هناك عدد كبير من الأنواع المختلفة من البرامج الضارة. من بينها فيروسات التشفير غير السارة للغاية، والتي، مرة واحدة على جهاز الكمبيوتر، تبدأ في تشفير ملفات المستخدم. في بعض الحالات، هناك فرصة جيدة لفك تشفير الملفات الخاصة بك، ولكن يحدث أن هذا غير ممكن. سننظر في جميع الإجراءات اللازمة لكل من الحالتين الأولى والثانية في الحالات التي.

قد تختلف هذه الفيروسات قليلاً، ولكن بشكل عام، أفعالها هي نفسها دائمًا:

• تثبيت على جهاز الكمبيوتر الخاص بك.
• تشفير جميع الملفات التي قد يكون لها أي قيمة (المستندات والصور الفوتوغرافية)؛
• عند محاولة فتح هذه الملفات، اطلب من المستخدم إيداع مبلغ معين في محفظة أو حساب المهاجم، وإلا فلن يتم فتح الوصول إلى المحتويات أبدًا.

قام الفيروس بتشفير الملفات في ملف xtbl

حاليًا، أصبح الفيروس منتشرًا على نطاق واسع، وهو قادر على تشفير الملفات وتغيير امتدادها إلى .xtbl، بالإضافة إلى استبدال اسمها بأحرف عشوائية تمامًا.

بالإضافة إلى ذلك، يتم إنشاء ملف خاص يحتوي على التعليمات في مكان مرئي readme.txt. وفيه يواجه المهاجم المستخدم بحقيقة أن جميع بياناته المهمة قد تم تشفيرها ولا يمكن فتحها الآن بهذه السهولة، مضيفًا أنه من أجل إعادة كل شيء إلى حالته السابقة، من الضروري القيام بإجراءات معينة تتعلق بتحويل الأموال إلى المحتال (عادة، قبل القيام بذلك، تحتاج إلى إرسال رمز محدد إلى أحد عناوين البريد الإلكتروني المقترحة). غالبًا ما يتم استكمال هذه الرسائل أيضًا بملاحظة مفادها أنه إذا حاولت فك تشفير جميع ملفاتك بنفسك، فإنك تخاطر بفقدها إلى الأبد.

لسوء الحظ، في هذه اللحظة، رسميًا لم يتمكن أحد من فك تشفير .xtbl، إذا ظهرت طريقة عمل، فسنقوم بالتأكيد بالإبلاغ عنها في المقالة. من بين المستخدمين هناك أولئك الذين لديهم تجربة مماثلة مع هذا الفيروس ودفعوا للمحتالين المبلغ المطلوب، وحصلوا في المقابل على فك تشفير وثائقهم. ولكن هذه خطوة محفوفة بالمخاطر للغاية، لأنه من بين المهاجمين هناك أيضًا أولئك الذين لن يهتموا كثيرًا بفك التشفير الموعود، وفي النهاية سيكون المال هباءً.

ماذا تفعل بعد ذلك، تسأل؟ نقدم لك بعض النصائح التي ستساعدك على استعادة جميع بياناتك وفي نفس الوقت، لن تتبع خطى المحتالين وتعطيهم أموالك. وما الذي يجب فعله إذن:

1. إذا كنت تعرف كيفية العمل في إدارة المهام، فقم بمقاطعة تشفير الملفات على الفور عن طريق إيقاف العملية المشبوهة. وفي الوقت نفسه، افصل جهاز الكمبيوتر الخاص بك عن الإنترنت - حيث تتطلب العديد من برامج الفدية اتصالاً بالشبكة.
2. خذ قطعة من الورق واكتب عليها الرمز المقترح إرساله عبر البريد الإلكتروني إلى المهاجمين (قطعة الورق لأن الملف الذي ستكتب فيه قد يصبح أيضًا غير قابل للقراءة).
3. باستخدام برنامج Malwarebytes Antimalware، مكافحة الفيروسات التجريبية Kaspersky IS أو CureIt، قم بإزالة البرامج الضارة. لمزيد من الموثوقية، من الأفضل استخدام جميع الوسائل المقترحة باستمرار. على الرغم من أنه قد لا يتم تثبيت برنامج Kaspersky Anti-Virus إذا كان النظام يحتوي بالفعل على برنامج مكافحة فيروسات رئيسي واحد، وإلا فقد تنشأ تعارضات في البرامج. يمكن استخدام جميع المرافق الأخرى في أي حالة.
4. انتظر حتى تقوم إحدى شركات مكافحة الفيروسات بتطوير برنامج فك تشفير فعال لمثل هذه الملفات. يقوم Kaspersky Lab بهذه المهمة بسرعة أكبر.
5. بالإضافة إلى ذلك، يمكنك إرسال إلى [البريد الإلكتروني محمي]نسخة من الملف الذي تم تشفيره، بالكود المطلوب، وفي حال توفره، نفس الملف بصورته الأصلية. من الممكن أن يؤدي ذلك إلى تسريع عملية تطوير طريقة فك تشفير الملفات.

لا تفعل تحت أي ظرف من الظروف:

• إعادة تسمية هذه الوثائق؛
• تغيير توسعها.
• حذف الملفات.

تقوم أحصنة طروادة هذه أيضًا بتشفير ملفات المستخدم مع الابتزاز اللاحق. في هذه الحالة، قد تحتوي الملفات المشفرة على الامتدادات التالية:

• .مقفل
• .تشفير
• .وحش بحري أسطوري
• .AES256 (ليس بالضرورة حصان طروادة هذا، فهناك برامج أخرى تقوم بتثبيت نفس الامتداد).
• .codercsu@gmail_com
• .oshit
• و اخرين.

لحسن الحظ، تم إنشاؤه بالفعل فائدة خاصةلفك التشفير - RakhniDecryptor. يمكنك تنزيله من الموقع الرسمي.

وفي نفس الموقع، يمكنك قراءة التعليمات التي توضح بشكل واضح وواضح كيفية استخدام الأداة المساعدة لفك تشفير جميع الملفات التي عمل عليها حصان طروادة. من حيث المبدأ، لمزيد من الموثوقية، فإنه يستحق استبعاد خيار حذف الملفات المشفرة. ولكن على الأرجح، قام المطورون بعمل جيد في إنشاء الأداة المساعدة وسلامة البيانات ليست في خطر.

أولئك الذين يستخدمون برامج مكافحة الفيروسات Dr.Web المرخصة لديهم حرية الوصول إلى فك التشفير من المطورين http://support.drweb.com/new/free_unlocker/.

أنواع أخرى من فيروسات برامج الفدية

في بعض الأحيان قد تصادف فيروسات أخرى تقوم بتشفير الملفات المهمة وتطالبك بالدفع لإعادة كل شيء إلى شكله الأصلي. نحن نقدم قائمة صغيرة من الأدوات المساعدة لمكافحة عواقب الفيروسات الأكثر شيوعا. هناك يمكنك أيضًا التعرف على العلامات الرئيسية التي يمكنك من خلالها التمييز بين برنامج طروادة أو آخر.

بجانب، بطريقة جيدةسيقوم بفحص جهاز الكمبيوتر الخاص بك باستخدام برنامج مكافحة الفيروسات Kaspersky، والذي سيكتشف الضيف غير المدعو ويعين له اسمًا. بهذا الاسم يمكنك بالفعل البحث عن وحدة فك ترميز له.

• Trojan-Ransom.Win32.Rector- برنامج تشفير نموذجي لبرامج الفدية يتطلب منك إرسال رسالة نصية قصيرة أو تنفيذ إجراءات أخرى من هذا النوع، ونحن نأخذ برنامج فك التشفير من هذا الرابط.
• Trojan-Ransom.Win32.Xorist- نسخة مختلفة من حصان طروادة السابق، يمكنك الحصول على برنامج فك التشفير مع تعليمات لاستخدامه.
• Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.Fury– هناك أيضًا أداة خاصة لهؤلاء الأشخاص، راجع الرابط.
• Trojan.Encoder858، Trojan.Encoder.741- يمكن اكتشاف هذه البرامج الضارة بواسطة الأداة المساعدة CureIt. لديهم أسماء متشابهة، ولكن قد تختلف الأرقام الموجودة في نهاية الاسم. نحن نبحث عن برنامج فك التشفير باسم الفيروس، أو إذا كنت تستخدم برنامج Dr.Web المرخص، فيمكنك اللجوء إلى استخدام مورد خاص.
• كريبتولاكر- لإرجاع ملفاتك، قم بزيارة هذا الموقع وقم بإنشاء برنامج خاصلاستعادة المستندات الخاصة بك.

في الآونة الأخيرة، قامت شركة Kaspersky Lab، بالتعاون مع زملائها من هولندا، بإنشاء برنامج فك تشفير يسمح لك باستعادة الملفات بعد أن يعمل الفيروس عليها CoinVault.

في التعليقات، يمكنك مشاركة طرقك لفك تشفير الملفات، لأن هذه المعلومات ستكون مفيدة للمستخدمين الآخرين الذين قد يواجهون برامج ضارة مماثلة.

