• Virus zašifroval celý web dr. Obecné důsledky pronikání všech virů tohoto typu. Radikální řešení problému

    To, že je internet plný virů, už dnes nikoho nepřekvapuje. Mnoho uživatelů vnímá situace související s jejich dopadem na systémy nebo osobní data, mírně řečeno, skrz prsty, ale jen do doby, než se v systému konkrétně usídlí šifrovací virus. Většina běžných uživatelů neví, jak vyléčit a dešifrovat data uložená na pevném disku. Proto je tento kontingent „veden“ k požadavkům vzneseným vetřelci. Pojďme se ale podívat, co lze dělat, pokud je taková hrozba detekována nebo jak zabránit jejímu průniku do systému.

    Co je to ransomware virus?

    Tento typ hrozby využívá standardní a nestandardní algoritmy šifrování souborů, které zcela mění jejich obsah a blokují přístup. Například otevření zašifrovaného textového souboru pro čtení nebo úpravy, stejně jako přehrávání multimediálního obsahu (grafika, video nebo zvuk), po vystavení viru, bude absolutně nemožné. Nejsou dostupné ani standardní akce pro kopírování nebo přesouvání objektů.

    Samotné softwarové nacpání viru je nástrojem, který šifruje data takovým způsobem, aby je bylo možné obnovit výchozí stav i po odstranění hrozby ze systému to není vždy možné. Tyto škodlivé programy obvykle vytvářejí své kopie a usazují se velmi hluboko v systému, takže odstranění viru šifrování souborů může být zcela nemožné. Odinstalováním hlavního programu nebo smazáním hlavního těla viru se uživatel nezbaví dopadu hrozby, nemluvě o obnově zašifrovaných informací.

    Jak se hrozba dostane do systému?

    Hrozby tohoto typu jsou zpravidla zacíleny na velké komerční struktury a mohou proniknout do počítačů e-mailové programy, kdy zaměstnanec otevře domněle přiložený dokument v e-mailu, který je řekněme dodatkem k jakési smlouvě o spolupráci nebo k plánu dodávek produktu (komerční nabídky s přílohami z pochybných zdrojů jsou první cestou pro virus) .

    Problém je v tom, že virus ransomware na počítači, který má přístup lokální síť, je schopen se mu přizpůsobit, vytvářet vlastní kopie nejen v síťovém prostředí, ale i na administrátorském terminálu, pokud nemá potřebné finanční prostředky ochrana v podobě antivirového softwaru, firewallu nebo firewallu.

    Někdy mohou takové hrozby proniknout dovnitř počítačové systémy běžní uživatelé, kteří útočníky většinou nezajímají. K tomu dochází v době instalace některých programů stažených z pochybných internetových zdrojů. Mnoho uživatelů ignoruje varování při zahájení stahování. antivirový systém ochrany a při procesu instalace nevěnují pozornost nabídkám na instalaci dalšího softwaru, panelů nebo zásuvných modulů do prohlížečů a pak si, jak se říká, koušou lokty.

    Odrůdy virů a trochu historie

    V podstatě hrozby tohoto typu, zejména nejvíce nebezpečný ransomware virus No_more_ransom, jsou klasifikovány nejen jako nástroje pro šifrování dat nebo blokování přístupu k nim. Ve skutečnosti jsou všechny tyto škodlivé aplikace kategorizovány jako ransomware. Jinými slovy, útočníci požadují určitou odměnu za dešifrování informací, protože se domnívají, že bez původního programu k produkci tento proces bude nemožné. Částečně to tak také je.

    Když ale zabrousíte do historie, zjistíte, že jedním z vůbec prvních virů tohoto typu, i když nekladl nároky na peníze, byl nechvalně známý applet I Love You, který kompletně zašifroval v uživatelské systémy multimediální soubory (hlavně hudební skladby). Dešifrování souborů po viru ransomware se v té době ukázalo jako nemožné. Nyní se právě s touto hrozbou dá elementárně bojovat.

    Vývoj samotných virů nebo použitých šifrovacích algoritmů však nezůstává stát. Co je mezi viry - zde máte XTBL a CBF a Breaking_Bad a [e-mail chráněný], a hromada dalších keců.

    Metodika ovlivňování uživatelských souborů

    A pokud donedávna byla většina útoků prováděna pomocí algoritmů RSA-1024 založených na AES šifrování se stejnou bitovou hloubkou je dnes stejný šifrovací virus No_more_ransom prezentován v několika interpretacích pomocí šifrovacích klíčů založených na technologiích RSA-2048 a dokonce i RSA-3072.

    Problémy dekódování použitých algoritmů

    Problém je v tom moderní systémy rozluštění tváří v tvář takovému nebezpečí se ukázalo jako bezmocné. Dešifrování souborů po šifrovacím viru založeném na AES256 je stále nějakým způsobem podporováno a s vyšší bitovou rychlostí klíče téměř všichni vývojáři prostě krčí rameny. To mimochodem oficiálně potvrdili specialisté z Kaspersky Lab a Eset.

    V nejprimitivnější verzi je uživatel, který kontaktoval službu podpory, vyzván k odeslání zašifrovaného souboru a jeho originálu pro porovnání a další operace ke stanovení šifrovacího algoritmu a metod obnovy. Ale zpravidla to ve většině případů nefunguje. Šifrovací virus však může dešifrovat soubory sám, jak se věří, za předpokladu, že oběť souhlasí s podmínkami útočníků a zaplatí určitou částku v penězích. Taková formulace otázky však vyvolává oprávněné pochybnosti. A právě proto.

    Šifrovací virus: jak vyléčit a dešifrovat soubory a lze to udělat?

    Údajně po zaplacení hackeři aktivují dešifrování prostřednictvím vzdáleného přístupu ke svému viru, který je uložen v systému, nebo pomocí dodatečného appletu, pokud je tělo viru odstraněno. Vypadá to více než pochybně.

