Virus-encryptor: как да се излекува и декриптира файловете? Дешифрирайте файловете след криптографския вирус
Сами по себе си вирусите като компютърна заплаха днес не изненадват никого. Но ако по-рано те засегнаха системата като цяло, причинявайки неизправности в нейната оперативност, днес, с появата на такова разнообразие като вирусно-шифротел, действията на проникващата заплаха се отнасят до повече потребителски данни. Това представлява може би дори по-голяма заплаха, отколкото разрушителна за изпълними Windows приложения или шпионски аплети.
съдържание
- Какво представлява криптографският вирус?
- Принципът на проникване в системата и работата на вирусния код
- Общите последици от проникването на всички вируси от този тип
- Увреждане от въздействието на кода
- Първоначално в семейството
- Най-нови модификации
- Xtbl вирус
- Cbf вирус
- Вирусът breaking_bad
- Вирус [email protected]
- Virus-encryptor: как да излекувате и декриптирате файлове, използващи антивирусен софтуер
- Възможни начини за ръчно идентифициране и разрешаване на заплаха
- Кардинални методи
- Вместо последващо слово
Какво представлява криптографският вирус?
Сам по себе си, кодът, записан в самокопиращия вирус, предполага криптиране на почти всички потребителски данни чрез специални криптографски алгоритми, които не засягат системните файлове на операционната система.
Отначало логиката на излагането на вируса на мнозина не беше напълно ясна. Всички са изчистени само когато хакерите, създали такива аплети, започнаха да изискват пари за възстановяване на първоначалната структура на файловете. В този случай проникналият вирус-шифровач декриптира файлове поради неговите характеристики не позволява. За целта ви е необходим специален декодер, ако желаете, кода, паролата или алгоритъма, необходими за възстановяване на съдържанието, което търсите.
Принципът на проникване в системата и работата на вирусния код
Като правило, е доста трудно да се "вдигне" такъв шум в Интернет. Основният източник на разпространението на "заразата" е електронна поща на ниво, инсталирана на даден компютърен терминал като софтуера Outlook, Thunderbird, The Bat и т.н. Трябва да се отбележи наведнъж: .. Email уеб сървъри не са засегнати, тъй като те имат по-висока степен на защита, както и достъп до потребителските данни е възможно, с изключение на това на ниво от съхранение в облак.
Друго нещо е приложението на компютърния терминал. Ето защо, за действието на вирусите, полето е толкова широко, че е невъзможно да си представим. Вярно е, че и тук си струва да направите резервация: в повечето случаи вирусите са насочени към големи компании, от които е възможно да се "откъснат" парите за предоставяне на код за декриптиране. Това е разбираемо, защото не само на локалните компютърни терминали, но и на сървърите на такива фирми може да се съхранява не само това, което е напълно поверителна информация, но и досиета, така да се каже, в едно копие, което в никакъв случай не подлежи на унищожаване. След това декриптирането на файловете след криптографския вирус става доста проблематично.
Разбира се, обикновеният потребител може да претърпи такава атака, но в повечето случаи това е малко вероятно, ако се спазват най-простите препоръки за отваряне на прикачени файлове с разширения от неизвестен тип. Дори ако пощенският клиент дефинира прикачен файл с разширение .jpg като стандартен графичен файл, той първо трябва да бъде проверен редовно антивирусен скенер, инсталирани в системата.
Ако не го направите, когато отваряте с двойно кликване (стандартен метод) ще започне кода за активиране, и ще започне процеса на шифроване, след което същото Breaking_Bad (-encryptor вирус), не само няма да бъде изтрита, но файловете не могат да бъдат възстановени след отстраняване на опасността.
Общите последици от проникването на всички вируси от този тип
Както вече беше споменато, повечето вируси от този тип проникват в системата чрез електронна поща. Е, да кажем писмо със съдържание като "Променихме договора, сканирайте в прикачения файл" или "Изпратихте товарителница за превоза на стоките (копие там)" на голяма регистрирана организация. Естествено, един нищо неподозиращ служител отваря файла и ...
Всички потребителски файлове на нивото на офис документи, мултимедия, специализирани AutoCAD проекти или дори някакви общи данни мигновено да се кодират и ако компютърен терминал се намира в локална мрежа, вирусът може да се предава по-нататък чрез криптиране на данните на други машини (това се забелязва от "Спиране" на системата и окачване на програми или текущи приложения в момента).
В края на процеса на шифроване на вируса очевидно изпраща оригиналния доклад, след което компанията може да получите съобщение, че системата е проникнала тази и такава заплаха, както и че може да декриптира само такава и такава организация. Това обикновено се отнася за [email protected]. Следва искането да се плащат за услуги за дешифриране с предложението да се изпратят няколко файла на клиента по електронната поща, която най-често е фиктивна.