هل حدث أن تلقيت رسالة عبر البريد الإلكتروني أو Skype أو ICQ من مرسل غير معروف تحتوي على رابط لصورة صديقك أو تهنئة بالعيد القادم؟ لا يبدو أنك تتوقع أي نوع من الإعداد، وفجأة، عندما تنقر على الرابط، يتم تنزيل برامج ضارة خطيرة على جهاز الكمبيوتر الخاص بك. قبل أن تعرفه، قام الفيروس بالفعل بتشفير جميع ملفاتك. ماذا تفعل في مثل هذه الحالة؟ هل من الممكن استعادة الوثائق؟

لكي تفهم كيفية التعامل مع البرمجيات الخبيثة، عليك أن تعرف ما هي وكيف تخترق نظام التشغيل. علاوة على ذلك، لا يهم على الإطلاق نسخة ويندوزالذي تستخدمه - يهدف فيروس Critroni إلى إصابة أي شخص نظام التشغيل.

تشفير فيروس الكمبيوتر: التعريف وخوارزمية العمل

ظهرت واحدة جديدة على شبكة الإنترنت فيروس الكمبيوتربرنامج جديد، معروف للكثيرين باسم CTB (Curve Tor Bitcoin) أو Critroni. هذا هو برنامج فدية طروادة محسّن، يشبه من حيث المبدأ البرنامج الخبيث المعروف سابقًا CriptoLocker. إذا قام فيروس بتشفير جميع الملفات، فماذا عليك أن تفعل في هذه الحالة؟ بادئ ذي بدء، تحتاج إلى فهم خوارزمية عملها. جوهر الفيروس هو تشفير جميع ملفاتك بالامتدادات .ctbl، .ctb2، .vault، .xtbl أو غيرها. ومع ذلك، لن تتمكن من فتحها حتى تقوم بدفع المبلغ المطلوب.

تعتبر فيروسات Trojan-Ransom.Win32.Shade وTrojan-Ransom.Win32.Onion شائعة. إنها تشبه إلى حد كبير STV في عملها المحلي. يمكن تمييزها بامتداد الملفات المشفرة. يقوم Trojan-Ransom بتشفير المعلومات بتنسيق .xtbl. عند فتح أي ملف، تظهر رسالة على الشاشة تفيد بأن مستنداتك الشخصية وقواعد بياناتك وصورك وملفاتك الأخرى قد تم تشفيرها بواسطة برامج ضارة. لفك تشفيرها، يجب عليك الدفع مقابل مفتاح فريد يتم تخزينه على خادم سري، وفي هذه الحالة فقط ستتمكن من إجراء عمليات فك التشفير والتشفير مع مستنداتك. ولكن لا تقلق، ناهيك عن إرسال الأموال إلى الرقم المحدد؛ فهناك طريقة أخرى لمكافحة هذا النوع من الجرائم الإلكترونية. إذا وصل فيروس كهذا إلى جهاز الكمبيوتر الخاص بك وقام بتشفير جميع ملفات .xtbl، فماذا يجب عليك فعله في مثل هذه الحالة؟

ما لا يجب فعله إذا اخترق فيروس التشفير جهاز الكمبيوتر الخاص بك

يحدث أننا في حالة من الذعر نقوم بتثبيت برنامج مكافحة الفيروسات وبمساعدته يتم تثبيته تلقائيًا أو الوضع اليدوينقوم بإزالة برامج الفيروسات، ونفقد المستندات المهمة معها. وهذا أمر غير سار، بالإضافة إلى أن الكمبيوتر قد يحتوي على بيانات كنت تعمل عليها منذ أشهر. إنه لأمر مخز أن تفقد مثل هذه الوثائق دون إمكانية استعادتها.

إذا قام الفيروس بتشفير جميع ملفات .xtbl، يحاول البعض تغيير امتدادها، لكن هذا أيضًا لا يؤدي إلى نتائج إيجابية. إعادة التثبيت والتنسيق قرص صلبسوف تقوم بإزالة البرنامج الضار نهائيًا، ولكن في نفس الوقت ستفقد أي إمكانية لاستعادة المستندات. في هذه الحالة، لن تساعد برامج فك التشفير المنشأة خصيصًا، لأن برنامج الفدية مبرمج باستخدام خوارزمية غير قياسية ويتطلب نهجًا خاصًا.

ما مدى خطورة فيروس الفدية على جهاز الكمبيوتر الشخصي؟

من الواضح تمامًا أنه لن يفيد جهاز الكمبيوتر الشخصي الخاص بك أي برنامج ضار. لماذا تم إنشاء مثل هذه البرامج؟ ومن الغريب أن مثل هذه البرامج لم يتم إنشاؤها فقط لغرض الاحتيال على المستخدمين بأكبر قدر ممكن من المال. في الواقع، يعد التسويق الفيروسي مربحًا جدًا للعديد من مخترعي برامج مكافحة الفيروسات. ففي نهاية المطاف، إذا قام فيروس بتشفير كافة الملفات الموجودة على جهاز الكمبيوتر الخاص بك، إلى أين ستتجه أولاً؟ وبطبيعة الحال، طلب المساعدة من المتخصصين. ما هي أدوات التشفير لجهاز الكمبيوتر المحمول الخاص بك أو كمبيوتر شخصي?

خوارزمية التشغيل الخاصة بهم غير قياسية، لذلك سيكون من المستحيل علاج الملفات المصابة باستخدام برامج مكافحة الفيروسات التقليدية. ستؤدي إزالة الكائنات الضارة إلى فقدان البيانات. فقط الانتقال إلى الحجر الصحي هو الذي سيجعل من الممكن تأمين الملفات الأخرى التي لم يتمكن الفيروس الضار من تشفيرها بعد.

تاريخ انتهاء صلاحية برامج التشفير الضارة

إذا كان جهاز الكمبيوتر الخاص بك مصابًا بـ Critroni (برامج ضارة) وقام الفيروس بتشفير جميع ملفاتك، فماذا يجب عليك فعله؟ لا يمكنك فك تشفير تنسيقات .vault- و.xtbl- و.rar بنفسك عن طريق تغيير الامتداد يدويًا إلى .doc و.mp3 و.txt وغيرها. إذا لم تدفع المبلغ المطلوب لمجرمي الإنترنت في غضون 96 ساعة، فسوف يرسلون لك مراسلات تهديدية عبر البريد الإلكتروني تفيد بأنه سيتم حذف جميع ملفاتك نهائيًا. في معظم الحالات، يتأثر الأشخاص بمثل هذه التهديدات، ويقومون بهذه الإجراءات على مضض ولكن مطيعين، خوفًا من فقدان المعلومات الثمينة. ومن المؤسف أن المستخدمين لا يفهمون حقيقة أن مجرمي الإنترنت ليسوا صادقين دائمًا في كلمتهم. بمجرد حصولهم على الأموال، غالبًا ما لا يقلقون بشأن فك تشفير ملفاتك المقفلة.

عندما ينتهي الموقت، فإنه يغلق تلقائيا. ولكن لا تزال لديك فرصة لاستعادة المستندات المهمة. ستظهر رسالة على الشاشة تشير إلى انتهاء الوقت، ويمكنك عرض معلومات أكثر تفصيلاً حول الملفات الموجودة في مجلد المستندات في ملف المفكرة DecryptAllFiles.txt الذي تم إنشاؤه خصيصًا.

طرق اختراق برامج التشفير الضارة لنظام التشغيل

عادةً ما تدخل فيروسات برامج الفدية إلى جهاز الكمبيوتر من خلال رسائل البريد الإلكتروني المصابة أو من خلال التنزيلات المزيفة. قد تكون هذه تحديثات فلاش زائفة أو مشغلات فيديو احتيالية. بمجرد تنزيل البرنامج على جهاز الكمبيوتر الخاص بك باستخدام أي من هذه الطرق، فإنه يقوم على الفور بتشفير البيانات دون إمكانية استردادها. إذا قام الفيروس بتشفير جميع ملفات .cbf و.ctbl و.ctb2 إلى تنسيقات أخرى ولم يكن لديك نسخة إحتياطيةالمستندات المخزنة على الوسائط القابلة للإزالة، افترض أنك لن تتمكن بعد الآن من استعادتها. في الوقت الحالي، لا تعرف مختبرات مكافحة الفيروسات كيفية كسر فيروسات التشفير هذه. بدون المفتاح المطلوب، يمكنك فقط حظر الملفات المصابة أو نقلها إلى العزل أو حذفها.

كيفية تجنب الإصابة بالفيروسات على جهاز الكمبيوتر الخاص بك

جميع ملفات .xtbl مشؤومة. ما يجب القيام به؟ لقد قرأت بالفعل الكثير من المعلومات غير الضرورية المكتوبة على معظم مواقع الويب، ولا يمكنك العثور على الإجابة. يحدث أنه في أكثر اللحظات غير المناسبة، عندما تكون في حاجة ماسة إلى تقديم تقرير في العمل، أو أطروحة في إحدى الجامعات، أو الدفاع عن درجة أستاذك، يبدأ الكمبيوتر في عيش حياته الخاصة: فهو يتعطل، ويصاب بالفيروسات ويتجمد. يجب أن تكون مستعدًا لمثل هذه المواقف وتحتفظ بالمعلومات على الخادم والوسائط القابلة للإزالة. سيسمح لك ذلك بإعادة تثبيت نظام التشغيل في أي وقت وبعد 20 دقيقة من العمل على الكمبيوتر وكأن شيئًا لم يحدث. ولكن لسوء الحظ، نحن لسنا دائما مغامرين.