    Rád bych také poznamenal, že internet je plný falešných příspěvků, které uvádějí, že byla podle nich zaplacena požadovaná částka a data byla úspěšně obnovena. Všechno to jsou lži! A pravdou je - kde je záruka, že po zaplacení se šifrovací virus v systému znovu neaktivuje? Není těžké pochopit psychologii zlodějů: když zaplatíte jednou, zaplatíte znovu. A pokud jde o zvláště důležité informace, jako je konkrétní komerční, vědecký nebo vojenský vývoj, vlastníci těchto informací jsou připraveni zaplatit, kolik chtějí, pokud soubory zůstanou v bezpečí.

    První lék na hrozbu

    Taková je povaha ransomwarového viru. Jak vyléčit a dešifrovat soubory po vystavení hrozbě? Ano, v žádném případě, pokud neexistují žádné improvizované prostředky, které také ne vždy pomohou. Ale zkusit to můžeš.

    Předpokládejme, že se v systému objevil ransomware virus. Jak vyléčit infikované soubory? Nejprve byste měli provést hloubkovou kontrolu systému bez použití technologie S.M.A.R.T., která umožňuje detekci hrozeb pouze v případě poškození spouštěcích sektorů a systémových souborů.

    Je vhodné nepoužívat stávající standardní skener, který již hrozbu minul, ale používat přenosné utility. Nejlepší možnost bude bootovat ze záchranného disku Kaspersky, který se může spustit ještě před spuštěním operačního systému.

    Ale to je jen polovina úspěchu, protože tímto způsobem se můžete zbavit pouze samotného viru. S dekodérem to ale bude složitější. Ale o tom později.

    Existuje další kategorie, do které spadají ransomwarové viry. O tom, jak informace dešifrovat, se bude diskutovat samostatně, ale nyní se soustřeďme na to, že mohou v systému zcela otevřeně existovat v podobě oficiálně nainstalované programy a aplikace (arogance útočníků nezná mezí, protože hrozba se ani nesnaží maskovat).

    V tomto případě byste měli použít sekci Programy a funkce, kde se provádí standardní odinstalace. Musíte však věnovat pozornost skutečnosti, že standardní odinstalační program systémů Windows neodstraní úplně všechny programové soubory. Zejména je schopen vytvořit šifrovací virus výkupného vlastní složky v kořenových adresářích systému (obvykle se jedná o adresáře Csrss, kde je a spustitelný soubor csrss.exe). Vybráno jako hlavní místo složky Windows, System32 nebo uživatelské adresáře (Uživatelé na systémové jednotce).

    Kromě toho šifrovací virus No_more_ransom zapisuje své vlastní klíče do registru jako odkaz na oficiální službu Client Server Runtime Subsystem, což mnohé mate, protože tato služba by měla být zodpovědná za interakci mezi klientským a serverovým softwarem. Samotný klíč se nachází ve složce Run, do které se dostanete přes větev HKLM. Je jasné, že takové klíče budete muset smazat ručně.

    Chcete-li to usnadnit, můžete použít nástroje jako iObit Uninstaller to hledání zbytkové soubory a klíčů registru automaticky (ale pouze v případě, že je virus v systému viditelný jako nainstalovaná aplikace). Ale to je nejjednodušší.

    Řešení nabízená vývojáři antivirového softwaru

    Předpokládá se, že dešifrování šifrovacího viru lze provést pomocí speciálních nástrojů, ačkoli pokud existují technologie s klíčem 2048 nebo 3072 bitů, neměli byste se na ně zvlášť spoléhat (kromě toho mnoho z nich po dešifrování odstraní soubory a poté obnovené soubory zmizí v důsledku chyby přítomnost těla viru, které ještě nebylo odstraněno).

    Nicméně zkusit to můžete. Ze všech programů stojí za vyzdvihnutí RectorDecryptor a ShadowExplorer. Věří se, že nic lepšího zatím nebylo vytvořeno. Problém ale může spočívat také v tom, že když se pokusíte použít decryptor, není zaručeno, že vyléčené soubory nebudou smazány. To znamená, že pokud se viru zpočátku nezbavíte, jakýkoli pokus o dešifrování bude odsouzen k neúspěchu.

    Kromě smazání zašifrovaných informací může dojít k fatálnímu výsledku – celý systém bude nefunkční. Moderní ransomware virus navíc může ovlivnit nejen data uložená na pevném disku počítače, ale také soubory v cloudovém úložišti. A neexistují žádná řešení pro obnovu dat. Navíc, jak se ukázalo, v mnoha službách nejsou dostatečně akceptovány účinná opatření ochrana (stejný vestavěný Windows 10 OneDrive, který je ovlivněn přímo z operačního systému).

    Radikální řešení problému

    Jak je již zřejmé, většina moderních metod nedává pozitivní výsledek při infekci takovými viry. Samozřejmě, pokud existuje originál poškozený soubor, lze jej odeslat k vyšetření do antivirové laboratoře. Je pravda, že existují vážné pochybnosti, že běžný uživatel vytvoří záložní kopie dat, která po uložení na pevný disk mohou být také vystavena škodlivému kódu. A o tom, že aby se uživatelé vyhnuli problémům, kopírují informace na vyměnitelná média, vůbec nemluvíme.

    Pro zásadní řešení problému se tedy nabízí závěr: úplné formátování pevného disku a vše logické oddíly s odstraněním informací. Tak co dělat? Pokud nechcete, aby byl virus nebo jeho vlastní uložená kopie v systému znovu aktivována, budete muset přispět.

    K tomu byste neměli používat nástroje samotných systémů Windows (myšleno formátování virtuálních oddílů, protože při pokusu o přístup systémový disk bude zakázáno). Je lepší použít bootování z optických médií jako LiveCD popř instalační rozvody, jako jsou ty vytvořené pomocí nástroje Media Nástroj pro tvorbu pro Windows 10.

