• Virüs tüm dr web'i şifreledi. Bu türdeki tüm virüslerin penetrasyonunun genel sonuçları. Soruna radikal çözüm

    İnternetin virüslerle dolu olması bugün kimseyi şaşırtmıyor. Pek çok kullanıcı, sistemler veya kişisel veriler üzerindeki etkileriyle ilgili durumları, en hafif tabirle, parmaklarının arasından bakarak algılar, ancak yalnızca bir şifreleme virüsü özellikle sisteme yerleşene kadar. Çoğu sıradan kullanıcı, bir sabit sürücüde depolanan verileri nasıl iyileştireceğini ve şifresini çözeceğini bilmez. Bu nedenle, bu birlik, davetsiz misafirler tarafından ileri sürülen taleplere "yönlendirilir". Ancak böyle bir tehdit tespit edilirse veya sisteme sızmasını önlemek için neler yapılabileceğine bir bakalım.

    Fidye yazılımı virüsü nedir?

    Bu tür bir tehdit, içeriğini tamamen değiştiren ve erişimi engelleyen standart ve standart olmayan dosya şifreleme algoritmaları kullanır. Örneğin, bir virüse maruz kaldıktan sonra şifreli bir metin dosyasını okumak veya düzenlemek ve multimedya içeriğini (grafik, video veya ses) oynatmak için açmak kesinlikle imkansız olacaktır. Nesneleri kopyalamak veya taşımak için standart eylemler bile mevcut değildir.

    Virüsün kendisinin yazılımla doldurulması, verileri geri yüklenebilecek şekilde şifreleyen araçtır. ilk durum Tehdidi sistemden kaldırdıktan sonra bile bu her zaman mümkün olmuyor. Tipik olarak, bu tür kötü amaçlı programlar kendi kopyalarını oluşturur ve sistemde çok derinlere yerleşir, bu nedenle dosya şifreleyici virüsünü kaldırmak tamamen imkansız olabilir. Kullanıcı, ana programı kaldırarak veya virüsün ana gövdesini silerek, şifrelenmiş bilgilerin kurtarılması bir yana, tehdidin etkisinden kurtulmaz.

    Tehdit sisteme nasıl giriyor?

    Kural olarak, bu tür tehditler çoğunlukla büyük ticari yapıları hedef alır ve bilgisayarlara nüfuz edebilir. e-posta programları, bir çalışan, örneğin bir tür işbirliği anlaşmasına veya bir ürün tedarik planına ek olan bir e-postada sözde ekli bir belgeyi açtığında (şüpheli kaynaklardan ekleri olan ticari teklifler bir virüsün ilk yoludur) .

    Sorun, erişimi olan bir makinedeki fidye yazılımı virüsünün yerel ağ, yalnızca ağ ortamında değil, aynı zamanda sahip değilse yönetici terminalinde de kendi kopyalarını oluşturarak buna uyum sağlayabilir. gerekli fonlar anti-virüs yazılımı, güvenlik duvarı veya güvenlik duvarı şeklinde koruma.

    Bazen bu tür tehditler bilgisayar sistemleri saldırganların genel olarak hiç ilgisini çekmeyen sıradan kullanıcılar. Bu, şüpheli İnternet kaynaklarından indirilen bazı programların yüklenmesi sırasında olur. Çoğu kullanıcı indirme işlemine başlarken uyarıları dikkate almaz. antivirüs sistemi koruma ve yükleme işlemi sırasında tarayıcılar için ek yazılım, panel veya eklenti yükleme tekliflerine aldırış etmezler ve sonra dedikleri gibi dirseklerini ısırırlar.

    Virüs çeşitleri ve biraz tarih

    Temel olarak, bu tür tehditler, özellikle en tehlikeli fidye yazılımı virüsü No_more_ransom, yalnızca verileri şifreleme veya bunlara erişimi engelleme araçları olarak sınıflandırılmaz. Aslında, bu tür kötü amaçlı uygulamaların tümü fidye yazılımı olarak kategorize edilir. Başka bir deyişle, saldırganlar, ilk program olmadan üretileceklerine inanarak, bilgilerin şifresini çözmek için belirli bir ödül talep ederler. bu süreç imkansız olacak Kısmen de öyle.

    Ancak, tarihe bakarsanız, bu türdeki ilk virüslerden birinin, para talep etmemesine rağmen, tamamen şifrelenmiş olan rezil Seni Seviyorum uygulaması olduğunu görebilirsiniz. kullanıcı sistemleri multimedya dosyaları (esas olarak müzik parçaları). O sırada fidye yazılımı virüsünden sonra dosyaların şifresini çözmenin imkansız olduğu ortaya çıktı. Şimdi tam da bu tehditle, temel olarak savaşmak mümkün.

    Ancak virüslerin kendilerinin veya kullanılan şifreleme algoritmalarının gelişimi durmuyor. Virüsler arasında ne var - burada XTBL, CBF ve Breaking_Bad var ve [e-posta korumalı] ve bir sürü başka saçmalık.

    Kullanıcı dosyalarını etkileme metodolojisi

    Ve yakın zamana kadar saldırıların çoğu RSA-1024 algoritmaları kullanılarak gerçekleştiriliyordu. AES şifrelemesi aynı bit derinliğiyle, aynı No_more_ransom şifreleme virüsü, bugün RSA-2048 ve hatta RSA-3072 teknolojilerine dayalı şifreleme anahtarları kullanılarak çeşitli yorumlarda sunulmaktadır.

    Kullanılan algoritmaların kodunu çözme sorunları

    Sorun şu ki modern sistemler böyle bir tehlike karşısında deşifre etmek güçsüz kaldı. AES256 tabanlı bir şifreleme virüsünden sonra dosya şifre çözme hala bir şekilde destekleniyor ve daha yüksek bir anahtar bit hızıyla neredeyse tüm geliştiriciler omuz silkiyor. Bu arada bu, Kaspersky Lab ve Eset uzmanları tarafından resmi olarak onaylandı.

    En ilkel sürümde, destek hizmetiyle iletişim kuran kullanıcı, karşılaştırma ve şifreleme algoritmasını ve kurtarma yöntemlerini belirlemek için daha ileri işlemler için şifrelenmiş bir dosya ve orijinalini göndermeye davet edilir. Ancak, kural olarak, çoğu durumda bu işe yaramaz. Ancak şifreleme virüsü, inanıldığı gibi, kurbanın saldırganların şartlarını kabul etmesi ve parasal olarak belirli bir miktar ödemesi koşuluyla dosyaların şifresini çözebilir. Bununla birlikte, sorunun böyle bir formülasyonu meşru şüpheler doğurur. Ve bu yüzden.

    Şifreleme virüsü: dosyaları nasıl iyileştirir ve şifresini çözer ve bu yapılabilir mi?

    İddiaya göre, ödeme yapıldıktan sonra bilgisayar korsanları, sistemde oturan virüslerine uzaktan erişim yoluyla veya virüsün gövdesi kaldırılırsa ek bir uygulama aracılığıyla şifre çözmeyi etkinleştirir. Şüpheli olmaktan çok görünüyor.

