Kaspersky Lab në ransomware WannaCry

Specialistët e Kaspersky Lab analizuan informacionin në lidhje me infeksionet nga ransomware i quajtur "WannaCry" që kompanitë në të gjithë botën u ndeshën më 12 maj

Specialistët e Kaspersky Lab analizuan informacionin në lidhje me infeksionet nga ransomware i quajtur "WannaCry" që kompanitë në të gjithë botën u ndeshën më 12 maj. Analiza tregoi se sulmi u krye përmes dobësisë së rrjetit të mirënjohur të Microsoft Security Bulletin MS17-010. Pastaj u instalua një rootkit në sistemin e infektuar, duke përdorur të cilin kriminelët në internet filluan programin e kriptimit.

Të gjitha zgjidhjet Kaspersky Lab zbulojnë këtë malware të përdorur në këtë sulm me vendimet e mëposhtme:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (Komponenti i Sistemit të Monitorit duhet të jetë i aktivizuar për të zbuluar këtë malware)

Për deshifrimin e të dhënave, sulmuesit kërkojnë të paguajnë një shpërblim prej $ 600 në kriptovalutën Bitcoin. Deri më sot, Kaspersky Lab ka regjistruar rreth 45,000 përpjekje për sulme në 74 vende të botës. Numri më i madh i përpjekjeve për infeksion është vërejtur në Rusi.

Nëse skedarët tuaj janë të koduar, është kategorikisht e pamundur të përdorni mjetet e deshifrimit të ofruara në internet ose të marra në e-mail. Skedarët janë të koduar me një algoritëm të fortë kriptografik dhe nuk mund të deshifrohen, dhe shërbimet që shkarkoni mund të shkaktojnë edhe më shumë dëm si për kompjuterin tuaj ashtu edhe për kompjuterët në të gjithë organizatën, pasi ato janë potencialisht me qëllim të keq dhe synojnë një valë të re të epidemisë.

Nëse zbuloni se kompjuteri juaj është infektuar, duhet ta fikni dhe të kontaktoni departamentin siguria e informacionit për udhëzime të mëtejshme.

• Instaloniarnim zyrtar ngaMicrosoft , e cila mbyll dobësinë e përdorur në sulm (në veçanti, përditësimet janë tashmë të disponueshme për versionetWindowsXPdheWindows2003);
• Sigurohuni që zgjidhjet e sigurisë të jenë të aktivizuara në të gjitha nyjet e rrjetit;
• Nëse jeni duke përdorur një zgjidhje të sigurisë Kaspersky Lab, sigurohuni që versioni i tij të përfshijë komponentin System Monitor dhe se është i aktivizuar;
• Drejtoni një detyrë skanimi për zonat kritike në një zgjidhje sigurie të Kaspersky Lab për t'u zbuluar infeksion i mundshëm sa më shpejt të jetë e mundur (përndryshe, zbulimi do të ndodhë automatikisht brenda 24 orëve);
• Pas zbulimit të Trojan.Win64.EquationDrug.gen, ristartoni sistemin;
• Në të ardhmen, për të parandaluar incidente të tilla, përdorni shërbimet e informacionit të kërcënimit në mënyrë që të merrni të dhëna në kohë për sulmet më të rrezikshme të shënjestruara dhe infeksionet e mundshme.

Për më shumë informacion mbi sulmet WannaCry, shihni raportin e Kaspersky Lab

Për dekada, kriminelët në internet kanë shfrytëzuar me sukses të metat dhe dobësitë në Rrjeti i gjerë botëror... Sidoqoftë, vitet e fundit ka pasur një rritje të qartë të numrit të sulmeve, si dhe një rritje të shkallës së tyre - sulmuesit po bëhen më të rrezikshëm dhe malware po përhapet me një ritëm të paparë më parë.

Prezantimi

Ne po flasim për ransomware që bëri një kërcim të jashtëzakonshëm në 2017, duke shkaktuar dëme në mijëra organizata në të gjithë botën. Për shembull, në Australi, sulmet ransomware të tilla si WannaCry dhe NotPetya madje kanë ngritur shqetësime të qeverisë.

Për të përmbledhur "sukseset" e ransomware këtë vit, ne do të shikojmë 10 organizatat më të rrezikshme dhe më të dëmshme. Shpresojmë që vitin tjetër të mësojmë mësime dhe të parandalojmë që ky lloj problemi të mos depërtojë në rrjetet tona.

