• ویروس تمام dr web را رمزگذاری کرد. عواقب کلی نفوذ همه ویروس ها از این نوع. یک راه حل ریشه ای برای مشکل

    این واقعیت که اینترنت پر از ویروس است، امروز هیچ کس را شگفت زده نمی کند. بسیاری از کاربران موقعیت‌های مربوط به تأثیر آن‌ها بر سیستم‌ها یا داده‌های شخصی را درک می‌کنند، به بیان ملایم، از میان انگشتان خود نگاه می‌کنند، اما فقط تا زمانی که یک ویروس رمزگذاری به طور خاص در سیستم مستقر شود. اکثر کاربران عادی نمی دانند چگونه داده های ذخیره شده روی هارد دیسک را درمان و رمزگشایی کنند. بنابراین، این گروه به خواسته هایی که توسط مزاحمان مطرح می شود، «رهنمون» می شود. اما بیایید ببینیم در صورت شناسایی چنین تهدیدی یا جلوگیری از نفوذ آن به سیستم چه کاری می توان انجام داد.

    ویروس باج افزار چیست؟

    این نوع تهدید از الگوریتم های رمزگذاری فایل های استاندارد و غیر استاندارد استفاده می کند که محتوای آن ها را به طور کامل تغییر می دهد و دسترسی را مسدود می کند. به عنوان مثال، باز کردن یک فایل متنی رمزگذاری شده برای خواندن یا ویرایش، و همچنین پخش محتوای چندرسانه ای (گرافیک، ویدئو یا صدا)، پس از قرار گرفتن در معرض ویروس، کاملا غیرممکن خواهد بود. حتی اقدامات استاندارد برای کپی یا جابجایی اشیا در دسترس نیست.

    پر کردن نرم افزار ویروس خود ابزاری است که داده ها را به گونه ای رمزگذاری می کند که قابل بازیابی باشد حالت اولیهحتی پس از حذف تهدید از سیستم، همیشه امکان پذیر نیست. به طور معمول، چنین برنامه های مخرب کپی هایی از خود ایجاد می کنند و در سیستم بسیار عمیق قرار می گیرند، بنابراین حذف ویروس رمزگذار فایل می تواند کاملاً غیرممکن باشد. با حذف برنامه اصلی یا حذف بدنه اصلی ویروس، کاربر از تأثیر تهدید خلاص نمی شود، نه اینکه به بازیابی اطلاعات رمزگذاری شده اشاره کنیم.

    تهدید چگونه وارد سیستم می شود؟

    به عنوان یک قاعده، تهدیدهایی از این نوع عمدتاً ساختارهای تجاری بزرگ را هدف قرار می دهند و می توانند از طریق رایانه ها نفوذ کنند. برنامه های ایمیل، هنگامی که یک کارمند یک سند ظاهراً پیوست شده را در یک ایمیل باز می کند، که مثلاً افزوده ای به نوعی قرارداد همکاری یا یک طرح عرضه محصول است (پیشنهادات تجاری با پیوست هایی از منابع مشکوک اولین راه برای ویروس است) .

    مشکل این است که ویروس باج افزار در دستگاهی که به آن دسترسی دارد شبکه محلی، می تواند با آن سازگار شود و نسخه های خود را نه تنها در محیط شبکه، بلکه در ترمینال مدیر نیز ایجاد کند، در صورتی که ندارد. بودجه لازممحافظت در قالب نرم افزار ضد ویروس، فایروال یا فایروال.

    گاهی اوقات چنین تهدیدهایی می توانند به داخل نفوذ کنند سیستم های کامپیوتریکاربران عادی، که به طور کلی هیچ علاقه ای برای مهاجمان ندارند. این در زمان نصب برخی از برنامه های دانلود شده از منابع اینترنتی مشکوک اتفاق می افتد. بسیاری از کاربران هنگام شروع دانلود، هشدارها را نادیده می گیرند. سیستم آنتی ویروسمحافظت می کند و در طول مراحل نصب به پیشنهادات نصب نرم افزار، پنل یا افزونه اضافی برای مرورگرها توجه نمی کنند و سپس به قول خودشان آرنج خود را گاز می گیرند.

    انواع ویروس ها و کمی تاریخ

    اساسا، تهدیدات از این نوع، به ویژه بیشتر ویروس خطرناک باج افزار No_more_ransom، نه تنها به عنوان ابزاری برای رمزگذاری داده ها یا مسدود کردن دسترسی به آن طبقه بندی می شوند. در واقع، تمام این برنامه های مخرب در دسته باج افزارها قرار می گیرند. به عبارت دیگر، مهاجمان برای رمزگشایی اطلاعات پاداش معینی را طلب می کنند و معتقدند که بدون برنامه اولیه برای تولید این فرآیندغیر ممکن خواهد بود. تا حدی هم همینطور است.

    اما، اگر به تاریخ کاوش کنید، می‌بینید که یکی از اولین ویروس‌های این نوع، اگرچه درخواستی برای پول ایجاد نکرد، اپلت بدنام I Love You بود که به طور کامل رمزگذاری شده بود. سیستم های کاربرفایل های چند رسانه ای (عمدتا آهنگ های موسیقی). رمزگشایی فایل ها پس از ویروس باج افزار در آن زمان غیرممکن بود. اکنون دقیقاً با این تهدید است که می توان به طور ابتدایی مبارزه کرد.

    اما توسعه خود ویروس ها یا الگوریتم های رمزگذاری مورد استفاده ثابت نمی ماند. چه چیزی در بین ویروس ها وجود دارد - در اینجا شما XTBL، و CBF، و Breaking_Bad، و [ایمیل محافظت شده]، و یک سری مزخرفات دیگر.

    روش‌شناسی برای تأثیرگذاری بر فایل‌های کاربر

    و اگر تا همین اواخر بیشتر حملات با استفاده از الگوریتم های RSA-1024 بر اساس انجام می شد رمزگذاری AESبا همان عمق بیت، همان ویروس رمزگذاری No_more_ransom امروز در چندین تفسیر با استفاده از کلیدهای رمزگذاری مبتنی بر فناوری‌های RSA-2048 و حتی RSA-3072 ارائه می‌شود.

    مشکلات رمزگشایی الگوریتم های مورد استفاده

    مشکل اینجاست سیستم های مدرنرمزگشایی در مواجهه با چنین خطری ناتوان بود. رمزگشایی فایل پس از یک ویروس رمزگذاری مبتنی بر AES256 هنوز به نوعی پشتیبانی می شود و با نرخ بیت کلید بالاتر، تقریباً همه توسعه دهندگان به سادگی شانه خالی می کنند. این، به هر حال، به طور رسمی توسط متخصصان آزمایشگاه کسپرسکی و Eset تایید شد.

    در ابتدایی‌ترین نسخه، از کاربری که با خدمات پشتیبانی تماس گرفته است، دعوت می‌شود تا یک فایل رمزگذاری شده و اصلی آن را برای مقایسه و عملیات بعدی برای تعیین الگوریتم رمزگذاری و روش‌های بازیابی ارسال کند. اما، به عنوان یک قاعده، در بیشتر موارد این کار نمی کند. اما ویروس رمزگذاری می تواند خود فایل ها را رمزگشایی کند، همانطور که اعتقاد بر این است، به شرطی که قربانی با شرایط مهاجمان موافقت کند و مبلغ مشخصی را به صورت پولی بپردازد. با این حال، چنین صورت بندی سؤال، تردیدهای موجهی را ایجاد می کند. و به همین دلیل.

    ویروس رمزگذاری: چگونه فایل ها را درمان و رمزگشایی کنیم و آیا می توان آن را انجام داد؟

    گفته می شود، پس از پرداخت، هکرها رمزگشایی را از طریق دسترسی از راه دور به ویروس خود که در سیستم قرار دارد، یا از طریق یک اپلت اضافی در صورت حذف بدنه ویروس، فعال می کنند. بیش از حد مشکوک به نظر می رسد.