    İnternetin, gerekli miktarın ödendiğini ve verilerin başarıyla geri yüklendiğini söyleyen sahte gönderilerle dolu olduğunu da belirtmek isterim. Hepsi yalan! Ve gerçek şu ki - ödeme yapıldıktan sonra sistemdeki şifreleme virüsünün tekrar etkinleştirilmeyeceğinin garantisi nerede? Hırsızların psikolojisini anlamak zor değil: Bir kez ödeyen yine öder. Belirli ticari, bilimsel veya askeri gelişmeler gibi özellikle önemli bilgiler söz konusu olduğunda, bu tür bilgilerin sahipleri, dosyalar güvenli ve sağlam kaldığı sürece istedikleri kadar ödemeye hazırdır.

    Tehdide karşı ilk çare

    Bir fidye yazılımı virüsünün doğası böyledir. Bir tehdide maruz kaldıktan sonra dosyaları nasıl iyileştirir ve şifrelerini çözerim? Evet, hiçbir şekilde, her zaman yardımcı olmayan doğaçlama araçlar yoksa mümkün değil. Ama deneyebilirsin.

    Sistemde bir fidye yazılımı virüsünün ortaya çıktığını varsayalım. Virüslü dosyalar nasıl tedavi edilir? Başlamak için, yalnızca önyükleme sektörleri ve sistem dosyaları zarar gördüğünde tehditlerin algılanmasını sağlayan S.M.A.R.T.

    Halihazırda tehdidi kaçırmış olan mevcut standart tarayıcının değil, taşınabilir yardımcı programların kullanılması tavsiye edilir. En iyi seçenek işletim sistemi başlamadan önce başlayabilen Kaspersky Rescue Disk'ten önyükleme yapacaktır.

    Ancak bu, savaşın yalnızca yarısıdır, çünkü bu şekilde yalnızca virüsün kendisinden kurtulabilirsiniz. Ancak kod çözücü ile daha zor olacak. Ama bunun hakkında daha sonra.

    Fidye yazılımı virüslerinin altına düştüğü başka bir kategori daha var. Bilgilerin şifresinin nasıl çözüleceği ayrıca tartışılacaktır, ancak şimdilik sistemde oldukça açık bir şekilde resmi olarak var olabileceklerine odaklanalım. yüklü programlar ve uygulamalar (saldırganların küstahlığı sınır tanımıyor, çünkü tehdit kendini gizlemeye bile çalışmıyor).

    Bu durumda, standart kaldırma işleminin gerçekleştirildiği Programlar ve Özellikler bölümünü kullanmalısınız. Ancak, Windows sistemlerinin standart kaldırıcısının tüm program dosyalarını tamamen kaldırmadığına dikkat etmeniz gerekir. Özellikle, fidye şifreleme virüsü oluşturma yeteneğine sahiptir. kendi klasörleri sistemin kök dizinlerinde (bunlar genellikle Csrss dizinleridir; çalıştırılabilir dosya csrss.exe). Ana konum olarak seçildi Windows klasörleri, System32 veya kullanıcı dizinleri (sistem sürücüsündeki kullanıcılar).

    Ek olarak, No_more_ransom şifreleyici virüsü, istemci ve sunucu yazılımı arasındaki etkileşimden bu hizmetin sorumlu olması gerektiğinden, birçok kişinin kafasını karıştıran resmi İstemci Sunucu Çalışma Zamanı Alt Sistemi hizmetine bir bağlantı olarak kayıt defterine kendi anahtarlarını yazar. Anahtarın kendisi, HKLM şubesi aracılığıyla erişilebilen Çalıştır klasöründe bulunur. Bu tür anahtarları manuel olarak silmeniz gerekeceği açıktır.

    Bunu kolaylaştırmak için, gibi yardımcı programları kullanabilirsiniz. iObit Kaldırıcı o arama Kalan dosyalar ve kayıt defteri anahtarları otomatik olarak (ancak yalnızca virüs sistemde yüklü bir uygulama olarak görünüyorsa). Ama bu yapılacak en kolay şey.

    Virüsten koruma yazılımı geliştiricileri tarafından sunulan çözümler

    Şifreleme virüsünün şifre çözme işleminin özel yardımcı programlar kullanılarak yapılabileceğine inanılıyor, ancak 2048 veya 3072 bitlik bir anahtara sahip teknolojiler varsa, bunlara özellikle güvenmemelisiniz (ayrıca, çoğu şifre çözme işleminden sonra dosyaları siler ve ardından kurtarılanlar) dosyalar henüz kaldırılmamış bir virüs gövdesinin varlığı nedeniyle kaybolur).

    Ancak deneyebilirsiniz. Tüm programlar arasında RectorDecryptor ve ShadowExplorer'ı vurgulamaya değer. Henüz daha iyi bir şeyin yaratılmadığına inanılıyor. Ancak sorun, bir şifre çözücü kullanmaya çalıştığınızda, iyileştirilmiş dosyaların silinmeyeceğine dair bir garanti olmaması gerçeğinde de olabilir. Yani, başlangıçta virüsten kurtulmazsanız, herhangi bir şifre çözme girişimi başarısızlığa mahkum olacaktır.

    Şifrelenmiş bilgilerin silinmesine ek olarak, ölümcül bir sonuç olabilir - tüm sistem çalışamaz hale gelir. Ek olarak, modern bir fidye yazılımı virüsü yalnızca bilgisayarın sabit sürücüsünde depolanan verileri değil, bulut depolama alanındaki dosyaları da etkileyebilir. Ve veri kurtarma için herhangi bir çözüm yoktur. Ayrıca, ortaya çıktığı gibi, birçok hizmette yeterince kabul edilmemektedir. etkili önlemler koruma (doğrudan işletim sisteminden etkilenen aynı yerleşik Windows 10 OneDrive).

    Soruna radikal çözüm

    Zaten açık olduğu gibi, çoğu modern yöntem bu tür virüslerle enfekte olduğunda olumlu bir sonuç vermiyor. Tabii orjinali varsa hasarlı dosya, anti-virüs laboratuvarına incelenmek üzere gönderilebilir. Doğru, sıradan bir kullanıcının, bir sabit sürücüde saklandığında kötü amaçlı koda da maruz kalabilecek verilerin yedek kopyalarını oluşturacağına dair ciddi şüpheler var. Ve kullanıcıların sorun yaşamamak için bilgileri çıkarılabilir medyaya kopyalaması gerçeğinden hiç bahsetmiyoruz.

    Böylece, soruna köklü bir çözüm için, sonuç kendini gösteriyor: sabit sürücünün tam biçimlendirilmesi ve tümü mantıksal bölümler bilgilerin kaldırılması ile. Peki ne yapmalı? Virüsün veya kendi kendine kaydedilen kopyasının sistemde tekrar aktif hale gelmesini istemiyorsanız bağışta bulunmanız gerekecek.

    Bunu yapmak için, Windows sistemlerinin araçlarını kullanmamalısınız (sanal bölümlerin biçimlendirilmesi anlamına gelir, çünkü erişmeye çalıştığınızda sistem sürücüsü yasaklanacak). LiveCD gibi optik ortamlardan önyüklemeyi kullanmak daha iyidir veya kurulum dağıtımları Medya yardımcı programıyla oluşturulanlar gibi Oluşturma Aracı Windows 10 için.

