ไวรัสเองเป็นภัยคุกคามคอมพิวเตอร์ computerวันนี้ไม่มีใครแปลกใจ แต่ถ้าก่อนหน้านี้พวกเขามีอิทธิพลต่อระบบโดยรวม ทำให้เกิดการทำงานผิดพลาดในทุกวันนี้ ด้วยการถือกำเนิดของไวรัสแรนซัมแวร์ที่หลากหลาย การกระทำของภัยคุกคามที่แทรกซึมเกี่ยวข้องกับข้อมูลผู้ใช้มากขึ้น อาจเป็นภัยคุกคามมากกว่าแอปพลิเคชันปฏิบัติการที่ทำลายล้างของ Windows หรือแอปเพล็ตสปายแวร์
ไวรัสแรนซัมแวร์คืออะไร?
รหัสตัวเองเขียนในการคัดลอกตัวเองไวรัสเกี่ยวข้องกับการเข้ารหัสข้อมูลผู้ใช้เกือบทั้งหมดด้วยอัลกอริธึมการเข้ารหัสพิเศษซึ่งไม่ส่งผลกระทบต่อไฟล์ระบบของระบบปฏิบัติการ
ตอนแรกตรรกะของผลกระทบของไวรัสไม่ได้ค่อนข้างเข้าใจได้ ทุกอย่างชัดเจนก็ต่อเมื่อแฮกเกอร์ที่สร้างแอปเพล็ตเริ่มเรียกร้องเงินเพื่อกู้คืนโครงสร้างไฟล์เริ่มต้น ในเวลาเดียวกัน ไวรัสเข้ารหัสที่เจาะเข้าไปเองไม่อนุญาตให้ถอดรหัสไฟล์เนื่องจากลักษณะเฉพาะของมัน ในการทำเช่นนี้ คุณต้องมีตัวถอดรหัสพิเศษ หากคุณต้องการ รหัส รหัสผ่าน หรืออัลกอริธึมที่จำเป็นในการกู้คืนเนื้อหาที่ต้องการ
หลักการเจาะระบบและการทำงานของรหัสไวรัส
ตามกฎแล้ว "หยิบ" โคลนดังกล่าวในอินเทอร์เน็ตยากพอ แหล่งที่มาหลักของการแพร่กระจายของ "การติดเชื้อ" คืออีเมลที่ระดับของโปรแกรมที่ติดตั้งบนเทอร์มินัลคอมพิวเตอร์โดยเฉพาะเช่น Outlook, Thunderbird, The Bat เป็นต้น หมายเหตุ: สิ่งนี้ใช้ไม่ได้กับเซิร์ฟเวอร์อีเมลทางอินเทอร์เน็ตเนื่องจาก พวกเขามีระดับการป้องกันที่สูงเพียงพอ และการเข้าถึงข้อมูลผู้ใช้ทำได้ที่ระดับที่เก็บข้อมูลบนคลาวด์เท่านั้น
อีกอย่างคือแอปพลิเคชั่นบนคอมพิวเตอร์เทอร์มินัล. ที่นี่ขอบเขตของการกระทำของไวรัสนั้นกว้างมากจนไม่สามารถจินตนาการได้ จริงอยู่ การจองที่นี่ก็คุ้มค่าเช่นกัน ในกรณีส่วนใหญ่ ไวรัสมุ่งเป้าไปที่บริษัทขนาดใหญ่ ซึ่งคุณสามารถ "ฉ้อโกง" เงินจากการจัดหารหัสถอดรหัสได้ เป็นเรื่องที่เข้าใจได้ เพราะไม่เพียงแต่ในเครื่องคอมพิวเตอร์ปลายทางเท่านั้น แต่ยังรวมถึงเซิร์ฟเวอร์ของบริษัทดังกล่าวด้วย ไม่เพียงแต่สามารถจัดเก็บข้อมูลที่เป็นความลับได้อย่างสมบูรณ์ แต่ยังรวมถึงไฟล์ด้วย ดังนั้นในสำเนาเดียวซึ่งไม่สามารถทำลายได้ในทุกกรณี . จากนั้นการถอดรหัสไฟล์หลังจากไวรัสแรนซัมแวร์กลายเป็นปัญหาค่อนข้างมาก
แน่นอน แม้แต่ผู้ใช้ทั่วไปก็สามารถทำได้จะถูกโจมตี แต่ในกรณีส่วนใหญ่ ไม่น่าเป็นไปได้ถ้าคุณทำตามคำแนะนำที่ง่ายที่สุดในการเปิดไฟล์แนบที่มีนามสกุลเป็นประเภทที่ไม่รู้จัก แม้ว่าโปรแกรมรับส่งเมลจะตรวจพบไฟล์แนบที่มีนามสกุล .jpg เป็นไฟล์กราฟิกมาตรฐาน อันดับแรกจะต้องตรวจสอบไฟล์นั้นด้วยเครื่องสแกนป้องกันไวรัสมาตรฐานที่ติดตั้งอยู่ในระบบ
