Броят на вирусите в обичайното им разбиране става все по-малък и причината за това безплатни антивирусикоито работят добре и защитават компютрите на потребителите. В същото време не всеки се грижи за сигурността на своите данни и рискува да се зарази не само със злонамерени програми, но и със стандартни вируси, сред които най-разпространеният остава Trojan. Той може да се прояви различни начини, но едно от най-опасните е криптирането на файлове. Ако вирусът криптира файлове на компютъра, не е факт, че ще бъде възможно да се върнат данните, но някои ефективни методиса налични и те ще бъдат обсъдени по-долу.
Криптиращ вирус: какво представлява и как работи
В мрежата има стотици вируси, които криптират файлове. Техните действия водят до едно следствие - данните на потребителя на компютъра получават неизвестен формат, който не може да бъде отворен със стандартни програми. Ето само някои от форматите, в които данните на компютър могат да бъдат криптирани в резултат на вируси: .locked, .xtbl, .kraken, .cbf, .oshit и много други. В някои случаи се записва директно в разширението на файла имейл адрессъздателите на вируса.
Сред най-често срещаните вируси, които криптират файловете са Trojan-Ransom.Win32.Auraи Trojan-Ransom.Win32.Rakhni... Те приемат много форми и вирусът може дори да не носи името Trojan (например CryptoLocker), но действията им са практически еднакви. Редовно се пускат нови версии на криптиращи вируси, така че създателите антивирусни приложениябеше по-трудно да се справяме с новите формати.
Ако криптиращ вирус е проникнал в компютъра, той със сигурност ще се прояви не само чрез блокиране на файлове, но и като предложи на потребителя да ги деблокира срещу заплащане. На екрана може да се появи банер, на който ще бъде написано къде трябва да преведете пари, за да деблокирате файловете. Когато такъв банер не се появи, трябва да потърсите "писмо" от разработчиците на вируса на работния плот, такъв файл в повечето случаи се нарича ReadMe.txt. 
В зависимост от разработчиците на вируси, скоростта на декриптиране на файлове може да варира. В същото време далеч не е факт, че когато изпращат пари до създателите на вируса, те ще изпратят обратно метод за отключване. В повечето случаи парите отиват „никъде“ и потребителят на компютъра не получава метод за декриптиране.
След като вирусът се появи на вашия компютър и видите на екрана код, който трябва да бъде изпратен на конкретен адрес, за да получите декриптор, не трябва да правите това. Първо, копирайте този код на лист хартия, тъй като новосъздаденият файл също може да бъде криптиран. След това можете да затворите информацията от разработчиците на вируса и да се опитате да намерите в Интернет начин да се отървете от шифратора на файлове във вашия конкретен случай. По-долу изброяваме основните програми, които ви позволяват да премахнете вируса и да декриптирате файлове, но те не могат да се нарекат универсални, а създателите на антивирусен софтуер редовно разширяват списъка с решения.
Доста лесно е да се отървете от вирус, който криптира файлове с помощта на безплатни версии на антивирусен софтуер. Три безплатни програми се справят добре с вируси, които криптират файлове:
- Malwarebytes Antimalware;
- Dr.Web лекува;
- Kaspersky Internet Security.
Посочените по-горе приложения са напълно безплатни или пробни версии. Препоръчваме да използвате решение от Dr.Web или Kespersky, след като сканирате системата на адрес Malwarebytes помагаАнтизловреден софтуер. Нека ви напомним още веднъж, че не се препоръчва да инсталирате 2 или повече антивирусни програми на компютър едновременно, следователно, преди да инсталирате всяко ново решение, трябва да деинсталирате предишното.
Както отбелязахме по-горе, идеалното решение на проблема в тази ситуация ще бъде изборът на инструкции, които ви позволяват да се справите конкретно с вашия проблем. Такива инструкции най-често се публикуват на уебсайтовете на антивирусните разработчици. По-долу предоставяме няколко подходящи антивирусни помощни програмикоито ви позволяват да се справяте с различни видове троянски коне и други видове ransomware.
Посоченото по-горе е само малка част от антивирусните помощни програми, които могат да декриптират заразени файлове. Струва си да се отбележи, че ако просто се опитате да възстановите данните си, напротив, те ще бъдат загубени завинаги - не трябва да правите това.
В края на работния ден счетоводител на едно от предприятията е получил имейл от контрагент, с който е водена непрекъсната бизнес кореспонденция, писмо, съдържащо прикачен файл, наречен „Доклад за съгласуване.xls“. При опит за визуално отваряне нищо не се случи от гледна точка на счетоводителя. След като повтори няколко опита за отваряне на акаунта, счетоводителят се увери, че excel няма да отвори изпратения файл. След като се отписа от контрагента за невъзможността да отвори файла, който получи, счетоводителят натисна бутона за изключване на компютъра и, без да чака завършването на компютъра, напусна работното място. Пристигайки сутринта, установих, че компютърът не се е изключил. Не придавайки голямо значение на това, се опитах да започна нов работен ден, като обикновено щракнах върху прекия път на 1C Accounting, но след като избрах базата, ме очакваше неприятна изненада.