    Před zahájením formátování, za předpokladu, že je virus ze systému odstraněn, se můžete pokusit obnovit integritu systémové komponenty přes příkazový řádek(sfc /scannow), ale z hlediska dešifrování a odemykání dat to nebude fungovat. Formát c: je tedy jediný správný. Možné řešení ať se vám to líbí nebo ne. To je jediný způsob, jak se zcela zbavit těchto typů hrozeb. Bohužel, není jiné cesty! Dokonce i léčba standardní prostředky, který nabízí většina antivirových balíčků, se ukazuje jako bezmocný.

    Místo doslovu

    Z hlediska zjevných závěrů lze pouze říci, že jednotná a řešení na jednom místě eliminovat důsledky dopadu takových hrozeb dnes neexistuje (smutné, ale pravdivé - to potvrzuje většina vývojářů antivirového softwaru a odborníků v oblasti kryptografie).

    Zůstává nejasné, proč výskyt algoritmů založených na 1024-, 2048- a 3072-bitovém šifrování prošel těmi, kdo se přímo podílejí na vývoji a implementaci takových technologií? Algoritmus AES256 je dnes skutečně považován za nejslibnější a nejbezpečnější. Oznámení! 256! Tento systém moderní viry, jak se ukazuje, a podrážky nejsou dobré. Co tedy říci o pokusech o dešifrování jejich klíčů?

    Ať je to jak chce, je docela snadné vyhnout se zavedení hrozby do systému. Ve velmi jednoduchá verze by měl zkontrolovat všechny příchozí zprávy s přílohami Outlook programy, Thunderbird a další poštovní klienti antivirus ihned po obdržení a v žádném případě neotevírejte přílohy až do konce kontroly. Při instalaci některých programů byste si také měli pečlivě přečíst návrhy na instalaci dalšího softwaru (obvykle jsou napsány velmi malým písmem nebo maskované jako standardní doplňky, jako jsou aktualizace Flash Player nebo něco jiného). Komponenty médií se nejlépe aktualizují prostřednictvím oficiálních stránek. Jedině tak lze alespoň nějak zabránit pronikání takových hrozeb do vlastního systému. Důsledky mohou být zcela nepředvídatelné, protože viry tohoto typu se okamžitě šíří v místní síti. A pro společnost se takový obrat událostí může změnit ve skutečný kolaps všech podniků.

    Nakonec a Správce systému by neměl sedět nečinně. Softwarovou ochranu v takové situaci je lepší vyloučit. Stejný firewall (firewall) by neměl být software, ale „hardware“ (samozřejmě se souvisejícím softwarem na palubě). A je samozřejmé, že ušetřit na nákupu antivirových balíčků se také nevyplatí. Je lepší koupit licencovaný balíček, než instalovat primitivní programy, které údajně poskytují ochranu v reálném čase pouze před slovy vývojáře.

    A pokud hrozba již pronikla do systému, sled akcí by měl zahrnovat odstranění samotného těla viru a teprve poté pokusy o dešifrování poškozených dat. V ideálním případě úplné formátování (nezapomeňte, ne rychlé s vymazáním obsahu, ale úplné, nejlépe s obnovením nebo nahrazením stávajícího souborový systém, boot sektory a záznamy).

    Krásný den všem, moji milí přátelé a čtenáři mého blogu. Dnes bude téma spíše smutné, protože se bude dotýkat virů. Dovolte mi, abych vám řekl o incidentu, který se nedávno stal v mé práci. Zaměstnanec mi na oddělení zavolal vzrušeným hlasem: "Dimo, virus zašifroval soubory v počítači: co mám teď dělat?". Pak jsem si uvědomil, že pouzdro voní smaženicí, ale nakonec jsem za ní šel.

    Ano. Všechno se ukázalo být smutné. Většina souborů v počítači byla infikována, nebo spíše zašifrována: dokumenty Office, soubory PDF, databáze 1C a mnoho dalších. Obecně platí, že zadek je plný. Pravděpodobně pouze archivy, aplikace a textové dokumenty nebyly ovlivněny (no, a hromada dalších věcí). Všechna tato data změnila svou příponu a také změnila své názvy na něco jako sjd7gy2HjdlVnsjds. identické dokumenty README.txt Upřímně říkají, že váš počítač je infikovaný a že neprovádíte žádnou akci, nic nemažete, nekontrolujete antiviry, jinak se soubory nevrátí.
    Spis také říká, že tito milí lidé budou moci obnovit vše tak, jak to bylo. K tomu musí poslat klíč od dokumentu na svou poštu, kterou obdržíte potřebné pokyny. Nepíšou cenu, ale ve skutečnosti se ukazuje, že náklady na vrácení jsou něco jako 20 000 rublů.

    Stojí vaše data za ty peníze? Jste připraveni zaplatit za odstranění ransomwaru? Pochybuji. co potom dělat? Promluvme si o tom později. Mezitím začneme o všem po pořádku.

    Odkud pochází tento ošklivý šifrovací virus? Vše je zde velmi jednoduché. Jeho lidé vyzvednou přes e-mail. Obvykle tento virus infiltruje organizace. firemní boxy, i když nejen. Vzhledově si to nespletete s kaku, protože nepochází ve formě spamu, ale od skutečně existující seriózní organizace, například jsme dostali dopis od poskytovatele Rostelecom z jejich oficiální pošty.

    Dopis byl docela obyčejný, jako „Nový tarifní plány Pro právnické osoby". V příloze je soubor PDF. A když otevřete tento soubor, otevřete Pandořinu skříňku. Všechny důležité soubory jsou zašifrovány a stanou se jednoduchými slovy do cihly. Navíc antiviry tohle svinstvo hned tak nezachytí.

    Co jsem udělal a co nefungovalo

    Nikdo za to samozřejmě nechtěl dát 20 tisíc, protože informace nestály za tolik a kromě toho kontaktování podvodníků vůbec nepřichází v úvahu. A kromě toho není pravda, že za tuto částku se vám vše odemkne.