ถ้าไม่เช่นนั้น เมื่อคุณเปิดมันด้วยดับเบิ้ลการคลิก (วิธีมาตรฐาน) จะเริ่มการเปิดใช้งานรหัสและกระบวนการเข้ารหัสจะเริ่มขึ้น หลังจากนั้น Breaking_Bad (ไวรัสเข้ารหัส) ตัวเดียวกันจะไม่เพียงแต่ไม่สามารถลบออกได้ แต่ไฟล์จะไม่สามารถกู้คืนได้หลังจากการคุกคาม ได้ถูกกำจัดออกไปแล้ว
ผลที่ตามมาของการรุกของไวรัสประเภทนี้ทั้งหมด
ดังที่ได้กล่าวไปแล้วไวรัสส่วนใหญ่ของสิ่งนี้พิมพ์ เข้าสู่ระบบ ผ่านอีเมล สมมติว่าองค์กรขนาดใหญ่ได้รับจดหมายทางไปรษณีย์ลงทะเบียนที่มีเนื้อหาเช่น "เราเปลี่ยนสัญญา สแกนเอกสารแนบ" หรือ "ส่งใบแจ้งหนี้ถึงคุณสำหรับการจัดส่งสินค้า (มีสำเนา) ” โดยธรรมชาติแล้วพนักงานที่ไม่สงสัยจะเปิดไฟล์และ ...
ไฟล์ผู้ใช้ทั้งหมดในระดับสำนักงานเอกสาร มัลติมีเดีย โปรเจ็กต์ AutoCAD เฉพาะหรือข้อมูลที่เก็บถาวรอื่น ๆ จะถูกเข้ารหัสทันที และหากเครื่องคอมพิวเตอร์อยู่ในเครือข่ายท้องถิ่น ไวรัสจะถูกส่งต่อไปโดยเข้ารหัสข้อมูลบนเครื่องอื่น (สิ่งนี้จะสังเกตเห็นได้ทันทีเมื่อระบบทำงานช้าลงและ ค้างโปรแกรมหรือแอพพลิเคชั่นที่กำลังรันอยู่)
ในตอนท้ายของกระบวนการเข้ารหัส ตัวไวรัสเองเห็นได้ชัดว่ามันส่งชนิดของรายงานหลังจากนั้น บริษัท อาจได้รับข้อความว่าภัยคุกคามดังกล่าวและภัยคุกคามดังกล่าวได้เจาะระบบและมีเพียงองค์กรดังกล่าวเท่านั้นที่สามารถถอดรหัสได้ นี้มักจะเกี่ยวข้องกับไวรัส [email protected] ถัดมาคือข้อกำหนดในการชำระค่าบริการถอดรหัสพร้อมข้อเสนอในการส่งไฟล์หลายไฟล์ไปยังอีเมลของลูกค้า ซึ่งส่วนใหญ่มักจะเป็นเรื่องโกหก
อันตรายจากการเปิดเผยรหัส
หากใครยังไม่เข้าใจ:การถอดรหัสไฟล์หลังจากไวรัสเรียกค่าไถ่เป็นกระบวนการที่ค่อนข้างลำบาก แม้ว่าคุณจะไม่ได้ "นำ" ไปสู่ความต้องการของอาชญากรไซเบอร์และพยายามให้หน่วยงานของรัฐมีส่วนร่วมในการต่อสู้กับอาชญากรรมทางคอมพิวเตอร์และการป้องกัน โดยปกติแล้วจะไม่มีอะไรดีเกิดขึ้น
หากคุณลบไฟล์ทั้งหมด ให้กู้คืนระบบและแม้กระทั่งคัดลอกข้อมูลต้นฉบับจากสื่อที่ถอดออกได้ (แน่นอน หากมีสำเนาดังกล่าว) เหมือนเดิม เมื่อไวรัสถูกเปิดใช้งาน ทุกอย่างจะถูกเข้ารหัสอีกครั้ง ดังนั้นอย่ายกยอตัวเองโดยเฉพาะอย่างยิ่งเมื่อเสียบแฟลชไดรฟ์เดียวกันเข้ากับพอร์ต USB ผู้ใช้จะไม่สังเกตเห็นว่าไวรัสเข้ารหัสข้อมูลในนั้นอย่างไร แล้วคุณจะหมดปัญหากวนใจแน่นอน
ลูกคนหัวปีในครอบครัว
ทีนี้มาใส่ใจกันก่อนไวรัสแรนซัมแวร์ วิธีการรักษาและถอดรหัสไฟล์หลังจากเปิดเผยรหัสปฏิบัติการที่อยู่ในไฟล์แนบอีเมลพร้อมข้อเสนอการออกเดท ณ เวลาที่ปรากฏไม่มีใครคิด การตระหนักรู้ถึงขนาดของภัยพิบัตินั้นมาตามเวลาเท่านั้น