    همچنین می خواهم به این واقعیت توجه کنم که اینترنت پر از پست های جعلی است که می گویند، مبلغ مورد نیاز پرداخت شده است و داده ها با موفقیت بازیابی شده اند. همه اش دروغ است! و حقیقت این است - تضمین اینکه پس از پرداخت، ویروس رمزگذاری در سیستم دوباره فعال نشود، کجاست؟ درک روانشناسی سارقان دشوار نیست: اگر یک بار پرداخت کنید، دوباره پرداخت خواهید کرد. و هنگامی که صحبت از اطلاعات بسیار مهم، مانند پیشرفت‌های خاص تجاری، علمی یا نظامی می‌شود، صاحبان چنین اطلاعاتی آماده هستند تا زمانی که فایل‌ها سالم و سالم باقی می‌مانند، هر چقدر که دوست دارند، پرداخت کنند.

    اولین راه حل برای تهدید

    طبیعت یک ویروس باج افزار چنین است. چگونه فایل ها را پس از قرار گرفتن در معرض تهدید درمان و رمزگشایی کنیم؟ بله، به هیچ وجه، اگر وسایل بداهه ای وجود نداشته باشد، که همچنین همیشه کمک نمی کند. اما می توانید امتحان کنید.

    بیایید فرض کنیم که یک ویروس باج افزار در سیستم ظاهر شده است. چگونه فایل های آلوده را درمان کنیم؟ برای شروع، شما باید یک اسکن عمیق سیستم را بدون استفاده از فناوری S.M.A.R.T انجام دهید، که تنها زمانی که بخش های بوت و فایل های سیستم آسیب دیده اند، تهدیدات را شناسایی می کند.

    توصیه می شود از اسکنر استاندارد موجود که قبلاً تهدید را از دست داده است استفاده نکنید، بلکه از ابزارهای قابل حمل استفاده کنید. بهترین گزینهاز دیسک نجات کسپرسکی بوت می شود که می تواند حتی قبل از شروع سیستم عامل شروع شود.

    اما این تنها نیمی از نبرد است، زیرا از این طریق فقط می توانید از شر خود ویروس خلاص شوید. اما با رمزگشا دشوارتر خواهد بود. اما در ادامه بیشتر در مورد آن.

    دسته دیگری نیز وجود دارد که ویروس های باج افزار در آن قرار می گیرند. نحوه رمزگشایی اطلاعات به طور جداگانه مورد بحث قرار خواهد گرفت، اما در حال حاضر اجازه دهید بر این واقعیت تمرکز کنیم که آنها می توانند کاملاً آشکارا در سیستم به شکل رسمی وجود داشته باشند. برنامه های نصب شدهو برنامه های کاربردی (غرور مهاجمان هیچ حد و مرزی نمی شناسد، زیرا تهدید حتی سعی نمی کند خود را پنهان کند).

    در این حالت باید از قسمت Programs and Features استفاده کنید که در آن حذف نصب استاندارد انجام می شود. با این حال، باید به این نکته توجه کنید که حذف کننده استاندارد سیستم های ویندوز، تمام فایل های برنامه را به طور کامل حذف نمی کند. به ویژه، ویروس رمزگذاری باج قادر به ایجاد است پوشه های خوددر دایرکتوری های ریشه سیستم (معمولاً این ها دایرکتوری های Csrss هستند، جایی که یک وجود دارد فایل اجرایی csrss.exe). به عنوان مکان اصلی انتخاب شده است پوشه های ویندوز، System32 یا دایرکتوری های کاربر (کاربران در درایو سیستم).

    علاوه بر این، ویروس رمزگذار No_more_ransom کلیدهای خود را در رجیستری به عنوان پیوندی به سرویس رسمی Client Server Runtime Subsystem می‌نویسد، که بسیاری را سردرگم می‌کند، زیرا این سرویس باید مسئول تعامل بین نرم‌افزار مشتری و سرور باشد. خود کلید در پوشه Run قرار دارد که از طریق شاخه HKLM قابل دسترسی است. واضح است که باید چنین کلیدهایی را به صورت دستی حذف کنید.

    برای سهولت در کار، می توانید از ابزارهایی مانند iObit Uninstallerآن جستجو فایل های باقی ماندهو کلیدهای رجیستری به طور خودکار (اما فقط در صورتی که ویروس در سیستم به عنوان یک برنامه نصب شده قابل مشاهده باشد). اما این ساده ترین کار است.

    راه حل های ارائه شده توسط توسعه دهندگان نرم افزار آنتی ویروس

    اعتقاد بر این است که رمزگشایی ویروس رمزگذاری را می توان با استفاده از ابزارهای ویژه انجام داد، اگرچه اگر فناوری هایی با کلید 2048 یا 3072 بیتی وجود دارد، نباید به طور خاص به آنها اعتماد کنید (علاوه بر این، بسیاری از آنها پس از رمزگشایی فایل ها را حذف می کنند و سپس بازیابی می شوند. فایل ها به دلیل وجود یک بدن ویروس که هنوز حذف نشده است ناپدید می شوند).

    با این حال، می توانید امتحان کنید. از بین همه برنامه ها، ارزش برجسته کردن RectorDecryptor و ShadowExplorer را دارد. اعتقاد بر این است که هنوز هیچ چیز بهتری ایجاد نشده است. اما مشکل ممکن است در این واقعیت نیز باشد که وقتی می‌خواهید از رمزگشا استفاده کنید، هیچ تضمینی وجود ندارد که فایل‌های درمان شده حذف نشوند. یعنی اگر در ابتدا از شر ویروس خلاص نشوید، هرگونه تلاش برای رمزگشایی محکوم به شکست خواهد بود.

    علاوه بر حذف اطلاعات رمزگذاری شده، ممکن است یک نتیجه کشنده نیز وجود داشته باشد - کل سیستم غیر قابل اجرا خواهد بود. علاوه بر این، یک ویروس باج‌افزار مدرن نه تنها می‌تواند بر روی داده‌های ذخیره‌شده در هارد دیسک رایانه، بلکه بر فایل‌های ذخیره‌سازی ابری نیز تأثیر بگذارد. و هیچ راه حلی برای بازیابی اطلاعات وجود ندارد. علاوه بر این، همانطور که معلوم شد، در بسیاری از خدمات به اندازه کافی پذیرفته نشده است اقدامات موثرمحافظت (همان Windows 10 OneDrive داخلی که مستقیماً از سیستم عامل تحت تأثیر قرار می گیرد).

    یک راه حل ریشه ای برای مشکل

    همانطور که قبلاً مشخص است ، اکثر روشهای مدرن هنگام آلوده شدن به چنین ویروس هایی نتیجه مثبتی نمی دهند. البته در صورت وجود اصل فایل آسیب دیده، می توان آن را برای بررسی به آزمایشگاه آنتی ویروس فرستاد. درست است، تردیدهای جدی وجود دارد که یک کاربر معمولی نسخه های پشتیبان از داده هایی ایجاد کند که وقتی روی هارد دیسک ذخیره می شوند، می توانند در معرض کدهای مخرب نیز قرار گیرند. و این واقعیت که برای جلوگیری از مشکل، کاربران اطلاعات را در رسانه های قابل جابجایی کپی می کنند، ما اصلاً صحبت نمی کنیم.

    بنابراین، برای یک راه حل اساسی برای مشکل، نتیجه گیری خود را نشان می دهد: قالب بندی کامل هارد دیسک و همه پارتیشن های منطقیبا حذف اطلاعات خوب چه کار کنیم؟ اگر نمی‌خواهید ویروس یا نسخه ذخیره‌شده آن دوباره در سیستم فعال شود، باید کمک مالی کنید.