    Prošel jsem utilitou drweb cureit a našel virus, ale bylo to málo použitelné, protože i po viru zůstaly soubory zašifrované. Ukázalo se, že odstranění viru je snadné, ale vyrovnat se s následky je již mnohem obtížnější. Dostal jsem se na fóra Doctor Web a Kaspersky a tam jsem našel téma, které jsem potřeboval, a také jsem zjistil, že ani tam, ani tam zatím nepomohou s dešifrováním. Vše bylo silně zašifrováno.

    Ve výsledcích vyhledávání se ale začaly objevovat vyhledávače, které některé společnosti za poplatek dešifrují soubory. No, zaujalo mě to, zvláště když se ukázalo, že společnost je skutečná, skutečně existující. Na svých stránkách nabídli, že zdarma rozluští pět kusů, aby ukázali své schopnosti. Vzal jsem a poslal jsem jim 5 nejdůležitějších souborů podle mého názoru.
    Po nějaké době mi přišla odpověď, že se jim vše podařilo rozluštit a že si ode mě vezmou 22 tisíc za kompletní dekódování. A nechtěli mi dát soubory. Okamžitě jsem předpokládal, že s největší pravděpodobností pracují v tandemu s podvodníky. No, samozřejmě, že byli posláni do pekla.

    • pomocí programů Recuva a RStudio
    • Provozováno různými utilitami
    • No, abych se uklidnil, nemohl jsem si pomoct a nezkusil jsem (ačkoli jsem moc dobře věděl, že to nepomůže) prostě jen marně pro správnou věc. Brad samozřejmě)

    Nic z toho mi nepomohlo. Ale i tak jsem našel cestu ven.\r\n\r\nSamozřejmě, pokud se vám taková situace náhle objeví, pak se podívejte na příponu, kterou jsou soubory šifrovány. Poté přejděte na http://support.kaspersky.ru/viruses/disinfection/10556 a podívejte se, jaká rozšíření jsou uvedena. Pokud je vaše rozšíření na seznamu, použijte tento nástroj.
    Ale ve všech 3 případech, kdy jsem viděl tento ransomware, žádný z těchto nástrojů nepomohl. Konkrétně jsem se setkal s virózou da Vinciho kód A "KLENBA". V prvním případě se změnil název i přípona a ve druhém pouze přípona. Obecně je takových kryptografů celá hromada. Slyším takové bastardy jako xtbl, už žádné výkupné, radši zavolej saul a mnoho dalších.

    Co pomohlo

    Slyšeli jste někdy o stínových kopiích? Když je tedy vytvořen bod obnovení, automaticky se vytvoří stínové kopie vašich souborů. A pokud se s vašimi soubory něco stalo, můžete je vždy vrátit do okamžiku, kdy byl vytvořen bod obnovení. S tím nám pomůže jeden báječný program na obnovu souborů ze stínových kopií.

    Začít stažení a nainstalujte program "Shadow Explorer". Pokud nejnovější verze spadne (to se stane), nainstalujte předchozí.

    Přejděte do Průzkumníka stínů. Jak vidíme, hlavní část programu je podobná průzkumníku, tzn. soubory a složky. Nyní věnujte pozornost levému hornímu rohu. Tam vidíme dopis lokální disk a datum. Toto datum znamená, že všechny odeslané soubory na jednotce C jsou aktuální k danému okamžiku. Mám 30. listopadu. To znamená, že poslední bod obnovení byl vytvořen 30. listopadu.
    Pokud klikneme na rozevírací seznam data, uvidíme, pro která data máme ještě stínové kopie. A pokud kliknete na rozbalovací seznam lokálních disků a vyberete například disk D, tak se nám zobrazí datum, ke kterému máme aktuální soubory. Ale pro disk D body se nevytvářejí automaticky, takže je potřeba tuto věc zaregistrovat v nastavení. Tento velmi snadné.
    Jak vidíte, pokud pro disk C Mám docela čerstvé rande, pak řídit D Poslední bod vznikl téměř před rokem. Tak to uděláme krok za krokem:

    Všechno. Nyní zbývá jen počkat na dokončení exportu. A pak přejdeme do složky, kterou jste si vybrali, a zkontrolujeme všechny soubory z hlediska otevíratelnosti a výkonu. Vše je v pohodě).
    Vím, že se na internetu nabízejí nějaké další metody, utility atd., ale o těch psát nebudu, protože jsem se s tímto problémem setkal již potřetí a ne jednou, nic jiného než stínové kopie mi nepomohlo. Možná mám ale jen smůlu.

    Ale bohužel naposledy bylo možné obnovit pouze ty soubory, které byly na jednotce C, protože ve výchozím nastavení byly body vytvořeny pouze pro jednotku C. V souladu s tím nebyly pro jednotku D žádné stínové kopie. Samozřejmě je také potřeba nezapomínat, k čemu mohou body obnovení vést, takže i na to si dejte pozor.

    A aby se stínové kopie vytvořily pro další pevné disky, potřebujete je také.

    Prevence

    Abyste se vyhnuli problémům s obnovou, musíte udělat prevenci. Chcete-li to provést, musíte dodržovat následující pravidla.

    Mimochodem, kdysi tento virus zašifroval soubory na flash disku, kde byly umístěny naše certifikáty klíče digitálního podpisu. Takže s flash disky buďte také velmi opatrní.

    S pozdravem Dmitrij Kostin.

    Moderní technologie umožňují hackerům neustále zlepšovat způsoby podvodů ve vztahu k běžní uživatelé. K těmto účelům se zpravidla používá virový software, který pronikne do počítače. Šifrovací viry jsou považovány za obzvláště nebezpečné. Hrozba spočívá v tom, že se virus šíří velmi rychle, šifruje soubory (uživatel prostě nemůže otevřít žádný dokument). A pokud je to docela jednoduché, pak je mnohem obtížnější data dešifrovat.