Последващите опити за стартиране на работната среда 1C също бяха неуспешни. Счетоводителят се свърза с обслужващата фирма изчислителна технологиятяхната организация и поискали техническа поддръжка... Специалистите на обслужващата организация установиха, че проблемите са много по-обширни, тъй като освен факта, че файловете на базата данни 1C на Счетоводство 7.7 са криптирани и имат разширение „БЛОКИРАНИ“, файлове с разширения doc, docx, xls, xlsx, zip, rar, 1cd и други. Намерено също текстов файлна работния плот на потребителя, в който е съобщено, че файловете са криптирани с помощта на алгоритъма RSA 2048 и че за да се получи дешифраторът, е необходимо да се плати за услугите за ransomware. Базите данни на 1C бяха архивирани ежедневно в друга HDDинсталиран на същия компютър като творение zip архивс папка с 1С бази данни и копие от архива е поставено мрежово устройство(NAS). Тъй като ограниченията за достъп до резервни копияне беше, тогава злонамереният софтуер също имаше достъп до тях.
След като оцениха мащаба на проблема, специалистите от обслужващата организация копираха само криптирани файлове на отделно устройство и извършиха преинсталиране. операционна система... Също така писма, съдържащи зловреден софтуер, бяха изтрити от пощенската кутия на счетоводителя. Опитите за декриптиране с помощта на популярни декриптори на антивирусни компании бяха неуспешни по това време. С това обслужващата организация приключи работата си.
Перспективите да започнем с въвеждането на първична документация в новата база данни 1C не зарадваха много счетоводителите. Поради това бяха разгледани допълнителни възможности за възстановяване на криптирани файлове.
За съжаление, оригиналното тяло на зловредния софтуер и съобщението на ransomware не бяха запазени, което не позволи разглобяването на тялото и установяване на неговия алгоритъм чрез анализирането му в дебъгера. Също така нямаше начин да се провери дали се среща с различни антивирусни компании.
Затова веднага пристъпваме към анализа на файловете, чиито структури са добре известни. В този случай е удобно да използвате DBF файлове от базата данни 1C за анализ, тъй като структурата им е много предвидима. Да вземем файла 1SENTRY.DBF.BLOCKED (дневник на счетоводните записи), размерът на този файл е 53 044 658 байта
ориз. 2
Имайки предвид криптирания DBF файл, обръщаме внимание на факта, че първите 0x35 байта не са криптирани, тъй като има заглавна характеристика на от този типфайлове и наблюдаваме част от описанието на първото поле на записа. Нека изчислим размера на файла. За да направите това, вземете: WORD при отместване 0x08, чието съдържание е 0x04C1 (то показва размера на заглавката Dbf файл), WORD при отместване 0x0A, чието съдържание е 0x0130 (указва размера на един запис в базата данни), DWORD при отместване 0x04, чието съдържание е 0x0002A995 (брой записи), и 0x01 е размерът на крайния маркер. Нека решим пример: 0x0130 * 0x0002A995 + 0x04C1 + 1 = 0x0032965B2 (53 044 658) байта. Размер на файла, според записа файлова система, съответства на изчисленото въз основа на информацията в заглавката на DBF файла. Нека извършим подобни проверки за няколко DBF файла и се уверим, че размерът на файла не е променен от злонамерен софтуер.
Анализът на съдържанието на DBF показва, че малките файлове, започващи от офсет 0x35, са криптирани изцяло, докато големите не са.
ориз. 3
Номера на сметки, дати и суми са променени, за да не се нарушават споразуменията за поверителност, включително в криптираната зона.
Започвайки от отместване 0x00132CB5, откриваме, че няма признаци на криптиране до края на файла; след проверка на други големи файлове, ние потвърждаваме предположението, че само файлове, по-малки от 0x00132CB5 (1 256 629) байта са напълно криптирани. Много автори на злонамерен софтуер извършват частично криптиране на файлове, за да намалят времето за повреда на потребителските данни. Вероятно водени от факта, че техните злонамерен коднанесе максимално възможна вреда на потребителя в най-кратки срокове.
Нека започнем да анализираме алгоритъма за криптиране
ориз. 4
На фиг. 4 на мястото на заглавките на полетата на DBF файла има почти идентични последователности от 16 байта (отмествания 0x50, 0x70, 0x90), виждаме и частично повторение на последователности от 16 байта (отмествания 0x40,0x60,0x80), в които има разлики само в байтове, където трябва да предпише името на полето и вида на полето.
Въз основа на това наблюдение, имайки малко разбиране на алгоритмите за работа на криптографски алгоритми като AES, RSA, можем да направим недвусмислено заключение, че данните не се криптират с помощта на тези алгоритми. Тоест информацията за алгоритъма за криптиране, предоставена от клиента, е ненадеждна. Тя може да бъде ненадеждна или поради някакви погрешни заключения на клиента, или да е резултат от измама от страна на автора на злонамерена програма. Не можем да проверим това, тъй като са ни достъпни само криптирани файлове.