    برای این کار نباید از ابزارهای خود سیستم های ویندوز (منظور قالب بندی پارتیشن های مجازی است، زیرا وقتی می خواهید دسترسی داشته باشید درایو سیستمممنوع خواهد شد). بهتر است از بوت شدن از رسانه های نوری مانند LiveCD یا توزیع های نصب، مانند مواردی که با ابزار Media ایجاد شده اند ابزار ایجادبرای ویندوز 10

    قبل از شروع قالب بندی، به شرط حذف ویروس از سیستم، می توانید سعی کنید یکپارچگی را بازیابی کنید اجزای سیستماز طریق خط فرمان(sfc /scannow)، اما از نظر رمزگشایی و باز کردن قفل داده ها، این کار نمی کند. بنابراین فرمت c: تنها فرمت صحیح است. راه حل ممکنچه دوست داشته باشی چه نه. این تنها راه خلاصی کامل از این نوع تهدیدات است. افسوس که راه دیگری نیست! حتی درمان به معنی استاندارد، که توسط اکثر بسته های آنتی ویروس ارائه می شود، ظاهراً بی قدرت است.

    به جای حرف آخر

    از نظر نتیجه گیری بدیهی، فقط می توان گفت که یکپارچه و راه حل یک مرحله ایبرای از بین بردن عواقب تأثیر چنین تهدیداتی امروزه وجود ندارد (غم انگیز است، اما درست است - این توسط اکثر توسعه دهندگان نرم افزار ضد ویروس و کارشناسان در زمینه رمزنگاری تأیید شده است).

    هنوز مشخص نیست که چرا ظهور الگوریتم‌های مبتنی بر رمزگذاری 1024، 2048 و 3072 بیتی توسط کسانی که مستقیماً در توسعه و پیاده‌سازی چنین فناوری‌هایی دخیل هستند، عبور کرده است؟ در واقع، امروزه الگوریتم AES256 امیدوارکننده ترین و امن ترین در نظر گرفته می شود. اطلاع! 256! این سیستم ویروس های مدرنهمانطور که معلوم است و کف آن خوب نیست. پس در مورد تلاش برای رمزگشایی کلیدهای آنها چه باید گفت؟

    به هر حال، جلوگیری از وارد کردن یک تهدید به سیستم بسیار آسان است. در بسیار نسخه سادهباید همه پیام‌های دریافتی را با پیوست‌ها بررسی کنید برنامه های چشم انداز، تاندربرد و دیگران مشتریان پست الکترونیکیآنتی ویروس بلافاصله پس از دریافت و به هیچ وجه فایل های پیوست را تا پایان اسکن باز نکنید. همچنین هنگام نصب برخی از برنامه ها باید پیشنهادات نصب نرم افزارهای اضافی را با دقت مطالعه کنید (معمولاً آنها بسیار نوشته می شوند چاپ کوچکیا به عنوان افزونه های استاندارد مانند به روز رسانی مبدل شده است فلش پلیریا چیز دیگری). اجزای رسانه بهتر است از طریق سایت های رسمی به روز شوند. این تنها راهی است که می توانید حداقل به نحوی از نفوذ چنین تهدیداتی به سیستم خود جلوگیری کنید. با توجه به اینکه ویروس هایی از این نوع فوراً در شبکه محلی پخش می شوند، عواقب آن می تواند کاملاً غیرقابل پیش بینی باشد. و برای شرکت، چنین چرخشی از رویدادها می تواند به یک فروپاشی واقعی همه تعهدات تبدیل شود.

    در نهایت، و مدیر سیستمنباید بیکار بنشیند حفاظت از نرم افزار در چنین شرایطی بهتر است حذف شود. همان فایروال (دیوار آتش) نباید نرم‌افزاری باشد، بلکه باید «سخت‌افزار» باشد (به‌طور طبیعی، با نرم‌افزارهای مرتبط روی برد). و، ناگفته نماند که صرفه جویی در خرید بسته های آنتی ویروس نیز ارزش آن را ندارد. بهتر است به جای نصب برنامه های بدوی که ظاهراً فقط از قول توسعه دهنده محافظت بلادرنگ را ارائه می دهند ، یک بسته دارای مجوز خریداری کنید.

    و اگر تهدید قبلاً به سیستم نفوذ کرده باشد، دنباله اقدامات باید شامل حذف خود بدن ویروس باشد و تنها پس از آن تلاش می کند تا داده های آسیب دیده را رمزگشایی کند. در حالت ایده‌آل، قالب‌بندی کامل (به خاطر داشته باشید، نه یک قالب سریع با پاک کردن فهرست مطالب، بلکه کامل، ترجیحاً با بازیابی یا جایگزینی موارد موجود سیستم فایل، بوت سکتورها و رکوردها).

    روز همه دوستان عزیز و خوانندگان وبلاگ من بخیر. امروز موضوع بسیار غم انگیز خواهد بود، زیرا ویروس ها را لمس می کند. اجازه دهید در مورد اتفاقی که چندی پیش در محل کارم رخ داد به شما بگویم. یکی از کارمندان با صدایی هیجان زده مرا در بخش صدا کرد: "دیما، ویروس فایل ها را روی رایانه رمزگذاری کرد: اکنون چه کار کنم؟". بعد فهمیدم کیس بوی سرخ شده می دهد اما در نهایت به دیدنش رفتم.

    آره. همه چیز غم انگیز بود. بیشتر فایل‌های روی رایانه آلوده یا به عبارتی رمزگذاری شده بودند: اسناد آفیس، فایل‌های PDF، پایگاه‌های داده 1C و بسیاری دیگر. به طور کلی، الاغ پر است. احتمالاً فقط آرشیوها، برنامه ها و اسناد متنی تحت تأثیر قرار نگرفته اند (خوب، و یک سری چیزهای دیگر). همه این داده ها پسوند خود را تغییر داده اند و همچنین نام آنها را به چیزی مانند sjd7gy2HjdlVnsjds تغییر داده اند همچنین چندین مورد اسناد یکسان README.txt صادقانه می گویند کامپیوتر شما آلوده است و هیچ اقدامی نمی کنید، چیزی را پاک نکنید، با آنتی ویروس ها چک نکنید وگرنه فایل ها برگردانده نمی شوند.
    این فایل همچنین می گوید که این افراد خوب می توانند همه چیز را همانطور که بوده بازیابی کنند. برای انجام این کار، آنها باید کلید را از سند به ایمیل خود ارسال کنند، پس از آن شما دریافت خواهید کرد دستورالعمل های لازم. آنها قیمت را نمی نویسند، اما در واقع معلوم می شود که هزینه بازگشت چیزی حدود 20000 روبل است.

    آیا داده های شما ارزش پول را دارد؟ آیا آماده پرداخت هزینه حذف باج افزار هستید؟ شک دارم. پس چه باید کرد؟ بیایید بعداً در مورد آن صحبت کنیم. در ضمن، بیایید همه چیز را به ترتیب شروع کنیم.

    این ویروس رمزگذاری زشت از کجا می آید؟ اینجا همه چیز خیلی ساده است. افراد او از طریق ایمیل دریافت می کنند. معمولا این ویروسدر سازمان ها نفوذ می کند. جعبه های شرکتی، اگرچه نه تنها. از نظر ظاهری، شما آن را با کاکو اشتباه نخواهید گرفت، زیرا به شکل هرزنامه نیست، بلکه از یک سازمان جدی موجود است، به عنوان مثال، ما نامه ای از ارائه دهنده Rostelecom از پست رسمی آنها دریافت کردیم.

    نامه کاملاً معمولی بود، مثل «جدید طرح های تعرفه ایبرای اشخاص حقوقی". فایل پی دی اف پیوست شده است. و وقتی این فایل را باز می کنید، جعبه پاندورا را باز می کنید. تمام فایل های مهم رمزگذاری شده و تبدیل می شوند به زبان سادهبه یک آجر علاوه بر این، آنتی ویروس ها فوراً این مزخرفات را نمی گیرند.

    چه کردم و چه کار نکرد

    طبیعتاً هیچ کس نمی خواست برای این کار 20 هزار بپردازد ، زیرا اطلاعات آنقدر ارزش نداشت و علاوه بر این ، تماس با کلاهبرداران اصلاً گزینه ای نیست. و علاوه بر این، این یک واقعیت نیست که همه چیز برای شما با این مبلغ باز می شود.