    Co dělat, pokud virus zašifroval soubory ve vašem počítači

    Každý může být napaden ransomwarem, dokonce i uživatelé, kteří mají výkonný antivirový software, nejsou pojištěni. Trojské koně pro šifrování souborů jsou reprezentovány odlišným kódem, který může být nad síly antiviru. Hackerům se dokonce daří takto útočit velké společnosti kteří se nestarali o potřebnou ochranu svých informací. Po „vyzvednutí“ ransomwarového programu online musíte přijmout řadu opatření.

    Hlavními příznaky infekce jsou pomalá práce počítač a změna názvů dokumentů (je vidět na ploše).

    1. Chcete-li zastavit šifrování, restartujte počítač. Je-li povoleno, nepotvrzujte spouštění neznámých programů.
    2. Spusťte antivirus, pokud nebyl napaden ransomwarem.
    3. V některých případech stínové kopie pomohou obnovit informace. Chcete-li je najít, otevřete "Vlastnosti" zašifrovaného dokumentu. Tato metoda pracuje se zašifrovanými daty rozšíření Vault, které má informace na portálu.
    4. Stáhněte si nejnovější anti-crypto virus nástroj. Ty nejúčinnější nabízí společnost Kaspersky Lab.

    Šifrovací viry v roce 2016: příklady

    Při boji s jakýmkoli virový útok je důležité pochopit, že kód se velmi často mění a je doplňován novou ochranu z antivirů. Ochranné programy samozřejmě potřebují nějaký čas, než vývojář aktualizuje databáze. Vybrali jsme nejnebezpečnější šifrovací viry poslední doby.

    Ishtar ransomware

    Ishtar je ransomware, který z uživatele vymáhá peníze. Virus byl zaznamenán na podzim roku 2016 a infikoval obrovské množství počítačů uživatelů z Ruska a řady dalších zemí. Je distribuován pomocí emailové distribuce, která obsahuje přiložené dokumenty (instalátory, dokumenty atd.). Data infikovaná ransomwarem Ishtar mají v názvu předponu „ISHTAR“. Tento proces vytvoří testovací dokument, který uvádí, kam se dostat pro získání hesla. Útočníci za něj požadují od 3 000 do 15 000 rublů.

    Nebezpečí viru Ishtar je v tom, že dnes neexistuje žádný dešifrovač, který by uživatelům pomohl. Společnosti zabývající se antivirovým softwarem potřebují čas na rozluštění celého kódu. Nyní můžete pouze izolovat důležité informace (pokud jsou zvláště důležité) na samostatném médiu a čekat na vydání nástroje schopného dešifrovat dokumenty. Doporučeno přeinstalovat operační systém.

    Neitrino

    Ransomware Neitrino se objevil na internetu v roce 2015. Principem útoku je podobný ostatním virům této kategorie. Změní názvy složek a souborů přidáním „Neitrino“ nebo „Neutrino“. Virus je obtížné dešifrovat - zdaleka ne všichni zástupci antivirových společností to dělají s odkazem na velmi složitý kód. Některým uživatelům může pomoci obnovení stínové kopie. Chcete-li to provést, klikněte pravým tlačítkem myši na zašifrovaný dokument, přejděte na „Vlastnosti“, záložku „Předchozí verze“ a klikněte na „Obnovit“. Nebylo by zbytečné používat bezplatný nástroj od společnosti Kaspersky Lab.

    Peněženka nebo .peněženka.

    Šifrovací virus Wallet se objevil na konci roku 2016. Během procesu infekce změní název dat na "Jméno..peněženka" nebo podobně. Jako většina ransomwarových virů se do systému dostává prostřednictvím e-mailových příloh zaslaných hackery. Vzhledem k tomu, že se hrozba objevila poměrně nedávno, antivirové programy si ji nevšimnou. Po zašifrování vytvoří dokument, ve kterém podvodník specifikuje poštu pro komunikaci. V současné době vývojáři antivirového softwaru pracují na dešifrování kódu ransomwarového viru. [e-mail chráněný] Napadení uživatelé mohou jen čekat. Pokud jsou data důležitá, doporučujeme je uložit externí disk vyčištěním systému.

    Hádanka

    Šifrovací virus Enigma začal na konci dubna 2016 infikovat počítače ruských uživatelů. Využívá model šifrování AES-RSA, který dnes najdeme ve většině ransomwaru. Virus proniká do počítače pomocí skriptu, který si uživatel sám spustí otevíráním souborů z podezřelého emailu. Univerzální lék, jak se vypořádat se šifrou Enigma, stále neexistuje. Uživatelé, kteří mají licenci na antivirus, mohou požádat o pomoc na oficiálních stránkách vývojáře. Byla také nalezena malá "mezera" - Windows UAC. Pokud uživatel klepne na "Ne" v okně, které se objeví během virové infekce, může později obnovit informace pomocí stínových kopií.

    Žula

    Na podzim roku 2016 se na webu objevil nový ransomwarový virus Granit. K infekci dochází podle následujícího scénáře: uživatel spustí instalační program, který infikuje a zašifruje všechna data na PC a připojených discích. Boj s virem je obtížný. Chcete-li odstranit, můžete použít speciální pomůcky od společnosti Kaspersky, ale kód ještě nebyl dešifrován. Pomoci může obnovení předchozích verzí dat. Specialista, který má bohaté zkušenosti, navíc dokáže dešifrovat, ale služba je drahá.

    Tyson

    Nedávno bylo vidět. Jde o rozšíření již známého ransomwaru no_more_ransom, o kterém se můžete dozvědět na našem webu. Dostane se do osobních počítačů z e-mailu. Mnoho podnikových počítačů bylo napadeno. Virus vytváří Textový dokument s pokyny k odemknutí, nabízejícím zaplacení „výkupného“. Nedávno se objevil ransomware Tyson, takže zatím neexistuje žádný odemykací klíč. Jediný způsob, jak obnovit informace, je vrátit se předchozí verze pokud nebyly odstraněny virem. Můžete samozřejmě riskovat převodem peněz na účet uvedený útočníky, ale není zaručeno, že dostanete heslo.

