Лаборатория на Касперски на рансъмуера WannaCry

Специалистите от „Лаборатория Касперски“ анализираха информацията за инфекциите от рансъмуера, наречен „WannaCry“, с която компаниите по света се сблъскаха на 12 май

Специалистите на „Лаборатория Касперски“ анализираха информацията за инфекциите от рансъмуера, наречен „WannaCry“, с която компаниите по света се сблъскаха на 12 май. Анализът показа, че атаката е станала чрез добре известната мрежова уязвимост на Microsoft бюлетин за сигурност MS17-010. След това на заразената система беше инсталиран руткит, с помощта на който киберпрестъпниците стартираха програмата за криптиране.

Всички решения на Kaspersky Lab откриват този злонамерен софтуер, използван в тази атака, със следните присъди:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (компонентът System Monitor трябва да е активиран за откриване на този злонамерен софтуер)

За декриптиране на данните, нападателите изискват да платят откуп от $ 600 в криптовалутата Bitcoin. Към днешна дата Лаборатория Касперски е записала около 45 000 опита за атаки в 74 държави по света. Най -голям брой опити за заразяване се наблюдава в Русия.

Ако вашите файлове са криптирани, е категорично невъзможно да използвате инструментите за декриптиране, предлагани в Интернет или получени по имейл. Файловете са криптирани с криптографски силен алгоритъм и не могат да бъдат декриптирани, а помощните програми, които изтегляте, могат да причинят още повече вреда както на вашия компютър, така и на компютрите в цялата организация, тъй като те са потенциално злонамерени и са насочени към нова вълна от епидемията.

Ако установите, че компютърът ви е заразен, трябва да го изключите и да се свържете с отдела информационна сигурностза допълнителни инструкции.

• Инсталирайофициален пластир отMicrosoft , което затваря уязвимостта, използвана при атаката (по -специално актуализациите вече са налични за версииWindowsXPиWindows2003);
• Уверете се, че решенията за сигурност са активирани на всички мрежови възли;
• Ако използвате решение за сигурност на Kaspersky Lab, уверете се, че неговата версия включва компонента System Monitor и че е активирано;
• Изпълнете задача за сканиране за критични области в решение за сигурност на Kaspersky Lab, за да откриете възможна инфекциявъзможно най -рано (в противен случай откриването ще се извърши автоматично в рамките на 24 часа);
• След като откриете Trojan.Win64.EquationDrug.gen, рестартирайте системата;
• В бъдеще, за да предотвратите подобни инциденти, използвайте информационни услуги за заплахи, за да получавате навременни данни за най -опасните целеви атаки и възможни инфекции.

За повече информация относно атаките на WannaCry вижте доклада на Лаборатория Касперски

В продължение на десетилетия киберпрестъпниците успешно експлоатират недостатъци и уязвимости в Световната мрежа... Въпреки това през последните години се наблюдава ясно увеличаване на броя на атаките, както и увеличаване на техния процент - нападателите стават все по -опасни и зловредният софтуер се разпространява с невиждана досега скорост.

Въведение

Говорим за ransomware, който направи невероятен скок през 2017 г., причинявайки щети на хиляди организации по целия свят. Например в Австралия атаките срещу ransomware като WannaCry и NotPetya дори предизвикаха притеснения на правителството.

За да обобщим „успехите“ на ransomware тази година, ще разгледаме 10 -те най -опасни и най -вредни организации. Надяваме се догодина да научим уроци и да предотвратим проникването на този вид проблеми в нашите мрежи.

Не Петя

Атаката срещу ransomware започна с украинския счетоводен софтуер M.E.Doc, който замени забранения в Украйна 1С. Само за няколко дни NotPetya зарази стотици хиляди компютри в над 100 страни. Този злонамерен софтуер е вариант на по -стария ransomware на Petya, с изключение на това, че атаките NotPetya използват същия експлойт като атаките на WannaCry.

С разпространението си NotPetya засегна няколко организации в Австралия, като шоколадовата фабрика Cadbury в Тасмания, която трябваше временно да затвори цялата си ИТ система. Рансъмуерът също успя да проникне в най -големия контейнерен кораб в света, собственост на Maersk, който според съобщенията загуби до 300 милиона долара приходи.