    Biçimlendirmeye başlamadan önce, virüsün sistemden kaldırılması şartıyla bütünlüğü geri yüklemeyi deneyebilirsiniz. sistem bileşenleri başından sonuna kadar Komut satırı(sfc /scannow), ancak verilerin şifresini çözme ve kilidini açma açısından bu işe yaramaz. Bu nedenle, format c: tek doğru olandır. Olası çözüm beğenseniz de beğenmeseniz de. Bu tür tehditlerden tamamen kurtulmanın tek yolu budur. Ne yazık ki, başka yolu yok! Tedavi bile standart araçlar, çoğu antivirüs paketi tarafından sunulan, güçsüz olduğu ortaya çıkıyor.

    Bir son söz yerine

    Bariz sonuçlar açısından, sadece birleşik ve tek elden çözüm bugün bu tür tehditlerin etkisinin sonuçlarını ortadan kaldırmak mevcut değil (üzücü, ancak doğru - bu, anti-virüs yazılımı geliştiricilerinin ve kriptografi alanındaki uzmanların çoğu tarafından onaylandı).

    1024-, 2048- ve 3072-bit şifrelemeye dayalı algoritmaların ortaya çıkmasının, bu tür teknolojilerin geliştirilmesine ve uygulanmasına doğrudan dahil olan kişiler tarafından neden geçtiği belirsizliğini koruyor? Gerçekten de, bugün AES256 algoritması en umut verici ve en güvenli olarak kabul edilir. Fark etme! 256! Bu sistem modern virüsler Görünüşe göre tabanlar iyi değil. O zaman anahtarlarının şifresini çözme girişimleri hakkında ne söylenir?

    Her ne olursa olsun, sisteme bir tehdit sokmaktan kaçınmak oldukça kolaydır. çok basit versiyon ekleri olan tüm gelen mesajları kontrol etmelidir. Outlook programları, Thunderbird ve diğerleri posta istemcileri antivirüs aldıktan hemen sonra ve hiçbir durumda taramanın sonuna kadar ekleri açmayın. Bazı programları yüklerken ek yazılım yükleme önerilerini de dikkatlice okumalısınız (genellikle çok yazılırlar). küçük baskı veya güncellemeler gibi standart eklentiler olarak gizlenmiş Flash player veya başka bir şey). Medya bileşenleri en iyi şekilde resmi siteler aracılığıyla güncellenir. Bu tür tehditlerin kendi sisteminize girmesini en azından bir şekilde önlemenin tek yolu budur. Bu tür virüslerin anında yerel ağda yayıldığı göz önüne alındığında, sonuçlar tamamen tahmin edilemez olabilir. Ve şirket için böyle bir olay dönüşü, tüm teşebbüslerin gerçek bir çöküşüne dönüşebilir.

    Sonunda ve Sistem yöneticisi boş oturmamalıdır. Böyle bir durumda yazılım korumasını hariç tutmak daha iyidir. Aynı güvenlik duvarı (güvenlik duvarı) yazılım değil, “donanım” (doğal olarak ilgili yazılım yerleşik olarak) olmalıdır. Ve antivirüs paketlerinin satın alınmasından tasarruf etmenin de buna değmeyeceğini söylemeye gerek yok. Yalnızca geliştiricinin sözlerinden gerçek zamanlı koruma sağladığı iddia edilen ilkel programları yüklemek yerine lisanslı bir paket satın almak daha iyidir.

    Ve tehdit zaten sisteme girmişse, eylem dizisi virüs gövdesinin kendisinin kaldırılmasını ve ancak bundan sonra zarar görmüş verilerin şifresini çözme girişimlerini içermelidir. İdeal olarak, tam biçimlendirme (dikkat edin, içindekiler tablosunu temizleyerek hızlı bir biçimlendirme değil, tam bir biçimlendirme, tercihen mevcut olanı geri yükleyerek veya değiştirerek dosya sistemi, önyükleme sektörleri ve kayıtları).

    Herkese iyi günler, sevgili arkadaşlarım ve blogumun okuyucuları. Bugün konu oldukça üzücü olacak çünkü virüslere değinecek. Size kısa bir süre önce iş yerimde başıma gelen bir olayı anlatayım. Departmandan bir çalışan heyecanlı bir sesle beni aradı: "Dima, virüs bilgisayardaki dosyaları şifreledi: şimdi ne yapmalıyım?" Sonra davanın kızartılmış koktuğunu fark ettim ama sonunda onu görmeye gittim.

    Evet. Her şeyin üzücü olduğu ortaya çıktı. Bilgisayardaki dosyaların çoğu virüslüydü veya daha doğrusu şifrelenmişti: Office belgeleri, PDF dosyaları, 1C veritabanları ve diğerleri. Genel olarak, eşek dolu. Muhtemelen yalnızca arşivler, uygulamalar ve metin belgeleri etkilenmedi (ve bir sürü başka şey). Tüm bu veriler uzantısını değiştirdi ve adlarını da sjd7gy2HjdlVnsjds gibi bir şeye değiştirdi. özdeş belgeler README.txt Dürüstçe bilgisayarınıza virüs bulaştığını ve herhangi bir işlem yapmadığınızı, hiçbir şeyi silmediğinizi, antivirüslerle kontrol etmediğinizi, aksi takdirde dosyaların iade edilmeyeceğini söylüyorlar.
    Dosya ayrıca bu güzel insanların her şeyi eski haline getirebileceklerini söylüyor. Bunu yapmak için, anahtarı belgeden postalarına göndermeleri gerekir, ardından alacaksınız gerekli talimatlar. Fiyatı yazmıyorlar ama aslında geri dönüşün maliyetinin 20.000 ruble gibi bir şey olduğu ortaya çıkıyor.

    Verileriniz verdiğiniz paraya değer mi? Fidye yazılımının ortadan kaldırılması için ödeme yapmaya hazır mısınız? Ben şüpheliyim. O zaman ne yapmalı? Bunun hakkında daha sonra konuşalım. Bu arada, sırayla her şeye başlayalım.

    Bu iğrenç şifreleme virüsü nereden geliyor? Burada her şey çok basit. Adamları e-posta yoluyla alıyor. Genellikle bu virüs kuruluşlara sızar. kurumsal kutular, sadece olmasa da. Görünüşe göre, spam şeklinde gelmediği için kaku ile karıştırmayacaksınız, ancak gerçekten var olan ciddi bir kuruluştan, örneğin, Rostelecom sağlayıcısından resmi postalarından bir mektup aldık.

    Mektup oldukça sıradandı, "Yeni tarife planlarıİçin tüzel kişiler". Ekli bir PDF dosyasıdır. Ve bu dosyayı açtığınızda Pandora'nın kutusunu açmış olursunuz. Tüm önemli dosyalar şifrelenir ve basit kelimelerle bir tuğlaya. Üstelik antivirüsler bu saçmalığı hemen yakalamazlar.

    Ne yaptım ve ne işe yaramadı

    Doğal olarak, bilgi o kadar değerli olmadığı ve ayrıca dolandırıcılarla iletişime geçmek hiç de bir seçenek olmadığı için kimse bunun için 20 bin ödemek istemedi. Ayrıca, bu miktar için her şeyin sizin için açılacağı da bir gerçek değil.