Увреждане от въздействието на кода
Ако някой не е разбрал: декриптирането на файловете след криптографския вирус е труден процес. Дори да не "следвате" изискванията на нападателите и да се опитвате да използвате официални държавни структури за борба с компютърните престъпления и да ги предотвратите, обикновено няма нищо полезно.
Ако изтриете всички файлове, направете възстановяване на системата и дори да копирате оригиналните данни от сменяем носител (разбира се, ако има такова копие), все още с активирания вирус всичко ще бъде кодирано отново. Така че не е необходимо да се заблуждавате, особено когато вмъквате едно и също флаш устройство в USB порта, дори потребителят няма да забележи как вирусът криптира данните. Точно тогава точно няма да имате проблеми.
Първоначално в семейството
Сега нека обърнем внимание на първия криптографски вирус. Как да се излекува и декриптира файловете след въздействието на изпълнимия код, приложен в прикачен файл с имейл, в момента на появата му никой никога не е мислил. Осъзнаването на величината на бедствието дойде с времето.
Този вирус имаше романтичното име "Обичам те". Никой нечервен потребител отвори прикачен файл за електронна поща и получи напълно невъзпроизводими мултимедийни файлове (графики, видео и аудио). След това обаче подобни действия изглеждаха по-разрушителни (вредят на медийните библиотеки на потребителя) и никой не им трябваше пари.
Най-нови модификации
Както можем да видим, еволюцията на технологиите се превърна в доста доходоносен бизнес, особено като се има предвид, че много лидери на големи организации незабавно се кандидатират, за да платят за декриптиране, без да мислят, че е възможно да загубят както пари, така и информация.
Между другото, не гледайте на всички тези "леви" публикации в интернет, казват те: "Платих / платих необходимата сума, получих кода, всичко беше възстановено". Глупости! Всичко това е написано от разработчиците на вируса, за да привлекат потенциал, съжалявам, "смукачи". Но според стандартите на редовен потребител сумата за плащане е доста сериозна: от стотици до няколко хиляди или десетки хиляди евро или долари.
Сега нека разгледаме най-новите типове вируси от този тип, които са били сравнително наскоро определени. Всички те са практически подобни и се отнасят не само до категорията криптографи, но и до група от така наречените изнудвачи. В някои случаи те действат по-правилно (като paycrypt), като привидно изпращат официални бизнес предложения или съобщения, които някой се интересува от сигурността на потребителя или организацията. Такъв вирус-шифротел със своето съобщение просто заблуждава потребителя. Ако той предприеме дори и най-малкото действие за плащане, всички - "развод" ще бъдат в пълен размер.
XTBL вирус
Сравнително наскоро се появи XTBL вирус може да се припише на класическата версия на криптографа. Обикновено тя прониква в системата чрез имейл съобщения, съдържащи прикачени файлове под формата на файлове с разширение .scr, което е стандартно за скрийнсейвъра на Windows. Системата и потребителят смятат, че всичко е наред и активира преглеждането или запазването на прикачения файл.
За съжаление, това води до тъжни последствия: имена на файлове се конвертират в набор от символи, както и до главния разширението се добавят .xtbl, след което желания имейл съобщение пристига на възможността за разшифроване, след заплащане на съответната сума (обикновено 5000 рубли).
CBF вирус
Този вид вирус принадлежи и към класиците на жанра. Той се появява в системата след отваряне на прикачени файлове към електронната поща и след това преименува потребителските файлове, добавяйки в края разширение като .nochance или .perfect.
За съжаление, дешифрирането на вирус-кодиращия от този тип, за да се анализира съдържанието на кода дори и на етапа на появата му в системата, не е възможно, тъй като след приключване на действията му той извършва самоликвидиране. Дори такива, както мнозина вярват, универсален инструмент, като RectorDecryptor, не помага. Отново потребителят получава писмо с искане за плащане, което се дава в продължение на два дни.
Вирусът Breaking_Bad
Този тип заплаха работи по същия начин, но преименува файловете в стандартната версия, добавяйки към разширението .breaking_bad.
Тази ситуация не е ограничена. За разлика от предишните вируси, това може да създаде още едно разширение -. Heisenberg, така че не винаги е възможно да намерите всички заразени файлове. Така Breaking_Bad (вирус-encryptor) е доста сериозна заплаха. Между другото, има случаи, когато дори лицензиран пакет от Kaspersky Endpoint Security 10 пропуска този вид заплаха.
Вирус [email protected]
Ето още една, може би най-сериозна заплаха, която е насочена предимно към големи търговски организации. По правило писмото идва в отдела, който изглежда съдържа промени в споразумението за доставка или дори коносамент. Прикаченият файл може да съдържа обикновен .jpg файл (вид изображение), но по-често изпълним скрипт .js (Java аплет).
Как да декодираме криптографски вирус от този тип? Съдейки по това, че по някакъв начин се използва някакъв неизвестен алгоритъм RSA-1024. Ако започнем с името, можем да приемем, че това е 1024-битов система за кодиране. Но ако някой си спомни, днес 256-битовата AES се смята за най-съвършената.
Virus-encryptor: как да излекувате и декриптирате файлове, използващи антивирусен софтуер
Към днешна дата, за да се дешифрират заплахите, този тип решение все още не е намерено. Дори такива майстори в областта на антивирусната защита, като Kaspersky, Dr.Sc. Web и Eset, не могат да намерят ключа за решаване на проблема, когато вирусният шифротел наследи системата. Как да лекувам файловете? В повечето случаи се препоръчва да се изпрати заявка до официалния сайт на разработчика на антивируса (между другото, само ако в системата има лицензиран софтуер на този програмист).
В този случай трябва да прикачите няколко криптирани файлове, както и техните "здрави" оригинали, ако има такива. Като цяло, като цяло, малко хора държат копия на данни, така че проблемът с тяхното отсъствие само засилва една вече неприятна ситуация.
Възможни начини за ръчно идентифициране и разрешаване на заплаха
Да, сканирането с конвенционални заплашителни антивируси ги определя и дори ги премахва от системата. Но какво ще кажеш за информацията?
Някои се опитват да използват програми за дешифриране като вече споменатия полезен RectorDecryptor (RakhniDecryptor). Забележете веднага: това не ви помага. И в случая на вируса Breaking_Bad, той може да направи много много вреда. И затова.
Факт е, че хората, които създават такива вируси, се опитват да се защитят и да дадат инструкции на другите. При използване на инструменти за дешифриране вирус може да реагира така, че системата е "отлитат", с пълното унищожаване на всички данни, съхранявани на твърдия диск или в логически дялове. Така да се каже, демонстрация урок за назидание на всички онези, които не искат да плащат. Остава да се разчита само на официални антивирусни лаборатории.
Кардинални методи
Въпреки това, ако нещата са наистина лоши, ще трябва да пожертвате информация. За да се освободите напълно от заплахата, трябва да форматирате целия твърд диск, включително виртуални дялове, и след това да инсталирате отново "операционната система".
За съжаление, няма друг изход. Дори и връщането на системата докато определена запазена точка на възстановяване не помогне. Може би вирусът ще изчезне, но файловете ще останат криптирани.
Вместо последващо слово
В заключение, трябва да се отбележи, че ситуацията е следната: вирусният криптор прониква в системата, извършва черната си работа и не се обработва с никакви познати методи. Антивирусната защита не беше готова за този вид заплаха. От само себе си се разбира, че е възможно да се открие вирус след неговия ефект или да се изтрие. Но кодираната информация ще остане непривлекателна. Така че бих искал да се надявам, че най-добрите умове на антивирусните софтуерни компании ще намерят решение, въпреки че съдейки по алгоритми за кодиране, ще бъде много трудно да се направи. Спомнете си най-малко машината за кодиране Enigma, която е била в германския флот по време на Втората световна война. Най-добрите криптографи не успяха да решат проблема с алгоритъма за дешифриране на съобщенията, докато не влязат в свои ръце. Тук са и нещата тук.
Важна актуална актуализация: Как да деактивирате? Дали е вирус или не?
NO_MORE_RANSOM - как да декриптират криптираните файлове?
Първата помощ за компютъра: третираме вируса "троянски"
Антивирусът е какво? Основни понятия
Вирусът шифрова файловете и ги преименува. Как да декриптираме файлове, шифровани с вирус
Cipher Vault (вирус): какво да правите и как да премахнете?
XTBL (encryptor на вируси): как да дешифрираме? Декрипторът на файловете след вируса с разширение…
Какво и как да премахнете: вирусът изтрива EXE файлове или блокира достъпа до програми
XTBL как да дешифрираме? XTBL вирус-шифротел
Вирус Cbf (криптографски вирус): декриптиране. Разширението .cbf
Заплахи от типа "virus_exe.exe": какво е това и как да се справите с тях?
Какви са отличителните черти на компютърен вирус?
Разширение SCR: основни типове файлове и начини за тяхното отваряне
Ssfk.exe - Какво представлява този вирус? Как мога да го изтрия?
PUP.Optional - какво е този вирус и как да го премахнете? Вируси от семейството PUP. Рекламен вирус
Какъв вирус е Win32.Malware-gen: как да се отървете от него?
Съдържание Push: как да премахнете изцяло вируса?
Рециклиращ: какво е този вирус и как да го премахнете?
Вие се притеснявате как да създадете вирус!
Wininit.exe - какво е това? Вирус или персонал процес
Какво представлява Search Protect, как да премахнете вируса и най-подходящите средства за това