WannaCry

Този откупващ софтуер, ужасен по мащаб, на практика завладя целия свят. Неговите атаки използваха скандалната експлоатация на EternalBlue, използвайки уязвимост в протокола на Microsoft Server Message Block (SMB).

WannaCry заразени жертви в 150 страни и над 200 000 машини само през първия ден. Публикувахме този сензационен зловреден софтуер.

Локи

Locky беше най -популярният ransomware през 2016 г., но не спря да работи през 2017 г. Нови варианти на Locky, наречени Diablo и Lukitus, се появиха тази година, използвайки същия вектор на атака (фишинг) за насочване към експлойти.

Локи стоеше зад скандала с имейлите на Australian Post. Според Австралийската комисия за конкуренция и защита на потребителите, гражданите са загубили повече от 80 000 долара поради тази измама.

Криза

Този екземпляр се отличава с майсторското си използване на протокола за отдалечен работен плот ( Отдалечен работен плотПротокол, RDP). RDP е един от най -популярните методи за разпространение на ransomware, тъй като по този начин киберпрестъпниците могат да компрометират машини, които контролират цели организации.

Жертвите на CrySis бяха принудени да платят между 455 и 1022 долара, за да възстановят файловете си.

Немукод

Nemucod се разпространява с помощта на фишинг имейл, който прилича на фактура за доставка. Този ransomware изтегля злонамерени файлове, съхранявани на компрометирани уебсайтове.

По отношение на фишинг имейлите Nemucod е на второ място след Локи.

Джаф

Джаф е подобен на Локи и използва подобни техники. Този ransomware не е забележителен с оригиналните си методи за разпространение или криптиране на файлове; напротив, той съчетава най -успешните практики.

Нападателите зад него поискаха до 3 700 долара за достъп до криптирани файлове.

Spora

За да разпространяват този вид ransomware, киберпрестъпниците хакват законни сайтове, като им добавят JavaScript код. Потребителите, посещаващи такъв сайт, ще получат изскачащо предупреждение, което ги подканва да актуализират Браузър Chromeза да продължите да разглеждате сайта. След като изтеглиха така наречения Chrome Font Pack, потребителите се заразяваха със Spora.

Цербер

Един от многото вектори на атаки, които Cerber използва, се нарича RaaS (Ransomware-as-a-Service). Според тази схема киберпрестъпниците предлагат да платят за разпространението на троянския кон, като обещават процент от парите, получени за това. Тази „услуга“ позволява на киберпрестъпниците да изпращат рансъмуера и след това да предоставят на други нападатели инструменти за разпространение.

Cryptomix

Това е един от малкото рансъмуер, който няма наличен конкретен тип портал за плащания в тъмната мрежа. Засегнатите потребители трябва да изчакат киберпрестъпниците да им изпратят инструкции по имейл.

Жертвите на Cryptomix бяха потребители от 29 държави, те бяха принудени да платят до 3000 долара.

Мозайката

Друг зловреден софтуер от списъка, който започна своята дейност през 2016 г. Jigsaw вмъква изображение на клоун от поредицата филми Saw в спам имейли. Веднага щом потребителят кликне върху изображението, рансъмуерът не само криптира, но и изтрива файловете, в случай че на потребителя отнеме твърде много време да плати откупа, чийто размер е 150 долара.

изводи

Както виждаме, съвременните заплахи използват все по-сложни подвизи срещу добре защитени мрежи. Докато повишената информираност на служителите помага за справяне с въздействието на инфекциите, предприятията трябва да надхвърлят основните стандарти за киберсигурност, за да се защитят. Защитата срещу днешните заплахи изисква проактивни подходи, които използват възможности за анализ в реално време, базирани на обучаващ механизъм, който включва разбиране на поведението и контекста на заплахите.

Това е злонамерена програма, която при активиране криптира всички лични файлове, като документи, снимки и др. Количество подобни програмие много голям и се увеличава всеки ден. Едва наскоро срещнахме десетки опции за криптиране: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff и т.н. Целта на такива вируси за ransomware е да принуди потребителите да купуват, често за голяма сума пари, програмата и ключа, необходими за декриптиране собствени файлове.