    Spora

    Na začátku roku 2017 se řada uživatelů stala obětí nového ransomwaru Spora. Principem fungování se příliš neliší od svých protějšků, ale může se pochlubit profesionálnějším výkonem: pokyny pro získání hesla jsou lepší, web vypadá hezčí. Vytvořený ransomware Spora v jazyce C využívá kombinaci RSA a AES k šifrování dat obětí. Zpravidla byly napadeny počítače, na kterých se aktivně používá účetní program 1C. Virus ukrývající se pod rouškou jednoduché faktury ve formátu .pdf nutí zaměstnance firmy k jeho spuštění. Zatím nebyl nalezen žádný lék.

    1C.Drop.1

    Tento šifrovací virus pro 1C se objevil v létě 2016 a narušil práci mnoha účetních oddělení. Navrženo speciálně pro počítače, které používají software 1C. Přijetím souboru v e-mailu do PC vyzve vlastníka k aktualizaci programu. Bez ohledu na to, které tlačítko uživatel stiskne, virus začne šifrovat soubory. Specialisté Dr.Web pracují na dešifrovacích nástrojích, ale zatím nebylo nalezeno žádné řešení. To je způsobeno složitým kódem, který může být v několika modifikacích. Jedinou ochranou proti 1C.Drop.1 je ostražitost uživatelů a pravidelná archivace důležitých dokumentů.

    da_vinci_code

    Nový ransomware s neobvyklým názvem. Virus se objevil na jaře 2016. Od svých předchůdců se liší vylepšeným kódem a silným režimem šifrování. da_vinci_code infikuje počítač díky spustitelné aplikaci (obvykle připojené k e-mailu), kterou uživatel samostatně spustí. Da Vinciho šifra (da Vinciho kód) zkopíruje tělo do systémového adresáře a registru automatický start na zapnutí Windows. Počítači každé oběti je přiděleno jedinečné ID (pomáhá získat heslo). Dešifrování dat je téměř nemožné. Útočníkům můžete platit peníze, ale nikdo vám nezaručí, že dostanete heslo.

    [e-mail chráněný] / [e-mail chráněný]

    Dvě e-mailové adresy, které v roce 2016 často doprovázely ransomware. Slouží ke spojení oběti s útočníkem. V příloze byly adresy nejvíce odlišné typy viry: da_vinci_code, no_more_ransom a tak dále. Důrazně se nedoporučuje kontaktovat podvodníky a převádět peníze. Uživatelé ve většině případů zůstávají bez hesla. To ukazuje, že útočníci ransomware funguje a generují příjem.

    Perníkový táta

    Objevil se na začátku roku 2015, ale aktivně se rozšířil až o rok později. Princip infekce je shodný s jiným ransomwarem: instalace souboru z emailu, šifrování dat. Konvenční antiviry si virus Breaking Bad obvykle nevšimnou. Některé kódy nemohou obejít Windows UAC, takže uživatel je stále schopen obnovit předchozí verze dokumentů. Dekodér dosud nepředstavila žádná společnost vyvíjející antivirový software.

    XTBL

    Velmi běžný ransomware, který způsobil potíže mnoha uživatelům. Jakmile je virus na PC, změní příponu souboru na .xtbl během několika minut. Vytvoří se dokument, ve kterém útočník vydírá hotovost. Některé kmeny viru XTBL nemohou zničit soubory obnovení systému, což umožňuje obnovení důležitých dokumentů. Samotný virus lze odstranit mnoha programy, ale dešifrování dokumentů je velmi obtížné. Pokud je vlastníkem licencovaný antivirus, využijte technickou podporu připojením vzorků infikovaných dat.

    Kukaracha

    Šifra Kukaracha byla spatřena v prosinci 2016. Virus se zajímavým názvem skrývá uživatelské soubory pomocí algoritmu RSA-2048, který je vysoce odolný. antivirus Kaspersky označil ho jako Trojan-Ransom.Win32.Scatter.lb. Kukaracha lze z počítače odstranit, aby nebyly infikovány další dokumenty. Infikované je však dnes téměř nemožné dešifrovat (velmi výkonný algoritmus).

    Jak funguje ransomware

    Existuje obrovské množství ransomwaru, ale všechny fungují na podobném principu.

    1. Udeř Osobní počítač. Zpravidla díky přiloženému souboru k e-mailu. Instalaci zahájí uživatel sám otevřením dokumentu.
    2. Infekce souboru. Téměř všechny typy souborů jsou šifrovány (v závislosti na viru). Vytvoří se textový dokument, který obsahuje kontakty pro komunikaci s narušiteli.
    3. Všechno. Uživatel nemá přístup k žádnému dokumentu.

    Léky z populárních laboratoří

    Široké používání ransomwaru, který je považován za nejnebezpečnější hrozbu pro uživatelská data, se stalo impulsem pro mnohé antivirové laboratoře. Každá populární společnost poskytuje svým uživatelům programy, které jim pomáhají bojovat proti ransomwaru. Řada z nich navíc pomáhá s dešifrováním dokumentů chráněných systémem.

    Kaspersky a šifrovací viry

    Jedna z nejznámějších antivirových laboratoří v Rusku a ve světě dnes nabízí nejúčinnější prostředky pro boj s ransomwarovými viry. Kaspersky se stane první překážkou pro virus ransomware Zabezpečení koncového bodu 10 s poslední aktualizace. Antivirus jednoduše nedovolí hrozbě vstoupit do počítače (nové verze však nemusí být zastaveny). K dešifrování informací vývojář představuje několik bezplatných nástrojů najednou: XoristDecryptor, RakhniDecryptor a Ransomware Decryptor. Pomáhají najít virus a získat heslo.

    Dr. Web a ransomware

    Tato laboratoř doporučuje používat jejich antivirový program, hlavní rys což byla záloha souboru. Úložiště s kopiemi dokumentů je také chráněno před neoprávněným přístupem narušitelů. Majitelé licencovaného produktu Dr. Web, funkce volání o pomoc je k dispozici v technická podpora. Je pravda, že ani zkušení specialisté nemohou tomuto typu hrozby vždy odolat.