Въз основа на структурните особености на заглавките на DBF файловете и промените в байтовете в последователности, може да се предположи, че криптирането се извършва чрез XOR операции върху данни с определен модел. Можете също да направите предположение, въз основа на дължината на повтарящите се последователности, че дължината на шаблона е 16 байта (128 бита). Основният заглавък е 0x04C1 байта, размерът на описанието на едно поле в заглавката е 0x20 (32) байта. От това следва, че заглавката на този DBF файл съдържа (0x4C1-0x21) / 0x20 = 0x25 (37) описания на полета. На фиг. 4, фрагменти от записи на две полета са подчертани в червено, започвайки от отместване 0x10, които в случая на 1C обикновено имат нулеви стойности, с изключение на самия 0x10 (тъй като това отместване показва размера на полето), въз основа на това ние може да предположим, че вече имаме 15 от 16 байта от криптирането на ключа 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xXX 0xAF 0x45 0x6A 0xB7.
За да намерим последния байт в ключа, нека вземем друг фрагмент от същия DBF файл.
ориз. 5
На фигура 5 нека обърнем внимание на нулевата колона, по-точно на нейната некриптирана част и виждаме, че там преобладава стойността 0x20 (пространственият код според ASCII таблицата). Съответно, в криптираната част на колоната, определен същата стойност... Лесно е да се види, че това е 0xFA. За да получите оригиналната стойност на липсващия ключов байт, трябва да изпълните 0xFA xor 0x20 = 0xDA.
Замествайки получената стойност за липсващата позиция, получаваме пълния ключ 0x97 0x99 0xE6 0xBF 0x4B 0x6C 0x77 0x76 0x3A 0x80 0x0B 0xDA 0xAF 0x45 0x6A 0xB7.
След извършване на процедурата xor операциите с получения ключ над криптирани секции получават оригиналното файлово съдържание
ориз. 6
За окончателен контролще извършим операцията по декриптиране на zip архива, след което ще разопаковаме архива. Ако всички файлове са извлечени и не се появяват CRC грешкиза файл, най-накрая можете да потвърдите правилността на ключа. И последният етап ще бъде разопаковането на останалите файлове според заданието.
Този пример предполага, че вероятно не всички изявления на авторите на злонамереното софтуервярно. И често е възможно да се реши проблемът с възстановяването на потребителски данни чрез анализиране на променените данни.
Заедно с подобни прости случаиима троянски коне за рансъмуер, които всъщност ще използват съвременни криптографски алгоритми и в случай на тяхната атака такова просто решение е по принцип невъзможно. Затова бъдете изключително внимателни, когато отваряте всякакви файлове, получени по имейл, дори от доверени източници. Актуализирайте редовно антивирусния си софтуер и правете резервни копия, така че вашите данни във всички копия да не са достъпни за никого едновременно.
Сами по себе си вирусите са като компютърна заплахаднес никой не е изненадан. Но ако по-рано те повлияха на системата като цяло, причинявайки неизправности в нейното функциониране, днес, с появата на такава разновидност като вирус за рансъмуер, действията на проникваща заплаха засягат повече потребителски данни. Може би представлява дори по-голяма заплаха, отколкото разрушителна Изпълним файл на Windowsприложения или шпионски аплети.
Какво е ransomware вирус?
Сам по себе си кодът, написан в самокопиращ се вирус, предполага криптиране на почти всички потребителски данни със специални криптографски алгоритми, без да засяга системните файлове на операционната система.
В началото логиката на въздействието на вируса не беше напълно ясна за мнозина. Всичко стана ясно едва когато хакерите, създали подобни аплети, започнаха да искат пари за възстановяване на първоначалната файлова структура. В същото време самият проникнал вирус за криптиране не позволява декриптиране на файлове поради своите особености. За да направите това, имате нужда от специален декриптор, ако желаете, код, парола или алгоритъм, необходим за възстановяване на желаното съдържание.
Принципът на проникване в системата и действието на вирусния код
По правило е доста трудно да се "вземе" такава мръсотия в интернет. Основният източник на разпространение на „инфекцията“ е електронната поща на ниво програми, инсталирани на конкретен компютърен терминал като Outlook, Thunderbird, Прилепъти т. н. Нека отбележим веднага: това не важи за интернет пощенските сървъри, тъй като те имат достатъчно висока степензащита, а достъпът до потребителски данни е възможен само на ниво
Друго нещо е приложение на компютърен терминал. Именно тук полето за действие на вирусите е толкова широко, че е невъзможно да си представим. Вярно е, че тук също си струва да направите резервация: в повечето случаи вирусите са насочени към големи компании, от който можете да „откъснете“ пари за предоставяне на кода за декриптиране. Това е разбираемо, в крайна сметка, не само на локалните компютърни терминали, но и на сървърите на такива компании, не само напълно, но и файлове, така да се каже, в едно копие, в никакъв случай не подлежащи на унищожаване съхранени. И тогава декриптирането на файлове след вируса за рансъмуер става доста проблематично.