NotPetya

Sulmi i ransomware filloi me programin ukrainas të kontabilitetit M.E.Doc, i cili zëvendësoi 1C, i cili ishte i ndaluar në Ukrainë. Në vetëm pak ditë, NotPetya infektoi qindra mijëra kompjuterë në mbi 100 vende. Ky malware është një variant i ransomware më të vjetër Petya, përveç se sulmet NotPetya përdorën të njëjtin shfrytëzim si sulmet WannaCry.

Ndërsa u përhap, NotPetya preku disa organizata në Australi, të tilla si fabrika e çokollatës Cadbury në Tasmania, e cila duhej të mbyllte përkohësisht të gjithë sistemin e tyre të TI -së. Ransomware gjithashtu arriti të infiltrojë anijen më të madhe në botë të kontejnerëve, në pronësi të Maersk, e cila thuhet se humbi deri në 300 milion dollarë në të ardhura.

WannaCry

Ky ransomware, i tmerrshëm në shkallë, praktikisht ka pushtuar të gjithë botën. Sulmet e tij përdorën shfrytëzimin famëkeq të EternalBlue, duke shfrytëzuar një dobësi në protokollin Microsoft Server Message Block (SMB).

WannaCry infektoi viktima në 150 vende dhe mbi 200,000 makina vetëm ditën e parë. Ne kemi publikuar këtë malware të bujshëm.

I mbyllur

Locky ishte ransomware më i popullarizuar në vitin 2016, por nuk ka ndalur së funksionuari në vitin 2017. Variantet e reja të Locky, të quajtur Diablo dhe Lukitus, dolën këtë vit, duke përdorur të njëjtin vektor sulmi (phishing) për të synuar shfrytëzimet.

Locky ishte prapa skandalit të mashtrimit me postën australiane Post. Sipas Komisionit Australian të Konkurrencës dhe Mbrojtjes së Konsumatorit, qytetarët kanë humbur më shumë se 80,000 dollarë për shkak të këtij mashtrimi.

CrySis

Ky shembull shkëlqeu në përdorimin e tij mjeshtëror të Protokollit të Desktopit të Largët ( Desktop i largët Protokolli, RDP). RDP është një nga metodat më të njohura të shpërndarjes së ransomware, pasi kriminelët në internet mund të komprometojnë makinat që kontrollojnë organizata të tëra.

Viktimat e CrySis u detyruan të paguajnë midis $ 455 dhe $ 1,022 për të rimarrë dosjet e tyre.

Nemucod

Nemucod përhapet duke përdorur një email phishing që duket si një faturë transporti. Ky ransomware shkarkon skedarë me qëllim të keq të ruajtur në faqet e internetit të komprometuara.

Nemucod është i dyti vetëm pas Locky në emailet phishing.

Jaff

Jaff është i ngjashëm me Locky dhe përdor teknika të ngjashme. Ky ransomware nuk është i shquar për metodat e tij origjinale të shpërndarjes ose kriptimit të skedarëve; përkundrazi, ai kombinon praktikat më të suksesshme.

Sulmuesit pas tij kërkuan deri në 3,700 dollarë për qasje në skedarë të koduar.

Spora

Për të përhapur këtë lloj ransomware, kriminelët kibernetikë hakojnë faqet legjitime duke u shtuar atyre kodin JavaScript. Përdoruesit që vizitojnë një faqe të tillë do të marrin një paralajmërim pop-up që i bën ata të azhurnohen Shfletuesi Chrome për të vazhduar shfletimin e faqes. Pas shkarkimit të të ashtuquajturës Chrome Font Pack, përdoruesit u infektuan me Spora.

Cerber

Një nga shumë vektorët e sulmit që përdor Cerber quhet RaaS (Ransomware-as-a-Service). Sipas kësaj skeme, kriminelët në internet ofrojnë të paguajnë për shpërndarjen e Trojanit, duke premtuar një përqindje të parave të marra për këtë. Ky "shërbim" lejon kriminelët kibernetikë të dërgojnë ransomware dhe më pas t'u sigurojnë sulmuesve të tjerë mjete për shpërndarje.

Cryptomix

Shtë një nga të paktët ransomware që nuk ka një lloj specifik të portalit të pagesave të disponueshëm brenda rrjetit të errët. Përdoruesit e prekur duhet të presin që kriminelët kibernetikë t'u dërgojnë email udhëzime.

Viktimat e Cryptomix ishin përdorues nga 29 vende, ata u detyruan të paguajnë deri në 3,000 dollarë.

Jigsaw

Një tjetër malware nga lista që filloi aktivitetin e tij në 2016. Jigsaw fut një imazh të një kllouni nga seria e filmave Saw në emailet e padëshiruara. Sapo përdoruesi të klikojë mbi imazhin, ransomware jo vetëm që kodon, por edhe fshin skedarët në rast se përdoruesi vonon në pagesën e shpërblimit, madhësia e të cilit është 150 dollarë.

përfundimet

Siç mund ta shohim, kërcënimet moderne po përdorin shfrytëzime gjithnjë e më të sofistikuara kundër rrjeteve të mbrojtura mirë. Ndërsa rritja e ndërgjegjësimit të punonjësve ndihmon në përballimin e ndikimit të infeksioneve, bizneset duhet të shkojnë përtej standardeve bazë të sigurisë kibernetike për të mbrojtur veten. Mbrojtja kundër kërcënimeve të sotme kërkon qasje proaktive që shfrytëzojnë aftësitë e analizës në kohë reale bazuar në një motor mësimi që përfshin të kuptuarit e sjelljes dhe kontekstit të kërcënimeve.

Ashtë një program me qëllim të keq që, kur aktivizohet, kodon të gjithë skedarët personal, të tillë si dokumentet, fotografitë, etj. sasi programe të ngjashmeështë shumë i madh dhe rritet çdo ditë. Vetëm kohët e fundit kemi hasur në dhjetëra opsione kriptimi: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, foste Qëllimi i viruseve të tilla ransomware është të detyrojë përdoruesit të blejnë, shpesh për një shumë të madhe parash, një program dhe një çelës të nevojshëm për të deshifruar dosjet e veta.

Sigurisht, ju mund të rivendosni skedarët e koduar thjesht duke ndjekur udhëzimet që krijuesit e virusit lënë në kompjuterin e infektuar. Por më shpesh kostoja e deshifrimit është shumë domethënëse, gjithashtu duhet të dini se disa viruse ransomware kodojnë skedarë në atë mënyrë që është thjesht e pamundur t'i deshifroni ato më vonë. Dhe sigurisht, është thjesht zhgënjyese të paguani për të rimarrë skedarët tuaj.

Më poshtë do t'ju tregojmë më në detaje rreth viruseve ransomware, si depërtojnë në kompjuterin e viktimës, si dhe si të hiqni një virus ransomware dhe të rivendosni skedarët e koduar prej tij.

Si një virus ransomware depërton në një kompjuter

Virusi ransomware zakonisht përhapet E -mail... Letra përmban dokumente të infektuara. Këto email dërgohen në një bazë të dhënash të madhe të adresave të postës elektronike. Autorët e këtij virusi përdorin titujt mashtrues dhe përmbajtjen e letrave në përpjekje për të mashtruar përdoruesin që të hapë dokumentin bashkangjitur letrës. Disa nga letrat informojnë për nevojën për të paguar faturën, të tjera ofrojnë për të parë një listë çmimesh të freskëta, të tjera për të hapur një fotografi qesharake, etj. Në çdo rast, rezultati i hapjes së skedarit të bashkangjitur do të jetë infektimi i kompjuterit me një virus kriptimi.

Çfarë është një virus ransomware

Një virus ransomware është një program me qëllim të keq që infekton versionet moderne të sistemeve operative Windows, të tilla si Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Këta viruse përpiqen të përdorin mënyrat më të forta të kriptimit të jetë e mundur, për shembull RSA-2048 me një gjatësi kyçe prej 2048 bit, e cila praktikisht përjashton mundësinë e zgjedhjes së një çelësi për deshifrimin e skedarëve vetë.

Ndërsa infekton një kompjuter, virusi ransomware përdor drejtorinë e sistemit% APPDATA% për të ruajtur skedarët e tij. Për të filluar automatikisht kur kompjuteri është i ndezur, ransomware krijon një hyrje Regjistri i Windows: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Menjëherë pas nisjes, virusi skanon të gjithë disqet në dispozicion, përfshirë ruajtjen në rrjet dhe cloud, për të përcaktuar se cilat skedarë do të kodohen. Virusi ransomware përdor zgjerimin e emrit të skedarit si një mënyrë për të përcaktuar grupin e skedarëve që do të kodohen. Pothuajse të gjitha llojet e skedarëve janë të koduar, përfshirë ato të zakonshme si:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos ,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa ,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portofol, .wotreplay, .xxx, .desc, .py, .m3u, .flv ,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm ,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .tel, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb ,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Menjëherë pasi skedari është i koduar, ai merr një shtesë të re, me të cilën emri ose lloji i ransomware shpesh mund të identifikohet. Disa lloje të këtyre programeve me qëllim të keq mund të ndryshojnë edhe emrat e skedarëve të koduar. Virusi më pas krijon një dokument teksti me emra si HELP_YOUR_FILES, README, i cili përmban udhëzime për deshifrimin e skedarëve të koduar.

Gjatë funksionimit të tij, virusi ransomware përpiqet të mbyllë aftësinë për të rikuperuar skedarët duke përdorur sistemin SVC (kopjet e skedarëve në hije). Për ta bërë këtë, virusi në modalitetin e komandës thërret mjetin për administrimin e kopjeve në hije të skedarëve me një çelës që fillon procedurën e tyre. heqje e plotë... Kështu, është pothuajse gjithmonë e pamundur të rikuperoni skedarët duke përdorur kopjet e tyre në hije.

Virusi ransomware përdor në mënyrë aktive taktikat e frikësimit, duke i dhënë viktimës një lidhje me një përshkrim të algoritmit të kriptimit dhe duke shfaqur një mesazh kërcënues në desktop. Në këtë mënyrë, ai përpiqet të detyrojë përdoruesin e kompjuterit të infektuar, pa hezitim, të dërgojë ID-në e kompjuterit në adresën e-mail të autorit të virusit në mënyrë që të përpiqet të marrë dosjet e tij. Përgjigja ndaj një mesazhi të tillë është më së shpeshti shuma e shpërblimit dhe adresa e portofolit elektronik.

A është kompjuteri im i infektuar me një virus ransomware?

Quiteshtë mjaft e lehtë të përcaktohet nëse një kompjuter është i infektuar apo jo me një virus ransomware. Kushtojini vëmendje zgjerimeve të skedarëve tuaj personal, siç janë dokumentet, fotot, muzika, etj. Nëse shtesa ka ndryshuar ose skedarët tuaj personal janë zhdukur, duke lënë pas shumë skedarë me emra të panjohur, atëherë kompjuteri është i infektuar. Për më tepër, një shenjë infeksioni është prania e një skedari të quajtur HELP_YOUR_FILES ose README në drejtoritë tuaja. Ky skedar do të përmbajë udhëzime për deshifrimin e skedarëve.

Nëse dyshoni se keni hapur një mesazh të infektuar me një virus nga një ransomware, por ende nuk ka simptoma të infeksionit, atëherë mos e fikni ose rinisni kompjuterin tuaj. Ndiqni hapat në këtë manual, seksion. E përsëris edhe një herë, është shumë e rëndësishme të mos fikni kompjuterin, në disa lloje të ransomware të kriptimit procesi i kriptimit të skedarëve aktivizohet kur kompjuteri ndizet për herë të parë pas infektimit!

Si të deshifroni skedarët e koduar nga një virus ransomware?

Nëse kjo fatkeqësi ka ndodhur, atëherë nuk ka nevojë për panik! Por ju duhet të dini se në shumicën e rasteve nuk ka një deshifrues falas. Kjo është për shkak të algoritmeve të forta të kriptimit të përdorura nga programe të tilla me qëllim të keq. Kjo do të thotë se është pothuajse e pamundur të deshifroni skedarët pa një çelës privat. Përdorimi i metodës së përzgjedhjes së çelësit nuk është gjithashtu një opsion, për shkak të gjatësisë së madhe të çelësit. Prandaj, për fat të keq, vetëm pagesa e autorëve të virusit për të gjithë shumën e kërkuar është mënyra e vetme për të provuar të merrni çelësin e deshifrimit.

Sigurisht, nuk ka absolutisht asnjë garanci që pas pagesës autorët e virusit do të kontaktojnë dhe do të japin çelësin e nevojshëm për të deshifruar skedarët tuaj. Për më tepër, duhet të kuptoni se duke paguar para për zhvilluesit e viruseve, ju vetë po i shtyni ata të krijojnë viruse të reja.

Si të hiqni një virus ransomware?

Para se të vazhdoni me këtë, duhet të dini që duke filluar të hiqni virusin dhe të përpiqeni të rikuperoni skedarët tuaj, ju bllokoni aftësinë për të deshifruar skedarët duke u paguar autorëve të virusit shumën që ata kërkuan.

Kaspersky Heqja e viruseve Tool dhe Malwarebytes Anti-malware mund të zbulojë tipe te ndryshme viruset ransomware aktive dhe i hiqni lehtësisht nga kompjuteri juaj, POR ata nuk mund të rikuperojnë skedarët e koduar.

5.1 Hiq virusin ransomware duke përdorur Kaspersky Virus Removal Tool

Si parazgjedhje, programi është konfiguruar për të rikuperuar të gjitha llojet e skedarëve, por për të shpejtuar punën, rekomandohet të lini vetëm llojet e skedarëve që ju nevojiten për të rikuperuar. Pasi të keni përfunduar zgjedhjen tuaj, klikoni OK.

Në fund të dritares QPhotoRec, gjeni butonin Shfleto dhe klikoni mbi të. Ju duhet të zgjidhni drejtorinë ku skedarët e rikuperuar do të ruhen. Këshillohet të përdorni një disk që nuk përmban skedarë të koduar që kërkojnë rimëkëmbje (mund të përdorni një USB flash drive ose një disk të jashtëm).

Për të filluar procedurën për kërkimin dhe rivendosjen e kopjeve origjinale të skedarëve të koduar, klikoni në butonin Kërko. Ky proces kërkon shumë kohë, prandaj jini të durueshëm.

Kur kërkimi të ketë mbaruar, klikoni butonin Quit. Tani hapni dosjen që keni zgjedhur për të ruajtur skedarët e rikuperuar.

Dosja do të përmbajë drejtori të quajtura recup_dir.1, recup_dir.2, recup_dir.3, etj. Sa më shumë skedarë të gjejë programi, aq më shumë drejtori do të ketë. Për të gjetur skedarët që ju nevojiten, kontrolloni të gjitha drejtoritë në mënyrë të njëpasnjëshme. Për ta bërë më të lehtë gjetjen e skedarit që ju nevojitet midis numrit të madh të skedarëve të rikuperuar, përdorni sistemin e integruar Kërkimi i Windows(sipas përmbajtjes së skedarit), dhe gjithashtu mos harroni për funksionin e renditjes së skedarëve në drejtori. Ju mund të zgjidhni datën e modifikuar të skedarit si opsion të renditjes, sepse QPhotoRec përpiqet të rivendosë këtë pronë kur rivendos skedarin.

Si mund të parandaloj infektimin e një virusi ransomware kompjuterik?

Shumica e programeve moderne antivirus tashmë kanë një sistem të integruar për mbrojtje kundër depërtimit dhe aktivizimit të viruseve ransomware. Prandaj, nëse kompjuteri juaj nuk ka një program antivirus, atëherë sigurohuni që ta instaloni. Ju mund të mësoni se si ta zgjidhni duke lexuar këtë.

Për më tepër, ka programe të specializuara të sigurisë. Për shembull, kjo është CryptoPrevent, më shumë detaje.

Disa fjalë përfundimtare

Duke ndjekur këtë udhëzim, kompjuteri juaj do të pastrohet nga virusi ransomware. Nëse keni ndonjë pyetje ose keni nevojë për ndihmë, ju lutemi na kontaktoni.

Teknologjitë moderne lejoni hakerat të përmirësojnë vazhdimisht mënyrën se si ata mashtrojnë përdoruesit e zakonshëm. Si rregull, për këto qëllime, përdoret softuer virusi që depërton në kompjuter. Viruset Ransomware konsiderohen veçanërisht të rrezikshëm. Kërcënimi qëndron në faktin se virusi përhapet shumë shpejt, duke koduar skedarët (përdoruesi thjesht nuk mund të hapë asnjë dokument). Dhe nëse është mjaft e thjeshtë, atëherë është shumë më e vështirë të deshifrosh të dhënat.

Çfarë duhet të bëni nëse një virus ka skedarë të koduar në kompjuterin tuaj

Çdokush mund të sulmohet nga një ransomware, madje edhe përdoruesit që kanë softuer të fuqishëm antivirus nuk janë të siguruar. Trojanët e kriptimit të skedarëve përfaqësohen nga kode të ndryshme që mund të jenë përtej fuqisë së një antivirusi. Hakerët madje arrijnë të sulmojnë kompanitë e mëdha në këtë mënyrë, të cilat nuk janë kujdesur për mbrojtjen e nevojshme të informacionit të tyre. Pra, pasi keni "kapur" programin ransomware në internet, është e nevojshme të merren një sërë masash.

Shenjat kryesore të infeksionit janë performanca e ngadaltë e kompjuterit dhe ndryshimi i emrave të dokumenteve (mund ta shihni në desktop).

1. Rinisni kompjuterin tuaj për të ndërprerë kriptimin. Kur aktivizohet, mos konfirmoni nisjen e programeve të panjohura.
2. Drejtoni antivirusin tuaj nëse nuk është sulmuar nga një ransomware.
3. Në disa raste, kopjet hije do t'ju ndihmojnë të rikuperoni informacionin. Për t'i gjetur ato, hapni "Karakteristikat" e dokumentit të koduar. Kjo metodë funksionon me të dhënat e koduara të shtesës Vault, për të cilat ka informacione në portal.
4. Shkarkoni programin Versioni i fundit për të luftuar viruset ransomware. Ato më efektive ofrohen nga Kaspersky Lab.

Viruset Ransomware në 2016: shembuj

Kur luftoni ndonjë sulm virusi, është e rëndësishme të kuptoni që kodi ndryshon shumë shpesh, i plotësuar me mbrojtje të re kundër viruseve. Sigurisht, programet e mbrojtjes kanë nevojë për pak kohë derisa zhvilluesi të përditësojë bazat e të dhënave. Ne kemi zgjedhur viruset më të rrezikshëm të ransomware të kohëve të fundit.

Ishtar Ransomware

Ishtar është një ransomware që zhvat para nga përdoruesi. Virusi u vu re në vjeshtën e vitit 2016, duke infektuar një numër të madh të kompjuterëve të përdoruesve nga Rusia dhe disa vende të tjera. Shpërndahet duke përdorur një shpërndarje me email me dokumentet e bashkangjitura (instalues, dokumente, etj.). Të dhënave të infektuara nga ransomware Ishtar i jepet parashtesa "ISHTAR" në emrin e saj. Në proces, krijohet një dokument testimi, i cili tregon se ku të shkoni për të marrë një fjalëkalim. Sulmuesit kërkojnë nga 3000 në 15000 rubla për të.

Rreziku i virusit Ishtar është se sot nuk ka asnjë deshifrim që do të ndihmonte përdoruesit. Kompanitë e programeve antivirus marrin kohë për të deshifruar të gjithë kodin. Tani mund të izoloni vetëm informacione të rëndësishme (nëse ato kanë një rëndësi të veçantë) në një medium të veçantë, duke pritur për lëshimin e një mjeti që mund të deshifrojë dokumentet. Rekomandohet të riinstaloni sistemi operativ.

Neitrino

Ransomware Neitrino u shfaq në internet në 2015. Nga parimi i sulmit, është i ngjashëm me viruset e tjerë të një kategorie të ngjashme. Ndryshon emrat e dosjeve dhe skedarëve duke shtuar "Neitrino" ose "Neutrino". Virusi është i vështirë për t’u deshifruar - jo të gjithë përfaqësuesit e kompanive antivirus e ndërmarrin këtë, duke iu referuar kodit shumë kompleks. Disa përdorues mund të gjejnë ndihmë për të rivendosur një kopje në hije. Për ta bërë këtë, klikoni me të djathtën në dokumentin e koduar, shkoni te Properties, skeda Versionet e Mëparshme, klikoni Restore. Nuk do të jetë e tepërt të përdoret dhe dobi falas nga Kaspersky Lab.

Portofol ose .fletë.

Virusi ransomware Wallet u shfaq në fund të vitit 2016. Në procesin e infektimit, ai ndryshon emrin e të dhënave në "Name..wallet" ose diçka të ngjashme. Ashtu si shumica e viruseve ransomware, ai hyn në sistem përmes bashkëngjitjeve të postës elektronike të dërguar nga kriminelët në internet. Meqenëse kërcënimi është shfaqur kohët e fundit, programet antivirus nuk e vënë re atë. Pas kriptimit, krijon një dokument në të cilin mashtruesi specifikon postën për komunikim. Aktualisht, zhvilluesit e programeve antivirus janë duke punuar në deshifrimin e kodit të ransomware [email -i i mbrojtur] Përdoruesit e sulmuar mund të presin vetëm. Nëse të dhënat janë të rëndësishme, rekomandohet t'i ruani në një disk të jashtëm duke pastruar sistemin.

Enigmë

Virusi Enigma ransomware filloi të infektonte kompjuterët e përdoruesve rusë në fund të prillit 2016. Modeli i kriptimit i përdorur është AES-RSA, i cili gjendet sot në shumicën e viruseve ransomware. Virusi hyn në kompjuter duke përdorur një skript që përdoruesi e lanson duke hapur skedarë nga një email i dyshimtë. Ende nuk ka asnjë mjet universal për të luftuar Enigma ransomware. Përdoruesit me licencë antivirus mund të kërkojnë ndihmë në faqen zyrtare të zhvilluesit. U gjet gjithashtu një "zbrazëti" e vogël - Windows UAC. Nëse përdoruesi klikon "Jo" në dritaren që shfaqet gjatë infektimit me virus, ai do të jetë në gjendje të rikuperojë më pas informacionin duke përdorur kopje hije.

Granit

Virusi i ri Granit ransomware u shfaq në Ueb në vjeshtën e vitit 2016. Infeksioni ndodh sipas skenarit të mëposhtëm: përdoruesi fillon instaluesin, i cili infekton dhe kodon të gjitha të dhënat në PC, si dhe në disqet e lidhura. Luftimi i virusit është i vështirë. Për ta hequr mund të përdorni shërbimet speciale nga Kaspersky, por kodi ende nuk është deshifruar. Ndoshta rivendosja e versioneve të mëparshme të të dhënave do të ndihmojë. Për më tepër, një specialist i cili ka përvojë të gjerë mund të deshifrojë, por shërbimi është i shtrenjtë.

Tyson

U vu re kohët e fundit. Shtë një shtrirje e ransomware tashmë të mirënjohur no_more_ransom, për të cilën mund të mësoni në faqen tonë të internetit. Arrin në kompjuterët personalë nga e-mail. Shumë PC të korporatave u sulmuan. Virusi krijon një dokument teksti me udhëzime për zhbllokimin, duke ofruar pagesën e një shpërblimi. Ransomware Tyson është shfaqur kohët e fundit, kështu që nuk ka ende çelës për ta zhbllokuar atë. Mënyra e vetme për të rikuperuar informacionin është kthimi versionet e mëparshme nëse nuk janë hequr nga një virus. Ju, natyrisht, mund të rrezikoni duke transferuar para në llogarinë e treguar nga sulmuesit, por nuk ka asnjë garanci që do të merrni një fjalëkalim.

Spora

Në fillim të vitit 2017, një numër përdoruesish ranë viktima të ransomware të ri Spora. Sipas parimit të punës, nuk ndryshon shumë nga homologët e tij, por mund të mburret me një performancë më profesionale: udhëzimet për marrjen e një fjalëkalimi përpilohen më mirë, faqja e internetit duket më e bukur. Një virus Spora ransomware në C u krijua, ai përdor një kombinim të RSA dhe AES për të kriptuar të dhënat e viktimës. Si rregull, kompjuterët në të cilët përdoren në mënyrë aktive programet e kontabilitetit 1C u sulmuan. Virusi, i fshehur nën maskën e një fature të thjeshtë .pdf, i bën punonjësit e kompanisë ta nisin atë. Ende nuk është gjetur kurë.

1C. Rënia.1

Ky virus ransomware për 1C u shfaq në verën e vitit 2016, duke prishur punën e shumë departamenteve të kontabilitetit. Projektuar posaçërisht për kompjuterët që përdorin softuer 1C Duke kaluar një skedar në një e-mail në një PC, ai fton pronarin të azhurnojë programin. Cilado buton që përdoruesi shtyp, virusi do të fillojë të kriptojë skedarët. Specialistët e Dr.Web po punojnë në mjetet e deshifrimit, por ende nuk janë gjetur zgjidhje. Kjo është për shkak të kodit kompleks, i cili mund të jetë në disa modifikime. Mbrojtja kundër 1C.Drop.1 është vetëm vigjilenca e përdoruesve dhe arkivimi i rregullt i dokumenteve të rëndësishme.

kodi da_vinci

Ransomware i ri me një emër të pazakontë. Virusi u shfaq në pranverën e vitit 2016. Ai ndryshon nga paraardhësit e tij nga kodi i përmirësuar dhe mënyra e fortë e kriptimit. da_vinci_code infekton një kompjuter falë një aplikacioni ekzekutiv (zakonisht i bashkangjitur email) që përdoruesi e lëshon vetë. Kodi da vinci kopjon trupin në drejtorinë e sistemit dhe regjistrin, duke siguruar fillimin automatik kur ndezja e Windows... Kompjuterit të secilës viktimë i caktohet një ID unike (ndihmon për të marrë një fjalëkalim). Almostshtë pothuajse e pamundur të deshifrosh të dhënat. Ju mund të paguani para për kriminelët në internet, por askush nuk ju garanton që do të merrni një fjalëkalim.

[email -i i mbrojtur] / [email -i i mbrojtur]

Dy adresa emaili që u shoqëruan shpesh me viruse ransomware në vitin 2016. Janë ata që shërbejnë për të lidhur viktimën me sulmuesin. Bashkangjitur ishin adresat për lloje të ndryshme virusesh: da_vinci_code, no_more_ransom, etj. Highlyshtë shumë e dekurajuar të kontaktosh dhe transferosh para tek mashtruesit. Në shumicën e rasteve, përdoruesit lihen pa fjalëkalime. Kështu, duke treguar se shpërndarësi i kriminelëve në internet po punon për të gjeneruar të ardhura.

Breaking Bad

Ajo u shfaq në fillim të vitit 2015, por u përhap në mënyrë aktive vetëm një vit më vonë. Parimi i infeksionit është identik me ransomware të tjerë: instalimi i një skedari nga një email, kriptimi i të dhënave. Antiviruset e rregullt zakonisht nuk e vënë re virusin Breaking Bad. Disa kode nuk mund të anashkalojnë Windows UAC, kështu që përdoruesi ka mundësinë të rivendosë versionet e mëparshme të dokumenteve. Asnjë kompani softuerësh antivirus nuk ka siguruar një dekoder ende.

XTBL

Një ransomware shumë i zakonshëm që ka shkaktuar telashe për shumë përdorues. Pasi të jetë në një kompjuter, virusi ndryshon shtesën e skedarit në .xtbl brenda pak minutash. Krijohet një dokument në të cilin sulmuesi zhvat para të gatshme... Disa variante të virusit XTBL nuk mund të shkatërrojnë skedarët e Rivendosjes së Sistemit, duke lejuar që dokumentet e rëndësishme të kthehen. Virusi në vetvete mund të hiqet nga shumë programe, por është shumë e vështirë të deshifrosh dokumente. Nëse jeni pronar i një antivirusi të licencuar, përdorni mbështetjen teknike duke bashkangjitur mostrat e të dhënave të infektuara.

Kukaracha

Ransomware "Cucaracha" u pa në dhjetor 2016. Një virus me një emër interesant fsheh skedarët e përdoruesit duke përdorur algoritmin RSA-2048, i cili është shumë rezistent. Kaspersky Anti-Virus e caktoi atë si Trojan-Ransom.Win32.Scatter.lb. Kukaracha mund të hiqet nga kompjuteri juaj për të parandaluar infektimin e dokumenteve të tjerë. Sidoqoftë, të infektuarit sot është pothuajse e pamundur të deshifrohen (algoritëm shumë i fuqishëm).

Si funksionon një virus ransomware

Ekziston një numër i madh i ransomware të kriptimit, por të gjithë ata punojnë në një parim të ngjashëm.

1. Kontaktoni me një kompjuter personal. Në mënyrë tipike, falë një bashkëngjitjeje me email. Instalimi fillon nga vetë përdoruesi duke hapur dokumentin.
2. Infeksioni i skedarit. Pothuajse të gjitha llojet e skedarëve janë të koduar (në varësi të virusit). Krijohet një dokument teksti që përmban kontakte për komunikim me sulmuesit.
3. Gjithçka. Përdoruesi nuk mund të hyjë në asnjë dokument.

Mjetet e kontrollit nga laboratorët e njohur

Përdorimi i përhapur i ransomware, të cilat njihen si kërcënimet më të rrezikshme për të dhënat e përdoruesve, është bërë shtysë për shumë laboratorë antivirus. Çdo kompani popullore u siguron përdoruesve të saj programe që i ndihmojnë ata të luftojnë ransomware. Për më tepër, shumë prej tyre ndihmojnë në deshifrimin e dokumenteve duke mbrojtur sistemin.

Viruset Kaspersky dhe ransomware

Një nga laboratorët më të famshëm antivirus në Rusi dhe në botë sot ofron mjetet më efektive për të luftuar viruset ransomware. Pengesa e parë për virusin ransomware do të jetë Pika e fundit e Kaspersky Siguria 10 me përditësimet më të fundit. Antivirusi thjesht nuk do ta lejojë kërcënimin në kompjuter (megjithëse versionet e reja mund të mos jenë në gjendje ta ndalojnë atë). Për të deshifruar informacionin, zhvilluesi paraqet disa shërbime falas menjëherë: XoristDecryptor, RakhniDecryptor dhe Ransomware Decryptor. Ato ndihmojnë për të gjetur virusin dhe për të marrë me mend fjalëkalimin.

Dr. Ueb dhe ransomware

Ky laborator rekomandon përdorimin e programit të tyre antivirus, tipari kryesor i të cilit është rezervimi i skedarëve. Ruajtja me kopje të dokumenteve mbrohet gjithashtu nga aksesi i paautorizuar nga ndërhyrës. Pronarët e produktit të licencuar Dr. Web, ekziston një funksion i të kërkuarit ndihmë në mbeshtetje teknike... Vërtetë, edhe specialistët me përvojë nuk janë gjithmonë në gjendje t'i rezistojnë këtij lloji të kërcënimit.

ESET Nod 32 dhe ransomware

As kjo kompani nuk qëndroi mënjanë, duke u siguruar përdoruesve të saj mbrojtje të mirë kundër viruseve që hyjnë në kompjuter. Për më tepër, kohët e fundit laboratori lëshoi ​​një mjet falas me bazat e të dhënave të përditësuara-Eset Crysis Decryptor. Zhvilluesit pohojnë se do të ndihmojë në luftën kundër edhe ransomware më të ri.