Разбира се, можете да възстановите криптирани файлове, просто като следвате инструкциите, които създателите на вируса оставят на заразения компютър. Но най -често цената на декриптирането е много значителна, също така трябва да знаете, че някои вируси от ransomware криптират файлове по такъв начин, че е просто невъзможно да ги дешифрирате по -късно. И разбира се, просто е разочароващо да плащате, за да възстановите собствените си файлове.

По -долу ще ви разкажем по -подробно за вирусите от ransomware, как те проникват в компютъра на жертвата, както и как да премахнете вируса ransomware и да възстановите файлове, криптирани от него.

Как вирусът на ransomware прониква в компютъра

Вирусът на ransomware обикновено се разпространява електронна поща... Писмото съдържа заразени документи. Тези имейли се изпращат до огромна база данни с имейл адреси. Авторите на този вирус използват подвеждащи заглавки и съдържание на букви в опит да измамят потребителя да отвори документа, приложен към писмото. Някои писма информират за необходимостта от плащане на сметката, други предлагат да видят свежа ценова листа, трети да отворят забавна снимка и т.н. Във всеки случай резултатът от отварянето на прикачения файл ще бъде заразяването на компютъра с вирус за криптиране.

Какво е вирус от ransomware

Вирусът на ransomware е злонамерена програма, която заразява съвременни версии на операционни системи Windows, като Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Тези вируси се опитват да използват възможно най-силните режими на криптиране, например RSA-2048 с дължина на ключа от 2048 бита, което на практика изключва възможността за избор на ключ за самостоятелно декриптиране на файлове.

Докато заразява компютър, вирусът на ransomware използва системната директория% APPDATA%, за да съхранява собствените си файлове. За да се стартира автоматично, когато компютърът е включен, ransomware създава запис в Регистър на Windows: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Веднага след стартирането вирусът сканира всички налични устройства, включително мрежово и облачно хранилище, за да определи кои файлове ще бъдат криптирани. Вирусът ransomware използва разширението на името на файла като начин за определяне на групата файлове, които да бъдат шифровани. Почти всички видове файлове са криптирани, включително такива често срещани като:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos ,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa ,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, портфейл, .wotreplay, .xxx, .desc, .py, .m3u, .flv ,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm ,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb ,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Веднага след като файлът е криптиран, той получава ново разширение, което често може да се използва за идентифициране на името или типа на ransomware. Някои видове от тези злонамерени програми също могат да променят имената на шифрованите файлове. След това вирусът създава текстов документ с имена като HELP_YOUR_FILES, README, който съдържа инструкции за декриптиране на криптирани файлове.

По време на работата си вирусът на ransomware се опитва да затвори възможността за възстановяване на файлове с помощта на системата SVC (сенчести копия на файлове). За да направите това, вирусът в командния режим извиква помощната програма за администриране на сенчести копия на файлове с ключ, който стартира тяхната процедура. пълно отстраняване... По този начин е почти винаги невъзможно да се възстановят файлове, като се използват техните сенчести копия.

Вирусът на ransomware активно използва тактики за сплашване, като дава на жертвата връзка към описание на алгоритъма за криптиране и показва заплашително съобщение на работния плот. По този начин той се опитва да принуди потребителя на заразения компютър, без колебание, да изпрати идентификатора на компютъра на имейл адреса на автора на вируса, за да се опита да си върне файловете. Отговорът на такова съобщение най-често е сумата на откупа и адреса на електронния портфейл.

Компютърът ми заразен ли е с вируса на ransomware?

Доста лесно е да се определи дали компютър е заразен или не с вируса на ransomware. Обърнете внимание на разширенията на вашите лични файлове като документи, снимки, музика и т. Ако разширението се е променило или личните ви файлове са изчезнали, оставяйки след себе си много файлове с неизвестни имена, тогава компютърът е заразен. В допълнение, признак на инфекция е наличието на файл с име HELP_YOUR_FILES или README във вашите директории. Този файл ще съдържа инструкции за декриптиране на файлове.