Разбира се, дори обикновен потребител може да бъде подложен на такава атака, но в повечето случаи това е малко вероятно, ако следвате най-простите препоръки за отваряне на прикачени файлове с разширения неизвестен тип... Дори пощенски клиентдефинира прикачен файл с разширение .jpg като стандартен графичен файл, първо трябва да се провери със стандартния, инсталиран в системата.
Ако не го направите, когато отворите кликнете два пъти(стандартен метод), активирането на кода ще започне и процесът на криптиране ще започне, след което същият Breaking_Bad (вирус за криптиране) не само ще бъде невъзможно да се изтрие, но и файловете няма да могат да бъдат възстановени след заплахата е елиминиран.
Общите последици от проникването на всички вируси от този тип
Както вече споменахме, повечето вируси от този тип влизат в системата по имейл. Е, да кажем, че до голяма организация конкретна препоръчана поща получава писмо със съдържание като „Променихме договора, сканирахме в прикачения файл“ или „Изпратена е фактура за пратката на стоките (копие е там)". Естествено, нищо неподозиращ служител отваря файла и...
Всички потребителски файлове на ниво офис документи, мултимедия, специализирани проекти на AutoCAD или всякакви други архивни данни се криптират незабавно и ако компютърен терминалсе намира в локалната мрежа, вирусът може да се предава по-нататък, като криптира данни на други машини (това става забележимо веднага, когато системата „забави“ и замрази програми или текущо работещи приложения).
В края на процеса на криптиране самият вирус, очевидно, изпраща един вид доклад, след което компанията може да получи съобщение, че такава и такава заплаха е влязла в системата и че само такава и такава организация може да я дешифрира . Това обикновено се отнася до pa вируса [защитен с имейл]Следва изискването за заплащане на услуги за декриптиране с предложението за изпращане на няколко файла на имейла на клиента, което най-често е фиктивно.
Вреди от излагане на код
Ако някой все още не е разбрал: декриптирането на файлове след вирус за рансъмуер е доста труден процес. Дори и да не се „подведете“ към исканията на нападателите и да се опитате да използвате длъжностното лице държавни структурив борбата с компютърните престъпления и тяхното предотвратяване обикновено не излиза нищо добро.
Ако изтриете всички файлове, създадете и дори копирате оригиналните данни от преносим носител (разбира се, ако има такова копие), все пак, когато вирусът се активира, всичко ще бъде криптирано отново. Така че не бива да се ласкаете, още повече, че когато същата флашка се постави в USB порта, потребителят дори няма да забележи как вирусът ще криптира данните на него. Тогава определено няма да заобиколите проблемите.
Първороден в семейството
Сега нека насочим вниманието си към първия ransomware вирус. Как да излекуваме и декриптираме файлове след излагане на изпълнимия код, приложен в имейл прикачен файл с предложение за запознанства, към момента на появата му никой все още не се е сетил. Осъзнаването на мащаба на бедствието дойде едва с времето.
Този вирус имаше романтичното име „Обичам те“. Нищо неподозиращ потребител отвори прикачен файл в електронно съобщение и получи напълно невъзможни за възпроизвеждане мултимедийни файлове (графични, видео и аудио). Тогава обаче подобни действия изглеждаха по-разрушителни (причинявайки вреда на потребителските медийни библиотеки) и никой не поиска пари за това.
Най-новите модификации
Както можете да видите, развитието на технологиите се превърна в доста печеливш бизнес, особено като се има предвид, че много лидери на големи организации веднага бягат да плащат за действия за декриптиране, напълно без да мислят за факта, че могат да загубят както пари, така и информация.
Между другото, не гледайте всички тези „ляво“ публикации в интернет, те казват: „Платих / платих необходимата сума, изпратиха ми код, всичко беше възстановено“. Глупости! Всичко това е написано от разработчиците на вируса с цел привличане на потенциални, извинете ме, "задънки". Но по стандартите на обикновен потребител, сумите за плащане са доста сериозни: от стотици до няколко хиляди или десетки хиляди евро или долари.
Сега да разгледаме най-новите видовевируси от този тип, които са регистрирани сравнително наскоро. Всички те са практически сходни и принадлежат не само към категорията ransomware, но и към групата на така наречения ransomware. В някои случаи те действат по-правилно (като paycrypt), като изпращане на официални бизнес предложения или съобщения, че някой се грижи за безопасността на потребителя или организацията. Такъв вирус за рансъмуер просто подвежда потребителя със своето съобщение. Ако той предприеме дори най-малкото действие за плащане, всичко - "разводът" ще бъде пълен.
XTBL вирус
Сравнително скорошният може да се припише на класическата версия на ransomware. По правило той прониква в системата чрез имейл съобщения, съдържащи прикачени файлове под формата на файлове, от които е стандартен за скрийнсейвъра на Windows. Системата и потребителят смятат, че всичко е наред и активират преглед или запазване на прикачения файл.
Уви, това води до тъжни последици: имената на файловете се преобразуват в набор от знаци и .xtbl се добавя към основното разширение, след което се изпраща съобщение до желания пощенски адрес за възможността за декриптиране след плащане на посочения сума (обикновено 5 хиляди рубли).