    Drweb Cureit yardımcı programını inceledim ve bir virüs buldu, ancak çok az işe yaradı, çünkü virüsten sonra bile dosyalar şifreli kaldı. Virüsü temizlemenin kolay olduğu ortaya çıktı, ancak sonuçlarla baş etmek zaten çok daha zor. Doctor Web ve Kaspersky forumlarına girdim ve orada ihtiyacım olan konuyu buldum ve ayrıca şifre çözme konusunda henüz ne orada ne de orada yardım edilemeyeceğini öğrendim. Her şey ağır bir şekilde şifrelenmişti.

    Ancak arama motorları, bazı şirketlerin bir ücret karşılığında dosyaların şifresini çözdüğü arama sonuçlarında görünmeye başladı. Özellikle şirketin gerçek olduğu, gerçekten var olduğu ortaya çıktığından beri ilgimi çekti. Web sitelerinde, yeteneklerini göstermek için beş parçayı ücretsiz olarak deşifre etmeyi teklif ettiler. Bence en önemli 5 dosyayı alıp onlara gönderdim.
    Bir süre sonra, her şeyi çözmeyi başardıklarına ve tam bir şifre çözme için benden 22 bin alacaklarına dair bir cevap aldım. Ve bana dosyaları vermek istemediler. Hemen büyük olasılıkla dolandırıcılarla birlikte çalıştıklarını varsaydım. Tabii ki cehenneme gönderildiler.

    • Recuva ve RStudio programlarını kullanarak
    • Çeşitli yardımcı programlar tarafından çalıştırılır
    • Pekala, sakinleşmek için yardım edemedim ama denedim (bunun yardımcı olmayacağını gayet iyi bilmeme rağmen) doğru şey için sadece bayat. Brad tabii ki)

    Bunların hiçbiri bana yardımcı olmadı. Ama yine de bir çıkış yolu buldum.\r\n\r\nTabi birdenbire böyle bir durumla karşılaşırsanız, o zaman dosyaların şifrelendiği uzantıya bakın. ondan sonra git http://support.kaspersky.ru/viruses/desinfection/10556 ve hangi uzantıların listelendiğini görün. Uzantınız listedeyse, bu yardımcı programı kullanın.
    Ancak bu fidye yazılımlarını gördüğüm 3 vakada da bu yardımcı programların hiçbiri yardımcı olmadı. Spesifik olarak, virüsle tanıştım da Vinci Şifresi Ve "KASA". İlk durumda, hem ad hem de uzantı değişti ve ikinci durumda yalnızca uzantı değişti. Genel olarak, bu tür bir sürü kriptograf vardır. xtbl, no more fidye, better call saul ve diğerleri gibi piçler duyuyorum.

    Ne yardımcı oldu

    Gölge kopyaları hiç duydunuz mu? Böylece, bir geri yükleme noktası oluşturulduğunda, dosyalarınızın gölge kopyaları otomatik olarak oluşturulur. Dosyalarınıza bir şey olursa, onları her zaman geri yükleme noktasının oluşturulduğu ana geri getirebilirsiniz. Dosyaları gölge kopyalardan kurtarmak için harika bir program bu konuda bize yardımcı olacaktır.

    Başlamak indirmek ve "Shadow Explorer" programını kurun. En son sürüm çökerse (bu olur), öncekini yükleyin.

    Gölge Gezgini'ne gidin. Gördüğümüz gibi, programın ana kısmı explorer'a benzer, yani. dosyalar ve Klasörler. Şimdi sol üst köşeye dikkat edin. Orada bir mektup görüyoruz. yerel disk ve tarih. Bu tarih, C sürücüsündeki gönderilen tüm dosyaların o sırada güncel olduğu anlamına gelir. 30 Kasım'ım var. Bu, son geri yükleme noktasının 30 Kasım'da oluşturulduğu anlamına gelir.
    Tarih açılır listesine tıklarsak, hangi tarihler için hala gölge kopyalarımızın olduğunu görebiliriz. Ve yerel sürücüler açılır listesine tıklarsanız ve örneğin D sürücüsünü seçerseniz, mevcut dosyalarımızın olduğu tarihi göreceğiz. Ama disk için D noktalar otomatik olarak oluşturulmaz, bu yüzden ayarlara kaydedilmesi gerekir. Bu yapması çok kolay.
    Gördüğünüz gibi, eğer disk için C Oldukça yeni bir randevum var, sonra arabayla gideceğim D Son nokta neredeyse bir yıl önce oluşturuldu. Peki, o zaman adım adım yaparız:

    Tüm. Şimdi geriye kalan tek şey, dışa aktarımın tamamlanmasını beklemek. Ardından, seçtiğiniz klasöre gidiyoruz ve tüm dosyaların açılabilirliğini ve performansını kontrol ediyoruz. Her şey yolunda).
    İnternette başka bazı yöntemlerin, yardımcı programların vb. Belki de sadece şanssızım.

    Ancak ne yazık ki, son kez yalnızca C sürücüsündeki dosyaları geri yüklemek mümkün oldu, çünkü varsayılan olarak yalnızca C sürücüsü için noktalar oluşturuldu. Buna göre, D sürücüsü için gölge kopya yoktu. Elbette, geri yükleme noktalarının nelere yol açabileceğini de unutmamalısınız, bu yüzden buna da dikkat edin.

    Ve diğer sabit sürücüler için gölge kopyaların oluşturulması için onlara da ihtiyacınız var.

    önleme

    İyileşme ile ilgili sorunlardan kaçınmak için önleme yapmanız gerekir. Bunu yapmak için aşağıdaki kurallara uymalısınız.

    Bu arada, bir kez bu virüs, dijital imza anahtarı sertifikalarımızın bulunduğu bir flash sürücüdeki dosyaları şifreledi. Bu nedenle, flash sürücülerle de çok dikkatli olun.

    Saygılarımla, Dmitry Kostin.

    Modern teknolojiler, bilgisayar korsanlarının dolandırıcılık yöntemlerini sürekli olarak geliştirmelerine olanak tanır. sıradan kullanıcılar. Kural olarak, bir bilgisayara sızan virüs yazılımları bu amaçlar için kullanılır. Şifreleme virüsleri özellikle tehlikeli kabul edilir. Tehdit, virüsün dosyaları şifreleyerek çok hızlı yayılmasında yatmaktadır (kullanıcı herhangi bir belgeyi açamaz). Ve eğer oldukça basitse, verilerin şifresini çözmek çok daha zordur.

    Bilgisayarınızdaki dosyaları şifreleyen bir virüs varsa ne yapmalısınız?

    Herkes bir fidye yazılımı tarafından saldırıya uğrayabilir, güçlü bir antivirüs yazılımına sahip kullanıcılar bile sigortalı değildir. Dosya şifreleyici truva atları, antivirüsün gücünün ötesinde olabilecek farklı kodlarla temsil edilir. Bilgisayar korsanları bu şekilde saldırmayı bile başarır büyük şirketler bilgilerinin gerekli korunmasına özen göstermeyen. Bu nedenle, çevrimiçi bir fidye yazılımı programı "aldıktan" sonra, bir dizi önlem almanız gerekir.

    Enfeksiyonun ana belirtileri şunlardır: yavaş çalışma bilgisayar ve belgelerin adlarını değiştirme (masaüstünde görülebilir).

    1. Şifrelemeyi durdurmak için bilgisayarınızı yeniden başlatın. Etkinleştirildiğinde, bilinmeyen programların başlatılmasını onaylamayın.
    2. Fidye yazılımı tarafından saldırıya uğramadıysa antivirüs programını çalıştırın.
    3. Bazı durumlarda, gölge kopyalar bilgilerin geri yüklenmesine yardımcı olur. Bunları bulmak için şifrelenmiş belgenin "Özellikler"ini açın. Bu yöntem, portal hakkında bilgi içeren Vault uzantısının şifrelenmiş verileriyle çalışır.
    4. En son anti-kripto virüsü yardımcı programını indirin. En etkili olanları Kaspersky Lab tarafından sunulmaktadır.

    2016'da şifreleme virüsleri: örnekler

    Herhangi biriyle savaşırken virüs saldırısı kodun çok sık değiştiğini, tamamlandığını anlamak önemlidir yeni koruma antivirüslerden. Elbette, koruma programlarının, geliştiricinin veritabanlarını güncelleyene kadar biraz zamana ihtiyacı vardır. Son zamanların en tehlikeli şifreleme virüslerini seçtik.

    Ishtar fidye yazılımı

    Ishtar, kullanıcıdan zorla para alan bir fidye yazılımıdır. Virüs, 2016 sonbaharında fark edildi ve Rusya'dan ve diğer bazı ülkelerden çok sayıda kullanıcının bilgisayarına bulaştı. Ekli belgeleri (yükleyiciler, belgeler vb.) içeren e-posta dağıtımı kullanılarak dağıtılır. Ishtar fidye yazılımının bulaştığı veriler, adında "ISHTAR" ön ekini alır. İşlem, parolayı almak için nereye gidileceğini gösteren bir test belgesi oluşturur. Saldırganlar bunun için 3.000 ila 15.000 ruble talep ediyor.

    Ishtar virüsünün tehlikesi, bugün kullanıcılara yardımcı olacak hiçbir şifre çözücü olmamasıdır. Antivirüs yazılımı şirketlerinin tüm kodu deşifre etmek için zamana ihtiyacı vardır. Artık, belgelerin şifresini çözebilen bir yardımcı programın yayınlanmasını bekleyerek, yalnızca önemli bilgileri (özel bir öneme sahiplerse) ayrı bir ortamda izole edebilirsiniz. Yeniden yüklemeniz önerilir işletim sistemi.

    Neitrino

    Neitrino fidye yazılımı 2015 yılında internette ortaya çıktı. Saldırı ilkesi gereği, bu kategorideki diğer virüslere benzer. "Neitrino" veya "Neutrino" ekleyerek klasörlerin ve dosyaların adlarını değiştirir. Virüsün deşifre edilmesi zordur - antivirüs şirketlerinin tüm temsilcileri bunu çok karmaşık bir koda atıfta bulunarak üstlenmez. Bir gölge kopyayı geri yüklemek bazı kullanıcılara yardımcı olabilir. Bunu yapmak için, şifrelenmiş belgeye sağ tıklayın, "Özellikler"e gidin, "Önceki Sürümler" sekmesine gidin, "Geri Yükle"ye tıklayın. kullanmak gereksiz olmayacaktır. ücretsiz yardımcı program Kaspersky Lab'den.

    Cüzdan veya .cüzdan.

    Cüzdan şifreleme virüsü, 2016'nın sonunda ortaya çıktı. Bulaşma işlemi sırasında, verilerin adını "Name..wallet" veya benzeri olarak değiştirir. Çoğu fidye yazılımı virüsü gibi, sisteme bilgisayar korsanları tarafından gönderilen e-posta ekleri aracılığıyla girer. Tehdit oldukça yakın zamanda ortaya çıktığı için, virüsten koruma programları bunu fark etmez. Şifrelemeden sonra, dolandırıcının iletişim için postayı belirttiği bir belge oluşturur. Şu anda, virüsten koruma yazılımı geliştiricileri, fidye yazılımı virüsünün kodunun şifresini çözmek için çalışıyorlar. [e-posta korumalı] Saldırıya uğrayan kullanıcılar yalnızca bekleyebilir. Veriler önemliyse, kaydetmeniz önerilir. Harici Sürücü sistemi temizleyerek.

    muamma

    Enigma şifreleme virüsü, Nisan 2016'nın sonunda Rus kullanıcıların bilgisayarlarına bulaşmaya başladı. Günümüzde çoğu fidye yazılımında bulunan AES-RSA şifreleme modelini kullanır. Virüs, kullanıcının şüpheli bir e-postadan dosyaları açarak kendisinin çalıştırdığı bir komut dosyası kullanarak bilgisayara nüfuz eder. Enigma şifresiyle başa çıkmak için hala evrensel bir çare yok. Antivirüs lisansına sahip kullanıcılar, geliştiricinin resmi web sitesinde yardım isteyebilir. Küçük bir "boşluk" da bulundu - Windows UAC'si. Kullanıcı, virüs bulaşması sırasında açılan pencerede "Hayır"ı tıklarsa, daha sonra gölge kopyaları kullanarak bilgileri geri yükleyebilir.

    Granit

    Yeni fidye yazılımı virüsü Granit, 2016 sonbaharında internette ortaya çıktı. Bulaşma şu senaryoya göre gerçekleşir: kullanıcı, bilgisayardaki ve bağlı sürücülerdeki tüm verileri etkileyen ve şifreleyen bir yükleyici başlatır. Virüsle mücadele zordur. Kaldırmak için kullanabilirsiniz özel araçlar Kaspersky'den, ancak kodun şifresi henüz çözülmedi. Verilerin önceki sürümlerini geri yüklemek yardımcı olabilir. Ek olarak, kapsamlı deneyime sahip bir uzman şifreyi çözebilir, ancak hizmet pahalıdır.

    agresif

    Geçenlerde görüldü. Web sitemizde hakkında bilgi edinebileceğiniz, zaten iyi bilinen no_more_ransom fidye yazılımının bir uzantısıdır. E-postadan kişisel bilgisayarlara ulaşır. Birçok kurumsal bilgisayar saldırıya uğradı. virüs oluşturur Metin belgesi kilidini açma talimatlarıyla, bir "fidye" ödemeyi teklif ediyor. Tyson fidye yazılımı yakın zamanda ortaya çıktı, bu nedenle henüz bir kilit açma anahtarı yok. Bilgileri kurtarmanın tek yolu geri dönmektir. önceki sürümler bir virüs tarafından kaldırılmadıkları sürece. Saldırganların belirttiği hesaba para aktararak elbette risk alabilirsiniz, ancak şifre alacağınızın garantisi yoktur.

    spora

    2017'nin başlarında, bazı kullanıcılar yeni Spora fidye yazılımının kurbanı oldu. Çalışma prensibi açısından benzerlerinden çok farklı değildir, ancak daha profesyonel bir performansa sahiptir: şifre alma talimatları daha iyidir, web sitesi daha güzel görünür. C dilinde oluşturulan Spora fidye yazılımı, kurban verilerini şifrelemek için RSA ve AES kombinasyonunu kullanır. Kural olarak, 1C muhasebe programının aktif olarak kullanıldığı bilgisayarlar saldırıya uğradı. .pdf formatında basit bir fatura kisvesi altında saklanan virüs, şirket çalışanlarını onu başlatmaya zorlar. Henüz tedavisi bulunamadı.