ไวรัสตัวนั้นชื่อโรแมนติกว่า "I Loveคุณ ". ผู้ใช้ที่ไม่สงสัยได้เปิดไฟล์แนบในข้อความอิเล็กทรอนิกส์และได้รับไฟล์มัลติมีเดียที่ไม่สามารถเล่นได้อย่างสมบูรณ์ (กราฟิก วิดีโอ และเสียง) อย่างไรก็ตาม การกระทำดังกล่าวดูเป็นอันตรายมากขึ้น (ทำให้เกิดอันตรายต่อไลบรารีสื่อของผู้ใช้) และไม่มีใครเรียกร้องเงินสำหรับสิ่งนี้
การปรับเปลี่ยนใหม่ล่าสุด
อย่างที่คุณเห็น วิวัฒนาการของเทคโนโลยีก็เพียงพอแล้วธุรกิจที่ทำกำไรได้ โดยเฉพาะอย่างยิ่งเมื่อคุณพิจารณาว่าผู้นำขององค์กรขนาดใหญ่จำนวนมากวิ่งไปจ่ายเงินเพื่อดำเนินการถอดรหัสลับโดยทันที โดยไม่ได้คิดถึงความจริงที่ว่าพวกเขาสามารถสูญเสียทั้งเงินและข้อมูลได้
อย่างไรก็ตาม อย่ามองที่ "ฝ่ายซ้าย" เหล่านี้ทั้งหมดโพสต์บนอินเทอร์เน็ตพวกเขาพูดว่า "ฉันจ่าย / จ่ายเงินตามจำนวนที่ต้องการแล้วพวกเขาส่งรหัสมาให้ฉันทุกอย่างถูกกู้คืน" ไร้สาระ! ทั้งหมดนี้เขียนขึ้นโดยผู้พัฒนาไวรัสเองเพื่อดึงดูดศักยภาพ ขอโทษ "พวกห่วยๆ" แต่ตามมาตรฐานของผู้ใช้ทั่วไป จำนวนเงินที่ชำระค่อนข้างจริงจัง: จากหลายร้อยถึงหลายพันหรือหลายหมื่นยูโรหรือดอลลาร์
ทีนี้มาดูไวรัสชนิดล่าสุดกันเช่นประเภทที่ได้รับการบันทึกค่อนข้างเร็ว ทั้งหมดมีความคล้ายคลึงกันและไม่เพียงอยู่ในหมวดหมู่ ransomware เท่านั้น แต่ยังรวมถึงกลุ่มของ ransomware ที่เรียกว่า ในบางกรณี พวกเขาดำเนินการอย่างถูกต้องมากขึ้น (เช่น paycrypt) เช่น ส่งข้อเสนอทางธุรกิจอย่างเป็นทางการหรือข้อความที่มีคนใส่ใจเกี่ยวกับความปลอดภัยของผู้ใช้หรือองค์กร ไวรัส ransomware ดังกล่าวทำให้ผู้ใช้เข้าใจผิดด้วยข้อความ ถ้าเขาดำเนินการแม้แต่น้อยเพื่อจ่ายทุกอย่าง - "การหย่าร้าง" จะเต็มจำนวน
ไวรัส XTBL
ไวรัส XTBL ที่ค่อนข้างล่าสุดสามารถเป็นของแรนซัมแวร์เวอร์ชันคลาสสิก โดยทั่วไป จะเข้าสู่ระบบผ่านข้อความอีเมลที่มีไฟล์แนบที่มีนามสกุล .scr ซึ่งเป็นโปรแกรมรักษาหน้าจอมาตรฐานของ Windows ระบบและผู้ใช้คิดว่าทุกอย่างเป็นไปตามลำดับและเปิดใช้งานการดูหรือบันทึกไฟล์แนบ
อนิจจาสิ่งนี้นำไปสู่ผลที่น่าเศร้า:ชื่อไฟล์จะถูกแปลงเป็นชุดของอักขระ และ .xtbl จะถูกเพิ่มเข้าไปในส่วนขยายหลัก หลังจากนั้นข้อความจะถูกส่งไปยังที่อยู่อีเมลที่ต้องการเกี่ยวกับความเป็นไปได้ในการถอดรหัสหลังจากชำระเงินตามจำนวนที่ระบุ (โดยปกติคือ 5 พันรูเบิล)
ไวรัสซีบีเอฟ
ไวรัสประเภทนี้ยังเป็นของคลาสสิกของประเภทอีกด้วยปรากฏบนระบบหลังจากเปิดไฟล์แนบอีเมล แล้วเปลี่ยนชื่อไฟล์ผู้ใช้ เพิ่มนามสกุล เช่น .nochance หรือ .perfect ในตอนท้าย