CBF вирус
Този тип вирус също принадлежи към класиката на жанра. Появява се в системата след отваряне на прикачени файлове към имейл и след това преименува потребителски файлове, добавяйки разширение като .nochance или .perfect в края.
За съжаление, не е възможно да се дешифрира този тип ransomware вирус, за да се анализира съдържанието на кода дори на етапа на появата му в системата, тъй като след завършване на действията си той се самоунищожава. Дори това, което мнозина смятат, че е универсален инструмент като RectorDecryptor, не помага. Отново потребителят получава писмо с искане за плащане, което му се дава два дни.
Breaking_Bad вирус
Този тип заплаха работи по същия начин, но преименува файловете стандартно чрез добавяне на .breaking_bad към разширението.
Ситуацията не се ограничава до това. За разлика от предишните вируси, този може да създаде друго разширение - .Heisenberg, така че не винаги е възможно да се намерят всички заразени файлове. Така че Breaking_Bad (вирусът за рансъмуер) е доста сериозна заплаха. Между другото, има случаи, когато дори лицензиран пакет Kaspersky Endpoint Security 10 пропуска този тип заплаха.
Вирус [защитен с имейл]
Ето още една, може би най-сериозната заплаха, която е насочена най-вече към големите търговски организации. По правило в някакъв отдел идва писмо, което изглежда съдържа промени в споразумението за доставка или дори само фактура. Прикаченият файл може да съдържа обикновен .jpg файл (като изображение), но по-често изпълним script.js (Java аплет).
Как да декриптираме този тип ransomware вирус? Съдейки по това, че там се използва някакъв непознат алгоритъм RSA-1024, няма как. Както подсказва името, това е 1024-битова система за криптиране. Но, ако някой си спомня, днес 256-битовият AES се счита за най-напреднал.
Вирус за криптиране: как да дезинфекцирате и декриптирате файлове с помощта на антивирусен софтуер
Към днешна дата не са открити решения от този тип за декриптиране на заплахи от този тип. Дори и такива майстори в района антивирусна защитакато Касперски, Dr. Web и Eset не могат да намерят ключа към решаването на проблема, когато вирусът за рансъмуер го е наследил в системата. Как да дезинфекцираме файлове? В повечето случаи се препоръчва да изпратите заявка до официалния уебсайт на антивирусния разработчик (между другото, само ако системата има лицензиран софтуер на този разработчик).
В този случай трябва да прикачите няколко криптирани файла, както и техните "здравословни" оригинали, ако има такива. Като цяло, според общо взетомалко хора запазват копия на данни, така че проблемът с тяхното отсъствие само изостря и без това неприятна ситуация.
Възможни начини за ръчно идентифициране и отстраняване на заплаха
Да, сканирането с конвенционални антивирусни програми открива заплахи и дори ги премахва от системата. Но какво да кажем за информацията?
Някои хора се опитват да използват програми за декодиране като вече споменатата помощна програма RectorDecryptor (RakhniDecryptor). Нека отбележим веднага: това няма да помогне. А в случай на вируса Breaking_Bad, той може само да навреди. И ето защо.
Факт е, че хората, които създават такива вируси, се опитват да се защитят и да дават насоки на другите. Когато използвате помощни програми за декриптиране, вирусът може да реагира по такъв начин, че цялата система да „излети“ и с пълно унищожениевсички данни, съхранявани на твърди дисковеили в логически дялове. Това е, така да се каже, показателен урок за назидание на всички, които не искат да плащат. Можем да разчитаме само на официалните антивирусни лаборатории.
Кардинални методи
Ако обаче нещата са наистина зле, ще трябва да пожертвате информацията. За да се отървете напълно от заплахата, трябва да форматирате целия твърд диск, включително виртуални дялове, и след това инсталирайте отново "операционната система".
За съжаление няма друг изход. Дори до определена запазена точка на възстановяване няма да помогне. Вирусът може да изчезне, но файловете ще останат криптирани.
Вместо послеслов
В заключение трябва да се отбележи, че ситуацията е следната: вирусът за рансъмуер прониква в системата, върши мръсното си дело и не се лекува от никакви известни методи. Антивирусни инструментиотбраните се оказаха неподготвени за този вид заплаха. От само себе си се разбира, че можете да откриете вирус след излагане или да го премахнете. Но криптираната информация ще остане грозна. Така че бихме искали да се надяваме, че най-добрите умове на компаниите за антивирусен софтуер все пак ще намерят решение, въпреки че, съдейки по алгоритмите за криптиране, това ще бъде много трудно да се направи. Припомнете си например криптиращата машина Enigma, която германският флот имаше по време на Втората световна война. Най-добрите криптографи не можеха да решат проблема с алгоритъма за декриптиране на съобщения, докато не се сдобият с устройството. И тук е така.