    من از طریق ابزار drweb cureit رفتم و یک ویروس پیدا کرد، اما فایده چندانی نداشت، زیرا حتی پس از ویروس، فایل ها رمزگذاری شده باقی می ماندند. معلوم شد که حذف ویروس آسان است، اما کنار آمدن با عواقب آن در حال حاضر بسیار دشوارتر است. من وارد تالارهای Doctor Web و Kaspersky شدم و در آنجا موضوع مورد نیاز خود را پیدا کردم و همچنین متوجه شدم که نه آنجا و نه وجود دارد هنوز نمی تواند به رمزگشایی کمک کند. همه چیز به شدت رمزگذاری شده بود.

    اما موتورهای جستجو در نتایج جستجو ظاهر می‌شوند که برخی از شرکت‌ها فایل‌ها را با پرداخت هزینه رمزگشایی می‌کنند. خوب، این برای من جالب بود، به خصوص که معلوم شد شرکت واقعی است، واقعا موجود است. آنها در وب سایت خود پیشنهاد کردند که پنج قطعه را به صورت رایگان رمزگشایی کنند تا توانایی های خود را نشان دهند. خب من 5 تا از مهمترین فایل ها رو از نظر خودم گرفتم و فرستادم.
    بعد از مدتی جواب گرفتم که همه چیز را رمزگشایی کرده اند و برای رمزگشایی کامل 22 هزار از من می گیرند. و آنها نمی خواستند پرونده ها را به من بدهند. من بلافاصله فرض کردم که آنها به احتمال زیاد در پشت سر هم با کلاهبرداران کار می کنند. خوب، البته آنها به جهنم فرستاده شدند.

    • با استفاده از برنامه های Recuva و RStudio
    • توسط ابزارهای مختلف اجرا می شود
    • خوب، برای آرام شدن، نمی‌توانستم تلاش کنم (اگرچه به خوبی می‌دانستم که این کمکی نمی‌کند) فقط برای کار درست تلاش کنم. البته براد)

    هیچ کدام از اینها به من کمک نکرد. اما باز هم راه حلی پیدا کردم.\r\n\r\nالبته اگر به طور ناگهانی با چنین وضعیتی مواجه شدید، پس به پسوندی که فایل ها با آن رمزگذاری شده اند نگاه کنید. پس از آن به http://support.kaspersky.ru/viruses/disinfection/10556و ببینید چه افزونه هایی لیست شده اند. اگر برنامه افزودنی شما در لیست است، از این ابزار استفاده کنید.
    اما در هر 3 موردی که من این باج افزارها را دیدم، هیچ کدام از این ابزارها کمکی نکردند. به طور خاص، من با ویروس ملاقات کردم کد داوینچیو "طاق". در حالت اول، هم نام و هم پسوند و در حالت دوم، فقط پسوند تغییر کرده است. به طور کلی، یک دسته کامل از این رمزنگاران وجود دارد. من می شنوم حرامزاده هایی مانند xtbl، دیگر باج نمی گیرند، بهتر است با ساول تماس بگیرید و بسیاری دیگر.

    چه کمکی کرد

    آیا تا به حال در مورد کپی های سایه شنیده اید؟ بنابراین، هنگامی که یک نقطه بازیابی ایجاد می شود، کپی های سایه ای از فایل های شما به طور خودکار ایجاد می شوند. و اگر اتفاقی برای فایل‌های شما افتاد، همیشه می‌توانید آنها را به لحظه ایجاد نقطه بازیابی برگردانید. یک برنامه فوق العاده برای بازیابی فایل ها از کپی های سایه به ما در این امر کمک می کند.

    برای شروع دانلودو برنامه "Shadow Explorer" را نصب کنید. اگر آخرین نسخه خراب شد (این اتفاق می افتد)، نسخه قبلی را نصب کنید.

    به Shadow Explorer بروید. همانطور که می بینیم، قسمت اصلی برنامه شبیه به explorer است، یعنی. فایل ها و پوشه ها حالا به گوشه سمت چپ بالا توجه کنید. در آنجا نامه ای را می بینیم دیسک محلیو تاریخ این تاریخ به این معنی است که تمام فایل های ارسالی در درایو C در آن زمان به روز هستند. من 30 نوامبر دارم. این بدان معنی است که آخرین نقطه بازیابی در 30 نوامبر ایجاد شده است.
    اگر روی لیست کشویی تاریخ کلیک کنیم، می بینیم که برای کدام تاریخ ها هنوز کپی سایه داریم. و اگر روی لیست کشویی درایوهای محلی کلیک کنید و مثلاً درایو D را انتخاب کنید، آنگاه تاریخی را می بینیم که در آن فایل های فعلی داریم. اما برای دیسک Dنقاط به طور خودکار ایجاد نمی شوند، بنابراین این مورد باید در تنظیمات ثبت شود. این بسیار آسان برای انجام.
    همانطور که می بینید، اگر برای دیسک سیمن یک قرار خیلی تازه دارم، پس باید رانندگی کنم Dآخرین نقطه تقریبا یک سال پیش ایجاد شد. خوب، سپس ما این کار را مرحله به مرحله انجام می دهیم:

    همه. اکنون تنها چیزی که باقی می ماند این است که منتظر بمانیم تا صادرات کامل شود. و سپس به همان پوشه ای که انتخاب کرده اید می رویم و همه فایل ها را از نظر باز بودن و عملکرد بررسی می کنیم. همه چیز باحال است).
    من می دانم که برخی از روش ها، ابزارهای کاربردی و غیره در اینترنت ارائه می شود، اما در مورد آنها نمی نویسم، زیرا قبلا برای بار سوم با این مشکل مواجه شده ام و نه یک بار، چیزی جز کپی های سایه به من کمک نکرد. شاید من فقط بدشانس باشم.

    اما متأسفانه آخرین بار امکان بازیابی فقط آن دسته از فایل هایی وجود داشت که در درایو C بودند، زیرا به طور پیش فرض نقاط فقط برای درایو C ایجاد شده بودند. بر این اساس، هیچ کپی سایه ای برای درایو D وجود نداشت. البته، شما همچنین باید فراموش نکنید که چه نقاط بازیابی می تواند منجر به آن شود، بنابراین مراقب آن نیز باشید.

    و برای اینکه کپی های سایه ای برای هارد دیسک های دیگر ایجاد شوند، شما نیز به آنها نیاز دارید.

    جلوگیری

    برای جلوگیری از مشکلات در بهبودی، باید پیشگیری انجام دهید. برای این کار باید قوانین زیر را رعایت کنید.

    به هر حال، یک بار این ویروس فایل ها را روی یک فلش مموری رمزگذاری کرد، جایی که گواهینامه های کلید امضای دیجیتال ما قرار داشت. بنابراین در مورد درایوهای فلش نیز بسیار مراقب باشید.

    با احترام، دیمیتری کوستین.

    فن آوری های مدرن به هکرها اجازه می دهد تا به طور مداوم روش های کلاهبرداری را در رابطه با آنها بهبود بخشند کاربران عادی. به عنوان یک قاعده، نرم افزار ویروسی که به رایانه نفوذ می کند برای این اهداف استفاده می شود. ویروس های رمزگذاری به ویژه خطرناک در نظر گرفته می شوند. تهدید در این واقعیت نهفته است که ویروس بسیار سریع پخش می شود و فایل ها را رمزگذاری می کند (کاربر به سادگی نمی تواند هیچ سندی را باز کند). و اگر بسیار ساده باشد، رمزگشایی داده ها بسیار دشوارتر است.

    اگر یک ویروس فایل های رمزگذاری شده روی رایانه شما را داشته باشد چه باید کرد؟

    همه افراد می توانند توسط یک باج افزار مورد حمله قرار گیرند، حتی کاربرانی که نرم افزار آنتی ویروس قوی دارند بیمه نیستند. تروجان های رمزگذار فایل با کدهای مختلفی نشان داده می شوند که ممکن است فراتر از قدرت آنتی ویروس باشد. هکرها حتی موفق می شوند از این طریق حمله کنند شرکت های بزرگکه از حفاظت لازم از اطلاعات خود مراقبت نکردند. بنابراین، با "انتخاب" یک برنامه باج افزار به صورت آنلاین، باید اقداماتی را انجام دهید.

