail înregistrat, cu conținut precum „Am schimbat contractul, copia scanată este atașată” sau „V-a fost trimisă o factură pentru expedierea mărfurilor (o copie acolo).” Desigur, angajatul nebănuit deschide dosarul și...

Toate fișierele utilizator la nivel de documente de birou, multimedia, proiecte specializate AutoCAD sau orice alte date de arhivă sunt criptate instantaneu, iar dacă terminalul computerului se află într-o rețea locală, virusul poate fi transmis mai departe, criptând datele de pe alte mașini (aceasta devine vizibilă imediat după „frânarea” sistemului și înghețarea programelor sau a aplicațiilor care rulează în prezent).

La sfârșitul procesului de criptare, virusul însuși trimite aparent un fel de raport, după care compania poate primi un mesaj că așa și o amenințare a pătruns în sistem și că doar o astfel de organizație o poate decripta. Aceasta implică de obicei un virus. [email protected]. Urmează cerința de a plăti pentru serviciile de decriptare cu o ofertă de a trimite mai multe fișiere pe e-mailul clientului, care este cel mai adesea fictiv.

Daune din expunerea la cod

Dacă cineva nu a înțeles încă: decriptarea fișierelor după un virus ransomware este un proces destul de laborios. Chiar dacă nu cedați la cerințele atacatorilor și încercați să implicați agențiile oficiale guvernamentale în combaterea și prevenirea infracțiunilor informatice, de obicei nu iese nimic bun.

Dacă ștergeți toate fișierele, produceți și chiar copiați datele originale de pe medii amovibile (desigur, dacă există o astfel de copie), totul va fi încă criptat din nou dacă virusul este activat. Deci nu ar trebui să vă amăgiți prea mult, mai ales că atunci când introduceți aceeași unitate flash într-un port USB, utilizatorul nici măcar nu va observa cum virusul va cripta și datele de pe ea. Atunci nu vei avea probleme.

Primul născut din familie

Acum să ne îndreptăm atenția către primul virus de criptare. La momentul apariției sale, nimeni nu se gândise încă cum să vindece și să decripteze fișierele după ce a fost expus la un cod executabil conținut într-un atașament de e-mail cu o ofertă de întâlniri. Conștientizarea amplorii dezastrului a venit doar cu timpul.

Acel virus avea numele romantic „Te iubesc”. Un utilizator nebănuitor a deschis un atașament într-un mesaj de e-mail și a primit fișiere multimedia complet neredabile (grafică, video și audio). Pe atunci, totuși, astfel de acțiuni păreau mai distructive (vătămarea bibliotecilor media utilizatorilor) și nimeni nu cerea bani pentru asta.

Cele mai noi modificari

După cum vedem, evoluția tehnologiei a devenit o afacere destul de profitabilă, mai ales având în vedere că mulți manageri ai organizațiilor mari aleargă imediat să plătească pentru eforturile de decriptare, fără să se gândească deloc că ar putea pierde atât bani, cât și informații.

Apropo, nu vă uitați la toate aceste postări „greșite” de pe Internet, spunând: „Am plătit/am plătit suma necesară, mi-au trimis un cod, totul a fost restaurat”. Prostii! Toate acestea sunt scrise de către dezvoltatorii virusului înșiși pentru a atrage potențial, scuzați-mă, „nebuci”. Dar, după standardele unui utilizator obișnuit, sumele de plătit sunt destul de serioase: de la sute la câteva mii sau zeci de mii de euro sau dolari.

Acum să ne uităm la cele mai noi tipuri de viruși de acest tip, care au fost înregistrate relativ recent. Toate sunt practic similare și aparțin nu numai categoriei de criptoare, ci și grupului așa-numitelor ransomware. În unele cazuri, aceștia acționează mai corect (cum ar fi paycrypt), trimițând aparent oferte de afaceri oficiale sau mesaje despre care cineva îi pasă de securitatea utilizatorului sau a organizației. Un astfel de virus de criptare pur și simplu induce în eroare utilizatorul cu mesajul său. Dacă ia chiar și cea mai mică măsură pentru a plăti, asta este - „divorțul” va fi complet.

Virusul XTBL

Aceasta relativ recentă poate fi clasificată ca o versiune clasică de ransomware. De obicei, acesta intră în sistem prin mesaje de e-mail care conțin fișiere atașate, ceea ce este standard pentru screensaverele Windows. Sistemul și utilizatorul cred că totul este în regulă și activează vizualizarea sau salvarea atașamentului.

Din păcate, acest lucru duce la consecințe triste: numele fișierelor sunt convertite într-un set de caractere, iar .xtbl este adăugat la extensia principală, după care este trimis un mesaj la adresa de e-mail dorită despre posibilitatea decriptării după plata sumei specificate. (de obicei 5 mii de ruble).

virusul CBF

Acest tip de virus aparține și clasicilor genului. Apare pe sistem după deschiderea atașamentelor de e-mail și apoi redenumește fișierele utilizator, adăugând la sfârșit o extensie precum .nochance sau .perfect.

Din păcate, decriptarea unui virus ransomware de acest tip pentru a analiza conținutul codului chiar și în stadiul apariției acestuia în sistem nu este posibilă, deoarece după finalizarea acțiunilor sale se autodistruge. Chiar și ceea ce mulți cred că este un instrument universal precum RectorDecryptor nu ajută. Din nou, utilizatorul primește o scrisoare prin care se solicită plata, pentru care se acordă două zile.

Virusul Breaking_Bad

Acest tip de amenințare funcționează în același mod, dar redenumește fișierele în versiunea standard, adăugând .breaking_bad la extensie.

Situația nu se limitează la asta. Spre deosebire de virușii anteriori, acesta poate crea o altă extensie - .Heisenberg, deci nu este întotdeauna posibil să găsiți toate fișierele infectate. Deci, Breaking_Bad (virusul ransomware) este o amenințare destul de serioasă. Apropo, există cazuri în care chiar și pachetul de licență Kaspersky Endpoint Security 10 ratează acest tip de amenințare.

Virus [email protected]

Iată o altă amenințare, poate cea mai gravă, care se adresează în principal organizațiilor comerciale mari. De regulă, unele departamente primesc o scrisoare care conține aparent modificări ale contractului de furnizare sau chiar doar o factură. Atașamentul poate conține un fișier .jpg obișnuit (cum ar fi o imagine), dar mai des - un script.js executabil (applet Java).

Cum să decriptezi acest tip de virus ransomware? Judecând după faptul că un algoritm RSA-1024 necunoscut este folosit acolo, în niciun caz. Pe baza numelui, puteți presupune că acesta este un sistem de criptare pe 1024 de biți. Dar, dacă își amintește cineva, astăzi AES pe 256 de biți este considerat cel mai avansat.

Virus Encryptor: cum să dezinfectați și să decriptați fișierele folosind software-ul antivirus

Până în prezent, nu au fost găsite soluții pentru a descifra amenințările de acest tip. Chiar și astfel de maeștri în domeniul protecției antivirus precum Kaspersky, Dr. Web și Eset nu pot găsi cheia pentru a rezolva problema atunci când sistemul este infectat cu un virus de criptare. Cum se dezinfectează fișierele? În cele mai multe cazuri, se recomandă trimiterea unei cereri către site-ul oficial al dezvoltatorului antivirus (apropo, numai dacă sistemul are licență software de la acest dezvoltator).

În acest caz, trebuie să atașați mai multe fișiere criptate, precum și originalele lor „sănătoase”, dacă există. În general, în general, puțini oameni salvează copii ale datelor, așa că problema absenței lor nu face decât să agraveze o situație deja neplăcută.

Modalități posibile de a identifica și elimina manual amenințarea

Da, scanarea cu programe antivirus convenționale identifică amenințările și chiar le elimină din sistem. Dar ce să faci cu informația?

Unii încearcă să folosească programe de decriptare precum utilitarul RectorDecryptor (RakhniDecryptor) deja menționat. Să notăm imediat: acest lucru nu va ajuta. Și în cazul virusului Breaking_Bad, acesta poate face doar rău. Si de aceea.

Cert este că oamenii care creează astfel de viruși încearcă să se protejeze și să ofere îndrumări altora. Când se utilizează utilitare de decriptare, virusul poate reacționa în așa fel încât întregul sistem să se blocheze, cu distrugerea completă a tuturor datelor stocate pe hard disk-uri sau partiții logice. Aceasta, ca să spunem așa, este o lecție orientativă pentru edificarea tuturor celor care nu vor să plătească. Ne putem baza doar pe laboratoarele oficiale antivirus.

Metode cardinale

Totuși, dacă lucrurile stau cu adevărat rău, va trebui să sacrifici informații. Pentru a scăpa complet de amenințare, trebuie să formatați întregul hard disk, inclusiv partițiile virtuale, apoi să instalați din nou sistemul de operare.

Din păcate, nu există altă cale de ieșire. Nici până la un anumit punct de restaurare salvat nu va ajuta. Virusul poate dispărea, dar fișierele vor rămâne criptate.