    1C.Bırak.1

    1C için bu şifreleme virüsü, 2016 yazında ortaya çıktı ve birçok muhasebe departmanının işini aksattı. kullanan bilgisayarlar için özel olarak tasarlanmıştır. yazılım 1C. Bir PC'ye gönderilen bir e-postadaki bir dosyadan geçerken, sahibinden programı güncellemesini ister. Kullanıcı hangi düğmeye basarsa bassın, virüs dosyaları şifrelemeye başlayacaktır. Dr.Web uzmanları şifre çözme araçları üzerinde çalışıyor, ancak şu ana kadar bir çözüm bulunamadı. Bunun nedeni, çeşitli modifikasyonlarda olabilen karmaşık koddur. 1C.Drop.1'e karşı tek koruma, kullanıcıların dikkatli olması ve önemli belgelerin düzenli olarak arşivlenmesidir.

    da Vinci Şifresi

    Alışılmadık bir isme sahip yeni bir fidye yazılımı. Virüs 2016 baharında ortaya çıktı. Geliştirilmiş kod ve güçlü şifreleme modu ile öncekilerden farklıdır. da_vinci_code, kullanıcının bağımsız olarak başlattığı yürütülebilir bir uygulama (genellikle bir e-postaya eklenir) sayesinde bir bilgisayara bulaşır. Da Vinci şifresi (da vinci kodu), gövdeyi sistem dizinine ve kayıt defterine kopyalar. otomatik başlatma de Windows'u açma. Her kurbanın bilgisayarına benzersiz bir kimlik atanır (şifrenin alınmasına yardımcı olur). Verilerin şifresini çözmek neredeyse imkansızdır. Saldırganlara para ödeyebilirsiniz ama kimse şifreyi alacağınızı garanti etmez.

    [e-posta korumalı] / [e-posta korumalı]

    2016'da fidye yazılımlarına sıklıkla eşlik eden iki e-posta adresi. Kurban ile saldırgan arasında bağlantı kurmaya hizmet ederler. Ekte en çok adresler vardı farklı şekiller virüsler: da_vinci_code, no_more_ransom vb. Dolandırıcılara para transfer etmenin yanı sıra iletişim kurmanız kesinlikle önerilmez. Çoğu durumda kullanıcılar şifresiz kalır. Böylece saldırganların ransomware çalıştığını göstererek gelir elde ediyor.

    Kötü kırma

    2015'in başında ortaya çıktı, ancak yalnızca bir yıl sonra aktif olarak yayıldı. Bulaşma ilkesi diğer fidye yazılımlarıyla aynıdır: bir e-postadan dosya yükleme, veri şifreleme. Geleneksel antivirüsler genellikle Breaking Bad virüsünü fark etmez. Bazı kodlar Windows UAC'yi atlayamaz, bu nedenle kullanıcı belgelerin önceki sürümlerini geri yükleyebilir. Kod çözücü henüz anti-virüs yazılımı geliştiren herhangi bir şirket tarafından sunulmamıştır.

    XTBL

    Birçok kullanıcı için sorun yaratan çok yaygın bir fidye yazılımı. Bir PC'ye girdikten sonra, virüs birkaç dakika içinde dosya uzantısını .xtbl olarak değiştirir. Saldırganın zorla aldığı bir belge oluşturulur peşin. XTBL virüsünün bazı türleri, sistem geri yükleme dosyalarını yok edemeyerek önemli belgelerin kurtarılmasına olanak tanır. Virüsün kendisi birçok program tarafından kaldırılabilir, ancak belgelerin şifresini çözmek çok zordur. sahibi ise lisanslı antivirüs, etkilenen veri örneklerini ekleyerek teknik desteği kullanın.

    Kukaraça

    Kukaracha şifresi Aralık 2016'da görüldü. İlginç bir ada sahip bir virüs, oldukça dayanıklı olan RSA-2048 algoritmasını kullanarak kullanıcı dosyalarını gizler. Kaspersky antivirüs Trojan-Ransom.Win32.Scatter.lb olarak etiketlendi. Diğer belgelere virüs bulaşmaması için Kukaracha bilgisayardan kaldırılabilir. Ancak, virüs bulaşmış olanların şifresini çözmek bugün neredeyse imkansızdır (çok güçlü bir algoritma).

    Fidye yazılımı nasıl çalışır?

    Çok sayıda fidye yazılımı var, ancak hepsi benzer bir prensipte çalışıyor.

    1. Vurmak Kişisel bilgisayar. Kural olarak, e-postaya ekli dosya sayesinde. Kurulum, belgeyi açarak kullanıcının kendisi tarafından başlatılır.
    2. Dosya enfeksiyonu. Hemen hemen tüm dosya türleri şifrelenir (virüse bağlı olarak). Davetsiz misafirlerle iletişim için kişileri içeren bir metin belgesi oluşturulur.
    3. Tüm. Kullanıcı herhangi bir belgeye erişemez.

    Popüler laboratuvarlardan alınan ilaçlar

    Kullanıcı verilerine yönelik en tehlikeli tehdit olarak kabul edilen fidye yazılımlarının yaygınlaşması, birçok kişi için itici güç oldu. antivirüs laboratuvarları. Her popüler şirket, kullanıcılarına fidye yazılımlarıyla savaşmalarına yardımcı olan programlar sağlar. Ek olarak, birçoğu sistem tarafından korunan belgelerin şifresinin çözülmesine yardımcı olur.

    Kaspersky ve şifreleme virüsleri

    Bugün Rusya'daki ve dünyadaki en ünlü anti-virüs laboratuvarlarından biri, fidye yazılımı virüsleriyle savaşmak için en etkili araçları sunuyor. Kaspersky, fidye yazılımı virüsünün önündeki ilk engel olacak Uç Nokta Güvenliği 10 saniye En son güncellemeler. Anti-virüs, tehdidin bilgisayara girmesine izin vermeyecektir (ancak yeni sürümler durdurulmayabilir). Bilgilerin şifresini çözmek için geliştirici aynı anda birkaç ücretsiz yardımcı program sunar: XoristDecryptor, RakhniDecryptor ve Ransomware Decryptor. Virüsü bulmaya ve şifreyi almaya yardımcı olurlar.

    Dr. Web ve fidye yazılımı

    Bu laboratuvar, antivirüs programlarının kullanılmasını önermektedir. ana özellik hangi dosya yedekleme oldu. Belgelerin kopyalarının bulunduğu depolama, izinsiz giriş yapanların yetkisiz erişimine karşı da korunur. Lisanslı ürünün sahipleri Dr. Web'de bir yardım çağrısı işlevi mevcuttur. teknik Destek. Doğru, deneyimli uzmanlar bile bu tür bir tehdide her zaman karşı koyamaz.