    علائم اصلی عفونت هستند کند کارکامپیوتر و تغییر نام اسناد (در دسکتاپ قابل مشاهده است).

    1. کامپیوتر خود را مجددا راه اندازی کنید تا رمزگذاری متوقف شود. وقتی فعال است، راه اندازی برنامه های ناشناخته را تأیید نکنید.
    2. اگر آنتی ویروس مورد حمله باج افزار قرار نگرفته باشد، آن را اجرا کنید.
    3. در برخی موارد، کپی های سایه به بازیابی اطلاعات کمک می کنند. برای پیدا کردن آنها، "Properties" سند رمزگذاری شده را باز کنید. این روش با داده های رمزگذاری شده پسوند Vault که اطلاعاتی در پورتال دارد کار می کند.
    4. آخرین ابزار ضد ویروس کریپتو را دانلود کنید. موثرترین آنها توسط Kaspersky Lab ارائه شده است.

    ویروس های رمزگذاری در سال 2016: نمونه ها

    هنگام مبارزه با هر کدام حمله ویروسدرک این نکته مهم است که کد اغلب تغییر می کند و تکمیل می شود حفاظت جدیداز آنتی ویروس ها البته، برنامه‌های حفاظتی به مدتی زمان نیاز دارند تا توسعه‌دهنده پایگاه‌های داده را به‌روزرسانی کند. ما خطرناک ترین ویروس های رمزنگاری چند وقت اخیر را انتخاب کرده ایم.

    باج افزار Ishtar

    Ishtar باج افزاری است که از کاربر اخاذی می کند. این ویروس در پاییز 2016 مشاهده شد و تعداد زیادی از رایانه های کاربران از روسیه و تعدادی از کشورهای دیگر را آلوده کرد. با استفاده از توزیع ایمیل، که حاوی اسناد پیوست شده (نصب کننده ها، اسناد و غیره) است، توزیع می شود. داده‌های آلوده به باج‌افزار Ishtar پیشوند "ISHTAR" را در نام دریافت می‌کنند. این فرآیند یک سند آزمایشی ایجاد می کند که نشان می دهد برای دریافت رمز عبور به کجا بروید. مهاجمان برای آن از 3000 تا 15000 روبل درخواست می کنند.

    خطر ویروس Ishtar این است که امروزه هیچ رمزگشایی وجود ندارد که به کاربران کمک کند. شرکت های نرم افزار آنتی ویروس به زمان نیاز دارند تا همه کدها را رمزگشایی کنند. اکنون فقط می توانید اطلاعات مهم را (اگر از اهمیت خاصی برخوردار باشند) در یک رسانه جداگانه جدا کنید و منتظر انتشار ابزاری باشید که قادر به رمزگشایی اسناد باشد. توصیه می شود دوباره نصب کنید سیستم عامل.

    نیترینو

    باج افزار Neitrino در سال 2015 در اینترنت ظاهر شد. با اصل حمله، مشابه سایر ویروس های این دسته است. نام پوشه ها و فایل ها را با افزودن "Neitrino" یا "Neutrino" تغییر می دهد. رمزگشایی این ویروس دشوار است - به دور از همه نمایندگان شرکت های آنتی ویروس، با اشاره به یک کد بسیار پیچیده، این کار را انجام می دهند. بازیابی یک کپی سایه ممکن است به برخی از کاربران کمک کند. برای انجام این کار، روی سند رمزگذاری شده راست کلیک کنید، به "Properties" بروید، برگه "Previous Versions" را کلیک کنید، روی "Restore" کلیک کنید. استفاده از آن اضافی نخواهد بود ابزار رایگاناز آزمایشگاه کسپرسکی

    کیف پول یا .wallet.

    ویروس رمزگذاری کیف پول در پایان سال 2016 ظاهر شد. در طی فرآیند آلودگی، نام داده ها را به "Name..wallet" یا مشابه تغییر می دهد. مانند اکثر ویروس‌های باج‌افزار، از طریق پیوست‌های ایمیل ارسالی توسط هکرها وارد سیستم می‌شود. از آنجایی که تهدید اخیراً ظاهر شده است، برنامه های آنتی ویروس متوجه آن نمی شوند. پس از رمزگذاری، سندی ایجاد می کند که در آن کلاهبردار نامه را برای ارتباط مشخص می کند. در حال حاضر، توسعه دهندگان نرم افزار ضد ویروس در حال کار بر روی رمزگشایی کد ویروس باج افزار هستند. [ایمیل محافظت شده]. کاربران مورد حمله فقط می توانند منتظر بمانند. اگر داده ها مهم هستند، توصیه می شود آن را ذخیره کنید درایو خارجیبا پاکسازی سیستم

    معما

    ویروس رمزگذاری انیگما از اواخر آوریل 2016 شروع به آلوده کردن رایانه های کاربران روسی کرد. از مدل رمزگذاری AES-RSA استفاده می کند که امروزه در اکثر باج افزارها یافت می شود. ویروس با استفاده از اسکریپتی که خود کاربر با باز کردن فایل‌های ایمیل مشکوک اجرا می‌کند، به رایانه نفوذ می‌کند. هنوز هیچ راه حل جهانی برای مقابله با رمز انیگما وجود ندارد. کاربرانی که مجوز آنتی ویروس دارند می توانند از وب سایت رسمی توسعه دهنده کمک بخواهند. یک "حفره" کوچک نیز پیدا شد - ویندوز UAC. اگر کاربر در پنجره ای که در هنگام آلودگی به ویروس ظاهر می شود روی "نه" کلیک کند، می تواند بعداً اطلاعات را با استفاده از کپی های سایه بازیابی کند.

    سنگ گرانیت

    ویروس جدید باج افزار Granit در پاییز 2016 در وب ظاهر شد. آلودگی طبق سناریوی زیر رخ می دهد: کاربر نصب کننده ای را راه اندازی می کند که تمام داده های رایانه شخصی و درایوهای متصل را آلوده و رمزگذاری می کند. مبارزه با ویروس سخت است. برای حذف، می توانید استفاده کنید ابزارهای ویژهاز Kaspersky، اما کد هنوز رمزگشایی نشده است. بازیابی نسخه های قبلی داده ها ممکن است کمک کند. علاوه بر این، متخصصی که تجربه زیادی دارد می تواند رمزگشایی کند، اما خدمات گران است.

    تایسون

    اخیرا دیده شد. این یک افزونه از باج‌افزار معروف no_more_ransom است که می‌توانید در وب‌سایت ما با آن آشنا شوید. از طریق ایمیل به رایانه های شخصی می رسد. بسیاری از رایانه های شخصی شرکت ها مورد حمله قرار گرفته اند. ویروس ایجاد می کند سند متنیبا دستورالعمل باز کردن قفل، پیشنهاد پرداخت "باج". باج افزار تایسون اخیراً ظاهر شده است، بنابراین هنوز کلید باز کردن قفل وجود ندارد. تنها راه بازیابی اطلاعات، بازگشت است نسخه های قبلیمگر اینکه توسط ویروس حذف شده باشند. البته می توانید با انتقال پول به حسابی که مهاجمان نشان داده اند، ریسک کنید، اما هیچ تضمینی برای دریافت رمز عبور وجود ندارد.

    اسپور

    در اوایل سال 2017، تعدادی از کاربران قربانی باج افزار جدید Spora شدند. بر اساس اصل عملکرد، تفاوت چندانی با همتایان خود ندارد، اما از عملکرد حرفه ای تری برخوردار است: دستورالعمل های دریافت رمز عبور بهتر است، وب سایت زیباتر به نظر می رسد. باج افزار Spora به زبان C ایجاد شده و از ترکیب RSA و AES برای رمزگذاری داده های قربانی استفاده می کند. به عنوان یک قاعده، رایانه هایی که برنامه حسابداری 1C به طور فعال در آنها استفاده می شود مورد حمله قرار گرفتند. این ویروس که تحت عنوان یک فاکتور ساده در قالب pdf پنهان شده است، کارمندان شرکت را مجبور به راه اندازی آن می کند. هنوز درمانی پیدا نشده است.

    1C.Drop.1

    این ویروس رمزگذاری برای 1C در تابستان 2016 ظاهر شد و کار بسیاری از بخش های حسابداری را مختل کرد. به طور خاص برای رایانه هایی که استفاده می کنند طراحی شده است نرم افزار 1C. دریافت فایل در یک ایمیل به رایانه شخصی، از مالک می خواهد که برنامه را به روز کند. هر دکمه ای را که کاربر فشار دهد، ویروس شروع به رمزگذاری فایل ها می کند. متخصصان Dr.Web در حال کار بر روی ابزارهای رمزگشایی هستند، اما تاکنون هیچ راه حلی پیدا نشده است. این به دلیل کد پیچیده است که می تواند در چندین تغییر باشد. تنها محافظت در برابر 1C.Drop.1 هوشیاری کاربران و بایگانی منظم اسناد مهم است.

    da_vinci_code

    یک باج افزار جدید با نامی غیرعادی. این ویروس در بهار 2016 ظاهر شد. با نسخه های قبلی خود با کد بهبود یافته و حالت رمزگذاری قوی متفاوت است. da_vinci_code یک کامپیوتر را به لطف یک برنامه اجرایی (معمولاً به یک ایمیل متصل می شود) آلوده می کند، که کاربر به طور مستقل راه اندازی می کند. رمز داوینچی (کد داوینچی) بدنه را در دایرکتوری و رجیستری سیستم کپی می کند و ارائه می کند. شروع خودکاردر روشن کردن ویندوز. به رایانه هر قربانی یک شناسه منحصر به فرد اختصاص داده می شود (به دریافت رمز عبور کمک می کند). رمزگشایی داده ها تقریبا غیرممکن است. شما می توانید به مهاجمان پول پرداخت کنید، اما هیچکس تضمین نمی کند که رمز عبور را دریافت خواهید کرد.

    [ایمیل محافظت شده] / [ایمیل محافظت شده]

    دو آدرس ایمیل که اغلب در سال 2016 با باج افزار همراه بودند. آنها برای ارتباط قربانی با مهاجم خدمت می کنند. ضمیمه آدرس های بیشتر بود انواع متفاوتویروس ها: da_vinci_code، no_more_ransom و غیره. تماس و همچنین انتقال پول به کلاهبرداران به شدت توصیه نمی شود. کاربران در بیشتر موارد بدون رمز عبور می مانند. بنابراین، نشان می دهد که باج افزار مهاجمان کار می کند و درآمد ایجاد می کند.

    بریکینگ بد

    در ابتدای سال 2015 ظاهر شد، اما به طور فعال تنها یک سال بعد گسترش یافت. اصل آلودگی با سایر باج افزارها یکسان است: نصب یک فایل از ایمیل، رمزگذاری داده ها. آنتی ویروس های معمولی معمولا متوجه ویروس Breaking Bad نمی شوند. برخی از کدها نمی توانند UAC ویندوز را دور بزنند، بنابراین کاربر همچنان می تواند نسخه های قبلی اسناد را بازیابی کند. این رمزگشا هنوز توسط هیچ شرکتی که نرم افزار ضد ویروس تولید می کند ارائه نشده است.

    XTBL

    یک باج افزار بسیار رایج که برای بسیاری از کاربران دردسر ایجاد کرد. ویروس پس از استفاده از رایانه شخصی، پسوند فایل را در عرض چند دقیقه به xtbl. تغییر می دهد. سندی ایجاد می شود که در آن مهاجم اخاذی می کند پول نقد. برخی از گونه‌های ویروس XTBL نمی‌توانند فایل‌های بازیابی سیستم را از بین ببرند و امکان بازیابی اسناد مهم را فراهم می‌کنند. خود ویروس را می توان با بسیاری از برنامه ها حذف کرد، اما رمزگشایی اسناد بسیار دشوار است. اگر مالک است آنتی ویروس دارای مجوز، با پیوست کردن نمونه هایی از داده های آلوده، از پشتیبانی فنی استفاده کنید.

    کوکاراچا

    رمز کوکاراچا در دسامبر 2016 مشاهده شد. ویروسی با نام جالب فایل های کاربر را با استفاده از الگوریتم RSA-2048 پنهان می کند که بسیار مقاوم است. آنتی ویروس کسپرسکیآن را با عنوان Trojan-Ransom.Win32.Scatter.lb. Kukaracha را می توان از رایانه حذف کرد تا سایر اسناد آلوده نشوند. با این حال، امروزه رمزگشایی موارد آلوده تقریبا غیرممکن است (الگوریتمی بسیار قدرتمند).

    باج افزار چگونه کار می کند

    تعداد زیادی باج افزار وجود دارد، اما همه آنها بر اساس یک اصل مشابه کار می کنند.

    1. مخ زدن کامپیوتر شخصی. به عنوان یک قاعده، به لطف فایل پیوست شده به ایمیل. نصب توسط خود کاربر با باز کردن سند آغاز می شود.
    2. عفونت فایل تقریباً همه انواع فایل ها رمزگذاری شده اند (بسته به ویروس). یک سند متنی ایجاد می شود که حاوی مخاطبین برای ارتباط با مزاحمان است.
    3. همه. کاربر نمی تواند به هیچ سندی دسترسی داشته باشد.

    درمان از آزمایشگاه های محبوب

    استفاده گسترده از باج افزار که به عنوان خطرناک ترین تهدید برای داده های کاربران شناخته می شود، به انگیزه ای برای بسیاری تبدیل شده است. آزمایشگاه های آنتی ویروس. هر شرکت محبوب برنامه هایی را در اختیار کاربران خود قرار می دهد که به آنها در مبارزه با باج افزار کمک می کند. علاوه بر این، بسیاری از آنها به رمزگشایی اسناد محافظت شده توسط سیستم کمک می کنند.

    کسپرسکی و ویروس های رمزگذاری

    یکی از معروف ترین آزمایشگاه های ضد ویروس در روسیه و جهان امروزه موثرترین ابزار را برای مبارزه با ویروس های باج افزار ارائه می دهد. کسپرسکی به اولین مانع برای ویروس باج افزار تبدیل خواهد شد امنیت نقطه پایانی 10 ثانیه آخرین به روزرسانی ها. آنتی ویروس به سادگی اجازه نمی دهد که تهدید وارد رایانه شود (اما ممکن است نسخه های جدید متوقف نشوند). برای رمزگشایی اطلاعات، توسعه دهنده چندین ابزار رایگان را به طور همزمان ارائه می دهد: XoristDecryptor، RakhniDecryptor و Ransomware Decryptor. آنها به یافتن ویروس و انتخاب رمز عبور کمک می کنند.

    دکتر. وب و باج افزار

    این آزمایشگاه استفاده از برنامه آنتی ویروس خود را توصیه می کند، ویژگی اصلیکه پشتیبان فایل بود. ذخیره سازی با کپی اسناد نیز از دسترسی غیرمجاز توسط متجاوزان محافظت می شود. صاحبان محصول دارای مجوز Dr. وب، تابع فراخوانی برای کمک در دسترس است پشتیبانی فنی. درست است، حتی متخصصان با تجربه همیشه نمی توانند در برابر این نوع تهدید مقاومت کنند.

    ESET Nod 32 و باج افزار

    این شرکت نیز کنار نرفته و از کاربران خود در برابر ویروس های وارد شده به رایانه محافظت می کند. علاوه بر این، آزمایشگاه اخیرا یک ابزار رایگان با پایگاه داده های به روز منتشر کرده است - Eset Crysis Decryptor. توسعه دهندگان ادعا می کنند که در مبارزه با حتی جدیدترین باج افزار کمک خواهد کرد.

    تعداد ویروس ها به معنای همیشگی آنها روز به روز کمتر می شود و دلیل این امر آنتی ویروس های رایگانی است که به خوبی کار می کنند و از رایانه کاربران محافظت می کنند. در عین حال، همه به امنیت داده‌های خود اهمیت نمی‌دهند و نه تنها به بدافزارها، بلکه به ویروس‌های استاندارد نیز مبتلا می‌شوند که در میان آنها تروجان همچنان رایج‌ترین است. این می تواند خود را به طرق مختلف نشان دهد، اما یکی از خطرناک ترین آنها رمزگذاری فایل است. اگر ویروسی فایل‌های رمزگذاری شده روی رایانه را داشته باشد، بازگرداندن داده‌ها یک واقعیت نیست که کار می‌کند، بلکه برخی است روش های موثرحضور دارند و در ادامه مورد بحث قرار خواهند گرفت.

    ویروس رمزگذاری: چیست و چگونه کار می کند

    صدها نوع ویروس در وب وجود دارد که فایل ها را رمزگذاری می کنند. اقدامات آنها منجر به یک نتیجه می شود - داده های کاربر روی رایانه یک قالب ناشناخته دریافت می کند که با استفاده از آن باز نمی شود برنامه های استاندارد. در اینجا فقط برخی از قالب‌هایی وجود دارد که داده‌های رایانه را می‌توان در نتیجه عملکرد ویروس‌ها رمزگذاری کرد: .locked، .xtbl، .kraken، .cbf، .oshit و بسیاری دیگر. در برخی موارد، پسوند فایل مستقیماً نوشته می شود آدرس ایمیلسازندگان ویروس

    از جمله رایج ترین ویروس هایی که فایل ها را رمزگذاری می کنند می توان به Trojan-Ransom.Win32.Auraو Trojan-Ransom.Win32.Rakhni. آنها اشکال مختلفی دارند و ممکن است ویروس حتی یک تروجان (مثلاً CryptoLocker) نامیده نشود، اما عملکرد آنها عملاً یکسان است. نسخه‌های جدید ویروس‌های رمزگذاری مرتباً منتشر می‌شوند تا کار توسعه‌دهندگان نرم‌افزار آنتی‌ویروس را با فرمت‌های جدید سخت‌تر کنند.

    اگر یک ویروس رمزگذاری به رایانه نفوذ کرده باشد، قطعاً نه تنها با مسدود کردن فایل‌ها، بلکه با پیشنهاد به کاربر برای باز کردن قفل آنها در ازای پرداخت هزینه، خود را نشان می‌دهد. ممکن است بنری روی صفحه ظاهر شود که می‌گوید برای باز کردن قفل فایل‌ها باید کجا پول منتقل کنید. هنگامی که چنین بنری ظاهر نمی شود، باید به دنبال یک "نامه" از توسعه دهندگان ویروس روی دسکتاپ باشید، چنین فایلی در بیشتر موارد ReadMe.txt نامیده می شود.

    بسته به توسعه دهندگان ویروس، نرخ رمزگشایی فایل ها ممکن است متفاوت باشد. در عین حال، دور از واقعیت است که هنگام ارسال پول برای سازندگان ویروس، آنها روش باز کردن قفل را پس دهند. در بیشتر موارد، پول "به جایی نمی رسد" و کاربر رایانه روش رمزگشایی دریافت نمی کند.

    بعد از اینکه ویروس روی رایانه شما قرار گرفت و کدی را روی صفحه مشاهده کردید که باید برای دریافت رمزگشا به آدرس خاصی ارسال کنید، نباید این کار را انجام دهید. اولین قدم این است که این کد را روی یک تکه کاغذ یادداشت کنید، زیرا ممکن است فایل جدید ایجاد شده نیز رمزگذاری شده باشد. پس از آن، می توانید اطلاعات توسعه دهندگان ویروس را ببندید و سعی کنید در اینترنت راهی برای خلاص شدن از شر رمزگذار فایل در خود پیدا کنید. مورد خاص. در زیر ما برنامه های اصلی را فهرست می کنیم که به شما امکان حذف ویروس و رمزگشایی فایل ها را می دهند ، اما نمی توان آنها را جهانی نامید و سازندگان نرم افزار آنتی ویروس به طور مرتب لیست راه حل ها را گسترش می دهند.

    خلاص شدن از شر ویروسی که فایل ها را رمزگذاری می کند با کمک نسخه های رایگان آنتی ویروس ها بسیار ساده است. 3 برنامه رایگان به خوبی با ویروس هایی که فایل ها را رمزگذاری می کنند مقابله می کنند:

    • Malwarebytes Antimalware;
    • دکتر وب کیور آن ;
    • Kaspersky Internet Security.

    برنامه های ذکر شده در بالا کاملا رایگان هستند یا دارند نسخه های آزمایشی. توصیه می کنیم پس از بررسی سیستم از راه حل Dr.Web یا Kespersky استفاده کنید کمک به Malwarebytesضد بدافزار یک بار دیگر به شما یادآوری می کنیم که نصب 2 یا چند آنتی ویروس به طور همزمان بر روی رایانه توصیه نمی شود، بنابراین، قبل از نصب هر راه حل جدید، باید نسخه قبلی را حذف کنید.

    همانطور که در بالا اشاره کردیم، راه حل ایده آلمشکلات در این شرایط انتخاب دستورالعمل هایی است که به شما امکان می دهد به طور خاص با مشکل خود مقابله کنید. چنین دستورالعمل هایی اغلب در وب سایت های توسعه دهندگان آنتی ویروس ارسال می شود. در زیر ما چندین ابزار آنتی ویروس موضعی را ارائه می دهیم که به شما امکان می دهد با آنها مقابله کنید انواع مختلفتروجان ها و انواع دیگر باج افزارها.


    موارد فوق تنها بخش کوچکی از ابزارهای ضد ویروس است که به شما امکان رمزگشایی فایل های آلوده را می دهد. شایان ذکر است که اگر به سادگی سعی کنید، سعی کنید داده ها را برگردانید، برعکس، آنها برای همیشه از دست خواهند رفت - نباید این کار را انجام دهید.

    Cryptographers (crypto-lockers) به معنای خانواده است بد افزار، که با استفاده از الگوریتم‌های رمزگذاری مختلف، دسترسی کاربران به فایل‌های موجود در رایانه را مسدود می‌کند (مثلاً cbf، chipdale، just، foxmail inbox com، watnik91 aol com و غیره).

    معمولاً ویروس انواع محبوب را رمزگذاری می کند فایل های سفارشی: اسناد، صفحات گسترده، پایگاه های داده 1C، هر گونه آرایه داده، عکس، و غیره. رمزگشایی فایل برای پول ارائه می شود - سازندگان از شما می خواهند مقدار مشخصی را معمولاً به بیت کوین منتقل کنید. و اگر سازمان اقدامات مناسبی برای اطمینان از ایمنی اطلاعات مهم انجام ندهد، انتقال مبلغ مورد نیاز به مهاجمان ممکن است تنها راه برای بازگرداندن عملکرد شرکت باشد.

    در بیشتر موارد، ویروس از طریق پست الکترونیکی پخش می‌شود، به شکل نامه‌های کاملاً معمولی: اطلاع رسانی از اداره مالیات، اعمال و قراردادها، اطلاعات مربوط به خریدها و غیره. با دانلود و باز کردن چنین فایلی، کاربر بدون اینکه متوجه شود راه‌اندازی می‌شود. کد مخرب این ویروس به طور متوالی فایل های لازم را رمزگذاری می کند و همچنین نمونه های اصلی را با استفاده از روش های تخریب تضمین شده حذف می کند (به طوری که کاربر نتواند فایل های اخیراً حذف شده را با استفاده از ابزارهای ویژه بازیابی کند).

    باج افزار مدرن

    باج افزار و سایر ویروس هایی که دسترسی کاربر به داده ها را مسدود می کنند، نیستند مشکل جدید V امنیت اطلاعات. اولین نسخه ها در دهه 90 ظاهر شد، اما آنها عمدتا از "ضعیف" (الگوریتم های ناپایدار، اندازه کلید کوچک) یا استفاده می کردند. رمزگذاری متقارن(فایل های تعداد زیادی از قربانیان با یک کلید رمزگذاری شده بودند، همچنین امکان بازیابی کلید با مطالعه کد ویروس وجود داشت) یا حتی الگوریتم های خود را ارائه داد. نمونه‌های مدرن فاقد چنین کاستی‌هایی هستند، مهاجمان از رمزگذاری ترکیبی استفاده می‌کنند: با استفاده از الگوریتم‌های متقارن، محتویات فایل‌ها با بسیار رمزگذاری می‌شوند. سرعت بالا، و کلید رمزگذاری رمزگذاری شده است الگوریتم متقارن. این بدان معناست که برای رمزگشایی فایل‌ها، به کلیدی نیاز دارید که فقط مهاجم آن را در اختیار داشته باشد کد منبعبرنامه پیدا نمی شود به عنوان مثال، CryptoLocker استفاده می کند الگوریتم RSAبا طول کلید 2048 بیت همراه با الگوریتم متقارن AES با طول کلید 256 بیت. این الگوریتم ها در حال حاضر به عنوان مقاوم در برابر رمزنگاری شناخته می شوند.

    کامپیوتر به ویروس آلوده شده است. چه باید کرد؟

    باید در نظر داشت که اگرچه ویروس‌های رمزگذاری از الگوریتم‌های رمزگذاری مدرن استفاده می‌کنند، اما قادر به رمزگذاری فوری همه فایل‌های روی رایانه نیستند. رمزگذاری به صورت متوالی انجام می شود، سرعت به اندازه فایل های رمزگذاری شده بستگی دارد. بنابراین، اگر در حین کار متوجه شدید که فایل ها و برنامه های معمولی به درستی باز نشده اند، باید فوراً کار بر روی رایانه را متوقف کرده و آن را خاموش کنید. بنابراین، می توانید برخی از فایل ها را از رمزگذاری محافظت کنید.

    هنگامی که با مشکلی مواجه شدید، اولین قدم این است که از شر خود ویروس خلاص شوید. ما در این مورد با جزئیات صحبت نخواهیم کرد؛ کافی است سعی کنید رایانه را با استفاده از برنامه های آنتی ویروس درمان کنید یا ویروس را به صورت دستی حذف کنید. فقط شایان ذکر است که یک ویروس اغلب پس از تکمیل الگوریتم رمزگذاری خود تخریب می شود و در نتیجه رمزگشایی فایل ها بدون توسل به مزاحمان برای کمک دشوار می شود. در این حالت، برنامه آنتی ویروس ممکن است چیزی را تشخیص ندهد.

    سوال اصلی این است که چگونه می توان اطلاعات رمزگذاری شده را بازیابی کرد؟ متأسفانه بازیابی فایل‌ها پس از یک ویروس باج‌افزار تقریباً غیرممکن است. حداقل تضمین بهبودی کاملداده ها در صورت عفونت موفق هیچ کس نخواهد بود. بسیاری از سازندگان ابزارهای ضد ویروس کمک خود را در رمزگشایی فایل ها ارائه می دهند. برای این کار باید یک فایل رمزگذاری شده ارسال کنید و اطلاعات تکمیلی(فایل با مخاطبین متجاوزان، کلید عمومی) از طریق اشکال خاصدر وب سایت های تولید کنندگان ارسال شده است. احتمال کمی وجود دارد که آنها راهی برای مقابله با یک ویروس خاص پیدا کنند و فایل های شما با موفقیت رمزگشایی شوند.

    سعی کنید از ابزارهای بازیابی استفاده کنید فایل های حذف شده. این امکان وجود دارد که ویروس از روش های تخریب تضمین شده استفاده نکرده باشد و برخی از فایل ها قابل بازیابی باشند (این می تواند به خصوص با فایل ها کار کند. سایز بزرگبه عنوان مثال، با فایل های چند ده گیگابایتی). همچنین فرصتی برای بازیابی فایل ها از کپی های سایه وجود دارد. هنگام استفاده از توابع بازیابی سیستم های ویندوزعکس های فوری ایجاد می کند ("عکس های فوری")، که ممکن است حاوی داده های فایل در زمان ایجاد نقطه بازیابی باشد.

    اگر داده های شما رمزگذاری شده بود خدمات ابری، با پشتیبانی فنی تماس بگیرید یا قابلیت‌های سرویسی را که استفاده می‌کنید بررسی کنید: در بیشتر موارد، سرویس‌ها عملکرد «بازگشت» را به نسخه‌های قبلی فایل‌ها ارائه می‌کنند، بنابراین می‌توان آنها را بازیابی کرد.

    آنچه ما قویاً توصیه می کنیم انجام ندهید این است که باج افزار را دنبال کنید و هزینه رمزگشایی را پرداخت کنید. مواردی بود که مردم پول دادند، اما کلید دریافت نکردند. هیچ کس تضمین نمی کند که مهاجمان پس از دریافت پول، در واقع کلید رمزگذاری را ارسال می کنند و شما می توانید فایل ها را بازیابی کنید.

    چگونه از خود در برابر ویروس باج افزار محافظت کنیم. اقدامات پیشگیرانه

    جلوگیری از عواقب خطرناک آسان تر از اصلاح آنها است:

    • قابل اعتماد استفاده کنید عوامل ضد ویروسیو به طور مرتب به روز رسانی کنید پایگاه داده های ضد ویروس. پیش پا افتاده به نظر می رسد، اما این به میزان زیادی شانس معرفی موفقیت آمیز ویروس به رایانه شما را کاهش می دهد.
    • کپی های پشتیبان از اطلاعات خود نگه دارید.

    بهترین راه برای انجام این کار استفاده از ابزارهای تخصصی پشتیبان گیری است. اکثر رمزارزها می‌توانند پشتیبان‌گیری‌ها را نیز رمزگذاری کنند، بنابراین ذخیره کردن نسخه‌های پشتیبان در رایانه‌های دیگر (مثلاً روی سرورها) یا رسانه‌های بیگانه منطقی است.

    محدود کردن مجوزها برای تغییر فایل‌ها در پوشه‌ها با پشتیبان گیری، فقط امکان اضافه کردن را می دهد. علاوه بر عواقب باج افزار، سیستم های پشتیبان گیری بسیاری از تهدیدات دیگر مرتبط با از دست دادن داده ها را خنثی می کنند. گسترش ویروس بار دیگر اهمیت و اهمیت استفاده از چنین سیستم هایی را نشان می دهد. بازیابی اطلاعات بسیار ساده تر از رمزگشایی است!

    یکی دیگر راه موثرمبارزه برای محدود کردن راه‌اندازی برخی از انواع فایل‌های بالقوه خطرناک است، برای مثال، با پسوندهای .js، .cmd، .bat، .vba، .ps1، و غیره. این کار را می‌توان با استفاده از ابزار AppLocker (در نسخه‌های Enterprise) انجام داد. یا سیاست های SRP در دامنه متمرکز است. تعداد کمی در وب وجود دارد راهنمای دقیق، چگونه انجامش بدهیم. در بیشتر موارد، کاربر نیازی به استفاده از فایل های اسکریپت ذکر شده در بالا ندارد و باج افزار شانس کمتری برای اجرای موفقیت آمیز خواهد داشت.

    • مراقب باش.

    ذهن آگاهی یکی از بهترین هاست روش های موثرپیشگیری از تهدید به هر ایمیلی که از افراد ناشناس دریافت می کنید مشکوک باشید. برای باز کردن همه پیوست‌ها عجله نکنید، اگر شک دارید، بهتر است با یک سوال با مدیر تماس بگیرید.

    الکساندر ولاسوفمهندس ارشد بخش پیاده سازی سیستم های امنیت اطلاعات شرکت "SKB Kontur"

    بیشتر بخوانید: