Kaspersky Lab na ransomwaru WannaCry

Specialisté společnosti Kaspersky Lab analyzovali informace o infekcích ransomware zvaným „WannaCry“, se kterým se společnosti po celém světě setkaly 12.

Specialisté společnosti Kaspersky Lab analyzovali informace o infekcích ransomwarem zvaným „WannaCry“, se kterým se společnosti po celém světě setkaly 12. Analýza ukázala, že k útoku došlo prostřednictvím známé síťové zranitelnosti Microsoft Security Bulletin MS17-010. Poté byl na infikovaný systém nainstalován rootkit, pomocí kterého kyberzločinci spustili šifrovací program.

Všechna řešení společnosti Kaspersky Lab detekují tento malware použitý při tomto útoku s následujícími verdikty:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (pro detekci tohoto malwaru musí být povolena součást System Monitor)

K dešifrování dat útočníci požadují zaplacení výkupného ve výši 600 $ v kryptoměně bitcoin. K dnešnímu dni společnost Kaspersky Lab zaznamenala asi 45 000 pokusů o útok v 74 zemích světa. Největší počet pokusů o infekci je pozorován v Rusku.

Pokud jsou vaše soubory šifrované, je kategoricky nemožné použít dešifrovací nástroje nabízené na internetu nebo přijaté v e-mailech. Soubory jsou šifrovány kryptograficky silným algoritmem a nelze je dešifrovat a nástroje, které si stáhnete, mohou ještě více poškodit váš počítač i počítače v celé organizaci, protože jsou potenciálně škodlivé a jsou zaměřeny na novou vlnu epidemie.

Pokud zjistíte, že byl váš počítač infikován, měli byste jej vypnout a kontaktovat oddělení informační bezpečnost pro další pokyny.

• Nainstalujteoficiální patch odMicrosoft , který uzavírá zranitelnost použitou při útoku (zejména aktualizace jsou již k dispozici pro verzeOknaXPaOkna2003);
• Ujistěte se, že jsou bezpečnostní řešení povolena na všech uzlech sítě;
• Pokud používáte bezpečnostní řešení Kaspersky Lab, ujistěte se, že jeho verze obsahuje komponentu Monitor systému a že je povolena;
• Spusťte úlohu kontroly kritických oblastí v bezpečnostním řešení Kaspersky Lab, které chcete zjistit možná infekce co nejdříve (v opačném případě dojde k detekci automaticky do 24 hodin);
• Po zjištění Trojan.Win64.EquationDrug.gen restartujte systém;
• Chcete-li v budoucnu takovým incidentům předejít, používejte informační služby o hrozbách, abyste získali včasné údaje o nejnebezpečnějších cílených útocích a možných infekcích.

Další informace o útocích WannaCry naleznete ve zprávě společnosti Kaspersky Lab

Po celá desetiletí kyberzločinci úspěšně zneužívali nedostatky a zranitelnosti Celosvětový web... V posledních letech však došlo k jasnému nárůstu počtu útoků a také ke zvýšení jejich rychlosti – útočníci jsou stále nebezpečnější a malware se šíří rychlostí, která dosud nebyla.

Úvod

Mluvíme o ransomwaru, který v roce 2017 udělal neuvěřitelný skok a způsobil škody tisícům organizací po celém světě. Například v Austrálii vyvolaly útoky ransomwaru jako WannaCry a NotPetya dokonce obavy vlády.

Abychom shrnuli letošní „úspěchy“ ransomwaru, podíváme se na 10 nejnebezpečnějších a nejškodlivějších organizací. Doufejme, že příští rok se poučíme a zabráníme tomu, aby se tento druh problému dostal do našich sítí.

Ne, Petya

Ransomwarový útok začal ukrajinským účetním softwarem M.E.Doc, který nahradil 1C, který byl na Ukrajině zakázán. Během několika dní NotPetya infikoval stovky tisíc počítačů ve více než 100 zemích. Tento malware je variantou staršího ransomwaru Petya, kromě toho, že útoky NotPetya využívaly stejné zneužití jako útoky WannaCry.

Jak se NotPetya rozšířila, zasáhla několik organizací v Austrálii, například čokoládovnu Cadbury v Tasmánii, která musela dočasně vypnout celý svůj IT systém. Ransomware se také podařilo infiltrovat do největší světové kontejnerové lodi, kterou vlastní Maersk, která údajně přišla až o 300 milionů dolarů na příjmech.

WannaCry

Tento ransomware, strašného rozsahu, prakticky ovládl celý svět. Jeho útoky využívaly nechvalně známý exploit EternalBlue, využívající zranitelnost v protokolu Microsoft Server Message Block (SMB).

WannaCry infikoval oběti ve 150 zemích a na více než 200 000 počítačích jen za první den. Zveřejnili jsme tento senzační malware.

Locky

Locky byl nejoblíbenějším ransomwarem v roce 2016, ale v provozu pokračoval i v roce 2017. Letos se objevily nové varianty Locky, nazvané Diablo a Lukitus, které využívají stejný vektor phishingu k cílení na exploity.

Locky stál za e-mailovým skandálem Australian Post. Podle australské komise pro hospodářskou soutěž a ochranu spotřebitelů občané kvůli tomuto podvodu přišli o více než 80 000 dolarů.

Krize

Tato instance vynikala mistrovským využitím protokolu RDP (Remote Desktop Protocol). RDP je jednou z nejoblíbenějších metod distribuce ransomwaru, protože kyberzločinci tak mohou kompromitovat stroje, které ovládají celé organizace.

Oběti CrySis byly nuceny zaplatit 455 až 1 022 USD za obnovení svých souborů.

Nemucod

Nemucod se šíří pomocí phishingového e-mailu, který vypadá jako dodací faktura. Tento ransomware stahuje škodlivé soubory uložené na napadených webech.

Pokud jde o phishingové e-maily, Nemucod je na druhém místě za Lockym.

Jaff

Jaff je podobný Lockymu a používá podobné techniky. Tento ransomware není pozoruhodný originálními metodami distribuce či šifrování souborů, naopak kombinuje ty nejúspěšnější postupy.

Útočníci za ním požadovali až 3 700 dolarů za přístup k zašifrovaným souborům.

Spora

Aby se tento typ ransomwaru rozšířil, kyberzločinci hackují legitimní stránky tím, že na ně přidávají kód JavaScript. Uživatelům, kteří navštíví takový web, se zobrazí vyskakovací upozornění s výzvou k aktualizaci Prohlížeč Chrome pokračovat v procházení webu. Po stažení tzv. Chrome Font Packu se uživatelé nakazili Sporou.

Cerber

Jeden z mnoha útočných vektorů, které Cerber používá, se nazývá RaaS (Ransomware-as-a-Service). Podle tohoto schématu kyberzločinci nabízejí, že za distribuci trojského koně zaplatí a slibují procento z peněz, které za to obdrží. Tato „služba“ umožňuje kyberzločincům rozesílat ransomware a poté poskytovat dalším útočníkům nástroje k distribuci.

Cryptomix

Je to jeden z mála ransomwaru, který nemá v rámci dark webu k dispozici specifický typ platebního portálu. Dotčení uživatelé musí počkat, až jim kyberzločinci zašlou pokyny e-mailem.

Obětí Cryptomix byli uživatelé z 29 zemí, byli nuceni zaplatit až 3 000 $.

Vykružovačka

Další malware ze seznamu, který zahájil svou činnost v roce 2016. Jigsaw vloží obrázek klauna ze série filmů Saw do nevyžádaných e-mailů. Jakmile uživatel klikne na obrázek, ransomware nejen zašifruje, ale také smaže soubory v případě, že uživateli trvá příliš dlouho zaplatit výkupné, jehož velikost je 150 $.

závěry

Jak vidíme, moderní hrozby využívají stále sofistikovanější exploity proti dobře chráněným sítím. Zatímco zvýšená informovanost zaměstnanců může pomoci vyrovnat se s dopady infekcí, podniky musí jít nad rámec základních standardů kybernetické bezpečnosti, aby se ochránily. Obrana proti dnešním hrozbám vyžaduje proaktivní přístupy, které využívají schopnosti analýzy v reálném čase založené na výukovém enginu, který zahrnuje porozumění chování a kontextu hrozeb.

Je škodlivý program, který po aktivaci zašifruje vše osobní soubory jako jsou dokumenty, fotografie atd. Množství podobné programy je velmi velký a každým dnem se zvyšuje. Teprve nedávno jsme se setkali s desítkami možností šifrování: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff atd. Účelem takových ransomwarových virů je donutit uživatele, aby si často za velké peníze koupili program a klíč potřebný k dešifrování vlastní soubory.

Zašifrované soubory můžete samozřejmě obnovit jednoduše podle pokynů, které tvůrci viru zanechají na infikovaném počítači. Ale nejčastěji jsou náklady na dešifrování velmi významné, musíte také vědět, že některé ransomwarové viry šifrují soubory takovým způsobem, že je jednoduše nelze dešifrovat později. A samozřejmě je jen frustrující platit za obnovu vlastních souborů.

Níže vám řekneme podrobněji o virech ransomwaru, o tom, jak pronikají do počítače oběti, a také o tom, jak odstranit virus ransomware a obnovit soubory jím zašifrované.

Jak ransomware virus proniká do počítače

Virus ransomware se obvykle šíří skrz E-mailem... Dopis obsahuje infikované dokumenty. Tyto e-maily jsou odesílány na obrovskou databázi e-mailových adres. Autoři tohoto viru používají zavádějící záhlaví a obsah dopisů ve snaze oklamat uživatele, aby otevřel dokument připojený k dopisu. Některé z dopisů informují o nutnosti zaplatit účet, jiné nabízejí k nahlédnutí nejnovější ceník, jiné k otevření vtipné fotografie atp. V každém případě bude výsledkem otevření přiloženého souboru napadení počítače šifrovacím virem.

Co je to ransomware virus

Virus ransomware je škodlivý program, který infikuje moderní verze operačních systémů Windows, jako je Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Tyto viry se snaží používat co nejsilnější režimy šifrování, například RSA-2048 s délkou klíče 2048 bitů, což prakticky vylučuje možnost vlastního výběru klíče pro dešifrování souborů.

Při infikování počítače používá virus ransomware systémový adresář % APPDATA% k ukládání vlastních souborů. Aby se automaticky spustil po zapnutí počítače, ransomware vytvoří záznam registru systému Windows: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Spustit, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Ihned po spuštění virus prohledá všechny dostupné disky včetně síťových a cloudové úložiště k definování souborů, které mají být šifrovány. Virus ransomware používá příponu názvu souboru jako způsob, jak určit skupinu souborů, které mají být zašifrovány. Šifrovány jsou téměř všechny typy souborů, včetně takových běžných, jako jsou:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Ihned poté, co je soubor zašifrován, obdrží novou příponu, kterou lze často použít k identifikaci názvu nebo typu ransomwaru. Některé typy těchto škodlivých programů mohou také změnit názvy zašifrovaných souborů. Virus poté vytvoří textový dokument s názvy jako HELP_YOUR_FILES, README, který obsahuje pokyny pro dešifrování zašifrovaných souborů.

Virus ransomwaru se během své činnosti pokouší uzavřít možnost obnovy souborů pomocí systému SVC (stínové kopie souborů). K tomu virus v příkazovém režimu zavolá obslužný program pro správu stínových kopií souborů pomocí klíče, který spustí jejich proceduru. úplné odstranění... Proto je téměř vždy nemožné obnovit soubory pomocí jejich stínových kopií.

Virus ransomware aktivně využívá zastrašovací taktiky, dává oběti odkaz na popis šifrovacího algoritmu a na ploše zobrazuje výhružnou zprávu. Snaží se tak bez váhání donutit uživatele infikovaného počítače, aby poslal ID počítače na e-mailovou adresu autora viru, aby se pokusil získat jeho soubory zpět. Odpověď na takovou zprávu je nejčastěji výkupné a adresa elektronické peněženky.

Je můj počítač napaden virem ransomware?

Zjistit, zda je počítač napaden virem ransomware, je poměrně snadné. Věnujte pozornost příponám vašich osobních souborů, jako jsou dokumenty, fotografie, hudba atd. Pokud se přípona změnila nebo vaše osobní soubory zmizely a zůstalo po nich mnoho souborů s neznámými názvy, je počítač infikován. Kromě toho je známkou infekce přítomnost souboru s názvem HELP_YOUR_FILES nebo README ve vašich adresářích. Tento soubor bude obsahovat pokyny pro dešifrování souborů.

Pokud máte podezření, že jste otevřeli zprávu infikovanou virem ransomwarem, ale zatím se neobjevují žádné příznaky infekce, nevypínejte ani nerestartujte počítač. Postupujte podle kroků v této části pokynů. Ještě jednou opakuji, je velmi důležité nevypínat počítač, u některých typů šifrovacího ransomwaru se proces šifrování souborů aktivuje při prvním zapnutí počítače po infekci!

Jak dešifrovat soubory zašifrované virem ransomware?

Pokud se toto neštěstí stalo, pak není třeba panikařit! Musíte ale vědět, že ve většině případů neexistuje žádný bezplatný dešifrovač. To je způsobeno silnými šifrovacími algoritmy používanými takovými škodlivými programy. To znamená, že je téměř nemožné dešifrovat soubory bez soukromého klíče. Použití metody výběru klíče také není možné kvůli velké délce klíče. Jediným způsobem, jak se pokusit získat dešifrovací klíč, je tedy bohužel pouze zaplatit autorům viru celou požadovanou částku.

Samozřejmě neexistuje absolutně žádná záruka, že po zaplacení se autoři viru spojí a poskytnou klíč nezbytný k dešifrování vašich souborů. Kromě toho musíte pochopit, že placením peněz vývojářům virů je vy sami tlačíte k vytváření nových virů.

Jak odstranit ransomware virus?

Než budete pokračovat, musíte vědět, že zahájením odstraňování viru a pokusem o obnovu souborů na vlastní pěst blokujete možnost dešifrovat soubory tím, že zaplatíte autorům viru částku, kterou požadovali.

Kaspersky Virus Nástroj pro odstranění a Malwarebytes Anti-malware dokáže detekovat odlišné typy aktivní ransomware viry a snadno je odstraní z vašeho počítače, ALE nedokážou obnovit zašifrované soubory.

5.1. Odstraňte ransomware virus pomocí nástroje Kaspersky Virus Removal Tool

Ve výchozím nastavení je program nakonfigurován tak, aby obnovoval všechny typy souborů, ale pro urychlení práce se doporučuje ponechat pouze typy souborů, které potřebujete obnovit. Po dokončení výběru klikněte na tlačítko OK.

V dolní části okna QPhotoRec najděte tlačítko Procházet a klikněte na něj. Musíte vybrat adresář, kam budou obnovené soubory uloženy. Je vhodné použít disk, který neobsahuje zašifrované soubory vyžadující obnovu (můžete použít USB flash disk nebo externí disk).

Chcete-li zahájit postup pro vyhledávání a obnovu původních kopií zašifrovaných souborů, klepněte na tlačítko Hledat. Tento proces trvá dlouho, takže buďte trpěliví.

Po dokončení vyhledávání klikněte na tlačítko Ukončit. Nyní otevřete složku, kterou jste vybrali pro uložení obnovených souborů.

Složka bude obsahovat adresáře s názvem recup_dir.1, recup_dir.2, recup_dir.3 atd. Čím více souborů program najde, tím více adresářů bude. Chcete-li najít soubory, které potřebujete, zkontrolujte postupně všechny adresáře. Chcete-li usnadnit nalezení požadovaného souboru mezi velkým počtem obnovených souborů, použijte vestavěný systém Windows vyhledávání(podle obsahu souboru), a také nezapomeňte na funkci řazení souborů v adresářích. Jako možnost řazení můžete vybrat datum změny souboru, protože QPhotoRec se při obnově souboru pokouší obnovit tuto vlastnost.

Jak zabránit infikování počítačového ransomwarového viru?

Většina moderních antivirových programů již má vestavěný systém ochrany proti pronikání a aktivaci ransomwarových virů. Pokud tedy váš počítač nemá antivirový program, nezapomeňte jej nainstalovat. Jak si ho vybrat, zjistíte přečtením tohoto.

Kromě toho existují specializované bezpečnostní programy. Jedná se například o CryptoPrevent, další podrobnosti.

Pár slov na závěr

Podle těchto pokynů bude váš počítač vyčištěn od viru ransomware. Pokud máte nějaké dotazy nebo potřebujete pomoc, kontaktujte nás.

Moderní technologie umožnit hackerům neustále zlepšovat způsob, jakým jsou podvodníci běžní uživatelé... Zpravidla se pro tyto účely používá virový software, který proniká do počítače. Ransomwarové viry jsou považovány za zvláště nebezpečné. Hrozba spočívá v tom, že se virus šíří velmi rychle, šifruje soubory (uživatel prostě nemůže otevřít žádný dokument). A pokud je to docela jednoduché, pak je mnohem obtížnější data dešifrovat.

Co dělat, pokud virus zašifroval soubory ve vašem počítači

Ransomware může napadnout kohokoli, pojištěni nejsou ani uživatelé, kteří mají výkonný antivirový software. Šifrování souborů Trojské koně představují různé kódy, které mohou být nad síly antiviru. Hackerům se takto daří napadat i velké společnosti, které se nepostaraly o potřebnou ochranu svých informací. Po „vyzvednutí“ ransomwarového programu online je tedy nutné přijmout řadu opatření.

Hlavními příznaky infekce jsou pomalý výkon počítače a změna názvů dokumentů (můžete to vidět na ploše).

1. Chcete-li přerušit šifrování, restartujte počítač. Je-li povoleno, nepotvrzujte spouštění neznámých programů.
2. Spusťte svůj antivirus, pokud nebyl napaden ransomwarem.
3. V některých případech vám stínové kopie pomohou obnovit informace. Chcete-li je najít, otevřete "Vlastnosti" zašifrovaného dokumentu. Tato metoda pracuje se zašifrovanými daty rozšíření Vault, o kterých jsou na portálu informace.
4. Stáhněte si obslužný program Nejnovější verze pro boj s ransomware viry. Ty nejúčinnější nabízí společnost Kaspersky Lab.

Ransomware viry v roce 2016: příklady

Při boji s jakýmkoli virovým útokem je důležité pochopit, že kód se velmi často mění, doplněný o novou antivirovou ochranu. Ochranné programy samozřejmě potřebují nějaký čas, než vývojář aktualizuje databáze. Vybrali jsme nejnebezpečnější ransomware viry poslední doby.

Ishtar Ransomware

Ishtar je ransomware, který z uživatele vymáhá peníze. Virus byl zaznamenán na podzim roku 2016 a infikoval obrovské množství počítačů uživatelů z Ruska a několika dalších zemí. Je distribuován pomocí e-mailové distribuce s připojenými dokumenty (instalátory, dokumenty atd.). Data infikovaná ransomwarem Ishtar mají v názvu předponu „ISHTAR“. V tomto procesu je vytvořen testovací dokument, který ukazuje, kam jít získat heslo. Útočníci za to požadují od 3000 do 15000 rublů.

Nebezpečí viru Ishtar je v tom, že dnes neexistuje žádný dešifrovač, který by uživatelům pomohl. Společnosti zabývající se antivirovým softwarem potřebují čas na rozluštění celého kódu. Nyní můžete pouze izolovat důležitá informace(jsou-li zvláště důležité) na samostatné médium, čekající na uvolnění nástroje schopného dešifrovat dokumenty. Doporučeno přeinstalovat operační systém.

Neitrino

Ransomware Neitrino se objevil na internetu v roce 2015. Principem útoku je podobný ostatním virům podobné kategorie. Změní názvy složek a souborů přidáním „Neitrino“ nebo „Neutrino“. Virus je obtížné dešifrovat - ne všichni zástupci antivirových společností to dělají, s odkazem na velmi složitý kód. Některým uživatelům může být užitečné obnovit stínovou kopii. Chcete-li to provést, klepněte pravým tlačítkem myši na zašifrovaný dokument, přejděte na Vlastnosti, na kartě Předchozí verze klepněte na Obnovit. Nebude zbytečné používat bezplatný nástroj od společnosti Kaspersky Lab.

Peněženka nebo .peněženka.

Virus Wallet ransomware se objevil na konci roku 2016. V procesu infekce změní název dat na "Jméno..peněženka" nebo něco podobného. Jako většina ransomwarových virů se do systému dostává prostřednictvím e-mailových příloh zaslaných kyberzločinci. Protože se hrozba objevila velmi nedávno, antivirové programy si ji nevšimnou. Po zašifrování vytvoří dokument, ve kterém podvodník specifikuje poštu pro komunikaci. V současné době vývojáři antivirového softwaru pracují na dešifrování kódu ransomwaru [e-mail chráněný] Napadení uživatelé mohou jen čekat. Pokud jsou data důležitá, doporučuje se uložit je na externí disk vyčištěním systému.

Hádanka

Virus Enigma ransomware začal infikovat počítače ruských uživatelů na konci dubna 2016. Použitý model šifrování je AES-RSA, který se dnes nachází ve většině ransomwarových virů. Virus se do počítače dostane pomocí skriptu, který uživatel sám spustí otevřením souborů z podezřelého e-mailu. Stále neexistuje žádný univerzální nástroj pro boj s ransomwarem Enigma. Uživatelé s antivirovou licencí mohou požádat o pomoc na oficiálních stránkách vývojáře. Našla se i malá „mezera“ – Windows UAC. Pokud uživatel klikne na "Ne" v okně, které se objeví během virové infekce, bude moci následně obnovit informace pomocí stínových kopií.

Granit

Na podzim roku 2016 se na webu objevil nový ransomwarový virus Granit. K infekci dochází podle následujícího scénáře: uživatel spustí instalátor, který infikuje a zašifruje všechna data na PC i na připojených discích. Boj s virem je obtížný. K odstranění můžete použít speciální nástroje od společnosti Kaspersky, ale kód ještě nebyl dešifrován. Možná pomůže obnovení předchozích verzí dat. Specialista s bohatými zkušenostmi navíc dokáže dešifrovat, ale služba je drahá.

Tyson

Byl spatřen nedávno. Jde o rozšíření známého ransomwaru no_more_ransom, o kterém se můžete dozvědět na našem webu. Do osobních počítačů se dostává z e-mailu. Mnoho podnikových počítačů bylo napadeno. Virus vytvoří textový dokument s pokyny k odemknutí a nabídne zaplacení výkupného. Ransomware Tyson se objevil nedávno, takže zatím neexistuje klíč k jeho odemknutí. Jediný způsob, jak obnovit informace, je vrátit se předchozí verze pokud nebyly odstraněny virem. Můžete samozřejmě riskovat převodem peněz na účet uvedený kyberzločinci, ale není zaručeno, že dostanete heslo.

Spora

Na začátku roku 2017 se řada uživatelů stala obětí nového ransomwaru Spora. Principem práce se příliš neliší od svých protějšků, ale může se pochlubit profesionálnějším výkonem: pokyny pro získání hesla jsou lépe sestavené, web vypadá hezčí. Vytvořil Spora ransomware virus v jazyce C, používá kombinaci RSA a AES k šifrování dat oběti. Zpravidla byly napadeny počítače, na kterých se aktivně používá účetní software 1C. Virus, který se skrývá pod rouškou jednoduché .pdf faktury, přiměje zaměstnance společnosti spustit jej. Zatím nebyl nalezen žádný lék.

1C.Drop.1

Tento ransomware virus pro 1C se objevil v létě 2016 a narušil práci mnoha účetních oddělení. Navrženo speciálně pro počítače, které používají software 1C. Procházením souboru v e-mailu na PC vyzve vlastníka k aktualizaci programu. Bez ohledu na to, které tlačítko uživatel stiskne, virus začne šifrovat soubory. Specialisté Dr.Web pracují na dešifrovacích nástrojích, ale zatím nebyla nalezena žádná řešení. To je způsobeno složitým kódem, který může být v několika modifikacích. Ochrana proti 1C.Drop.1 je pouze ostražitost uživatelů a pravidelná archivace důležitých dokumentů.

da_vinci_code

Nový ransomware s neobvyklým názvem. Virus se objevil na jaře 2016. Od svých předchůdců se liší vylepšeným kódem a silným režimem šifrování. da_vinci_code infikuje počítač díky výkonné aplikaci (obvykle připojené k e-mailem), které uživatel spouští sám. Da Vinciho kód zkopíruje tělo do systémového adresáře a registru, čímž zajistí automatické spuštění zapínání oken... Počítači každé oběti je přiděleno jedinečné ID (pomáhá získat heslo). Dešifrovat data je téměř nemožné. Kyberzločincům můžete platit peníze, ale nikdo vám nezaručí, že dostanete heslo.

[e-mail chráněný] / [e-mail chráněný]

Dvě e-mailové adresy, které byly v roce 2016 často spojovány s ransomware viry. Právě ony slouží ke spojení oběti s útočníkem. V příloze byly adresy různých typů virů: da_vinci_code, no_more_ransom a tak dále. Velmi se nedoporučuje kontaktovat a převádět peníze podvodníkům. Uživatelé ve většině případů zůstávají bez hesla. To ukazuje, že ransomware kyberzločinců pracuje na vytváření příjmů.

Perníkový táta

Objevil se na začátku roku 2015, ale aktivně se rozšířil až o rok později. Princip infekce je shodný s jiným ransomwarem: instalace souboru z e-mailu, šifrování dat. Běžné antiviry si většinou virus Breaking Bad nevšimnou. Některé kódy nemohou obejít Windows UAC, takže uživatel má možnost obnovit předchozí verze dokumentů. Žádná společnost zabývající se antivirovým softwarem zatím neposkytla dekodér.

XTBL

Velmi běžný ransomware, který způsobil potíže mnoha uživatelům. Jakmile je virus na PC, změní příponu souboru na .xtbl během několika minut. Vygeneruje se dokument, ve kterém útočník vydírá hotovost... Některé druhy viru XTBL nemohou zničit soubory Obnovení systému, což umožňuje vrátit důležité dokumenty. Samotný virus lze odstranit mnoha programy, ale dešifrování dokumentů je velmi obtížné. Pokud jste vlastníkem licencovaného antiviru, využijte technickou podporu připojením vzorků infikovaných dat.

Kukaracha

Ransomware „Cucaracha“ byl spatřen v prosinci 2016. Virus se zajímavým názvem skrývá uživatelské soubory pomocí algoritmu RSA-2048, který je vysoce odolný. Kaspersky Anti-Virus označil jej jako Trojan-Ransom.Win32.Scatter.lb. Kukaracha může být odstraněn z vašeho počítače, aby nebyly infikovány další dokumenty. Ty infikované je však dnes téměř nemožné dešifrovat (velmi výkonný algoritmus).

Jak funguje ransomware virus

Existuje obrovské množství ransomwaru, ale všechny fungují na podobném principu.

1. Udeř Osobní počítač... Obvykle díky e-mailové příloze. Instalaci zahájí uživatel sám otevřením dokumentu.
2. Infekce souboru. Téměř všechny typy souborů jsou šifrovány (v závislosti na viru). Vytvoří se textový dokument, který obsahuje kontakty pro komunikaci s útočníky.
3. Všechno. Uživatel nemá přístup k žádnému dokumentu.

Kontrolní prostředky z populárních laboratoří

Rozsáhlé používání ransomwaru, který je považován za nejnebezpečnější hrozbu pro uživatelská data, se stalo impulsem pro mnoho antivirových laboratoří. Každá oblíbená společnost poskytuje svým uživatelům programy, které jim pomohou v boji proti ransomwaru. Řada z nich navíc pomáhá s dešifrováním dokumentů tím, že chrání systém.

Kaspersky a ransomware viry

Jedna z nejznámějších antivirových laboratoří v Rusku a ve světě dnes nabízí nejúčinnější prostředky pro boj s ransomwarovými viry. Kaspersky bude první překážkou pro virus ransomware Zabezpečení koncového bodu 10 s nejnovějšími aktualizacemi. Antivir jednoduše nepustí hrozbu do počítače (ačkoli nové verze nemusí zastavit). K dešifrování informací vývojář představuje několik bezplatných nástrojů najednou: XoristDecryptor, RakhniDecryptor a Ransomware Decryptor. Pomáhají najít virus a uhodnout heslo.

Dr. Web a ransomware

Tato laboratoř doporučuje používat jejich antivirový program, jehož hlavní funkcí je zálohování souborů. Úložiště s kopiemi dokumentů je také chráněno před neoprávněným přístupem narušitelů. Majitelé licencovaného produktu Dr. Web, existuje funkce žádosti o pomoc technická podpora... Je pravda, že ani zkušení specialisté nejsou vždy schopni odolat tomuto typu hrozby.

ESET Nod 32 a ransomware

Stranou nezůstala ani tato společnost, která svým uživatelům poskytuje dobrou ochranu před viry pronikajícími do počítače. Laboratoř navíc nedávno vydala bezplatný nástroj s aktuálními databázemi - Eset Crysis Decryptor. Vývojáři tvrdí, že pomůže v boji i proti nejnovějšímu ransomwaru.