În loc de postfață

În concluzie, este de remarcat că situația este următoarea: un virus ransomware pătrunde în sistem, își face treaba murdară și nu este vindecat prin niciun mijloc cunoscut. Instrumentele de protecție antivirus nu erau pregătite pentru acest tip de amenințare. Este de la sine înțeles că este posibil să detectați un virus după expunere sau să îl eliminați. Dar informațiile criptate vor rămâne inestetice. Așa că aș dori să sper că cele mai bune minți ale companiilor de dezvoltare de software antivirus vor găsi în continuare o soluție, deși, judecând după algoritmii de criptare, va fi foarte greu de realizat. Nu uitați decât mașina de criptare Enigma pe care marina germană a avut-o în timpul celui de-al Doilea Război Mondial. Cei mai buni criptografi nu au putut rezolva problema unui algoritm de decriptare a mesajelor până nu au pus mâna pe dispozitiv. Așa stau lucrurile și aici.

este un program rău intenționat care, atunci când este activat, criptează toate fișierele personale, cum ar fi documente, fotografii etc. Numărul de astfel de programe este foarte mare și crește în fiecare zi. Doar recent am întâlnit zeci de variante de ransomware: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, etc. toste, fff. Scopul unor astfel de viruși de criptare este de a forța utilizatorii să cumpere, adesea pentru o sumă mare de bani, programul și cheia necesare pentru a-și decripta propriile fișiere.

Desigur, puteți restaura fișierele criptate pur și simplu urmând instrucțiunile pe care creatorii virusului le lasă pe computerul infectat. Dar cel mai adesea, costul decriptării este foarte semnificativ și, de asemenea, trebuie să știți că unii viruși ransomware criptează fișierele în așa fel încât este pur și simplu imposibil să le decriptați mai târziu. Și, desigur, este doar enervant să plătești pentru a-ți restaura propriile fișiere.

Mai jos vom vorbi mai detaliat despre virușii de criptare, cum pătrund aceștia în computerul victimei, precum și despre cum să eliminați virusul de criptare și să restaurați fișierele criptate de acesta.

Cum pătrunde un virus ransomware într-un computer?

Un virus ransomware este de obicei răspândit prin e-mail. Scrisoarea conține documente infectate. Astfel de scrisori sunt trimise către o bază de date uriașă de adrese de e-mail. Autorii acestui virus folosesc anteturi și conținuturi înșelătoare ale scrisorilor, încercând să păcălească utilizatorul să deschidă un document atașat scrisorii. Unele scrisori informează despre necesitatea plății unei facturi, altele oferă să se uite la cea mai recentă listă de prețuri, altele oferă să deschidă o fotografie amuzantă etc. În orice caz, deschiderea fișierului atașat va duce la infectarea computerului cu un virus ransomware.

Ce este un virus ransomware?

Un virus ransomware este un program rău intenționat care infectează versiunile moderne ale sistemelor de operare Windows, cum ar fi Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Acești viruși încearcă să folosească cele mai puternice moduri de criptare posibile, de exemplu RSA-2048 cu lungimea cheii este de 2048 de biți, ceea ce elimină practic posibilitatea de a selecta o cheie pentru a decripta fișierele în mod independent.

Când infectează un computer, virusul ransomware folosește directorul de sistem %APPDATA% pentru a-și stoca propriile fișiere. Pentru a se lansa automat când porniți computerul, ransomware-ul creează o intrare în registrul Windows: secțiunile HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Imediat după lansare, virusul scanează toate unitățile disponibile, inclusiv stocarea în rețea și în cloud, pentru a determina fișierele care vor fi criptate. Un virus ransomware folosește o extensie de nume de fișier ca modalitate de a identifica un grup de fișiere care vor fi criptate. Aproape toate tipurile de fișiere sunt criptate, inclusiv cele comune precum:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .meniu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Imediat după ce un fișier este criptat, acesta primește o nouă extensie, care poate fi adesea folosită pentru a identifica numele sau tipul de ransomware. Unele tipuri de aceste programe malware pot schimba, de asemenea, numele fișierelor criptate. Virusul creează apoi un document text cu nume precum HELP_YOUR_FILES, README, care conține instrucțiuni pentru decriptarea fișierelor criptate.

În timpul funcționării sale, virusul de criptare încearcă să blocheze capacitatea de a restaura fișiere folosind sistemul SVC (copie umbră a fișierelor). Pentru a face acest lucru, virusul, în modul de comandă, apelează utilitarul pentru administrarea de copii umbre ale fișierelor cu o cheie care pornește procedura de ștergere completă a acestora. Astfel, este aproape întotdeauna imposibil să restaurați fișierele folosind copiile umbră ale acestora.

Virusul ransomware folosește în mod activ tactici de intimidare, oferind victimei un link către o descriere a algoritmului de criptare și afișând un mesaj de amenințare pe desktop. În acest fel, încearcă să forțeze utilizatorul computerului infectat, fără ezitare, să trimită ID-ul computerului la adresa de e-mail a autorului virusului pentru a încerca să-și recupereze fișierele. Răspunsul la un astfel de mesaj este cel mai adesea suma de răscumpărare și adresa portofelului electronic.

Este computerul meu infectat cu un virus ransomware?

Este destul de ușor să determinați dacă un computer este infectat cu un virus de criptare sau nu. Acordați atenție extensiilor fișierelor personale, cum ar fi documente, fotografii, muzică etc. Dacă extensia s-a schimbat sau fișierele tale personale au dispărut, lăsând în urmă multe fișiere cu nume necunoscute, atunci computerul tău este infectat. În plus, un semn de infecție este prezența unui fișier numit HELP_YOUR_FILES sau README în directoarele dvs. Acest fișier va conține instrucțiuni pentru decriptarea fișierelor.

Dacă bănuiți că ați deschis un e-mail infectat cu un virus ransomware, dar nu există încă simptome de infecție, atunci nu opriți și nu reporniți computerul. Urmați pașii descriși în acest manual, secțiune. Repet încă o dată, este foarte important să nu opriți computerul în unele tipuri de ransomware, procesul de criptare a fișierelor este activat prima dată când porniți computerul după infectare!

Cum să decriptați fișierele criptate cu un virus ransomware?

Dacă se întâmplă acest dezastru, atunci nu este nevoie să intrați în panică! Dar trebuie să știți că în cele mai multe cazuri nu există un decriptor gratuit. Acest lucru se datorează algoritmilor puternici de criptare utilizați de astfel de programe malware. Aceasta înseamnă că fără o cheie privată, este aproape imposibil să decriptezi fișierele. Utilizarea metodei de selectare a cheii nu este, de asemenea, o opțiune, din cauza lungimii mari a cheii. Prin urmare, din păcate, achitarea doar autorilor virusului a întregii sume solicitate este singura modalitate de a încerca să obțineți cheia de decriptare.

Desigur, nu există absolut nicio garanție că, după plată, autorii virusului vă vor contacta și vă vor furniza cheia necesară pentru a vă decripta fișierele. În plus, trebuie să înțelegi că, plătind bani dezvoltatorilor de viruși, tu însuți îi încurajezi să creeze noi viruși.

Cum să eliminați un virus ransomware?

Înainte de a începe, trebuie să știți că, începând să eliminați virusul și să încercați să restaurați singur fișierele, blocați capacitatea de a decripta fișierele plătind autorilor virusului suma solicitată de ei.

Instrumentul Kaspersky Virus Removal și Malwarebytes Anti-malware pot detecta diferite tipuri de viruși ransomware activi și îi vor elimina cu ușurință de pe computer, DAR nu pot recupera fișierele criptate.

5.1. Eliminați ransomware folosind Instrumentul de eliminare a virusurilor Kaspersky

În mod implicit, programul este configurat să recupereze toate tipurile de fișiere, dar pentru a accelera munca, se recomandă să lăsați doar tipurile de fișiere pe care trebuie să le recuperați. După ce ați finalizat selecția, faceți clic pe OK.

În partea de jos a ferestrei programului QPhotoRec, găsiți butonul Răsfoire și faceți clic pe el. Trebuie să selectați directorul în care vor fi salvate fișierele recuperate. Este recomandabil să folosiți un disc care nu conține fișiere criptate care necesită recuperare (puteți folosi o unitate flash sau o unitate externă).

Pentru a începe procedura de căutare și restaurare a copiilor originale ale fișierelor criptate, faceți clic pe butonul Căutare. Acest proces durează destul de mult, așa că aveți răbdare.

Când căutarea este completă, faceți clic pe butonul Ieșire. Acum deschideți folderul pe care l-ați ales pentru a salva fișierele recuperate.

Dosarul va conține directoare numite recup_dir.1, recup_dir.2, recup_dir.3 etc. Cu cât programul găsește mai multe fișiere, cu atât vor fi mai multe directoare. Pentru a găsi fișierele de care aveți nevoie, verificați toate directoarele unul câte unul. Pentru a facilita găsirea fișierului de care aveți nevoie într-un număr mare de fișiere recuperate, utilizați sistemul de căutare Windows încorporat (după conținutul fișierului) și, de asemenea, nu uitați de funcția de sortare a fișierelor în directoare. Puteți selecta data la care fișierul a fost modificat ca opțiune de sortare, deoarece QPhotoRec încearcă să restabilească această proprietate la restaurarea unui fișier.

Cum să preveniți un virus ransomware să vă infecteze computerul?

Majoritatea programelor antivirus moderne au deja un sistem de protecție încorporat împotriva pătrunderii și activării virușilor de criptare. Prin urmare, dacă computerul dvs. nu are un program antivirus, asigurați-vă că îl instalați. Puteți afla cum să o alegeți citind aceasta.

Mai mult, există programe specializate de protecție. De exemplu, acesta este CryptoPrevent, mai multe detalii.

Câteva cuvinte finale

Urmând aceste instrucțiuni, computerul dvs. va fi șters de virusul ransomware. Dacă aveți întrebări sau aveți nevoie de ajutor, vă rugăm să ne contactați.