Ако подозирате, че сте отворили съобщение, заразено с вирус от ransomware, но все още няма симптоми на инфекция, не изключвайте и не рестартирайте компютъра. Следвайте стъпките, описани в тази инструкция, раздел. Още веднъж е много важно да не изключвате компютъра, при някои видове шифроване ransomware процесът на криптиране на файлове се активира, когато компютърът е включен за първи път след заразяване!

Как да дешифрирам файлове, криптирани от ransomware вирус?

Ако това нещастие се е случило, тогава няма нужда да се паникьосвате! Но трябва да знаете, че в повечето случаи няма безплатен декриптор. Това се дължи на силните алгоритми за криптиране, използвани от такива злонамерени програми. Това означава, че е почти невъзможно дешифрирането на файлове без частен ключ. Използването на метода за избор на ключ също не е опция поради голямата дължина на ключа. Следователно, за съжаление, само плащането на авторите на вируса за цялата поискана сума е единственият начин да се опитате да получите ключа за декриптиране.

Разбира се, няма абсолютно никаква гаранция, че след плащането авторите на вируса ще се свържат и ще предоставят ключа, необходим за декриптиране на вашите файлове. Освен това трябва да разберете, че като плащате пари на разработчиците на вируси, вие сами ги принуждавате да създават нови вируси.

Как да премахнете ransomware вирус?

Преди да продължите с това, трябва да знаете, че като започнете да премахвате вируса и се опитвате да възстановите файлове самостоятелно, блокирате възможността за декриптиране на файлове, като плащате на авторите на вируса сумата, която са поискали.

Касперски Премахване на вирусиИнструмент и Malwarebytes Анти-злонамерен софтуер може да открие различни видовеактивни вируси от ransomware и лесно да ги премахнете от компютъра си, НО те не могат да възстановят криптирани файлове.

5.1. Премахнете вируса на ransomware с помощта на Kaspersky Virus Removal Tool

По подразбиране програмата е конфигурирана да възстановява всички видове файлове, но за да се ускори работата, се препоръчва да оставите само типовете файлове, които трябва да възстановите. След като завършите избора, щракнете върху бутона OK.

В долната част на прозореца QPhotoRec намерете бутона Преглед и щракнете върху него. Трябва да изберете директорията, където ще бъдат записани възстановените файлове. Препоръчително е да използвате устройство, което не съдържа криптирани файлове, изискващи възстановяване (можете да използвате USB флаш устройство или външно устройство).

За да стартирате процедурата за търсене и възстановяване на оригиналните копия на криптирани файлове, щракнете върху бутона Търсене. Този процес отнема много време, така че бъдете търпеливи.

Когато търсенето приключи, щракнете върху бутона Quit. Сега отворете папката, която сте избрали, за да запазите възстановените файлове.

Папката ще съдържа директории с имената recup_dir.1, recup_dir.2, recup_dir.3 и т.н. Колкото повече файлове намира програмата, толкова повече директории ще има. За да намерите необходимите файлове, проверете последователно всички директории. За да улесните намирането на необходимия файл сред големия брой възстановени файлове, използвайте вградената система Търсене в Windows(по съдържание на файла), а също така не забравяйте за функцията за сортиране на файлове в директории. Можете да изберете датата на промяна на файла като опция за сортиране, защото QPhotoRec се опитва да възстанови това свойство при възстановяване на файла.

Как да предотвратим заразяването на компютърен ransomware?

Повечето съвременни антивирусни програми вече имат вградена система за защита срещу проникване и активиране на вируси от ransomware. Ето защо, ако компютърът ви няма антивирусна програма, не забравяйте да го инсталирате. Можете да разберете как да го изберете, като прочетете това.

Освен това има специализирани програми за сигурност. Например това е CryptoPrevent, повече подробности.

Няколко последни думи

Следвайки тази инструкция, вашият компютър ще бъде почистен от вируса на ransomware. Ако имате въпроси или имате нужда от помощ, моля свържете се с нас.

Съвременни технологиипозволяват на хакерите непрекъснато да подобряват начина, по който мамят обикновените потребители. Като правило за тези цели се използва вирусен софтуер, който прониква в компютъра. Вирусите на Ransomware се считат за особено опасни. Заплахата се крие във факта, че вирусът се разпространява много бързо, криптирайки файлове (потребителят просто не може да отвори нито един документ). И ако е съвсем просто, тогава е много по -трудно да се дешифрират данните.

Какво да направите, ако вирусът е шифровал файлове на вашия компютър

Всеки може да бъде атакуван от ransomware, дори потребителите, които имат мощен антивирусен софтуер, не са застраховани. Троянски файлове за шифроване на файлове са представени с различни кодове, които може да са извън възможностите на антивирус. Хакерите дори успяват да атакуват по този начин големи компании, които не са се погрижили за необходимата защита на тяхната информация. Така че, след като „взехме“ програмата за ransomware онлайн, е необходимо да се предприемат редица мерки.

Основните признаци на инфекция са бавното представяне на компютъра и промяната на имената на документите (можете да го видите на работния плот).

1. Рестартирайте компютъра, за да прекъснете шифроването. Когато е активирано, не потвърждавайте стартирането на неизвестни програми.
2. Пуснете вашия антивирус, ако не е бил атакуван от ransomware.
3. В някои случаи копията в сянка ще ви помогнат да възстановите информацията. За да ги намерите, отворете „Свойства“ на шифрования документ. Този метод работи с криптирани данни от разширението Vault, за което има информация на портала.
4. Изтеглете помощната програма последна версияза борба с вирусите на ransomware. Най -ефективните от тях се предлагат от Лаборатория Касперски.

Вируси от рансъмуер през 2016 г.: примери

Когато се борите с всяка вирусна атака, е важно да разберете, че кодът се променя много често, допълнен с нова антивирусна защита. Разбира се, програмите за защита се нуждаят от известно време, докато разработчикът актуализира базите данни. Избрахме най -опасните вируси от ransomware за последно време.

Ishtar Ransomware

Ishtar е софтуер за откуп, който изнудва пари от потребителя. Вирусът е забелязан през есента на 2016 г., заразявайки огромен брой компютри на потребители от Русия и няколко други страни. Той се разпространява чрез разпространение по имейл с прикачени документи (инсталатори, документи и т.н.). Данните, заразени с ransomware Ishtar, получават префикс „ISHTAR“ в името си. В процеса се създава тестов документ, който посочва къде да отидете, за да получите парола. Нападателите изискват от 3000 до 15000 рубли за него.

Опасността от вируса Ishtar е, че днес няма декриптор, който да помогне на потребителите. Компаниите за антивирусен софтуер отнемат време, за да дешифрират целия код. Сега можете само да изолирате важна информация (ако те са от особено значение) на отделен носител, в очакване на пускането на помощна програма, която може да декриптира документи. Препоръчва се за преинсталиране операционна система.

Neitrino

Rantomware Neitrino се появи в интернет през 2015 г. По принципа на атака той е подобен на други вируси от подобна категория. Променя имената на папки и файлове, като добавя „Neitrino“ или „Neutrino“. Вирусът е труден за декриптиране - не всички представители на антивирусни компании предприемат това, позовавайки се на много сложен код. Някои потребители може да намерят за полезно да възстановят сенчесто копие. За да направите това, щракнете с десния бутон върху шифрования документ, отидете на Свойства, раздела Предишни версии, щракнете върху Възстановяване. Няма да е излишно да използвате и безплатна помощна програмаот Лаборатория Касперски.

Портфейл или. Портфейл.

Вирусът за откуп на Wallet се появи в края на 2016 г. В процеса на заразяване променя името на данните на „Име..портфейл“ или нещо подобно. Подобно на повечето вируси от ransomware, той влиза в системата чрез прикачени файлове към имейл, изпратени от киберпрестъпници. Тъй като заплахата се появи съвсем наскоро, антивирусните програми не я забелязват. След криптиране той създава документ, в който измамникът посочва пощата за комуникация. Понастоящем разработчиците на антивирусен софтуер работят по дешифриране на кода на рансъмуера [защитен имейл]Атакуваните потребители могат само да чакат. Ако данните са важни, се препоръчва да ги запишете на външно устройство, като почистите системата.