لتجنب إصابة جهاز الكمبيوتر الخاص بك بفيروس، تحتاج أولاً إلى تثبيت برنامج جيد لمكافحة الفيروسات. يجب عليك تكوينه بشكل صحيح جدار حماية ويندوزالذي يحمي من دخول مختلف الكائنات الضارة عبر الشبكة. والأهم: لا تقم بتنزيل البرامج من مواقع لم يتم التحقق منها أو من متتبعات التورنت. لتجنب إصابة جهاز الكمبيوتر الخاص بك بالفيروسات، كن حذرًا بشأن الروابط التي تنقر عليها. إذا تلقيت بريدًا إلكترونيًا من مستلم غير معروف به طلب أو عرض لمعرفة ما هو مخفي خلف الرابط، فمن الأفضل نقل الرسالة إلى البريد العشوائي أو حذفها تمامًا.

لمنع الفيروس من تشفير جميع ملفات .xtbl يومًا ما، تنصح مختبرات برامج مكافحة الفيروسات طريق سريعالحماية من الإصابة بفيروسات التشفير: قم بفحص حالتهم مرة واحدة في الأسبوع.

قام الفيروس بتشفير جميع الملفات الموجودة على الكمبيوتر: طرق العلاج

إذا أصبحت ضحية لجريمة إلكترونية وأصيبت البيانات الموجودة على جهاز الكمبيوتر الخاص بك بأحد أنواع البرامج الضارة المشفرة، فقد حان الوقت لمحاولة استرداد ملفاتك.

هناك عدة طرق لمعالجة المستندات المصابة مجانًا:

1. الطريقة الأكثر شيوعًا وربما الأكثر فعالية في الوقت الحالي هي دعمالمستندات والاسترداد اللاحق في حالة الإصابة غير المتوقعة.
2. تعمل خوارزمية البرنامج الخاصة بفيروس CTB بطريقة مثيرة للاهتمام. بمجرد وصوله إلى الكمبيوتر، يقوم بنسخ الملفات وتشفيرها وحذف المستندات الأصلية، وبالتالي القضاء على إمكانية استعادتها. ولكن بمساعدة برنامج Photorec أو R-Studio، يمكنك إدارة حفظ بعض الملفات الأصلية التي لم تمسها. يجب أن تعلم أنه كلما طالت فترة استخدامك لجهاز الكمبيوتر الخاص بك بعد إصابته، قل احتمال قدرتك على استعادة كافة المستندات الضرورية.
3. إذا قام الفيروس بتشفير جميع ملفات .vault، فهناك طريقة جيدة أخرى لفك تشفيرها - باستخدام وحدات تخزين النسخة الاحتياطية. وبطبيعة الحال، سيحاول الفيروس حذفها جميعًا بشكل دائم وغير قابل للنقض، ولكن يحدث أيضًا أن تظل بعض الملفات دون تغيير. في هذه الحالة، سيكون لديك فرصة صغيرة ولكن لاستعادتها.
4. من الممكن تخزين البيانات على خدمات استضافة الملفات مثل DropBox. يمكن تثبيته على جهاز الكمبيوتر الخاص بك كمخطط قرص محلي. ومن الطبيعي أن يصيبه فيروس التشفير أيضًا. ولكن في هذه الحالة، يكون استعادة المستندات والملفات المهمة أكثر واقعية.

برامج الوقاية من الإصابة بفيروسات الكمبيوتر الشخصي

إذا كنت خائفًا من وصول البرامج الضارة الشريرة إلى جهاز الكمبيوتر الخاص بك ولا تريد أن يقوم فيروس خبيث بتشفير جميع ملفاتك، فيجب عليك استخدام محرر السياسة المحلي أو محرر مجموعة Windows. بفضل هذا البرنامج المتكامل، يمكنك إعداد سياسة تقييد البرنامج - وبعد ذلك لن تقلق بشأن إصابة جهاز الكمبيوتر الخاص بك.

كيفية استعادة الملفات المصابة

إذا قام فيروس CTB بتشفير جميع الملفات، فماذا عليك أن تفعل؟ في هذه الحالةلاستعادة الوثائق اللازمة؟ لسوء الحظ، في الوقت الحاضر، لا يمكن لمختبر واحد لمكافحة الفيروسات تقديم فك تشفير ملفاتك، ولكن تحييد العدوى، إزالة كاملةمن جهاز كمبيوتر شخصي ممكن. جميع الطرق الفعالة لاستعادة المعلومات مذكورة أعلاه. إذا كانت ملفاتك ذات قيمة كبيرة بالنسبة لك، ولم تكلف نفسك عناء نسخها احتياطيًا على محرك أقراص قابل للإزالة أو محرك أقراص إنترنت، فسيتعين عليك دفع مبلغ المال الذي طلبه مجرمو الإنترنت. ولكن ليس هناك فرصة لإرسال مفتاح فك التشفير إليك حتى بعد الدفع.

كيفية البحث عن الملفات المصابة

لرؤية قائمة بالملفات المصابة، يمكنك الانتقال إلى هذا المسار: “My Documents”\.html أو “C:”\”Users”\”All Users”\.html. تحتوي ورقة HTML هذه على بيانات ليس فقط حول التعليمات العشوائية، ولكن أيضًا حول الكائنات المصابة.

كيفية منع فيروس التشفير

بمجرد إصابة جهاز الكمبيوتر ببرامج ضارة، فإن الإجراء الضروري الأول من جانب المستخدم هو تشغيل الشبكة. ويتم ذلك عن طريق الضغط على مفتاح لوحة المفاتيح F10.

إذا وصل فيروس Critroni عن طريق الخطأ إلى جهاز الكمبيوتر الخاص بك وقام بتشفير جميع الملفات بتنسيق .rar أو .ctbl أو .ctb2 أو .xtbl أو .vault أو .cbf أو أي تنسيق آخر، فمن الصعب بالفعل استعادتها. ولكن إذا لم يقم الفيروس بعد بإجراء العديد من التغييرات، فمن المحتمل أن يتم حظره باستخدام سياسة تقييد البرامج.

فيروس Ransomware: هل يجب أن تدفع للمحتالين أم لا؟

لقد حان هذا اليوم المظلم. كان فيروس التشفير يعمل بنشاط على أحد أجهزة العمل المهمة، وبعد ذلك قبلت جميع الملفات المكتبية والرسومية والعديد من الملفات الأخرى الإذن crypted000007، والذي كان من المستحيل فك تشفيره وقت كتابة هذه المقالة.

أيضًا، ظهرت خلفية الشاشة على سطح المكتب مع نقش مثل "ملفاتك مشفرة"، وظهرت المستندات النصية التمهيدية التي تحتوي على معلومات الاتصال الخاصة بالمحتال في جذر محركات الأقراص المحلية. وبطبيعة الحال، يريد فدية لفك التشفير.

أنا شخصياً لم أتصل بهذا الأحمق لتثبيط مثل هذا النشاط، لكنني أعلم أن متوسط ​​السعر يبدأ من 300 دولار وما فوق. لذا فكر بنفسك ماذا تفعل. ولكن إذا كان لديك ملفات مهمة للغاية مشفرة، على سبيل المثال، قواعد بيانات 1C، ولا توجد نسخة احتياطية، فهذا هو انهيار حياتك المهنية.

اسمحوا لي أن أستبق الأمر وأقول إنه إذا كان لديك أمل في فك التشفير، فلا تقم بأي حال من الأحوال بحذف الملف الذي يتطلب المال ولا تفعل شيئًا مع الملفات المشفرة (لا تغير الاسم أو الامتداد وما إلى ذلك). ولكن دعونا نتحدث عن كل شيء بالترتيب.

فيروس الفدية - ما هو؟

هذا هو الفدية برمجةالذي يقوم بتشفير البيانات الموجودة على جهاز الكمبيوتر باستخدام خوارزمية قوية جدًا. بعد ذلك سأقدم تشبيهًا تقريبيًا. تخيل أنك قمت بتعيين كلمة مرور يبلغ طولها عدة آلاف من الأحرف لتسجيل الدخول إلى Windows ونسيتها. أوافق، من المستحيل أن نتذكر. كم عدد الأرواح التي سيستغرقها البحث يدويًا؟

هذا هو الحال مع برامج الفدية التي تستخدم أساليب التشفير القانونية لأغراض غير قانونية. تستخدم هذه الفيروسات عادةً التشفير غير المتزامن. وهذا يعني أنه يتم استخدام زوج المفاتيح.

يتم تشفير الملفات باستخدام المفتاح العموميويمكنك فك تشفيرها باستخدام مفتاح خاص لا يملكه سوى المحتال. جميع المفاتيح فريدة من نوعها لأنه يتم إنشاؤها لكل كمبيوتر على حدة.

ولهذا السبب قلت في بداية المقال أنه لا يمكنك حذف ملف readme.txt الموجود في جذر القرص مع طلب فدية. وفيه تتم الإشارة إلى المفتاح العام.

عنوان البريد الإلكترونيبرامج الفدية في حالتي، إذا قمت بكتابتها في البحث، يصبح الحجم الحقيقي للمأساة واضحًا. لقد أصيب الكثير من الناس.

لذلك أقول مرة أخرى: لا تقم بأي حال من الأحوال بتغيير الملفات التالفة. وإلا فسوف تفقد حتى أدنى فرصة لاستعادتها في المستقبل.

لا يوصى أيضًا بإعادة تثبيت نظام التشغيل وتنظيف الدلائل المؤقتة وأدلة النظام. باختصار، حتى تتوضح كافة الظروف، لا نلمس أي شيء، حتى لا تعقد حياتنا. على الرغم من أنه يبدو أسوأ من ذلك بكثير.

غالبًا ما تصل هذه العدوى إلى جهاز الكمبيوتر الخاص بك عبر البريد الإلكتروني الذي يحتوي على موضوع ساخن مثل "رسالة عاجلة إلى المدير" وما شابه. يتم إخفاء العدو في المرفق، والذي قد يبدو كملف pdf أو jpg غير ضار.

بمجرد إطلاقه، لا شيء فظيع يحدث للوهلة الأولى. على جهاز كمبيوتر مكتبي ضعيف، قد يلاحظ المستخدم بعض "البطء". إنه فيروس يتنكر عملية النظام، يقوم بالفعل بعمله القذر.

في نظام التشغيل Windows 7 والإصدارات الأحدث، عند إطلاق الفيروس، ستظهر نافذة التحكم في حساب المستخدم باستمرار وتطلب منك السماح بالتغييرات. بالطبع، سيوافق المستخدم عديم الخبرة على كل شيء، وبالتالي يوقع حكم الإعدام الخاص به.

نعم، في الواقع، يقوم الفيروس بالفعل بحظر الوصول إلى الملفات وعند الانتهاء، ستظهر رسالة تحذيرية على سطح المكتب "ملفاتك مشفرة". بشكل عام، انها بعقب. ثم تبدأ الوحشية.

كيفية علاج فيروس الفدية

بناء على ما سبق، يمكننا أن نستنتج أنه إذا لم يظهر النقش الرهيب على سطح المكتب بعد، وكنت قد رأيت بالفعل الملفات الأولى بأسماء طويلة غير مفهومة من مجموعة فوضوية من الشخصيات المختلفة، فقم بإزالة الكمبيوتر على الفور من المنفذ.

هذا صحيح، وقحا ولا هوادة فيها. من خلال القيام بذلك، ستوقف خوارزمية البرامج الضارة وستكون قادرًا على حفظ شيء ما على الأقل. ولسوء الحظ، في حالتي، لم يكن الموظف يعرف ذلك وخسر كل شيء. أمك...

كان ما يميز الكعكة بالنسبة لي هو حقيقة أن هذا الفيروس، كما تبين، يقوم بسهولة بتشفير جميع الوسائط القابلة للإزالة ومحركات أقراص الشبكة المتصلة بالكمبيوتر مع حقوق الوصول للكتابة. هذا هو المكان الذي كانت فيه النسخ الاحتياطية.

الآن عن العلاج. أول شيء عليك أن تفهمه هو أن الفيروس قد تم علاجه، ولكن الملفات ستبقى مشفرة. ربما إلى الأبد. عملية العلاج نفسها ليست معقدة.

للقيام بذلك، تحتاج إلى توصيل القرص الصلب بجهاز كمبيوتر آخر والمسح الضوئي باستخدام الأدوات المساعدة مثل أو فيروس كاسبيرسكيأداة إزالة. لكي تكون آمنًا، يمكنك استخدام اثنين بالتناوب. إذا كنت لا تريد نقل المسمار المصاب إلى كمبيوتر آخر، فقم بالتمهيد من قرص مضغوط مباشر.

كقاعدة عامة، تقوم حلول مكافحة الفيروسات هذه بالعثور على برنامج التشفير وإزالته دون أي مشاكل. لكن في بعض الأحيان لا يكتشفون أي شيء، لأن الفيروس، بعد أن يقوم بعمله، يمكنه إزالة نفسه من النظام. هذه قطعة من الهراء تغطي جميع الآثار وتجعل من الصعب دراستها.

أتوقع السؤال، لماذا لم يمنع برنامج مكافحة الفيروسات البرامج غير المرغوب فيها على الفور من دخول الكمبيوتر؟ ثم لن تكون هناك مشاكل. في رأيي، في الوقت الحالي، تخسر برامج مكافحة الفيروسات المعركة مع برامج التشفير وهذا أمر محزن للغاية.

علاوة على ذلك، كما قلت سابقًا، تعمل هذه البرامج الضارة استنادًا إلى أساليب التشفير القانونية. أي أنه يتبين أن عملهم ليس غير قانوني من الناحية الفنية. وهذه هي صعوبة التعرف عليهم.

يتم باستمرار إصدار تعديلات جديدة تندرج ضمن قواعد بيانات مكافحة الفيروساتفقط بعد الإصابة. لذا، للأسف، في هذه الحالة لا يمكن أن تكون هناك حماية بنسبة 100٪. السلوك اليقظ فقط عند العمل على جهاز الكمبيوتر، ولكن المزيد عن ذلك لاحقًا.

كيفية فك تشفير الملفات بعد الفيروس

كل هذا يتوقف على الحالة المحددة. لقد كتب أعلاه أن تعديلات فيروس التشفير يمكن أن تكون من أي نوع. اعتمادا على هذا، الملفات المشفرة لها امتدادات مختلفة.

والخبر السار هو أنه بالنسبة للعديد من إصدارات العدوى، فقد توصلت شركات مكافحة الفيروسات بالفعل إلى برامج فك التشفير (برامج فك التشفير). الشركة الرائدة في سوق اللغة الروسية هي Kaspersky Lab. ولهذه الأغراض تم إنشاء المورد التالي:

عليه، في شريط البحث، نقوم بإدخال معلومات حول الامتداد أو البريد الإلكتروني من مذكرة الفدية، وانقر فوق "بحث" ومعرفة ما إذا كانت هناك أداة حفظ مساعدة لنا.

إذا كنت محظوظا، قم بتنزيل البرنامج من القائمة وتشغيله. ينص وصف بعض برامج فك التشفير على أنه عند العمل على جهاز كمبيوتر، يجب أن يكون لديك إمكانية الوصول إلى الإنترنت لتتمكن من إجراء بحث متقدم عن المفاتيح في قاعدة البيانات عبر الإنترنت.

خلاف ذلك، كل شيء بسيط. حدد ملفًا أو قرصًا محددًا بالكامل وابدأ المسح. إذا قمت بتنشيط عنصر "حذف الملفات المشفرة"، فسيتم حذف جميع الملفات الأصلية بعد فك التشفير. أوه، لن أكون في عجلة من أمري، أحتاج إلى إلقاء نظرة على النتيجة على الفور.

بالنسبة لبعض أنواع الفيروسات، قد يطلب البرنامج نسختين من الملف: النسخة الأصلية والنسخة المشفرة. إذا لم يكن الأول موجودا، فهي قضية خاسرة.

أيضا للمستخدمين المنتجات المرخصةلدى Kaspersky Lab الفرصة للاتصال بالمنتدى الرسمي للمساعدة في فك التشفير. ولكن بعد البحث فيه باستخدام الامتداد الخاص بي (crypted000007) أدركت أنه لا توجد مساعدة هناك. ويمكن قول الشيء نفسه عن Dr.Web.

وهناك مشروع آخر مماثل، ولكن هذه المرة دولي. وفقًا للمعلومات الواردة من الإنترنت، فهو مدعوم من قبل الشركات الرائدة في مجال مكافحة الفيروسات. وهنا عنوانه:

بالطبع قد يكون هذا صحيحاً، لكن الموقع لا يعمل بشكل صحيح. على الصفحة الرئيسيةيُقترح تنزيل ملفين مشفرين، بالإضافة إلى ملف بفدية، وبعد ذلك سيجيب النظام عما إذا كان برنامج فك التشفير متاحًا أم لا.

ولكن بدلاً من ذلك، هناك نقل إلى القسم مع اختيار اللغة وهذا كل شيء. لذلك، يمكنك الانتقال بشكل مستقل إلى قسم "Decryptor-Utilities" ومحاولة العثور على البرنامج الذي تحتاجه.

القيام بذلك ليس مريحًا جدًا، لأنه وصف مختصرلا يشير البرنامج المتاح بوضوح إلى الامتدادات المدعومة للملفات المشفرة. للقيام بذلك، تحتاج إلى قراءة التعليمات الموسعة لكل نوع من برامج فك التشفير.

أثناء كتابة هذا المنشور، وجدت خدمة مماثلة تعمل بشكل صحيح على نفس المبدأ. سيساعدك على تحديد اسم التهديد ويقدم لك "حبة سحرية" إذا كانت موجودة. يوجد زر مترجم في الركن الأيمن العلوي من الموقع لراحة المستخدم.

ما يجب القيام به؟ لدفع أو عدم دفع

إذا كنت قد قرأت هذا حتى الآن، فهذا يعني أن ملفاتك لا تزال مشفرة بشكل آمن. وهنا السؤال هو: ماذا تفعل بعد ذلك؟ في الواقع، إذا تم تشفير ملفات مهمة للغاية، فقد يصاب عمل المؤسسات الكبيرة، ناهيك عن الشركات الصغيرة، بالشلل.

أولاً، يمكنك اتباع تعليمات المحتال ودفع الفدية. لكن إحصائيات Kaspersky Lab تشير إلى أن كل مؤسسة خامسة لم تحصل على مفتاح فك التشفير بعد الدفع.

يمكن أن يحدث هذا من خلال أسباب مختلفة. على سبيل المثال، ربما لم يكن من الممكن استخدام الفيروس من قبل المبدعين أنفسهم، الذين لديهم المفتاح الخاص، ولكن من قبل وسطاء محتالين.

لقد قاموا ببساطة بتعديل رمز البرامج الضارة، مع الإشارة إلى بياناتهم في ملف الفدية، لكن ليس لديهم مفتاح ثانٍ. لقد حصلوا على المال وغادروا. وتستمر في الطهي.

بشكل عام، لن يكذبوا، وأنا نفسي لا أعرف كل الفروق الدقيقة التقنية. ولكن على أية حال، من خلال الدفع للمبتزين، فإنك تحفزهم على مواصلة مثل هذه الأنشطة. بعد كل شيء، بما أنه يعمل ويكسب المال، فلماذا لا.

لكن على الإنترنت وجدت شركتين على الأقل تعدان بالمساعدة في حل هذه المشكلة وحتى فك تشفير الملفات ذات الامتداد crypted000007. لقد اتصلت بأحدهم بخوف شديد.

لأكون صادقًا، لم يساعدني الرجال، لأنهم قالوا على الفور أنه ليس لديهم برنامج فك التشفير، لكن يمكنهم محاولة استعادة حوالي 30٪ من الملفات الأصلية التي حذفها الفيروس باستخدام المسح منخفض المستوى.

فكرت في الأمر ورفضت. لكن شكرًا لهم لأنهم لم يخدعوا أنفسهم، ولأنهم أخذوا الوقت وشرحوا كل شيء برصانة. حسنًا، بما أنهم لا يملكون مفتاحًا، فهذا يعني أنه لا ينبغي عليهم التفاعل مع المحتالين.

ولكن هناك شركة أخرى أكثر "إثارة للاهتمام" توفر ضمانًا بنسبة 100٪ لنجاح العملية. موقعها الإلكتروني موجود على هذا العنوان:

حاولت تصفح المنتديات المتخصصة، لكن لم أتمكن من العثور على تقييمات من عملاء حقيقيين. وهذا يعني أن الجميع يعرف ذلك، لكن القليل منهم استخدموه. حلقة مفرغة.

يعمل هؤلاء الأشخاص بناءً على النتائج التي تم الحصول عليها، ولا توجد مدفوعات مسبقة. مرة أخرى، أكرر، أنها توفر ضمانًا لفك التشفير حتى crypted000007. وهذا يعني أن لديهم مفتاح وفك التشفير. ومن هنا السؤال: من أين يحصلون على هذه الأشياء؟ أم هل فاتني شيء؟

لا أريد أن أقول شيئًا سيئًا، ربما يكونون طيبين ورقيقين، ويعملون بأمانة ويساعدون الناس. على الرغم من أن هذا مستحيل من الناحية الفنية بدون مفتاح رئيسي. وعلى أية حال، فقد تم العثور على شيء يدينهم.

كيف تحمي نفسك من فيروس الفدية

سأقدم بعض الافتراضات الأساسية التي ستساعدك على البقاء آمنًا، وفي حالة اختراق مثل هذه البرامج الضارة، تقليل الخسائر إلى الحد الأدنى. بعد كل شيء، لقد اختبرت كل هذا على بشرتي.

قم بعمل نسخ احتياطية منتظمة على الوسائط القابلة للإزالة (المعزولة عن الشبكة). وبدون مبالغة، أستطيع أن أقول إن هذا هو الشيء الأكثر أهمية.

لا تعمل تحت حسابمع حقوق المسؤول لتقليل الخسائر في حالة الإصابة.

مراقبة مستلمي الرسائل الواردة والروابط المسقطة على وسائل التواصل الاجتماعي عن كثب. الشبكات. لا توجد تعليقات هنا.

حافظ على تحديث برنامج مكافحة الفيروسات الخاص بك. قد ينقذك، ولكن ليس من المؤكد.

تأكد من تمكين الملفات في نظام التشغيل Windows 7/10. وسنتحدث عن هذا بالتفصيل في الأعداد القادمة.

لا تقم بتعطيل التحكم في حساب المستخدم في نظام التشغيل Windows 7 والإصدارات الأحدث.

وأنا بدوري لم يتبق لي سوى ملفات مكتبية مشفرة بالكامل بواسطة الفيروس. سوف ألقي نظرة بشكل دوري على جميع الموارد المشار إليها في المقالة، على أمل أن أرى يومًا ما أداة فك التشفير هناك. ربما يبتسم الحظ في هذه الحياة، من يدري.

إنه شيء واحد عندما يتم تشفير ملفات المستخدم الموجودة على جهاز كمبيوتر منزلي، مثل الأفلام والموسيقى وما إلى ذلك. يكون الأمر مختلفًا تمامًا عندما تفقد إمكانية الوصول إلى إدارة السجلات الكاملة للمؤسسة لمدة تتراوح بين 5 و7 سنوات على الأقل. إنه أمر مؤلم، وأنا أعلم بالفعل.

الفيروسات نفسها باعتبارها تهديدًا للكمبيوتر لا تفاجئ أحداً اليوم. ولكن إذا أثرت في السابق على النظام ككل، مما تسبب في حدوث اضطرابات في أدائه، اليوم، مع ظهور مجموعة متنوعة مثل فيروس التشفير، فإن تصرفات التهديد المخترق تؤثر على المزيد من بيانات المستخدم. ربما يشكل تهديدًا أكبر من التطبيقات القابلة للتنفيذ والتي تكون مدمرة لنظام التشغيل Windows أو تطبيقات برامج التجسس.

ما هو فيروس الفدية؟

يتضمن الكود نفسه، المكتوب بفيروس النسخ الذاتي، تشفير جميع بيانات المستخدم تقريبًا باستخدام خوارزميات تشفير خاصة، دون التأثير على ملفات النظام الخاصة بنظام التشغيل.

في البداية، لم يكن منطق تأثير الفيروس واضحا تماما للكثيرين. أصبح كل شيء واضحًا فقط عندما بدأ المتسللون الذين أنشأوا مثل هذه التطبيقات الصغيرة في المطالبة بالمال لاستعادة بنية الملف الأصلية. وفي الوقت نفسه، لا يسمح لك الفيروس المشفر نفسه بفك تشفير الملفات بسبب خصائصه. للقيام بذلك، تحتاج إلى برنامج فك تشفير خاص، إذا أردت، رمز أو كلمة مرور أو خوارزمية مطلوبة لاستعادة المحتوى المطلوب.

مبدأ اختراق النظام وتشغيل كود الفيروس

كقاعدة عامة، من الصعب جدًا "التقاط" مثل هذه الهراء على الإنترنت. المصدر الرئيسي لانتشار "العدوى" هو بريد إلكترونيعلى مستوى البرامج المثبتة على محطة كمبيوتر معينة مثل Outlook وThunderbird وThe Bat وما إلى ذلك. دعونا نلاحظ على الفور: خوادم بريد الإنترنتلا يهم لأن لديهم ما يكفي درجة عاليةالحماية والوصول إلى بيانات المستخدم ممكن فقط على المستوى

شيء آخر هو تطبيق على محطة الكمبيوتر. هذا هو المكان الذي يكون فيه مجال عمل الفيروسات واسعًا لدرجة أنه من المستحيل تخيله. صحيح أن الأمر يستحق أيضًا إجراء حجز هنا: في معظم الحالات، تستهدف الفيروسات الشركات الكبيرة التي يمكنها "سرقة" الأموال منها لتوفير رمز فك التشفير. وهذا أمر مفهوم، لأنه ليس فقط على محطات الكمبيوتر المحلية، ولكن أيضا على خوادم هذه الشركات، يمكن تخزين الملفات، إذا جاز التعبير، في نسخة واحدة، والتي لا يمكن تدميرها تحت أي ظرف من الظروف. ومن ثم يصبح فك تشفير الملفات بعد فيروس الفدية مشكلة كبيرة.

بالطبع، يمكن أن يتعرض المستخدم العادي لمثل هذا الهجوم، ولكن في معظم الحالات يكون هذا غير مرجح إذا اتبعت أبسط التوصيات لفتح المرفقات ذات الامتدادات من نوع غير معروف. حتى إذا اكتشف عميل البريد الإلكتروني مرفقًا بامتداد .jpg كملف رسومي قياسي، فيجب أولاً التحقق منه كملف قياسي مثبت على النظام.

إذا لم يتم ذلك، عند فتحه بالنقر المزدوج (الطريقة القياسية)، سيبدأ تنشيط الكود وستبدأ عملية التشفير، وبعد ذلك لن يكون من المستحيل إزالة نفس Breaking_Bad (فيروس التشفير) فحسب، ولكن أيضًا لن يكون من الممكن استعادة الملفات بعد القضاء على التهديد.

العواقب العامة لاختراق جميع الفيروسات من هذا النوع

وكما ذكرنا سابقًا، فإن معظم الفيروسات من هذا النوع تدخل النظام عبر البريد الإلكتروني. حسنًا، لنفترض أن مؤسسة كبيرة تتلقى خطابًا إلى بريد إلكتروني مسجل محدد يحتوي على محتويات مثل "لقد قمنا بتغيير العقد، وتم إرفاق نسخة ممسوحة ضوئيًا" أو "لقد تم إرسال فاتورة لك لشحن البضائع (نسخة هناك)". وبطبيعة الحال، يفتح الموظف المطمئن الملف و...

جميع ملفات المستخدم لكل مستوى وثائق المكتبأو الوسائط المتعددة أو مشاريع AutoCAD المتخصصة أو أي بيانات أرشيفية أخرى يتم تشفيرها على الفور، وإذا كانت محطة الكمبيوتر قيد التشغيل شبكه محليه، يمكن أن ينتقل الفيروس بشكل أكبر عن طريق تشفير البيانات الموجودة على الأجهزة الأخرى (يصبح هذا ملحوظًا على الفور عندما "يتباطأ" النظام وتتجمد البرامج أو التطبيقات قيد التشغيل حاليًا).

في نهاية عملية التشفير، يبدو أن الفيروس نفسه يرسل نوعًا من التقرير، وبعد ذلك قد تتلقى الشركة رسالة مفادها أن هذا التهديد أو ذاك قد اخترق النظام، وأن منظمة كذا وكذا هي وحدها القادرة على فك تشفيره. وهذا عادة ما ينطوي على فيروس. [البريد الإلكتروني محمي]. يأتي بعد ذلك مطلب الدفع مقابل خدمات فك التشفير مع عرض إرسال عدة ملفات إلى البريد الإلكتروني للعميل، وهو ما يكون في أغلب الأحيان وهميًا.

ضرر من التعرض للتعليمات البرمجية

إذا لم يفهم أي شخص بعد: فك تشفير الملفات بعد فيروس الفدية هو عملية كثيفة العمالة إلى حد ما. حتى لو لم تستسلم لمطالب المهاجمين وتحاول إشراك الوكالات الحكومية الرسمية في مكافحة ومنع جرائم الكمبيوتر، فعادةً لا يأتي شيء جيد.

إذا قمت بحذف جميع الملفات، وإنتاج البيانات الأصلية وحتى نسخها من الوسائط القابلة للإزالة (بالطبع، إذا كانت هناك نسخة كهذه)، فسيظل كل شيء مشفرًا مرة أخرى إذا تم تنشيط الفيروس. لذلك لا ينبغي أن تخدع نفسك كثيرًا، خاصة أنه عند إدخال نفس محرك الأقراص المحمول في منفذ USB، لن يلاحظ المستخدم حتى كيف سيقوم الفيروس بتشفير البيانات الموجودة عليه أيضًا. ثم لن يكون لديك أي مشاكل.

البكر في الأسرة

الآن دعونا نوجه انتباهنا إلى فيروس التشفير الأول. وفي وقت ظهوره، لم يكن أحد يفكر بعد في كيفية علاج وفك تشفير الملفات بعد تعرضه لرمز قابل للتنفيذ موجود في مرفق بريد إلكتروني مع عرض مواعدة. ولم يأت الوعي بحجم الكارثة إلا مع مرور الوقت.

كان لهذا الفيروس الاسم الرومانسي "أنا أحبك". قام مستخدم مطمئن بفتح مرفق في رسالة بريد إلكتروني وتلقى ملفات وسائط متعددة غير قابلة للتشغيل تمامًا (الرسومات والفيديو والصوت). ولكن في ذلك الوقت، بدت مثل هذه الأفعال أكثر تدميراً (إضرارًا بمكتبات وسائط المستخدمين)، ولم يطالب أحد بالمال مقابل ذلك.

أحدث التعديلات

كما نرى، أصبح تطور التكنولوجيا عملاً مربحًا للغاية، خاصة بالنظر إلى أن العديد من مديري المؤسسات الكبيرة يركضون على الفور لدفع تكاليف جهود فك التشفير، دون التفكير على الإطلاق في أنهم قد يخسرون المال والمعلومات.

بالمناسبة، لا تنظر إلى كل هذه المنشورات "الخاطئة" على الإنترنت، والتي تقول "لقد دفعت/دفعت المبلغ المطلوب، أرسلوا لي رمزًا، وتم استعادة كل شيء". كلام فارغ! كل هذا كتبه مطورو الفيروس أنفسهم من أجل جذب الإمكانات، معذرةً، “المغفلين”. ولكن، وفقا لمعايير المستخدم العادي، فإن المبالغ الواجب دفعها خطيرة للغاية: من مئات إلى عدة آلاف أو عشرات الآلاف من اليورو أو الدولارات.

والآن دعونا نلقي نظرة على أحدث أنواع الفيروسات من هذا النوع والتي تم تسجيلها مؤخرًا نسبيًا. جميعها متشابهة عمليًا ولا تنتمي إلى فئة برامج التشفير فحسب، بل تنتمي أيضًا إلى مجموعة ما يسمى ببرامج الفدية. وفي بعض الحالات، يتصرفون بشكل صحيح أكثر (مثل paycrypt)، ويبدو أنهم يرسلون عروض عمل رسمية أو رسائل تفيد بأن شخصًا ما يهتم بأمن المستخدم أو المؤسسة. مثل هذا الفيروس المشفر يقوم ببساطة بتضليل المستخدم برسالته. إذا اتخذ ولو أدنى إجراء للدفع، فهذا كل شيء - سيكون "الطلاق" كاملاً.

فيروس XTBL

يمكن تصنيف هذا الإصدار الحديث نسبيًا على أنه إصدار كلاسيكي من برامج الفدية. عادة، يدخل النظام من خلال رسائل البريد الإلكتروني التي تحتوي على مرفقات الملفات، وهو أمر قياسي لحافظات شاشة Windows. يعتقد النظام والمستخدم أن كل شيء على ما يرام ويقومون بتنشيط عرض المرفق أو حفظه.

لسوء الحظ، يؤدي ذلك إلى عواقب وخيمة: حيث يتم تحويل أسماء الملفات إلى مجموعة من الأحرف، ويتم إضافة .xtbl إلى الامتداد الرئيسي، وبعد ذلك يتم إرسال رسالة إلى عنوان البريد الإلكتروني المطلوب حول إمكانية فك التشفير بعد دفع المبلغ المحدد (عادة 5 آلاف روبل).

فيروس CBF

ينتمي هذا النوع من الفيروسات أيضًا إلى كلاسيكيات هذا النوع. ويظهر على النظام بعد فتح مرفقات البريد الإلكتروني، ثم يعيد تسمية ملفات المستخدم، ويضيف امتدادًا مثل .nochance أو .perfect في النهاية.

لسوء الحظ، فإن فك تشفير فيروس طلب الفدية من هذا النوع لتحليل محتويات الكود حتى في مرحلة ظهوره في النظام أمر غير ممكن، لأنه بعد الانتهاء من إجراءاته يقوم بالتدمير الذاتي. حتى ما يعتقد الكثيرون أنه أداة عالمية مثل RectorDecryptor لا يساعد. مرة أخرى، يتلقى المستخدم خطابًا يطالب بالدفع، ويتم منحه يومين.

فيروس_سيء للغاية

يعمل هذا النوع من التهديد بنفس الطريقة، ولكنه يعيد تسمية الملفات في الإصدار القياسي، ويضيف .breaking_bad إلى الامتداد.

الوضع لا يقتصر على هذا. على عكس الفيروسات السابقة، يمكن لهذا الفيروس إنشاء امتداد آخر - .Heisenberg، لذلك ليس من الممكن دائمًا العثور على جميع الملفات المصابة. لذا فإن Breaking_Bad (فيروس طلب الفدية) يمثل تهديدًا خطيرًا إلى حد ما. بالمناسبة، هناك حالات حتى حزمة الترخيص نقطة نهاية كاسبيرسكييفتقد Security 10 هذا النوع من التهديد.

فايروس [البريد الإلكتروني محمي]

وهنا تهديد آخر، ربما يكون الأكثر خطورة، والذي يستهدف في الغالب المنظمات التجارية الكبيرة. كقاعدة عامة، تتلقى بعض الأقسام خطابًا يحتوي على تغييرات واضحة في اتفاقية التوريد، أو حتى مجرد فاتورة. قد يحتوي المرفق على ملف .jpg عادي (مثل صورة)، ولكن في أغلب الأحيان - ملف script.js قابل للتنفيذ (تطبيق Java الصغير).

كيفية فك تشفير هذا النوع من فيروس التشفير؟ إذا حكمنا من خلال حقيقة أنه يتم استخدام بعض خوارزمية RSA-1024 غير المعروفة هناك، بأي حال من الأحوال. بناءً على الاسم، يمكنك الافتراض أن هذا نظام تشفير 1024 بت. ولكن، إذا كان أي شخص يتذكر، يعتبر اليوم 256 بت AES هو الأكثر تقدما.

فيروس التشفير: كيفية تطهير الملفات وفك تشفيرها باستخدام برامج مكافحة الفيروسات

حتى الآن، لم يتم العثور على حلول لفك تهديدات من هذا النوع. حتى هؤلاء الأساتذة في مجال الحماية من الفيروسات مثل Kaspersky، Dr. يتعذر على Web وEset العثور على مفتاح حل المشكلة عند إصابة النظام بفيروس مشفر. كيفية تطهير الملفات؟ في معظم الحالات، يُقترح إرسال طلب إلى الموقع الرسمي لمطور برنامج مكافحة الفيروسات (بالمناسبة، فقط إذا كان النظام يحتوي على برنامج مرخص من هذا المطور).

في هذه الحالة، تحتاج إلى إرفاق عدة ملفات مشفرة، بالإضافة إلى نسخها الأصلية "السليمة"، إن وجدت. بشكل عام، عدد قليل من الناس يقومون بحفظ نسخ من البيانات، وبالتالي فإن مشكلة غيابهم لا تؤدي إلا إلى تفاقم الوضع غير السار بالفعل.

الطرق الممكنة لتحديد التهديد والقضاء عليه يدويًا

نعم، يؤدي المسح باستخدام برامج مكافحة الفيروسات التقليدية إلى تحديد التهديدات بل وإزالتها من النظام. ولكن ماذا تفعل بالمعلومات؟

يحاول البعض استخدام برامج فك التشفير مثل الأداة المساعدة RectorDecryptor (RakhniDecryptor) المذكورة بالفعل. دعونا نلاحظ على الفور: هذا لن يساعد. وفي حالة فيروس Breaking_Bad، فإنه لا يمكن إلا أن يسبب الضرر. وهذا هو السبب.

والحقيقة هي أن الأشخاص الذين يصنعون مثل هذه الفيروسات يحاولون حماية أنفسهم وتقديم التوجيه للآخرين. عند استخدام أدوات فك التشفير، يمكن للفيروس أن يتفاعل بطريقة تجعل النظام بأكمله "يطير"، ومع التدمير الكامل لجميع البيانات المخزنة عليه محركات الأقراص الصلبةأو في أقسام منطقية. وهذا، إذا جاز التعبير، درس إرشادي لتنوير كل من لا يريد أن يدفع. لا يمكننا الاعتماد إلا على مختبرات مكافحة الفيروسات الرسمية.

الأساليب الكاردينالية

ومع ذلك، إذا كانت الأمور سيئة حقًا، فسيتعين عليك التضحية بالمعلومات. للتخلص تمامًا من التهديد، تحتاج إلى تهيئة القرص الصلب بالكامل، بما في ذلك الأقسام الافتراضية، ثم تثبيت نظام التشغيل مرة أخرى.

لسوء الحظ، لا يوجد مخرج آخر. حتى نقطة استعادة محفوظة معينة لن تساعد. قد يختفي الفيروس، لكن الملفات ستبقى مشفرة.

بدلا من الكلمة الختامية

في الختام، تجدر الإشارة إلى أن الوضع هو كما يلي: يخترق فيروس برامج الفدية النظام ويقوم بعمله القذر ولا يتم علاجه بأي طرق معروفة. أدوات الحماية من الفيروسات لم تكن جاهزة لهذا النوع من التهديدات. وغني عن القول أنه من الممكن اكتشاف الفيروس بعد التعرض له أو إزالته. لكن المعلومات المشفرة ستبقى قبيحة المظهر. لذلك أود أن آمل أن تجد أفضل العقول في شركات تطوير برامج مكافحة الفيروسات حلاً، على الرغم من أنه سيكون من الصعب جدًا القيام بذلك بناءً على خوارزميات التشفير. فقط تذكر آلة التشفير إنجما التي كانت تمتلكها البحرية الألمانية خلال الحرب العالمية الثانية. لم يتمكن أفضل مصممي التشفير من حل مشكلة خوارزمية فك تشفير الرسائل حتى وضعوا أيديهم على الجهاز. وهكذا هي الأمور هنا أيضا.

"آسف على إزعاجك، ولكن... ملفاتك مشفرة. للحصول على مفتاح فك التشفير، قم بتحويل مبلغ معين من المال بشكل عاجل إلى محفظتك... وإلا سيتم تدمير بياناتك إلى الأبد. "أمامك 3 ساعات، لقد انتهى الوقت." وهذه ليست مزحة. يعد فيروس التشفير أكثر من مجرد تهديد حقيقي.

سنتحدث اليوم عن ماهية برامج الفدية الضارة التي انتشرت في السنوات الأخيرة، وماذا تفعل في حالة الإصابة بها، وكيفية علاج جهاز الكمبيوتر الخاص بك وما إذا كان ذلك ممكنًا، وكيفية حماية نفسك منها.

نحن تشفير كل شيء!

فيروس برامج الفدية (المشفر، المشفر) هو نوع خاص من برامج الفدية الضارة التي يتكون نشاطها من تشفير ملفات المستخدم ثم المطالبة بفدية مقابل أداة فك التشفير. تبدأ مبالغ الفدية من 200 دولار وتصل إلى عشرات ومئات الآلاف من قطع الورق الخضراء.

منذ عدة سنوات، تعمل أجهزة الكمبيوتر فقط على على أساس ويندوز. اليوم، توسع نطاقها ليشمل Linux وMac وAndroid المحمية بشكل جيد. بالإضافة إلى ذلك، فإن مجموعة متنوعة من التشفير تنمو باستمرار - تظهر منتجات جديدة واحدة تلو الأخرى، والتي لديها ما يفاجئ العالم. وهكذا، فقد نشأ بسبب "عبور" حصان طروادة التشفير الكلاسيكي ودودة الشبكة (برنامج ضار ينتشر عبر الشبكات دون مشاركة نشطة من المستخدمين).

بعد WannaCry، لم تعد Petya أقل تعقيدًا و أرنب سيء. وبما أن "أعمال التشفير" تجلب دخلاً جيدًا لأصحابها، فيمكنك التأكد من أنهم ليسوا الأخيرين.

المزيد والمزيد من برامج التشفير، وخاصة تلك التي تم إصدارها في السنوات الثلاث إلى الخمس الماضية، تستخدم خوارزميات تشفير قوية لا يمكن اختراقها سواء بالقوة الغاشمة أو بالوسائل الأخرى الموجودة. الطريقة الوحيدة لاستعادة البيانات هي استخدام المفتاح الأصلي الذي يعرض المهاجمون شرائه. ومع ذلك، حتى تحويل المبلغ المطلوب إليهم لا يضمن استلام المفتاح. المجرمون ليسوا في عجلة من أمرهم للكشف عن أسرارهم وخسارة الأرباح المحتملة. وما الفائدة من وفائهم بوعودهم إذا كان لديهم المال بالفعل؟

مسارات توزيع الفيروسات المشفرة

الطريقة الرئيسية التي تصل بها البرامج الضارة إلى أجهزة الكمبيوتر الخاصة بالمستخدمين والمؤسسات الخاصة هي البريد الإلكتروني، أو بشكل أكثر دقة، الملفات والروابط المرفقة برسائل البريد الإلكتروني.

مثال على مثل هذه الرسالة المخصصة لـ "عملاء الشركات":

• "قم بسداد ديون القرض الخاص بك على الفور."
• "تم تقديم المطالبة إلى المحكمة."
• "ادفع الغرامة/الرسوم/الضريبة."
• "رسوم إضافية لفواتير الخدمات."
• "أوه، هل هذا أنت في الصورة؟"
• "طلبت مني لينا أن أعطيك هذا على وجه السرعة" وما إلى ذلك.

أوافق، فقط المستخدم المطلع هو الذي سيتعامل مع مثل هذه الرسالة بحذر. سيقوم معظم الأشخاص، دون تردد، بفتح المرفق وتشغيل البرنامج الضار بأنفسهم. بالمناسبة، على الرغم من صرخات مكافحة الفيروسات.

يتم أيضًا استخدام العناصر التالية بشكل نشط لتوزيع برامج الفدية:

• الشبكات الاجتماعية (البريدية من حسابات الأصدقاء والغرباء).
• موارد الويب الضارة والمصابة.
• لافتة إعلانية.
• البريد عبر برامج المراسلة من الحسابات المخترقة.
• مواقع Vareznik وموزعي مولدات المفاتيح والكراكات.
• مواقع الكبار.
• متاجر التطبيقات والمحتوى.

غالبًا ما يتم نقل فيروسات التشفير بواسطة برامج ضارة أخرى، على وجه الخصوص، الإعلانات المتظاهرة وأحصنة طروادة الخلفية. هذا الأخير، وذلك باستخدام نقاط الضعف في النظام والبرمجيات، يساعد المجرم على الحصول على الوصول عن بعدإلى الجهاز المصاب. لا يتزامن إطلاق برنامج التشفير في مثل هذه الحالات دائمًا مع إجراءات المستخدم التي يحتمل أن تكون خطرة. وطالما ظل الباب الخلفي موجودًا في النظام، يمكن للمهاجم اختراق الجهاز في أي وقت وبدء التشفير.

لإصابة أجهزة الكمبيوتر الخاصة بالمؤسسات (بعد كل شيء، يمكن استخراجها منها أكثر مما يمكن استخراجه من المستخدمين المنزليين)، يتم تطوير أساليب معقدة بشكل خاص. على سبيل المثال، اخترق فيروس Petya Trojan الأجهزة من خلال وحدة التحديث لبرنامج محاسبة الضرائب MEDoc.

تنتشر أدوات التشفير ذات وظائف ديدان الشبكة، كما ذكرنا سابقًا، عبر الشبكات، بما في ذلك الإنترنت، من خلال نقاط ضعف البروتوكول. ويمكن أن تصاب بها دون أن تفعل أي شيء على الإطلاق. يتعرض مستخدمو أنظمة تشغيل Windows التي نادرًا ما يتم تحديثها للخطر الأكبر لأن التحديثات تغلق الثغرات المعروفة.

تستغل بعض البرامج الضارة، مثل WannaCry، ثغرات أمنية مدتها 0 يوم، أي تلك التي لم يعرفها مطورو النظام بعد. لسوء الحظ، من المستحيل مقاومة العدوى بشكل كامل بهذه الطريقة، لكن احتمالية أن تكون من بين الضحايا لا تصل حتى إلى 1٪. لماذا؟ نعم، لأن البرامج الضارة لا يمكنها إصابة جميع الأجهزة المعرضة للخطر في وقت واحد. وبينما يخطط لضحايا جدد، يتمكن مطورو النظام من إصدار تحديث منقذ للحياة.

كيف تتصرف برامج الفدية على جهاز كمبيوتر مصاب

تبدأ عملية التشفير، كقاعدة عامة، دون أن يلاحظها أحد، وعندما تصبح علاماتها واضحة، يكون الوقت قد فات لحفظ البيانات: بحلول ذلك الوقت، تكون البرامج الضارة قد قامت بتشفير كل ما يمكنها الوصول إليه. في بعض الأحيان قد يلاحظ المستخدم أن امتداد الملفات الموجودة في مجلد مفتوح قد تغير.

إن المظهر غير المعقول لامتداد جديد وأحيانًا ثانٍ للملفات، وبعد ذلك تتوقف عن الفتح، يشير تمامًا إلى عواقب هجوم التشفير. بالمناسبة، من الممكن عادةً التعرف على البرامج الضارة من خلال الامتداد الذي تتلقاه الكائنات التالفة.

مثال على ما يمكن أن تكون عليه امتدادات الملفات المشفرة:. xtbl، .kraken، .cesar، .da_vinci_code، .codercsu@gmail_com، .crypted000007، .no_more_ransom، .decoder GlobeImposter v2، .ukrain، .rn، إلخ.

هناك الكثير من الخيارات، وستظهر خيارات جديدة غدًا، لذا لا داعي لإدراج كل شيء. لتحديد نوع العدوى، يكفي تغذية عدة ملحقات لمحرك البحث.

أعراض أخرى تشير بشكل غير مباشر إلى بداية التشفير:

• يظهر Windows على الشاشة لجزء من الثانية سطر الأوامر. في أغلب الأحيان، تكون هذه ظاهرة طبيعية عند تثبيت تحديثات النظام والبرامج، ولكن من الأفضل عدم تركها دون مراقبة.
• تطلب UAC تشغيل بعض البرامج التي لم تكن تنوي فتحها.
• إعادة تشغيل مفاجئة للكمبيوتر متبوعة بمحاكاة تشغيل الأداة المساعدة لفحص قرص النظام (من الممكن وجود اختلافات أخرى). أثناء "التحقق"، تحدث عملية التشفير.

بعد اكتمال العملية الضارة بنجاح، تظهر رسالة على الشاشة تطلب فدية وتهديدات مختلفة.

تقوم برامج الفدية بتشفير جزء كبير من ملفات المستخدم: الصور والموسيقى ومقاطع الفيديو، المستندات النصيةوالمحفوظات والبريد وقواعد البيانات والملفات ذات امتدادات البرامج وما إلى ذلك. لكنها لا تلمس كائنات نظام التشغيل، لأن المهاجمين لا يحتاجون إلى توقف الكمبيوتر المصاب عن العمل. تحل بعض الفيروسات محل سجلات التمهيد للأقراص والأقسام.

بعد التشفير، عادةً ما يتم حذف جميع النسخ الاحتياطية ونقاط الاسترداد من النظام.

كيفية علاج جهاز الكمبيوتر من برامج الفدية

تعد إزالة البرامج الضارة من النظام المصاب أمرًا سهلاً، حيث يمكن لجميع برامج مكافحة الفيروسات تقريبًا التعامل مع معظمها دون صعوبة. لكن! ومن السذاجة الاعتقاد بأن التخلص من الجاني سيحل المشكلة: سواء قمت بإزالة الفيروس أم لا، ستظل الملفات مشفرة. بالإضافة إلى ذلك، في بعض الحالات، سيؤدي ذلك إلى تعقيد عملية فك التشفير اللاحقة، إن أمكن.

الإجراء الصحيح عند بدء التشفير

• بمجرد ملاحظة علامات التشفير، قم بإيقاف تشغيل الكمبيوتر فورًا بالضغط مع الاستمرار على الزرالطاقة لمدة 3-4 ثواني. سيؤدي هذا إلى حفظ بعض الملفات على الأقل.
• إنشاء على كمبيوتر آخر قرص التشغيلأو محرك أقراص فلاش مع برنامج مضاد للفيروسات. على سبيل المثال، قرص الإنقاذ كاسبيرسكي 18, دكتور ويب لايف ديسك ESET NOD32 قرص حيإلخ.
• قم بتمهيد الجهاز المصاب من هذا القرص وقم بفحص النظام. قم بإزالة أي فيروسات تم العثور عليها واحتفظ بها في الحجر الصحي (في حالة الحاجة إليها لفك التشفير). فقط بعد ذلك يمكنك تشغيل جهاز الكمبيوتر الخاص بك من القرص الصلب الخاص بك.
• حاول استرداد الملفات المشفرة من النسخ الاحتياطية باستخدام أدوات النظام أو باستخدام ملفات .

ماذا تفعل إذا كانت الملفات مشفرة بالفعل

• لا تفقد الأمل. تحتوي مواقع الويب الخاصة بمطوري منتجات مكافحة الفيروسات على أدوات مساعدة مجانية لفك التشفير أنواع مختلفةالبرمجيات الخبيثة. على وجه الخصوص، المرافق من أفاستو كاسبيرسكي لاب.
• بعد تحديد نوع التشفير، قم بتنزيل الأداة المساعدة المناسبة، بالتأكيد افعل ذلك نسخ الملفات التالفةومحاولة فك رموزها. إذا نجحت، فك الباقي.

إذا لم يتم فك تشفير الملفات

إذا لم تساعد أي من الأدوات المساعدة، فمن المحتمل أنك عانيت من فيروس لا يوجد علاج له بعد.

ماذا يمكنك أن تفعل في هذه الحالة:

• إذا كنت تستخدم منتجًا مدفوعًا لمكافحة الفيروسات، فاتصل بفريق الدعم الخاص به. أرسل عدة نسخ من الملفات التالفة إلى المختبر وانتظر الرد. في حضور الجدوى الفنيةوسوف تساعدك.

بالمناسبة، دكتور ويبهو أحد المختبرات القليلة التي لا تساعد مستخدميها فحسب، بل جميع المتضررين. يمكنك إرسال طلب لفك تشفير الملف على هذه الصفحة.

• إذا اتضح أن الملفات تالفة بشكل ميؤوس منه، ولكنها ذات قيمة كبيرة بالنسبة لك، فلا يسعك إلا أن تأمل وتنتظر حتى يتم العثور على علاج للإنقاذ يومًا ما. أفضل ما يمكنك فعله هو ترك النظام والملفات كما هي، أي معطلة تمامًا وغير مستخدمة الأقراص الصلبة. يمكن أن يؤدي حذف ملفات البرامج الضارة وإعادة تثبيت نظام التشغيل وحتى تحديثه إلى حرمانك من ذلك وهذه الفرصةلأنه عند إنشاء مفاتيح التشفير/فك التشفير، غالبًا ما يتم استخدام معرفات النظام الفريدة ونسخ الفيروس.

دفع الفدية ليس خيارًا، نظرًا لأن احتمال حصولك على المفتاح قريب من الصفر. ولا فائدة من تمويل عمل إجرامي.

كيف تحمي نفسك من هذا النوع من البرمجيات الخبيثة

لا أريد أن أكرر النصيحة التي سمعها كل من القراء مئات المرات. نعم، تثبيت مكافحة الفيروسات جيدة، لا تنقر على الروابط المشبوهة والبلبلابلا - فهذا أمر مهم. ومع ذلك، كما أظهرت الحياة، فإن الحبة السحرية التي ستمنحك ضمانًا بنسبة 100٪ بالأمان غير موجودة اليوم.

الطريقة الفعالة الوحيدة للحماية من برامج الفدية من هذا النوع هي النسخ الاحتياطي للبياناتإلى الوسائط المادية الأخرى، بما في ذلك الخدمات السحابية. النسخ الاحتياطي، النسخ الاحتياطي، النسخ الاحتياطي ...