    ESET Nod 32 ve fidye yazılımı

    Bu şirket de bir yana durmadı ve kullanıcılarına bilgisayara giren virüslere karşı iyi bir koruma sağladı. Ek olarak, laboratuvar yakın zamanda güncel veritabanlarına sahip ücretsiz bir yardımcı program olan Eset Crysis Decryptor'ı piyasaya sürdü. Geliştiriciler, en yeni fidye yazılımlarına karşı mücadelede bile yardımcı olacağını iddia ediyor.

    Her zamanki anlamıyla virüslerin sayısı giderek azalıyor ve bunun nedeni, iyi çalışan ve kullanıcıların bilgisayarlarını koruyan ücretsiz antivirüslerdir. Aynı zamanda, herkes verilerinin güvenliğini umursamıyor ve yalnızca kötü amaçlı yazılımların değil, aynı zamanda Truva Atı'nın en yaygın olmaya devam ettiği standart virüslerin de bulaşma riskini taşıyorlar. Kendini birçok şekilde gösterebilir, ancak en tehlikelilerinden biri dosya şifrelemedir. Bir virüs bir bilgisayardaki dosyaları şifrelediyse, verileri döndürmek işe yarayacak bir gerçek değildir, ancak bazıları etkili yöntemler mevcuttur ve aşağıda tartışılacaktır.

    Şifreleme virüsü: nedir ve nasıl çalışır?

    Web'de dosyaları şifreleyen yüzlerce virüs türü vardır. Eylemleri bir sonuca yol açar - kullanıcının bilgisayardaki verileri, kullanılarak açılamayan bilinmeyen bir biçim alır. standart programlar. Virüslerin eyleminin bir sonucu olarak bilgisayardaki verilerin şifrelenebileceği biçimlerden bazıları şunlardır: .locked, .xtbl, .kraken, .cbf, .oshit ve diğerleri. Bazı durumlarda dosya uzantısı doğrudan yazılır. e-posta adresi virüsün yaratıcıları

    Dosyaları şifreleyen en yaygın virüsler arasında Trojan-Ransom.Win32.Aura Ve Trojan-Ransom.Win32.Rakhni. Pek çok biçimleri vardır ve virüse Truva Atı bile denmeyebilir (örneğin, CryptoLocker), ancak eylemleri pratik olarak aynıdır. Şifreleme virüslerinin yeni sürümleri, virüsten koruma yazılımı geliştiricilerinin yeni biçimlerle uğraşmasını zorlaştırmak için düzenli olarak yayınlanır.

    Şifreleme virüsü bir bilgisayara girdiyse, o zaman kesinlikle yalnızca dosyaları engelleyerek değil, aynı zamanda kullanıcıya bir ücret karşılığında bunların kilidini açmasını teklif ederek de kendini gösterecektir. Ekranda, dosyaların kilidini açmak için nereye para aktarmanız gerektiğini söyleyen bir başlık görünebilir. Böyle bir başlık görünmediğinde, masaüstünde virüs geliştiricilerinden bir "mektup" aramalısınız, çoğu durumda böyle bir dosyaya ReadMe.txt adı verilir.

    Virüsün geliştiricilerine bağlı olarak, dosyaların şifresini çözme oranları değişebilir. Aynı zamanda virüsün yaratıcılarına para gönderirken kilit açma yöntemini geri gönderecekleri de bir gerçek değil. Çoğu durumda, para "hiçbir yere" gitmez ve bilgisayar kullanıcısı bir şifre çözme yöntemi almaz.

    Virüs bilgisayarınıza girdikten ve ekranda şifre çözücü almak için belirli bir adrese göndermeniz gereken bir kod gördükten sonra bunu yapmamalısınız. Yeni oluşturulan dosya da şifrelenmiş olabileceğinden, ilk adım bu kodu bir kağıda yazmaktır. Bundan sonra, virüsün geliştiricilerinden gelen bilgileri kapatabilir ve İnternette dosya şifreleyiciden kurtulmanın bir yolunu bulmaya çalışabilirsiniz. özel durum. Aşağıda, bir virüsü kaldırmanıza ve dosyaların şifresini çözmenize izin veren ana programları listeleyeceğiz, ancak bunlar evrensel olarak adlandırılamaz ve antivirüs yazılımı yaratıcıları, çözüm listesini düzenli olarak genişletir.

    Dosyaları şifreleyen bir virüsten kurtulmak, antivirüslerin ücretsiz sürümlerinin yardımıyla oldukça basittir. 3 ücretsiz program, dosyaları şifreleyen virüslerle iyi başa çıkıyor:

    • Malwarebytes Kötü Amaçlı Yazılım Önleme;
    • Web Cure It ;
    • Kaspersky internet güvenliği.

    Yukarıda belirtilen uygulamalar tamamen ücretsizdir veya deneme sürümleri. Sistemi kontrol ettikten sonra Dr.Web veya Kespersky'den alınan çözümü kullanmanızı öneririz. Malwarebytes'e yardım et antimalware. Bir bilgisayara aynı anda 2 veya daha fazla antivirüs kurmanın tavsiye edilmediğini, bu nedenle her yeni çözümü kurmadan önce bir öncekini kaldırmanız gerektiğini bir kez daha hatırlatırız.

    Yukarıda belirttiğimiz gibi, ideal çözüm Bu durumdaki problemler, probleminizle özel olarak ilgilenmenizi sağlayan talimatların seçimi olacaktır. Bu tür talimatlar çoğunlukla antivirüs geliştiricilerinin web sitelerinde yayınlanır. Aşağıda, bunlarla başa çıkmanıza izin veren birkaç güncel antivirüs yardımcı programı sunuyoruz. çeşitli tipler Truva atları ve diğer fidye yazılımı türleri.


    Yukarıdakiler, virüslü dosyaların şifresini çözmenize izin veren anti-virüs yardımcı programlarının yalnızca küçük bir parçasıdır. Verileri basitçe döndürmeye çalışırsanız, aksine, sonsuza kadar kaybolacaklarını belirtmekte fayda var - bunu yapmamalısınız.

    Kriptograflar (kripto dolapları) aile anlamına gelir kötü amaçlı yazılım, çeşitli şifreleme algoritmaları kullanarak, kullanıcıların bir bilgisayardaki dosyalara erişimini engeller (örneğin, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, vb. olarak bilinir).

    Genellikle virüs popüler türleri şifreler özel dosyalar: belgeler, elektronik tablolar, 1C veritabanları, herhangi bir veri dizisi, fotoğraf vb. Kuruluş, önemli bilgilerin güvenliğini sağlamak için uygun önlemleri almadıysa, gerekli miktarı saldırganlara aktarmak, şirketin performansını geri kazanmanın tek yolu olabilir.

    Çoğu durumda virüs, oldukça sıradan mektuplar kılığına girerek e-posta yoluyla yayılır: vergi dairesinden bildirim, işlemler ve sözleşmeler, satın almalarla ilgili bilgiler vb. zararlı kod. Virüs, gerekli dosyaları sırayla şifreler ve ayrıca garantili imha yöntemlerini kullanarak orijinal örnekleri siler (böylece kullanıcı yakın zamanda silinen dosyaları özel araçlar kullanarak kurtaramaz).