Енигма

Вирусът на ransomware Enigma започна да заразява компютрите на руски потребители в края на април 2016 г. Използваният модел на криптиране е AES-RSA, който се среща в повечето вируси на ransomware днес. Вирусът влиза в компютъра с помощта на скрипт, който самият потребител стартира, като отваря файлове от подозрителен имейл. Все още няма универсален инструмент за борба с рансъмуера Enigma. Потребителите с антивирусен лиценз могат да поискат помощ на официалния уебсайт на разработчика. Открита е и малка „вратичка“ - Windows UAC. Ако потребителят кликне върху „Не“ в прозореца, който се появява по време на вирусната инфекция, той ще може впоследствие да възстанови информация с помощта на сенчести копия.

Гранит

Новият вирус от ransomware Granit се появи в мрежата през есента на 2016 г. Заразяването става по следния сценарий: потребителят стартира инсталатора, който заразява и криптира всички данни на компютъра, както и на свързани устройства. Борбата с вируса е трудна. За премахване можете да използвате специални комунални услугиот Kaspersky, но кодът все още не е декриптиран. Може би възстановяването на предишни версии на данни ще помогне. Освен това специалист с богат опит може да дешифрира, но услугата е скъпа.

Тайсън

Забелязан е наскоро. Това е продължение на вече добре познатия ransomware no_more_ransom, за който можете да разберете на нашия уебсайт. Той достига до персонални компютри от електронна поща. Много корпоративни компютри бяха атакувани. Вирусът създава текстов документ с инструкции за отключване, предлагащ да плати откуп. Наскоро се появи рансъмуерният софтуер Tyson, така че все още няма ключ за отключването му. Единственият начин да възстановите информацията е да я върнете предишни версииако не са премахнати от вирус. Разбира се, можете да поемете риска, като преведете пари по сметката, посочена от киберпрестъпниците, но няма гаранция, че ще получите парола.

Spora

В началото на 2017 г. редица потребители станаха жертва на новия спонсор на Spora. Според принципа на работа, той не се различава много от своите колеги, но може да се похвали с по -професионално представяне: инструкциите за получаване на парола са по -добре съставени, уебсайтът изглежда по -красив. Създаден е вирус за рансъмуер на Spora в C, използващ комбинация от RSA и AES за криптиране на данните на жертвата. Като правило бяха атакувани компютри, на които активно се използва счетоводен софтуер 1С. Вирусът, криейки се под прикритието на проста .pdf фактура, кара служителите на компанията да го стартират. Все още не е намерен лек.

1C.Drop.1

Този ransomware вирус за 1С се появи през лятото на 2016 г., нарушавайки работата на много счетоводни отдели. Проектиран специално за компютри, които използват софтуер 1С. Преминавайки през файл в имейл на компютър, той кани собственика да актуализира програмата. Който и бутон да натисне потребителят, вирусът ще започне да шифрова файлове. Специалистите на Dr.Web работят по инструменти за декриптиране, но все още не са намерени решения. Това се дължи на сложния код, който може да бъде в няколко модификации. Защитата срещу 1C.Drop.1 е само бдителността на потребителите и редовното архивиране на важни документи.

da_vinci_code

Нов ransomware с необичайно име. Вирусът се появи през пролетта на 2016 г. Той се различава от предшествениците си с подобрен код и силен режим на криптиране. da_vinci_code заразява компютър благодарение на изпълнително приложение (обикновено прикачено към електронна поща), който потребителят стартира сам. Кодът da vinci копира тялото в системната директория и системния регистър, като гарантира автоматично стартиране, когато включване на Windows... На компютъра на всяка жертва е присвоен уникален идентификатор (помага за получаване на парола). Дешифрирането на данните е почти невъзможно. Можете да плащате пари на киберпрестъпници, но никой не гарантира, че ще получите парола.