น่าเสียดายที่การถอดรหัสของไวรัสแรนซัมแวร์โค้ดประเภทนี้สำหรับวิเคราะห์เนื้อหาของโค้ดนั้นไม่สามารถทำได้แม้ในขั้นตอนของการปรากฏในระบบ เนื่องจากหลังจากดำเนินการเสร็จสิ้นแล้ว โค้ดดังกล่าวจะทำลายตัวเอง แม้แต่สิ่งที่หลายคนเชื่อว่าเป็นเครื่องมือสากลอย่าง RectorDecryptor ก็ไม่ได้ช่วยอะไร อีกครั้ง ผู้ใช้ได้รับจดหมายเรียกร้องการชำระเงิน ซึ่งจะได้รับสองวัน
Breaking_Bad ไวรัส
ภัยคุกคามประเภทนี้ทำงานในลักษณะเดียวกัน แต่เปลี่ยนชื่อไฟล์เป็นมาตรฐานโดยเพิ่ม .breaking_bad ให้กับส่วนขยาย
สถานการณ์ไม่ได้จำกัดอยู่แค่นี้ซึ่งแตกต่างจากไวรัสก่อนหน้านี้ ตัวนี้สามารถสร้างส่วนขยายอื่นได้ - .Heisenberg ดังนั้นจึงไม่สามารถค้นหาไฟล์ที่ติดไวรัสทั้งหมดได้เสมอไป ดังนั้น Breaking_Bad (ไวรัสแรนซัมแวร์) จึงเป็นภัยคุกคามที่ค่อนข้างร้ายแรง อนึ่ง มีหลายกรณีที่แม้แต่แพ็คเกจ Kaspersky Endpoint Security 10 ที่ได้รับอนุญาตยังยอมให้ภัยคุกคามประเภทนี้ผ่านไปได้
[email protected] ไวรัส
นี่เป็นอีกหนึ่งภัยคุกคามที่ร้ายแรงที่สุดซึ่งมุ่งเป้าไปที่องค์กรการค้าขนาดใหญ่เป็นส่วนใหญ่ ตามกฎแล้ว จดหมายมาถึงบางแผนก ซึ่งดูเหมือนว่าจะมีการเปลี่ยนแปลงข้อตกลงการจัดหา หรือแม้แต่ใบแจ้งหนี้ ไฟล์แนบสามารถมีไฟล์ .jpg ปกติ (เช่น รูปภาพ) แต่มักเป็นสคริปต์ .js ที่เรียกใช้งานได้ (Java applet)
จะถอดรหัสไวรัส ransomware ประเภทนี้ได้อย่างไร?ตัดสินโดยข้อเท็จจริงที่ว่ามีการใช้อัลกอริธึม RSA-1024 ที่ไม่รู้จักที่นั่นไม่มีทาง ตามชื่อของมัน มันเป็นระบบเข้ารหัส 1024 บิต แต่ถ้าใครจำได้ วันนี้ 256-bit AES ถือว่าล้ำหน้าที่สุด
ไวรัสเข้ารหัส: วิธีฆ่าเชื้อและถอดรหัสไฟล์โดยใช้ซอฟต์แวร์ป้องกันไวรัส
จนถึงปัจจุบันเพื่อถอดรหัสภัยคุกคามดังกล่าวยังไม่พบประเภทโซลูชัน แม้แต่ผู้เชี่ยวชาญในสาขาการป้องกันไวรัสอย่าง Kaspersky, Dr. เว็บและ Eset ไม่พบกุญแจสำคัญในการแก้ไขปัญหาเมื่อไวรัส ransomware สืบทอดมาในระบบ ฉันจะฆ่าเชื้อไฟล์ได้อย่างไร ในกรณีส่วนใหญ่จะเสนอให้ส่งคำขอไปยังเว็บไซต์ทางการของผู้พัฒนาโปรแกรมป้องกันไวรัส (โดยวิธีการเฉพาะในกรณีที่ระบบมีซอฟต์แวร์ลิขสิทธิ์ของนักพัฒนาซอฟต์แวร์รายนี้)
ในกรณีนี้ คุณต้องแนบการเข้ารหัสหลายตัวไฟล์ รวมถึงต้นฉบับที่ "ดี" หากมี โดยทั่วไปแล้ว มีคนเพียงไม่กี่คนที่บันทึกสำเนาข้อมูล ดังนั้นปัญหาการขาดงานของพวกเขาจึงยิ่งทำให้สถานการณ์ที่ไม่พึงประสงค์แล้วรุนแรงขึ้นเท่านั้น
วิธีที่เป็นไปได้ในการระบุและกำจัดภัยคุกคามด้วยตนเอง
ใช่ การสแกนด้วยโปรแกรมป้องกันไวรัสทั่วไปจะตรวจจับภัยคุกคามและลบออกจากระบบ แต่แล้วข้อมูลล่ะ?
บ้างก็ลองใช้โปรแกรมถอดรหัสเช่นยูทิลิตี้ RectorDecryptor ที่กล่าวถึงแล้ว (RakhniDecryptor) รับทราบทันที: สิ่งนี้จะไม่ช่วย และในกรณีของไวรัส Breaking_Bad มันสามารถทำร้ายได้เท่านั้น และนั่นเป็นเหตุผล
ความจริงก็คือคนที่สร้างไวรัสดังกล่าวพยายามปกป้องตนเองและให้คำแนะนำแก่ผู้อื่น เมื่อใช้ยูทิลิตี้ถอดรหัส ไวรัสสามารถโต้ตอบในลักษณะที่ทั้งระบบจะ "หลุด" และด้วยการทำลายข้อมูลทั้งหมดที่จัดเก็บไว้ในฮาร์ดไดรฟ์หรือโลจิคัลพาร์ติชันอย่างสมบูรณ์ นี่เป็นบทเรียนที่บ่งบอกถึงการสั่งสอนทุกคนที่ไม่ต้องการจ่าย เราสามารถพึ่งพาห้องปฏิบัติการป้องกันไวรัสอย่างเป็นทางการเท่านั้น
วิธีพระคาร์ดินัล
แต่ถ้าเรื่องแย่จริงๆ ก็ต้องข้อมูลที่จะบริจาค ในการกำจัดภัยคุกคามอย่างสมบูรณ์ คุณต้องฟอร์แมตฮาร์ดไดรฟ์ทั้งหมด รวมถึงพาร์ติชั่นเสมือน แล้วติดตั้ง "ระบบปฏิบัติการ" ใหม่
น่าเสียดายที่ไม่มีทางออกอื่น แม้แต่การย้อนกลับระบบไปยังจุดคืนค่าที่บันทึกไว้ก็ไม่สามารถช่วยได้ ไวรัสอาจหายไป แต่ไฟล์จะยังคงเข้ารหัสอยู่
แทนที่จะเป็น afterword
โดยสรุปควรสังเกตว่าสถานการณ์ดังต่อไปนี้:ไวรัส ransomware แทรกซึมระบบ ทำการกระทำที่สกปรก และไม่สามารถรักษาให้หายขาดได้ด้วยวิธีการใดๆ ที่รู้จัก การป้องกันไวรัสไม่พร้อมสำหรับภัยคุกคามประเภทนี้ มันไปโดยไม่บอกว่าคุณสามารถตรวจพบไวรัสหลังจากสัมผัสหรือลบออก แต่ข้อมูลที่เข้ารหัสจะไม่น่าดู ดังนั้นใครๆ ก็อยากจะหวังว่าบริษัทซอฟต์แวร์แอนตี้ไวรัสที่ดีที่สุดจะยังพบวิธีแก้ปัญหา แม้ว่าการตัดสินโดยอัลกอริธึมการเข้ารหัสจะเป็นเรื่องยากมากที่จะทำ ยกตัวอย่างเช่น จำได้ว่าเครื่องเข้ารหัสอินิกมา ซึ่งกองทัพเรือเยอรมันมีในช่วงสงครามโลกครั้งที่สอง นักเข้ารหัสที่ดีที่สุดไม่สามารถแก้ปัญหาของอัลกอริทึมในการถอดรหัสข้อความได้จนกว่าพวกเขาจะได้อุปกรณ์ นี่เป็นกรณีที่นี่เช่นกัน