Това е злонамерена програма, която при активиране криптира всички лични файлове като документи, снимки и др. количество подобни програмие много голям и се увеличава всеки ден. Едва наскоро се сблъскахме с десетки опции за криптиране: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, etc., fff. Целта на подобни ransomware вируси е да накарат потребителите да купуват, често за голямо количествопари, програма и ключ, необходими за декриптиране на вашите собствени файлове.
Разбира се, можете да възстановите криптирани файлове просто като следвате инструкциите, които създателите на вируса оставят на заразения компютър. Но най-често цената на декриптирането е много значителна, също така трябва да знаете, че някои вируси за рансъмуер криптират файлове по такъв начин, че е просто невъзможно да ги декриптирате по-късно. И разбира се, просто е разочароващо да плащате за възстановяване на вашите собствени файлове.
По-долу ще ви разкажем по-подробно за ransomware вирусите, как те проникват в компютъра на жертвата, както и как да премахнете ransomware вируса и да възстановите криптирани от него файлове.
Как вирусът за рансъмуер прониква в компютър
Вирусът за рансъмуер обикновено се разпространява по имейл. Писмото съдържа заразени документи. Тези имейли се изпращат до огромна база данни от имейл адреси. Авторите на този вирус използват подвеждащи заглавки и съдържание на писма в опит да подмамят потребителя да отвори документа, прикачен към писмото. Някои от писмата информират за необходимостта от плащане на сметката, други предлагат да видите най-новата ценова листа, трети да отворят забавна снимка и т.н. Във всеки случай резултатът от отварянето на прикачения файл ще бъде заразяването на компютъра с вирус за криптиране.
Какво е ransomware вирус
Вирусът за рансъмуер е злонамерена програма, която заразява модерни версииоперационни системи от семейството на Windows, като Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Тези вируси се опитват да използват най-силните режими на криптиране, например RSA-2048 с дължина на ключа от 2048 бита, което на практика изключва възможността за отгатване на ключ за самостоятелно декриптиране на файлове.
Докато заразява компютър, вирусът ransomware използва системна директория% APPDATA% за съхранение на вашите собствени файлове. За да се стартира автоматично, когато компютърът е включен, ransomware създава запис в системния регистър на Windows: HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.
Веднага след стартирането, вирусът сканира всичко налични дискове, включително мрежово и облачно съхранение, за да определите кои файлове ще бъдат криптирани. Вирусът за рансъмуер използва разширението на името на файла като начин да определи групата файлове, които да бъдат криптирани. Почти всички типове файлове са криптирани, включително такива често срещани като:
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, портфейл, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw
Веднага след като файлът е криптиран, той получава ново разширение, което често може да се използва за идентифициране на името или типа на ransomware. Някои видове от тези злонамерени програми също могат да променят имената на криптираните файлове. Тогава вирусът създава текстов документс имена като HELP_YOUR_FILES, README, което съдържа инструкции за декриптиране на криптирани файлове.
По време на своята работа вирусът ransomware се опитва да затвори възможността за възстановяване на файлове с помощта на системата SVC (копия на файлове в сянка). За това вирусът в команден режимсе обажда на административната програма сенчести копияфайлове с ключ, който стартира процедурата за пълното им изтриване. По този начин почти винаги е невъзможно да се възстановят файлове, като се използват техните сенчести копия.
Вирусът ransomware активно използва тактики за сплашване, като дава на жертвата връзка към описание на алгоритъма за криптиране и показва заплашително съобщение на работния плот. По този начин той се опитва да принуди потребителя на заразения компютър без колебание да изпрати идентификатора на компютъра на имейл адреса на автора на вируса, за да се опита да си върне файловете. Отговорът на такова съобщение най-често е сумата на откупа и адресът на електронния портфейл.
Компютърът ми заразен ли е с ransomware вирус?
Доста лесно е да се определи дали компютърът е заразен или не с ransomware вирус. Обърнете внимание на разширенията на вашите лични файлове, като документи, снимки, музика и т.н. Ако разширението се е променило или личните ви файлове са изчезнали, оставяйки много файлове с неизвестни имена, тогава компютърът е заразен. Освен това признак на инфекция е наличието на файл с име HELP_YOUR_FILES или README във вашите директории. Този файл ще съдържа инструкции за декриптиране на файлове.
Ако подозирате, че сте отворили съобщение, заразено с вирус от ransomware, но все още няма симптоми на инфекция, тогава не изключвайте и не рестартирайте компютъра си. Следвайте стъпките в тази инструкция, раздел. Повтарям още веднъж, много е важно да не изключвате компютъра, при някои видове криптиране ransomware процесът на криптиране на файлове се активира при първото включване на компютъра след заразяване!
Как да декриптирате файлове, криптирани от вирус за рансъмуер?
Ако това нещастие се е случило, тогава няма нужда да се паникьосвате! Но трябва да знаете, че в повечето случаи няма безплатен декриптор. Това се дължи на силните алгоритми за криптиране, използвани от такива злонамерени програми. Това означава, че е почти невъзможно да се декриптират файлове без частен ключ. Използването на метода за избор на ключ също не е опция, поради дълга дължинаключ. Следователно, за съжаление, само плащането на авторите на вируса за цялата заявена сума е единственият начин да се опитате да получите ключа за декриптиране.
Разбира се, няма абсолютно никаква гаранция, че след плащане авторите на вируса ще се свържат и ще предоставят ключа, необходим за декриптиране на вашите файлове. Освен това трябва да разберете, че като плащате пари на разработчиците на вируси, вие сами ги подтиквате да създават нови вируси.
Как да премахнете ransomware вирус?
Преди да продължите с това, трябва да знаете, че като започнете да премахвате вируса и се опитвате да възстановите файловете сами, вие блокирате възможността за декриптиране на файлове, като плащате на авторите на вируса сумата, която са поискали.
Вирус Касперски Инструмент за премахванеи Malwarebytes Anti-malware може да открие различни видовеактивни ransomware вируси и лесно да ги премахнете от вашия компютър, НО те не могат да възстановят криптирани файлове.
5.1. Премахнете вируса за рансъмуер с помощта на Kaspersky Virus Removal Tool
По подразбиране програмата е конфигурирана да възстановява всички видове файлове, но за да ускорите работата, се препоръчва да оставите само типовете файлове, които трябва да възстановите. След като завършите избора, щракнете върху бутона OK.
В долната част на прозореца QPhotoRec намерете бутона Преглед и щракнете върху него. Трябва да изберете директорията, в която ще бъдат запазени възстановените файлове. Препоръчително е да използвате устройство, което не съдържа криптирани файлове, изискващи възстановяване (можете да използвате USB флаш устройство или външно устройство).
За да започнете процедурата за търсене и възстановяване на оригиналните копия на криптирани файлове, щракнете върху бутона Търсене. Този процес отнема много време, така че бъдете търпеливи.
Когато търсенето приключи, щракнете върху бутона Quit. Сега отворете папката, която сте избрали, за да запазите възстановените файлове.
Папката ще съдържа директории с имена recup_dir.1, recup_dir.2, recup_dir.3 и т.н. Как още файловепрограмата намира, толкова повече директории ще има. За да намерите нужните файлове, проверете последователно всички директории. За да улесните намирането на файла, от който се нуждаете, сред Голям бройвъзстановен, използвайте вградената система Търсене в Windows(по съдържание на файла), а също така не забравяйте за функцията за сортиране на файлове в директории. Можете да изберете датата на промяна на файла като опция за сортиране, защото QPhotoRec се опитва да възстанови това свойство при възстановяване на файла.
Как да предотвратим заразяването на компютърен ransomware вирус?
Повечето съвременни антивирусни програми вече имат вградена система за защита срещу проникване и активиране на ransomware вируси. Ето защо, ако компютърът ви няма антивирусна програма, не забравяйте да я инсталирате. Можете да разберете как да го изберете, като прочетете това.
Освен това има специализирани програми за сигурност. Например, това е CryptoPrevent, повече подробности.
Няколко последни думи
Следвайки тази инструкция, компютърът ви ще бъде почистен от вируса за рансъмуер. Ако имате въпроси или се нуждаете от помощ, моля свържете се с нас.
Хакерите на Ransomware са много подобни на обикновените изнудвачи. Както в реалния свят, така и в киберсредата има единична или групова цел на атака. То е или откраднато, или недостъпно. Тогава престъпниците използват определени средства за комуникация с жертвите, за да предадат своите искания. Компютърните измамници обикновено избират само няколко формата за писмото за откуп, но копия от него могат да бъдат намерени в почти всяка част от паметта на заразената система. В случая със семейството на шпионски софтуер, известно като Troldesh или Shade, измамниците прилагат специален подход, когато се свързват с жертвата.
Нека разгледаме по-отблизо този щам на вируса ransomware, който е насочен към рускоезичната аудитория. Повечето от подобни инфекции определят клавиатурната подредба на атакувания компютър и ако един от езиците е руски, инвазията спира. Въпреки това, вирусът ransomware XTBLнеразбираемо: За съжаление на потребителите, атаката се разгръща независимо от тяхното географско местоположение или езикови предпочитания. Ярко въплъщение на тази гъвкавост е предупреждение, което се появява под формата на фон на работния плот, както и TXT файл с инструкции за плащане на откупа.
Вирусът XTBL обикновено се разпространява чрез спам. Съобщенията приличат на букви известни марки, или просто хванете окото ви, защото темата използва изрази като "Спешно!" или "Важни финансови документи". Фишингът ще работи, когато получателят на такъв имейл. съобщения ще изтеглят zip файл, съдържащ JavaScript код или Docm обект с потенциално уязвим макрос.
След като изпълни основния алгоритъм на компрометиран компютър, троянският софтуер за рансъмуер продължава да търси данни, които могат да бъдат от полза за потребителя. За целта вирусът сканира локалните и външна памет, като едновременно съпоставя всеки файл с набор от формати, избрани въз основа на разширението на обекта. Всички файлове .jpg, .wav, .doc, .xls, както и много други обекти са криптирани с помощта на симетричния блоков криптоалгоритъм AES-256.
Има два аспекта на този вреден ефект. На първо място, потребителят губи достъп до важни данни. Освен това имената на файловете са дълбоко кодирани, което води до безсмислен набор от шестнадесетични знаци. Всичко, което обединява имената на засегнатите файлове, е добавено към тях разширение xtbl, т.е. името на киберзаплахата. Имената на криптирани файлове понякога имат специален формат. В някои версии на Troldesh имената на криптирани обекти може да останат непроменени и в края се добавя уникален код: [защитен с имейл], [защитен с имейл], или [защитен с имейл]
Очевидно нападателите чрез инжектиране на имейл адреси. имейли директно в имената на файловете, посочете метода на комуникация с жертвите. електронна пощасъщо споменати другаде, а именно в писмото за откуп, съдържащо се във файла “Readme.txt”. Такива документи на Notepad ще се показват на работния плот, както и във всички папки с кодирани данни. Ключовото послание е:
„Всички файлове са криптирани. За да ги дешифрирате, трябва да изпратите кода: [вашият уникален код] на вашия имейл адрес [защитен с имейл]или [защитен с имейл]След това ще получите всички необходими инструкции. Опитите за самостоятелно дешифриране няма да доведат до нищо друго освен невъзвратима загуба на информация ”
Имейл адресът може да варира в зависимост от групата рансъмуер, разпространяваща вируса.
Що се отнася до по-нататъшното развитие на събитията: в общо очертание, измамниците отговарят с препоръка да изброят откупа, който може да бъде 3 биткойна или друга сума в този диапазон. Моля, имайте предвид, че никой не може да гарантира, че хакерите ще изпълнят обещанието си дори след като получат парите. За да възстановят достъпа до .xtbl файлове, на засегнатите потребители се препоръчва първо да изпробват всички налични международни методи. В някои случаи данните могат да бъдат подредени с помощта на услугата Volume Shadow Copy, предоставена директно в Windows OS, както и програми за декриптиране и възстановяване на данни от независими разработчициНА.
Премахнете вируса XTBL ransomware с помощта на автоматичен почистващ препарат
Единствено и само ефективен методработа със злонамерен софтуер като цяло и рансъмуер в частност. Използването на добре доказан комплекс за сигурност гарантира задълбочено откриване на всякакви вирусни компоненти, пълното им премахване с едно щракване на мишката. Забележка, идваза два различни процеса: деинсталиране на инфекцията и възстановяване на файлове на вашия компютър. Въпреки това заплахата със сигурност трябва да бъде премахната, тъй като има информация за въвеждането на други компютърни троянски коне с негова помощ.
- ... След като стартирате софтуера, щракнете върху бутона Стартирайте сканирането на компютъра(Започнете сканирането).
- Инсталираният софтуер ще предостави отчет за заплахите, открити по време на сканирането. За да премахнете всички намерени заплахи, изберете опцията Поправете заплахите(Елиминирайте заплахите). Въпросният зловреден софтуер ще бъде напълно премахнат.
Възстановете достъпа до криптирани файлове с разширение .xtbl
Както беше отбелязано, XTBL ransomware заключва файлове със силен алгоритъм за криптиране, така че криптираните данни не могат да бъдат възобновени с вълна. магическа пръчка- ако не вземете предвид плащането на нечувана сума от откуп. Но някои методи наистина могат да се превърнат в спасител, който ще ви помогне да възстановите важни данни. По-долу можете да се запознаете с тях.
Декодер - програма автоматично възстановяванефайлове
Известно е много извънредно обстоятелство. Тази инфекция изтрива изходни файловев некриптирана форма. По този начин процесът на криптиране на ransomware е насочен към техни копия. Това дава възможност за софтуерни инструменти като възстановяване на изтрити обекти, дори ако надеждността на тяхното елиминиране е гарантирана. Силно препоръчително е да се прибегне до процедурата за възстановяване на файлове, чиято ефективност е доказана повече от веднъж. 
Обемни сенчести копия
В основата на подхода предоставена от Windowsпроцедура Резервно копиефайлове, което се повтаря при всяка точка на възстановяване. Важно условиеработа този метод: Възстановяването на системата трябва да бъде активирано преди заразяване. Въпреки това, всички промени, направени във файла след точката на възстановяване, няма да се показват във възстановената версия на файла.
Архивиране
Това е най-добрият от всички методи без обратно изкупуване. Ако процедурата за архивиране на данни е включена външен сървъре бил използван преди атаката на ransomware на вашия компютър; за да възстановите криптирани файлове, просто трябва да въведете подходящия интерфейс, изберете необходими файловеи стартирайте механизма за възстановяване на данни от архива. Преди да извършите операцията, трябва да се уверите, че ransomware е напълно премахнат.
Проверете за възможни остатъчни компоненти на XTBL ransomware
Ръчното почистване е изпълнено с пропускане на определени фрагменти от ransomware, които могат да избегнат изтриването под формата на скрити обекти на операционната система или записи в системния регистър. За да премахнете риска от частично задържане на определени злонамерени елементи, сканирайте компютъра си с надежден универсален антивирусен комплекс.