[защитен имейл] / [защитен имейл]

Два имейл адреса, които често са били свързани с вируси от ransomware през 2016 г. Те са тези, които служат за свързване на жертвата с нападателя. Прикачени бяха адреси за всякакви вируси: da_vinci_code, no_more_ransom и т.н. Не се препоръчва да се свързвате и да превеждате пари на измамници. В повечето случаи потребителите остават без пароли. По този начин показва, че рансъмуерът на киберпрестъпниците работи за генериране на доход.

В обувките на Сатаната

Той се появи в началото на 2015 г., но се разпространи активно само година по -късно. Принципът на заразяване е идентичен с други ransomware: инсталиране на файл от имейл, криптиране на данни. Редовните антивируси обикновено не забелязват вируса Breaking Bad. Някои кодове не могат да заобиколят UAC на Windows, така че потребителят има възможност да възстанови предишните версии на документи. Нито една компания за антивирусен софтуер все още не е предоставила декодер.

XTBL

Много често срещан ransomware, който е причинил проблеми на много потребители. Веднъж на компютър, вирусът променя файловото разширение на .xtbl за няколко минути. Създава се документ, в който нападателят изнудва пари в брой... Някои варианти на вируса XTBL не могат да унищожат файловете за възстановяване на системата, което позволява връщане на важни документи. Самият вирус може да бъде премахнат от много програми, но е много трудно да се дешифрират документи. Ако сте собственик на лицензиран антивирус, използвайте техническа поддръжка, като прикачите мостри от заразени данни.

Кукарача

Ransomware "Cucaracha" е забелязан през декември 2016 г. Вирус с интересно име крие потребителски файлове, използвайки алгоритъма RSA-2048, който е много устойчив. Антивирус на Касперскиопредели го като Trojan-Ransom.Win32.Scatter.lb. Kukaracha може да бъде премахнат от компютъра ви, така че други документи да не бъдат заразени. Заразените днес обаче са почти невъзможни за декриптиране (много мощен алгоритъм).

Как работи вируса на ransomware

Има огромен брой шифроващ рансъмуер, но всички те работят на подобен принцип.

1. Свържете се с персонален компютър. Обикновено, благодарение на прикачен файл към имейл. Инсталацията се инициира от самия потребител чрез отваряне на документа.
2. Файлова инфекция. Почти всички типове файлове са криптирани (в зависимост от вируса). Създава се текстов документ, който съдържа контакти за комуникация с нападателите.
3. Всичко. Потребителят няма достъп до никакъв документ.

Контролни средства от популярни лаборатории

Широкото използване на ransomware, които са признати за най -опасните заплахи за потребителските данни, се превърна в тласък за много антивирусни лаборатории. Всяка популярна компания предоставя на своите потребители програми, които им помагат в борбата срещу рансъмуера. Освен това много от тях помагат при дешифрирането на документи, като защитават системата.

Вируси на Kaspersky и ransomware

Една от най -известните антивирусни лаборатории в Русия и света днес предлага най -ефективните средства за борба с вирусите на ransomware. Първото препятствие за вируса на ransomware ще бъде Kaspersky EndpointЗащита 10 с най -новите актуализации. Антивирусът просто няма да пусне заплахата върху компютъра (въпреки че новите версии може да не успеят да я спрат). За декриптиране на информация разработчикът представя няколко безплатни помощни програми едновременно: XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Те помагат да се намери вируса и да се познае паролата.

Д -р Мрежа и софтуер за изкупуване

Тази лаборатория препоръчва използването на тяхната антивирусна програма, чиято основна характеристика е архивирането на файлове. Съхранението с копия на документи също е защитено от неоторизиран достъп от нарушители. Собствениците на лицензирания продукт Dr. Web, има функция да поиска помощ техническа поддръжка... Вярно е, че дори опитни специалисти не винаги са в състояние да устоят на този вид заплахи.

ESET Nod 32 и ransomware

Тази компания също не остана настрана, осигурявайки на своите потребители добра защита срещу вируси, проникващи в компютъра. Освен това лабораторията наскоро пусна безплатна помощна програма с актуални бази данни-Eset Crysis Decryptor. Разработчиците твърдят, че това ще помогне в борбата дори с най -новия ransomware.