    Modern fidye yazılımı

    Kullanıcıların verilere erişimini engelleyen fidye yazılımları ve diğer virüsler, yeni sorun V bilgi Güvenliği. İlk sürümler 90'larda ortaya çıktı, ancak çoğunlukla "zayıf" (kararsız algoritmalar, küçük anahtar boyutu) veya simetrik şifreleme(çok sayıda kurbanın dosyaları tek bir anahtarla şifrelendi, virüs kodunu inceleyerek anahtarı kurtarmak da mümkündü) ve hatta kendi algoritmalarını geliştirdiler. Modern örnekler bu tür eksikliklerden yoksundur, saldırganlar hibrit şifreleme kullanır: simetrik algoritmalar kullanılarak, dosyaların içeriği çok yüksek hız ve şifreleme anahtarı bir simetrik algoritma. Bu, dosyaların şifresini çözmek için yalnızca saldırganın sahip olduğu bir anahtara ihtiyacınız olduğu anlamına gelir. kaynak kodu program bulunamıyor. Örneğin, CryptoLocker'ın kullandığı RSA algoritması 256 bit anahtar uzunluğuna sahip simetrik bir AES algoritması ile birleştirilmiş 2048 bit anahtar uzunluğuna sahip. Bu algoritmalar şu anda kriptoya dayanıklı olarak kabul edilmektedir.

    Bilgisayara virüs bulaşmış. Ne yapalım?

    Şifreleme virüslerinin modern şifreleme algoritmaları kullanmasına rağmen, bilgisayardaki tüm dosyaları anında şifreleyemedikleri unutulmamalıdır. Şifreleme sırayla ilerler, hız şifrelenen dosyaların boyutuna bağlıdır. Bu nedenle, çalışma sırasında normal dosya ve programların düzgün açılmadığını fark ederseniz, bilgisayarda çalışmayı hemen durdurmalı ve kapatmalısınız. Böylece, bazı dosyaları şifrelemeden koruyabilirsiniz.

    Bir sorunla karşılaştığınızda, ilk adım virüsün kendisinden kurtulmaktır. Bunun üzerinde ayrıntılı olarak durmayacağız, bilgisayarı virüsten koruma programları kullanarak iyileştirmeye veya virüsü manuel olarak kaldırmaya çalışmak yeterlidir. Yalnızca, bir virüsün şifreleme algoritmasının tamamlanmasından sonra genellikle kendi kendini yok ettiğini ve bu nedenle yardım için davetsiz misafirlere başvurmadan dosyaların şifresini çözmeyi zorlaştırdığını belirtmekte fayda var. Bu durumda, virüsten koruma programı hiçbir şey algılamayabilir.

    Asıl soru, şifrelenmiş verilerin nasıl kurtarılacağıdır? Ne yazık ki, bir fidye yazılımı virüsünden sonra dosyaları kurtarmak neredeyse imkansızdır. en azından garanti Tam iyileşme başarılı bir enfeksiyon durumunda kimse olmayacak. Birçok virüsten koruma aracı üreticisi, dosyaların şifresini çözme konusunda yardım sunar. Bunu yapmak için şifreli bir dosya göndermeniz ve Ek Bilgiler(davetsiz misafirlerin bağlantılarını içeren dosya, Genel anahtar) başından sonuna kadar özel şekillerüreticilerin web sitelerinde yayınlandı. Belirli bir virüsle başa çıkmanın bir yolunu bulmaları ve dosyalarınızın şifresinin başarıyla çözülmesi küçük bir ihtimaldir.

    Kurtarma yardımcı programlarını kullanmayı deneyin silinen dosyalar. Virüs garantili imha yöntemleri kullanmamış olabilir ve bazı dosyalar kurtarılabilir (bu özellikle dosyalarla çalışabilir) büyük beden, örneğin, birkaç on gigabaytlık dosyalarla). Dosyaları gölge kopyalardan kurtarma şansı da vardır. Kurtarma işlevlerini kullanırken Windows sistemleri geri yükleme noktasının oluşturulduğu sırada dosya verilerini içerebilen anlık görüntüler ("anlık görüntüler") oluşturur.

    Verileriniz şurada şifrelenmişse bulut hizmetleri, teknik desteğe başvurun veya kullandığınız hizmetin yeteneklerini keşfedin: çoğu durumda hizmetler, geri yüklenebilmeleri için dosyaların önceki sürümlerine bir "geri alma" işlevi sağlar.

    Yapmamanızı şiddetle tavsiye ettiğimiz şey, fidye yazılımını takip etmek ve şifre çözme için ödeme yapmaktır. İnsanların para verdiği ancak anahtarları almadığı durumlar oldu. Parayı alan saldırganların gerçekten şifreleme anahtarını göndereceğini ve dosyaları kurtarabileceğinizi kimse garanti etmez.

    Kendinizi bir fidye yazılımı virüsünden nasıl korursunuz? Önleyici tedbirler

    Tehlikeli sonuçları önlemek, düzeltmekten daha kolaydır:

    • güvenilir kullan antiviral ajanlar ve düzenli olarak güncelleyin anti-virüs veritabanları. Kulağa basmakalıp gelebilir, ancak bu, bilgisayarınıza başarılı bir şekilde virüs bulaştırma şansını büyük ölçüde azaltacaktır.
    • Verilerinizin yedek kopyalarını saklayın.

    Bunu yapmanın en iyi yolu, özel yedekleme araçlarıdır. Çoğu kripto kilitleyici, yedekleri de şifreleyebilir, bu nedenle yedekleri diğer bilgisayarlarda (örneğin, sunucularda) veya yabancılaştırılmış ortamlarda depolamak mantıklıdır.

    İle klasörlerdeki dosyaları değiştirmek için izinleri kısıtlayın yedekler, yalnızca eklemeye izin verir. Fidye yazılımının sonuçlarına ek olarak, yedekleme sistemleri veri kaybıyla ilişkili diğer birçok tehdidi etkisiz hale getirir. Virüsün yayılması, bu tür sistemleri kullanmanın alaka ve önemini bir kez daha göstermektedir. Veri kurtarma, şifre çözmekten çok daha kolaydır!

    Bir diğer etkili yol Mücadele, örneğin .js, .cmd, .bat, .vba, .ps1 vb. uzantıları gibi bazı potansiyel olarak tehlikeli dosya türlerinin başlatılmasını sınırlamaktır. Bu, AppLocker aracı kullanılarak yapılabilir (Enterprise sürümlerinde) veya politikalar SRP etki alanında merkezileştirilmiştir. internette epey var ayrıntılı kılavuzlar, nasıl yapılır. Çoğu durumda, kullanıcının yukarıda bahsedilen betik dosyalarını kullanmasına gerek yoktur ve fidye yazılımının başarılı uygulama şansı daha düşüktür.

    • Dikkatli ol.

    Farkındalık en çok biridir etkili yöntemler tehdit önleme. Bilinmeyen kişilerden aldığınız her e-postadan şüphelenin. Tüm ekleri açmak için acele etmeyin, şüpheniz varsa yöneticiye bir soru ile başvurmak daha iyidir.

    Alexander Vlasov, "SKB Kontur" şirketinin bilgi güvenliği sistemlerinin uygulanması bölümünün kıdemli mühendisi

    Devamını oku: