Virușii în sine ca o amenințare computerizatăazi nimeni nu este surprins. Dar dacă mai devreme au influențat sistemul în ansamblu, provocând defecțiuni în performanța acestuia, astăzi, odată cu apariția unei varietăți precum virusul ransomware, acțiunile unei amenințări infiltrante privesc mai multe date ale utilizatorilor. Este, poate, chiar mai mult o amenințare decât aplicațiile executabile Windows distructive sau applet-urile spyware.
Ce este un virus ransomware?
Codul în sine, scris într-o auto-copiereun virus, implică criptarea aproape tuturor datelor utilizatorului cu algoritmi criptografici speciali, care nu afectează fișierele de sistem ale sistemului de operare.
La început, logica impactului virusului nu era pentru mulțidestul de înțeles. Totul a devenit clar doar atunci când hackerii care au creat astfel de applet-uri au început să ceară bani pentru a restabili structura inițială a fișierului. În același timp, datorită particularităților sale, virusul ransomware pătruns în sine nu permite decriptarea fișierelor. Pentru a face acest lucru, aveți nevoie de un decriptor special, dacă doriți, un cod, o parolă sau un algoritm necesar pentru a restabili conținutul dorit.
Principiul pătrunderii în sistem și funcționarea codului virusului
De regulă, să „ridici” o astfel de bătaieInternetul este suficient de greu. Sursa principală a răspândirii „infecției” este e-mailul la nivelul programelor instalate pe un anumit terminal de computer precum Outlook, Thunderbird, The Bat etc. Notă imediat: acest lucru nu se aplică serverelor de mail Internet, deoarece au un grad suficient de mare de protecție, iar accesul la datele utilizatorilor este posibil doar la nivelul stocării în cloud.
Un alt lucru este o aplicație pe computerTerminal. Aici câmpul pentru acțiunea virușilor este atât de vast încât este imposibil de imaginat. Este adevărat, merită, de asemenea, să faceți o rezervare aici: în majoritatea cazurilor, virușii se adresează companiilor mari, din care puteți „smulge” banii pentru furnizarea codului de decriptare. Acest lucru este de înțeles, deoarece nu numai pe terminalele de computer locale, ci și pe serverele unor astfel de companii, pot fi stocate nu numai informații complet confidențiale, ci și fișiere, ca să spunem așa, într-o singură copie, care nu poate fi distrusă în niciun caz . Și apoi decriptarea fișierelor după virusul ransomware devine destul de problematică.
Desigur, chiar și un utilizator obișnuit poatesupus unui astfel de atac, dar în majoritatea cazurilor este puțin probabil dacă urmați cele mai simple recomandări pentru deschiderea atașamentelor cu extensii de tip necunoscut. Chiar dacă clientul de poștă electronică detectează un atașament cu extensia .jpg ca fișier grafic standard, acesta trebuie mai întâi verificat cu un scaner anti-virus standard instalat în sistem.
Dacă nu, când îl deschizi cu o dublăDacă faceți clic (metodă standard) va începe activarea codului și va începe procesul de criptare, după care același Breaking_Bad (virus de criptare) nu va fi doar imposibil de șters, dar fișierele nu vor putea fi restaurate după amenințare a fost eliminat.
Consecințele generale ale pătrunderii tuturor virusurilor de acest tip
Așa cum am menționat deja, majoritatea virușilor de acest tiptastați introduceți sistemul prin e-mail. Ei bine, să presupunem că o organizație mare primește o scrisoare cu conținutul de genul „Am schimbat contractul, scanăm în atașament” sau „Ți-a fost trimisă o factură pentru expedierea mărfurilor (o copie este acolo)” către un anumit înregistrat Poștă. Bineînțeles, un angajat nebănuit deschide fișierul și ...
Toate fișierele utilizatorilor la nivel de biroudocumente, multimedia, proiecte AutoCAD specializate sau orice alte date de arhivare sunt criptate instantaneu, iar dacă terminalul computerului se află în rețeaua locală, virusul poate fi transmis în continuare, criptând datele de pe alte mașini (acest lucru devine vizibil imediat când sistemul încetinește și blochează programe sau rulează în prezent aplicații).
La sfârșitul procesului de criptare, virusul în sine,aparent, trimite un fel de raport, după care compania ar putea primi un mesaj că o astfel de amenințare a pătruns în sistem și că doar o astfel de organizație o poate descifra. Acest lucru se referă de obicei la virusul [email protected]. Urmează cerința de a plăti serviciile de decriptare cu propunerea de a trimite mai multe fișiere pe e-mailul clientului, care este cel mai adesea fictiv.
Rău din cauza expunerii la cod
Dacă cineva nu a înțeles încă:decriptarea fișierelor după un virus ransomware este un proces destul de laborios. Chiar dacă nu „conduceți” la cerințele criminalilor cibernetici și încercați să utilizați structurile guvernamentale oficiale pentru a combate infracțiunile informatice și a le preveni, de obicei nu va rezulta nimic bun.
Dacă ștergeți toate fișierele, restaurațisisteme și chiar copiază datele originale de pe suporturi amovibile (desigur, dacă există o astfel de copie), totuși, atunci când virusul este activat, totul va fi criptat din nou. Deci, nu ar trebui să vă flatați, mai ales că atunci când aceeași unitate flash este introdusă în portul USB, utilizatorul nu va observa nici măcar cum virusul va cripta datele de pe acesta. Atunci cu siguranță nu veți rezolva problemele.
Prim-născut în familie
Acum să fim atenți la primulvirusul ransomware. Cum să vindecați și să decriptați fișierele după expunerea la codul executabil inclus într-un atașament de e-mail cu o ofertă de întâlniri, la momentul apariției sale, nimeni nu s-a gândit. Conștientizarea amplorii dezastrului a venit doar cu timpul.
Virusul respectiv avea numele romantic „I LoveTu ". Un utilizator nebănuit a deschis un atașament într-un mesaj electronic și a primit fișiere multimedia complet redate (grafică, video și audio). Apoi, însă, astfel de acțiuni păreau mai distructive (dăunând bibliotecilor media ale utilizatorilor) și nimeni nu cerea bani pentru asta.
Cele mai noi modificări
După cum puteți vedea, evoluția tehnologiei a devenit suficientăo afacere profitabilă, mai ales atunci când considerați că mulți lideri ai organizațiilor mari aleargă imediat să plătească pentru acțiuni de decriptare, fără să se gândească complet la faptul că astfel pot pierde atât bani, cât și informații.
Apropo, nu te uita la toți acești „stângaci”postează pe Internet, se spune: „Am plătit / plătit suma necesară, mi-au trimis un cod, totul a fost restabilit”. Prostii! Toate acestea sunt scrise chiar de dezvoltatorii virusului pentru a atrage potențial, scuzați-mă, „fraierii”. Dar, conform standardelor unui utilizator obișnuit, sumele pentru plată sunt destul de serioase: de la sute la câteva mii sau zeci de mii de euro sau dolari.
Acum, să ne uităm la cele mai recente tipuri de virușitipuri care au fost înregistrate relativ recent. Toate sunt practic similare și aparțin nu numai categoriei ransomware, ci și grupului așa-numitelor ransomware. În unele cazuri, acționează mai corect (cum ar fi criptarea salariilor), cum ar fi trimiterea de propuneri comerciale oficiale sau mesaje care îi pasă de cineva despre siguranța utilizatorului sau a organizației. Un astfel de virus ransomware pur și simplu induce în eroare utilizatorul cu mesajul său. Dacă va lua chiar și cea mai mică măsură de plătit, totul - „divorțul” va fi integral.
Virusul XTBL
Virusul relativ recent XTBL poateaparțin versiunii clasice ransomware. De obicei, intră în sistem prin mesaje de poștă electronică care conțin atașamente sub formă de fișiere cu extensia .scr, care este screensaver-ul Windows standard. Sistemul și utilizatorul cred că totul este în ordine și activează vizualizarea sau salvarea atașamentului.
Din păcate, acest lucru duce la consecințe triste:numele fișierelor sunt convertite într-un set de caractere, iar .xtbl este adăugat la extensia principală, după care este trimis un mesaj la adresa de e-mail dorită despre posibilitatea decriptării după plata sumei specificate (de obicei 5 mii ruble).
Virusul CBF
Acest tip de virus aparține și clasicilor genului.Apare pe sistem după deschiderea atașamentelor de e-mail, apoi redenumește fișierele utilizatorului, adăugând la sfârșit o extensie precum .nochance sau .perfect.
Din păcate, decriptarea virusului ransomwareAcest tip de analiză a conținutului codului chiar în stadiul apariției sale în sistem nu este posibil, deoarece după finalizarea acțiunilor sale, se autodistruge. Nici ceea ce mulți cred că este un instrument universal precum RectorDecryptor nu ajută. Din nou, utilizatorul primește o scrisoare prin care solicită plata, pentru care se acordă două zile.
Virusul Breaking_Bad
Acest tip de amenințare funcționează în același mod, dar redenumește fișierele ca standard prin adăugarea .breaking_bad la extensie.
Situația nu se limitează la aceasta.Spre deosebire de virușii anteriori, acesta poate crea o altă extensie - .Heisenberg, deci nu este întotdeauna posibil să găsiți toate fișierele infectate. Deci Breaking_Bad (virusul ransomware) este o amenințare destul de gravă. De altfel, există cazuri în care chiar și pachetul licențiat Kaspersky Endpoint Security 10 permite trecerea acestui tip de amenințare.
Virusul [email protected]
Iată o altă amenințare, poate cea mai gravă,care se adresează în principal organizațiilor comerciale mari. De regulă, o scrisoare vine la un anumit departament, care pare să conțină modificări ale contractului de furnizare sau chiar doar o factură. Atașamentul poate conține un fișier .jpg obișnuit (cum ar fi o imagine), dar mai des un script executabil .js (applet Java).
Cum se decriptează acest tip de virus ransomware?Judecând după faptul că acolo se folosește un algoritm necunoscut RSA-1024. După cum sugerează și numele, este un sistem de criptare de 1024 de biți. Dar, dacă cineva își amintește, astăzi AES pe 256 de biți este considerat cel mai avansat.
Virus de criptare: cum să dezinfectați și să decriptați fișierele folosind software antivirus
Până în prezent, pentru a decripta astfel de amenințărinu a fost găsit încă niciun tip de soluție. Chiar și astfel de maeștri în domeniul protecției antivirus ca Kaspersky, Dr. Web și Eset nu pot găsi cheia pentru rezolvarea problemei atunci când un virus ransomware a moștenit-o în sistem. Cum dezinfectez fișierele? În majoritatea cazurilor, se propune trimiterea unei cereri pe site-ul oficial al dezvoltatorului antivirus (apropo, numai dacă sistemul are software licențiat al acestui dezvoltator).
În acest caz, trebuie să atașați mai multe criptatefișiere, precum și originalele lor „sănătoase”, dacă există. În general, în general, puțini oameni salvează copii ale datelor, astfel încât problema absenței lor nu face decât să agraveze situația deja neplăcută.
Modalități posibile de identificare și eliminare a amenințării manual
Da, scanarea cu antivirusuri convenționale detectează amenințările și chiar le elimină din sistem. Dar ce zici de informații?
Unii încearcă să foloseascăprograme de decodare precum utilitarul RectorDecryptor deja menționat (RakhniDecryptor). Să observăm imediat: acest lucru nu va ajuta. Și în cazul virusului Breaking_Bad, acesta poate face doar rău. Si de aceea.
Faptul este că oamenii care creează astfel de virușiîncercând să se protejeze și să îndrume altora. Atunci când se utilizează utilitare de decriptare, virusul poate reacționa în așa fel încât întregul sistem va „zbura” și cu distrugerea completă a tuturor datelor stocate pe hard disk-uri sau partiții logice. Aceasta este, ca să spunem așa, o lecție indicativă pentru edificarea tuturor celor care nu vor să plătească. Ne putem baza doar pe laboratoarele oficiale antivirus.
Metode cardinale
Cu toate acestea, dacă lucrurile sunt într-adevăr rele, va trebuiinformații de donat. Pentru a scăpa complet de amenințare, trebuie să formatați întregul hard disk, inclusiv partițiile virtuale, și apoi să reinstalați „sistemul de operare”.
Din păcate, nu există altă cale de ieșire. Chiar și revenirea sistemului la un anumit punct de restaurare salvat nu va ajuta. Virusul poate dispărea, dar fișierele vor rămâne criptate.
În loc de cuvânt de cuvânt
În concluzie, trebuie remarcat faptul că situația este următoarea:virusul ransomware pătrunde în sistem, își face fapta murdară și nu este vindecat prin metode cunoscute. Apărările antivirus nu erau pregătite pentru acest tip de amenințare. Este de la sine înțeles că puteți detecta un virus după expunere sau îl puteți elimina. Dar informațiile criptate vor rămâne inestetice. Așadar, ar dori să sperăm că cele mai bune minți ale companiilor de software antivirus vor găsi totuși o soluție, deși, judecând după algoritmii de criptare, va fi foarte dificil de realizat. Reamintim, de exemplu, mașina de criptare Enigma, pe care marina germană o avea în timpul celui de-al doilea război mondial. Cei mai buni criptografi nu au putut rezolva problema algoritmului de decriptare a mesajelor până nu au pus mâna pe dispozitiv. Acesta este cazul și aici.