    ESET Nod 32 a ransomware

    Stranou nezůstala ani tato společnost, která svým uživatelům poskytuje dobrou ochranu před viry pronikajícími do počítače. Laboratoř navíc nedávno vydala bezplatnou utilitu s aktuálními databázemi – Eset Crysis Decryptor. Vývojáři tvrdí, že pomůže v boji i proti nejnovějšímu ransomwaru.

    Počet virů v jejich obvyklém smyslu je stále méně a méně a důvodem jsou bezplatné antiviry, které dobře fungují a chrání počítače uživatelů. Ne každý se přitom stará o bezpečnost svých dat a riskuje, že se nakazí nejen malwarem, ale i standardními viry, mezi nimiž je i nadále nejčastější trojský kůň. Může se projevovat mnoha způsoby, ale jedním z nejnebezpečnějších je šifrování souborů. Pokud virus zašifroval soubory v počítači, vrácení dat není skutečnost, která bude fungovat, ale některé efektivní metody jsou přítomny a bude o nich pojednáno níže.

    Šifrovací virus: co to je a jak funguje

    Na webu jsou stovky typů virů, které šifrují soubory. Jejich akce vede k jednomu důsledku - data uživatele v počítači obdrží neznámý formát, který nelze otevřít pomocí standardní programy. Zde jsou jen některé z formátů, do kterých lze v důsledku působení virů šifrovat data v počítači: .locked, .xtbl, .kraken, .cbf, .oshit a mnoho dalších. V některých případech je přípona souboru zapsána přímo emailová adresa tvůrci viru.

    Mezi nejběžnější viry, které šifrují soubory, patří Trojan-Ransom.Win32.Aura A Trojan-Ransom.Win32.Rakhni. Mají mnoho podob a virus se možná ani nedá nazvat trojským koněm (například CryptoLocker), ale jejich akce je prakticky stejná. Nové verze šifrovacích virů jsou vydávány pravidelně, aby bylo pro vývojáře antivirového softwaru těžší vypořádat se s novými formáty.

    Pokud do počítače pronikl šifrovací virus, pak se to rozhodně projeví nejen blokováním souborů, ale i tím, že uživateli nabídne jejich odemčení za poplatek. Na obrazovce se může objevit banner, který říká, kam musíte převést peníze, abyste odemkli soubory. Když se takový banner nezobrazí, měli byste na ploše vyhledat „dopis“ od vývojářů viru, takový soubor se ve většině případů nazývá ReadMe.txt.

    V závislosti na vývojářích viru se sazby za dešifrování souborů mohou lišit. Zdaleka přitom neplatí, že při posílání peněz tvůrcům viru pošlou zpět metodu odemknutí. Ve většině případů jdou peníze „nikam“ a uživatel počítače nedostane metodu dešifrování.

    Poté, co je virus na vašem počítači a na obrazovce uvidíte kód, který musíte odeslat na konkrétní adresu, abyste získali decryptor, neměli byste to dělat. Prvním krokem je zapsat si tento kód na kus papíru, protože nově vytvořený soubor může být také zašifrován. Poté můžete zavřít informace od vývojářů viru a pokusit se najít na internetu způsob, jak se zbavit šifrovače souborů ve vašem konkrétní případ. Níže uvádíme hlavní programy, které vám umožňují odstranit virus a dešifrovat soubory, ale nelze je nazvat univerzálními a tvůrci antivirového softwaru pravidelně rozšiřují seznam řešení.

    Zbavit se viru, který šifruje soubory, je s pomocí bezplatných verzí antivirů poměrně jednoduché. 3 bezplatné programy si dobře poradí s viry, které šifrují soubory:

    • Malwarebytes Antimalware;
    • Dr. Web Cure It;
    • Kaspersky Internet Security.

    Výše uvedené aplikace jsou zcela zdarma nebo mají zkušební verze. Po kontrole systému doporučujeme použít řešení od Dr.Web nebo Kespersky pomoci Malwarebytes antimalware. Ještě jednou připomínáme, že se nedoporučuje instalovat na počítač 2 a více antivirů současně, proto před instalací každého nového řešení musíte odinstalovat to předchozí.

    Jak jsme uvedli výše, ideální řešení problémy v této situaci bude výběr pokynů, které vám umožní konkrétně se vypořádat s vaším problémem. Takové pokyny jsou nejčastěji zveřejňovány na webových stránkách vývojářů antivirů. Níže uvádíme několik aktuálních antivirových nástrojů, se kterými se můžete vypořádat různé typy Trojské koně a další typy ransomwaru.


    Výše uvedené je pouze malá část antivirových nástrojů, které umožňují dešifrovat infikované soubory. Stojí za zmínku, že pokud se pokusíte jednoduše vrátit data, naopak budou navždy ztraceni - neměli byste to dělat.

    Kryptografové (krypto-lockery) znamenají rodinu malware, které pomocí různých šifrovacích algoritmů blokují přístup uživatelů k souborům na počítači (známé například cbf, chipdale, just, foxmail inbox com, watnik91 aol com atd.).

    Virus obvykle šifruje oblíbené typy vlastní soubory: dokumenty, tabulky, databáze 1C, libovolná datová pole, fotografie atd. Dešifrování souborů je nabízeno za peníze – tvůrci po vás vyžadují převod určité částky, obvykle v bitcoinech. A pokud organizace nepřijala náležitá opatření k zajištění bezpečnosti důležitých informací, může být předání požadované částky útočníkům jediným způsobem, jak obnovit výkonnost společnosti.

    Ve většině případů se virus šíří prostřednictvím e-mailu, maskovaného jako docela obyčejné dopisy: oznámení z finančního úřadu, úkony a smlouvy, informace o nákupech atd. Stažením a otevřením takového souboru uživatel, aniž by si to uvědomoval, spustí Škodlivý kód. Virus postupně zašifruje potřebné soubory a také odstraní původní instance pomocí zaručených metod zničení (takže uživatel nemůže obnovit nedávno smazané soubory pomocí speciálních nástrojů).

    Moderní ransomware

    Ransomware a další viry, které blokují přístup uživatelů k datům, nejsou nový problém PROTI informační bezpečnost. První verze se objevily již v 90. letech, ale používaly hlavně buď „slabé“ (nestabilní algoritmy, malá velikost klíče) resp. symetrické šifrování(soubory velkého počtu obětí byly zašifrovány jedním klíčem, bylo také možné získat klíč studiem virového kódu), nebo dokonce přijít s vlastními algoritmy. Moderní instance takové nedostatky nemají, útočníci používají hybridní šifrování: pomocí symetrických algoritmů je obsah souborů šifrován velmi vysoká rychlost a šifrovací klíč je zašifrován a symetrický algoritmus. To znamená, že k dešifrování souborů potřebujete klíč, který vlastní pouze útočník zdrojový kód program nelze najít. Používá například CryptoLocker Algoritmus RSA s délkou klíče 2048 bitů v kombinaci se symetrickým algoritmem AES s délkou klíče 256 bitů. Tyto algoritmy jsou v současnosti uznávány jako kryptoodolné.

    Počítač je napaden virem. Co dělat?

    Je třeba mít na paměti, že ačkoli šifrovací viry používají moderní šifrovací algoritmy, nejsou schopny okamžitě zašifrovat všechny soubory v počítači. Šifrování probíhá sekvenčně, rychlost závisí na velikosti šifrovaných souborů. Pokud tedy v průběhu práce zjistíte, že se obvyklé soubory a programy přestaly správně otevírat, měli byste okamžitě přestat pracovat na počítači a vypnout jej. Některé soubory tak můžete chránit před šifrováním.

    Jakmile narazíte na problém, prvním krokem je zbavit se samotného viru. Nebudeme se tím podrobně zabývat, stačí zkusit vyléčit počítač pomocí antivirových programů nebo odstranit virus ručně. Za zmínku stojí pouze to, že virus se po dokončení šifrovacího algoritmu často sám zničí, což znesnadňuje dešifrování souborů, aniž by se museli uchýlit k pomoci vetřelcům. V tomto případě nemusí antivirový program nic detekovat.

    Hlavní otázkou je, jak obnovit zašifrovaná data? Obnovení souborů po viru ransomware je bohužel téměř nemožné. alespoň záruka plné zotavení data v případě úspěšné infekce nikdo nebude. Mnoho výrobců antivirových nástrojů nabízí pomoc při dešifrování souborů. Chcete-li to provést, musíte odeslat zašifrovaný soubor a Dodatečné informace(soubor s kontakty narušitelů, veřejný klíč) přes speciální tvary zveřejněny na stránkách výrobců. Je malá šance, že našli způsob, jak se vypořádat s konkrétním virem a vaše soubory budou úspěšně dešifrovány.

    Zkuste použít nástroje pro obnovení smazané soubory. Je možné, že virus nepoužil zaručené metody zničení a některé soubory lze obnovit (toto může pracovat zejména se soubory velká velikost například se soubory o velikosti několika desítek gigabajtů). Existuje také možnost obnovit soubory ze stínových kopií. Při použití funkcí obnovy Systémy Windows vytváří snímky ("snímky"), které mohou obsahovat data souboru v době vytvoření bodu obnovení.

    Pokud byla vaše data zašifrována v cloudové služby, kontaktujte technickou podporu nebo prozkoumejte možnosti služby, kterou používáte: ve většině případů služby poskytují funkci „vrácení zpět“ k předchozím verzím souborů, takže je lze obnovit.

    Co důrazně nedoporučujeme dělat, je následovat ransomware a platit za dešifrování. Byly případy, kdy lidé dali peníze, ale nedostali klíče. Nikdo nezaručuje, že útočníci po obdržení peněz skutečně pošlou šifrovací klíč a vy budete moci soubory obnovit.

    Jak se chránit před virem ransomware. Preventivní opatření

    Je snazší předejít nebezpečným následkům, než je napravit:

    • Používejte spolehlivé antivirová činidla a pravidelně aktualizovat antivirové databáze. Zní to banálně, ale výrazně to sníží šance na úspěšné zavlečení viru do vašeho počítače.
    • Uchovávejte záložní kopie svých dat.

    Nejlepší způsob, jak toho dosáhnout, jsou specializované nástroje pro zálohování. Většina cryptolockerů dokáže šifrovat i zálohy, takže má smysl ukládat zálohy na jiných počítačích (například na serverech) nebo na odcizených médiích.

    Omezit oprávnění k úpravě souborů ve složkách pomocí zálohy, umožňující pouze připojení. Kromě následků ransomwaru neutralizují záložní systémy mnoho dalších hrozeb spojených se ztrátou dat. Šíření viru opět ukazuje relevanci a důležitost používání takových systémů. Obnova dat je mnohem jednodušší než dešifrování!

    Další efektivní způsob Bojem je omezení spouštění některých potenciálně nebezpečných typů souborů, například s příponami .js, .cmd, .bat, .vba, .ps1 atd. To lze provést pomocí nástroje AppLocker (v edicích Enterprise) nebo zásady SRP je centralizováno v doméně. Na webu je jich poměrně dost podrobné návody, jak to udělat. Ve většině případů uživatel nemusí používat výše zmíněné soubory skriptů a ransomware bude mít menší šanci na úspěšnou implementaci.

    • Buď opatrný.

    Všímavost je jedna z nejvíce efektivní metody prevence hrozeb. Buďte podezřívaví ke každému e-mailu, který obdržíte od neznámých lidí. S otevíráním všech příloh nespěchejte, v případě pochybností je lepší kontaktovat správce s dotazem.

    Alexandr Vlasov, vrchní inženýr oddělení implementace systémů informační bezpečnosti společnosti "SKB Kontur"

    Přečtěte si více: