Çok sayıda farklı kötü amaçlı yazılım türü vardır. Bunların arasında, bilgisayara girdikten sonra kullanıcı dosyalarını şifrelemeye başlayan son derece hoş olmayan şifreleme virüsleri var. Bazı durumlarda dosyalarınızın şifresini çözme şansınız yüksektir, ancak bu mümkün olmayabilir. Gereken durumlarda hem birinci hem de ikinci durum için gerekli tüm eylemleri dikkate alacağız.

Bu virüsler biraz farklılık gösterebilir ancak genel olarak eylemleri her zaman aynıdır:

• bilgisayarınıza yükleyin;
• herhangi bir değere sahip olabilecek tüm dosyaları (belgeler, fotoğraflar) şifrelemek;
• Bu dosyaları açmaya çalışırken kullanıcının saldırganın cüzdanına veya hesabına belirli bir miktar para yatırmasını isteyin, aksi takdirde içeriklere erişim hiçbir zaman açılmayacaktır.

Virüs xtbl'deki dosyaları şifreledi

Şu anda, dosyaları şifreleyebilen ve uzantılarını .xtbl olarak değiştirebilen ve adlarını tamamen rastgele karakterlerle değiştirebilen bir virüs oldukça yaygın hale geldi.

Ayrıca görünür bir yerde talimatların yer aldığı özel bir dosya oluşturulur. benioku.txt. Burada saldırgan, kullanıcıyı tüm önemli verilerinin şifrelenmiş olduğu ve artık o kadar kolay açılamayacağı gerçeğiyle yüzleştiriyor ve her şeyi önceki durumuna döndürmek için para transferi ile ilgili belirli eylemlerin gerçekleştirilmesi gerektiğini ekliyor dolandırıcıya (genellikle bunu yapmadan önce önerilen e-posta adreslerinden birine belirli bir kod göndermeniz gerekir). Çoğu zaman bu tür mesajlara, tüm dosyalarınızın şifresini kendiniz çözmeye çalışırsanız, onları sonsuza kadar kaybetme riskiyle karşı karşıya kalacağınızı belirten bir not da eklenir.

Ne yazık ki, şu anda, resmi olarak hiç kimse .xtbl'nin şifresini çözemedi, eğer çalışan bir yöntem ortaya çıkarsa bunu kesinlikle makalede bildireceğiz. Kullanıcılar arasında bu virüsle benzer bir deneyime sahip olanlar var ve dolandırıcılara gerekli tutarı ödeyip karşılığında belgelerinin şifresini çözenler var. Ancak bu son derece riskli bir adımdır, çünkü saldırganlar arasında vaat edilen şifre çözme işlemiyle fazla ilgilenmeyecek olanlar da vardır; sonunda para boşa gidecektir;

O zaman ne yapmalı diye mi soruyorsunuz? Tüm verilerinizi geri almanıza yardımcı olacak bazı ipuçları sunuyoruz ve aynı zamanda dolandırıcıların peşine düşüp paranızı onlara vermeyeceksiniz. Peki ne yapılması gerekiyor:

1. Görev Yöneticisi'nde nasıl çalışılacağını biliyorsanız, şüpheli işlemi durdurarak dosya şifrelemeyi derhal kesin. Aynı zamanda bilgisayarınızın İnternet bağlantısını da kesin; çoğu fidye yazılımı ağ bağlantısı gerektirir.
2. Bir parça kağıt alın ve saldırganlara e-postayla gönderilmesi önerilen kodu (kağıt parçası çünkü yazacağınız dosya da okunamaz hale gelebilir) yazın.
3. Malwarebytes Antimalware'i kullanarak, deneme Antivirüs Kaspersky IS veya CureIt, kötü amaçlı yazılımları kaldırın. Daha fazla güvenilirlik için önerilen tüm araçları tutarlı bir şekilde kullanmak daha iyidir. Sistemde zaten bir ana antivirüs varsa Kaspersky Anti-Virus'u kurmanıza gerek olmasa da, aksi takdirde yazılım çakışmaları ortaya çıkabilir. Diğer tüm yardımcı programlar her durumda kullanılabilir.
4. Antivirüs şirketlerinden birinin bu tür dosyalar için çalışan bir şifre çözücü geliştirmesini bekleyin. Kaspersky Lab işi en hızlı şekilde yapar.
5. Ek olarak şu adrese gönderebilirsiniz: [e-posta korumalı] Gerekli kodla birlikte şifrelenmiş dosyanın bir kopyası ve varsa aynı dosyanın orijinal haliyle. Bunun bir dosya şifre çözme yönteminin gelişimini hızlandırması oldukça mümkündür.

Hiçbir durumda şunları yapmayın:

• bu belgelerin yeniden adlandırılması;
• genişlemelerini değiştirmek;
• dosyaların silinmesi.

Bu Truva atları ayrıca kullanıcı dosyalarını daha sonra gasp yoluyla şifreler. Bu durumda şifrelenmiş dosyalar aşağıdaki uzantılara sahip olabilir:

• .kilitli
• .kripto
• .kraken
• .AES256 (bu Truva atı olması şart değil, aynı uzantıyı yükleyen başkaları da var).
• .codercsu@gmail_com
• .siktir
• Ve diğerleri.

Neyse ki, zaten yaratıldı özel yardımcı programşifre çözme için - RakhniDecryptor. Resmi web sitesinden indirebilirsiniz.

Aynı sitede, Truva atının üzerinde çalıştığı tüm dosyaların şifresini çözmek için yardımcı programın nasıl kullanılacağını açık ve net bir şekilde gösteren talimatları okuyabilirsiniz. Prensip olarak, daha fazla güvenilirlik için şifrelenmiş dosyaları silme seçeneğinin hariç tutulması faydalı olacaktır. Ancak büyük olasılıkla, geliştiriciler yardımcı programı oluştururken iyi bir iş çıkardılar ve verilerin bütünlüğü tehlikede değil.

Lisanslı Dr.Web antivirüsünü kullananlar, http://support.drweb.com/new/free_unlocker/ geliştiricilerinin şifre çözme hizmetine ücretsiz erişim hakkına sahiptir.

Diğer fidye yazılımı virüs türleri

Bazen önemli dosyaları şifreleyen ve her şeyi orijinal haline döndürmek için zorla ödeme alan başka virüslerle karşılaşabilirsiniz. En yaygın virüslerin sonuçlarıyla mücadele etmek için küçük bir yardımcı program listesi sunuyoruz. Orada ayrıca bir veya başka bir Truva atı programını ayırt edebileceğiniz ana işaretleri de öğrenebilirsiniz.

Ayrıca, iyi bir şekilde davetsiz misafiri tespit edecek ve ona bir ad atayacak olan Kaspersky antivirüs ile bilgisayarınızı tarayacaktır. Bu adla zaten bunun için bir kod çözücü arayabilirsiniz.

• Trojan-Ransom.Win32.Rector- SMS göndermenizi veya bu türden başka eylemler gerçekleştirmenizi gerektiren tipik bir fidye yazılımı şifreleyicisi, şifre çözücüyü bu bağlantıdan alıyoruz.
• Trojan-Ransom.Win32.Xorist- önceki Truva Atı'nın bir varyasyonu, kullanım talimatlarını içeren bir şifre çözücü alabilirsiniz.
• Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.Fury– bu adamlar için ayrıca özel bir yardımcı program var, bağlantıya bakın.
• Trojan.Encoder858, Trojan.Encoder.741– bu kötü amaçlı yazılımlar CureIt yardımcı programı tarafından tespit edilebilir. İsimleri benzerdir ancak isimlerin sonundaki rakamlar farklılık gösterebilir. Virüs adına göre bir şifre çözücü arıyoruz veya lisanslı Dr.Web kullanıyorsanız özel bir kaynak kullanmaya başvurabilirsiniz.
• CryptoLacker– dosyalarınızı geri almak için bu siteyi ziyaret edin ve özel program belgelerinizi geri yüklemek için.

Son zamanlarda Kaspersky Lab, Hollandalı meslektaşlarıyla birlikte çalışarak, dosyalar üzerinde bir virüs çalıştıktan sonra dosyaları geri yüklemenize olanak tanıyan bir şifre çözücü oluşturdu. CoinVault.

Yorumlarda dosyaların şifresini çözme yöntemlerinizi paylaşabilirsiniz çünkü bu bilgiler benzer kötü amaçlı yazılımlarla karşılaşabilecek diğer kullanıcılar için faydalı olacaktır.

Bilinmeyen bir gönderenden, e-posta, Skype veya ICQ aracılığıyla arkadaşınızın bir fotoğrafına bağlantı içeren veya yaklaşan tatil için tebrikler içeren bir mesaj aldığınız oldu mu hiç? Herhangi bir kurulum beklemiyorsunuz ve bağlantıya tıkladığınızda aniden bilgisayarınıza ciddi bir kötü amaçlı yazılım indiriliyor. Siz farkına bile varmadan, virüs zaten tüm dosyalarınızı şifrelemiştir. Böyle bir durumda ne yapmalı? Belgeleri geri yüklemek mümkün mü?

Kötü amaçlı yazılımlarla nasıl başa çıkacağınızı anlamak için bunun ne olduğunu ve işletim sistemine nasıl nüfuz ettiğini bilmeniz gerekir. Ayrıca hangisi olduğu hiç önemli değil Windows sürümü kullandığınızda - Critroni virüsü herhangi bir şeye bulaşmayı amaçlamaktadır. işletim sistemi.

Şifreleme bilgisayar virüsü: tanımı ve eylem algoritması

İnternette yeni bir tane ortaya çıktı bilgisayar virüsü Birçok kişi tarafından CTB (Curve Tor Bitcoin) veya Critroni olarak bilinen yeni yazılım. Bu, prensipte önceden bilinen kötü amaçlı yazılım CriptoLocker'a benzeyen gelişmiş bir fidye yazılımı Truva Atı'dır. Bir virüs tüm dosyaları şifrelediyse bu durumda ne yapmalısınız? Her şeyden önce, işleminin algoritmasını anlamalısınız. Virüsün özü, tüm dosyalarınızı .ctbl, .ctb2, .vault, .xtbl veya diğer uzantılarla şifrelemektir. Ancak istenilen miktarda parayı ödeyene kadar bunları açamayacaksınız.

Trojan-Ransom.Win32.Shade ve Trojan-Ransom.Win32.Onion virüsleri yaygındır. Yerel eylemlerinde STV'ye çok benziyorlar. Şifrelenmiş dosyaların uzantısına göre ayırt edilebilirler. Trojan-Ransom, bilgileri .xtbl formatında kodlar. Herhangi bir dosyayı açtığınızda ekranda kişisel belgelerinizin, veritabanlarınızın, fotoğraflarınızın ve diğer dosyalarınızın kötü amaçlı yazılım tarafından şifrelendiğini belirten bir mesaj belirir. Bunların şifresini çözmek için, gizli bir sunucuda saklanan benzersiz bir anahtar için ödeme yapmanız gerekir ve yalnızca bu durumda belgelerinizle şifre çözme ve şifreleme işlemlerini gerçekleştirebileceksiniz. Ancak endişelenmeyin, belirtilen numaraya para göndermek bir yana, bu tür siber suçlarla mücadele etmenin başka bir yolu da var. Eğer böyle bir virüs bilgisayarınıza bulaştıysa ve tüm .xtbl dosyalarını şifrelediyse, böyle bir durumda ne yapmalısınız?

Bilgisayarınıza bir şifreleme virüsü girerse ne yapmamalısınız?

Panik halinde bir antivirüs programı kuruyoruz ve onun yardımıyla otomatik veya manuel mod Virüs yazılımını kaldırıyoruz ve onunla birlikte önemli belgeleri de kaybediyoruz. Bu hoş olmayan bir durumdur, ayrıca bilgisayarda aylardır üzerinde çalıştığınız veriler bulunabilir. Bu tür belgeleri, kurtarılma olasılığı olmadan kaybetmek çok yazık.

Virüs tüm .xtbl dosyalarını şifrelemişse bazıları uzantılarını değiştirmeye çalışır ancak bu da olumlu sonuçlara yol açmaz. Yeniden yükleme ve biçimlendirme sabit disk kötü amaçlı programı kalıcı olarak kaldıracak, ancak aynı zamanda belge kurtarma olasılığını da kaybedeceksiniz. Bu durumda, özel olarak oluşturulmuş şifre çözme programları yardımcı olmayacaktır çünkü fidye yazılımı yazılımı standart olmayan bir algoritma kullanılarak programlanmıştır ve özel bir yaklaşım gerektirir.

Fidye yazılımı kişisel bilgisayar için neden tehlikelidir?

Tek bir kötü amaçlı programın kişisel bilgisayarınıza fayda sağlayamayacağı kesinlikle açıktır. Neden böyle bir yazılım oluşturuldu? Garip bir şekilde, bu tür programlar yalnızca kullanıcıları mümkün olduğunca fazla parayla dolandırmak amacıyla yaratılmadı. Aslında viral pazarlama birçok antivirüs mucidi için oldukça karlı. Sonuçta, eğer bir virüs bilgisayarınızdaki tüm dosyaları şifreleseydi ilk olarak nereye yönelirdiniz? Doğal olarak profesyonellerden yardım isteyin. Dizüstü bilgisayarınız için şifreleme araçları nelerdir veya kişisel bilgisayar?

İşletim algoritmaları standart değildir, bu nedenle virüslü dosyaları geleneksel anti-virüs yazılımıyla iyileştirmek imkansız olacaktır. Kötü amaçlı nesnelerin kaldırılması veri kaybına neden olur. Yalnızca karantinaya geçmek, kötü amaçlı virüsün henüz şifrelemeyi başaramadığı diğer dosyaların güvenliğini sağlamayı mümkün kılacaktır.

Şifreleme kötü amaçlı yazılımının son kullanma tarihi

Bilgisayarınıza Critroni (kötü amaçlı yazılım) bulaşmışsa ve virüs tüm dosyalarınızı şifrelemişse ne yapmalısınız? Uzantıyı manuel olarak .doc, .mp3, .txt ve diğerlerine değiştirerek .vault-, .xtbl-, .rar formatlarının şifresini kendiniz çözemezsiniz. Siber suçlulara gerekli tutarı 96 saat içinde ödemezseniz, size e-posta yoluyla tüm dosyalarınızın kalıcı olarak silineceğini belirten korkutucu yazışmalar göndereceklerdir. Çoğu durumda, insanlar bu tür tehditlerden etkilenir ve değerli bilgileri kaybetme korkusuyla bu eylemleri isteksizce ama itaatkar bir şekilde gerçekleştirirler. Kullanıcıların, siber suçluların her zaman sözlerine sadık olmadıkları gerçeğini anlamamaları üzücü. Parayı aldıktan sonra genellikle kilitli dosyalarınızın şifresini çözme konusunda endişelenmezler.

Zamanlayıcının süresi dolduğunda otomatik olarak kapanır. Ancak yine de önemli belgeleri kurtarma şansınız var. Ekranda sürenin dolduğunu belirten bir mesaj görünecek ve özel olarak oluşturulmuş bir not defteri dosyası olan DecryptAllFiles.txt'deki belgeler klasöründeki dosyalar hakkında daha ayrıntılı bilgileri görüntüleyebilirsiniz.

Şifreleme kötü amaçlı yazılımlarının işletim sistemine sızma yolları

Fidye yazılımı virüsleri genellikle bilgisayara virüslü e-posta mesajları veya sahte indirmeler yoluyla girer. Bunlar sahte flash güncellemeleri veya sahte video oynatıcılar olabilir. Program bu yöntemlerden herhangi biri kullanılarak bilgisayarınıza indirildiği anda verileri kurtarma olanağı olmaksızın anında şifreler. Virüs tüm .cbf, .ctbl, .ctb2 dosyalarını diğer formatlara şifrelediyse ve elinizde yedek kopyaÇıkarılabilir medyada saklanan belgeleri artık kurtaramayacağınızı varsayın. Şu anda antivirüs laboratuvarları bu tür şifreleme virüslerinin nasıl kırılacağını bilmiyor. Gerekli anahtar olmadan yalnızca virüslü dosyaları engelleyebilir, karantinaya taşıyabilir veya silebilirsiniz.

Bilgisayarınıza virüs bulaşması nasıl önlenir

Tüm .xtbl dosyaları uğursuzdur. Ne yapalım? Zaten çoğu internet sitesinde yazılan birçok gereksiz bilgiyi okudunuz ve cevabını bulamıyorsunuz. Öyle olur ki, en uygunsuz anda, işyerinde acilen bir rapor göndermeniz, bir üniversitede tez hazırlamanız veya profesörünüzün derecesini savunmanız gerektiğinde, bilgisayar kendi hayatını yaşamaya başlar: bozulur, virüslere bulaşır ve donuyor. Bu tür durumlara hazırlıklı olmalı ve bilgileri sunucuda ve çıkarılabilir medyada tutmalısınız. Bu, işletim sistemini istediğiniz zaman yeniden yüklemenize ve 20 dakika sonra bilgisayarda hiçbir şey olmamış gibi çalışmanıza olanak tanır. Ancak ne yazık ki her zaman bu kadar girişimci değiliz.

Bilgisayarınıza virüs bulaşmasını önlemek için öncelikle iyi bir antivirüs programı yüklemeniz gerekir. Doğru şekilde yapılandırmış olmanız gerekir Windows güvenlik duvarı Ağ üzerinden çeşitli kötü amaçlı nesnelerin girişine karşı koruma sağlayan. Ve en önemli şey: Doğrulanmamış sitelerden veya torrent izleyicilerinden yazılım indirmeyin. Bilgisayarınıza virüs bulaşmasını önlemek için hangi bağlantılara tıkladığınıza dikkat edin. Bilinmeyen bir alıcıdan, bağlantının arkasında neyin gizlendiğini görme isteği veya teklifi içeren bir e-posta alırsanız, en iyisi mesajı spam'e taşımak veya tamamen silmektir.

Antivirüs yazılımı laboratuvarları, virüsün bir gün tüm .xtbl dosyalarını şifrelemesini önlemek için tavsiyede bulunuyor OtobanŞifreleme virüslerinin neden olduğu enfeksiyonlara karşı koruma: haftada bir kez durumlarını inceleyin.

Virüs bilgisayardaki tüm dosyaları şifreledi: tedavi yöntemleri

Siber suçların kurbanı olduysanız ve bilgisayarınızdaki verilere şifreleme amaçlı kötü amaçlı yazılım türlerinden biri bulaşmışsa, dosyalarınızı kurtarmayı denemenin zamanı gelmiştir.

Etkilenen belgeleri ücretsiz olarak tedavi etmenin birkaç yolu vardır:

1. Şu anda en yaygın ve muhtemelen en etkili yöntem yedekleme beklenmedik enfeksiyon durumunda belgeler ve daha sonra iyileşme.
2. CTB virüsünün yazılım algoritması ilginç bir şekilde çalışıyor. Bilgisayara girdikten sonra dosyaları kopyalar, şifreler ve orijinal belgeleri siler, böylece bunların kurtarılma olasılığını ortadan kaldırır. Ancak Photorec veya R-Studio yazılımının yardımıyla bazı dokunulmamış orijinal dosyaları kaydetmeyi başarabilirsiniz. Virüs bulaştıktan sonra bilgisayarınızı ne kadar uzun süre kullanırsanız, gerekli tüm belgeleri kurtarma şansınızın o kadar düşük olacağını bilmelisiniz.
3. Virüs tüm .vault dosyalarını şifrelediyse, bunların şifresini çözmenin başka bir iyi yolu vardır; gölge kopya birimlerini kullanmak. Elbette virüs hepsini kalıcı ve geri dönülemez bir şekilde silmeye çalışacaktır, ancak bazı dosyalara dokunulmadığı da olur. Bu durumda, onları geri yükleme şansınız küçük ama olacaktır.
4. DropBox gibi dosya barındırma hizmetlerinde veri depolamak mümkündür. Bilgisayarınıza yerel disk eşlemesi olarak kurulabilir. Doğal olarak şifreleme virüsü ona da bulaşacaktır. Ancak bu durumda belgeleri ve önemli dosyaları geri yüklemek çok daha gerçekçidir.

Kişisel bilgisayara virüs bulaşmasının yazılımla önlenmesi

Kötü niyetli kötü amaçlı yazılımların bilgisayarınıza bulaşmasından korkuyorsanız ve sinsi bir virüsün tüm dosyalarınızı şifrelemesini istemiyorsanız, yerel politika düzenleyicisini veya Windows grup düzenleyicisini kullanmalısınız. Bu entegre yazılım sayesinde bir program kısıtlama politikası oluşturabilir ve böylece bilgisayarınıza virüs bulaşmasından endişe duymazsınız.

Etkilenen dosyalar nasıl kurtarılır

CTB virüsü tüm dosyaları şifrelediyse ne yapmalısınız? bu durumda gerekli belgeleri geri yüklemek için? Ne yazık ki, şu anda tek bir anti-virüs laboratuvarı dosyalarınızın şifresini çözmeyi sunamaz, ancak enfeksiyonu etkisiz hale getirir. tamamen kaldırma kişisel bilgisayardan mümkündür. Bilgi kurtarmanın tüm etkili yöntemleri yukarıda listelenmiştir. Dosyalarınız sizin için çok değerliyse ve bunları çıkarılabilir bir sürücüye veya İnternet sürücüsüne yedekleme zahmetine girmediyseniz, siber suçluların talep ettiği miktarda parayı ödemek zorunda kalacaksınız. Ancak ödeme yapıldıktan sonra bile şifre çözme anahtarının size gönderilme ihtimali yoktur.

Virüslü dosyalar nasıl bulunur?

Etkilenen dosyaların listesini görmek için şu yola gidebilirsiniz: “Belgelerim”\.html veya “C:”\”Kullanıcılar”\”Tüm Kullanıcılar”\.html. Bu HTML sayfası yalnızca rastgele talimatlarla ilgili değil, aynı zamanda virüslü nesnelerle ilgili verileri de içerir.

Şifreleme virüsü nasıl engellenir

Bir bilgisayara kötü amaçlı yazılım bulaştığında, kullanıcının yapması gereken ilk işlem ağı açmaktır. Bu, F10 klavye tuşuna basılarak yapılır.

Critroni virüsü yanlışlıkla bilgisayarınıza bulaştıysa ve .rar, .ctbl, .ctb2, .xtbl, .vault, .cbf veya başka herhangi bir formattaki tüm dosyaları şifrelediyse, bunları kurtarmak zaten zordur. Ancak virüs henüz çok fazla değişiklik yapmadıysa büyük olasılıkla bir yazılım kısıtlama politikası kullanılarak engellenecektir.

Fidye yazılımı virüsü: Dolandırıcılara para ödemeli misiniz, ödememeli misiniz?

Bu karanlık gün geldi. Şifreleyici bir virüs, önemli iş makinelerinden birinde aktif olarak çalışıyordu ve ardından tüm ofis, grafik ve diğer birçok dosya, bu makalenin yazıldığı sırada şifresini çözmek imkansız olan crypted000007 iznini kabul etti.

Ayrıca masaüstünde "Dosyalarınız şifrelendi" gibi bir yazı içeren duvar kağıdı belirdi ve yerel sürücülerin kökünde dolandırıcının iletişim bilgilerini içeren benioku metin belgeleri belirdi. Doğal olarak şifre çözme için fidye istiyor.

Şahsen ben bu pislik(ler)le bu tür faaliyetleri caydırmak için iletişime geçmedim, ancak ortalama fiyat etiketinin 300 $ ve üzerinde başladığını biliyorum. Bu yüzden ne yapacağınızı kendiniz düşünün. Ancak, örneğin 1C veritabanları gibi şifrelenmiş çok önemli dosyalarınız varsa ve yedek kopya yoksa, bu, kariyerinizin çöküşüdür.

Kendimin önüne geçerek şunu söyleyeyim, eğer şifrenin çözüleceği umudunuz varsa, o zaman hiçbir durumda para talep eden dosyayı silmeyin ve şifrelenmiş dosyalarla hiçbir şey yapmayın (adını, uzantısını vb. değiştirmeyin). Ama her şeyi sırayla konuşalım.

Fidye yazılımı virüsü - nedir bu?

Bu bir fidye yazılımıdır yazılım, bilgisayardaki verileri çok güçlü bir algoritma kullanarak şifreler. Daha sonra kaba bir benzetme yapacağım. Windows'ta oturum açmak için birkaç bin karakter uzunluğunda bir parola belirlediğinizi ve onu unuttuğunuzu hayal edin. Katılıyorum, hatırlamak imkansız. Elle arama yapmak kaç canınızı alacak?

Yasa dışı amaçlarla yasal şifreleme yöntemlerini kullanan fidye yazılımlarında durum budur. Bu tür virüsler kural olarak eşzamansız şifreleme kullanır. Bu, bir anahtar çiftinin kullanıldığı anlamına gelir.

Dosyalar kullanılarak şifrelenir ortak anahtar ve yalnızca dolandırıcının sahip olduğu özel bir anahtarla bunların şifresini çözebilirsiniz. Tüm anahtarlar benzersizdir çünkü her bilgisayar için ayrı ayrı oluşturulurlar.

Bu yüzden yazının başında diskin kökündeki readme.txt dosyasını fidye talebiyle silemeyeceğinizi söylemiştim. Ortak anahtarın belirtildiği yer burasıdır.

E-posta adresi Benim durumumda fidye yazılımı Bir aramaya yazdığınızda trajedinin gerçek boyutu netleşiyor. Pek çok insan yaralandı.

Bu nedenle tekrar söylüyorum: Hiçbir durumda hasarlı dosyaları değiştirmeyin. Aksi takdirde gelecekte onları geri yükleme şansınızı bile kaybedersiniz.

Ayrıca işletim sistemini yeniden yüklemeniz ve geçici dizinleri ve sistem dizinlerini temizlemeniz önerilmez. Kısacası tüm koşullar netleşene kadar hayatımızı zorlaştırmamak için hiçbir şeye dokunmuyoruz. Her ne kadar çok daha kötü gibi görünse de.

Bu enfeksiyon çoğunlukla bilgisayarınıza "Acil, bankadan mektup" ve benzeri konuları içeren e-posta yoluyla bulaşır. Düşman, zararsız bir pdf veya jpg dosyası gibi görünebilecek ekte gizlidir.

Bir kez başlattığınızda, ilk bakışta korkunç bir şey olmuyor. Zayıf bir ofis bilgisayarında kullanıcı bir miktar "yavaşlık" fark edebilir. Bu kendini gizleyen bir virüs sistem süreci, zaten kirli işini yapıyor.

Windows 7 ve sonraki sürümlerde, zararlı başlatıldığında, değişikliklere izin vermenizi isteyen Kullanıcı Hesabı Denetimi penceresi sürekli olarak görünecektir. Elbette deneyimsiz bir kullanıcı her şeyi kabul edecek ve böylece kendi ölüm cezasını imzalayacaktır.

Evet, aslında virüs zaten dosyalara erişimi engelliyor ve bittiğinde masaüstünde “Dosyalarınız şifrelendi” uyarı mesajı görünecek. Genel olarak bu bir popo. Daha sonra vahşet başlıyor.

Fidye yazılımı virüsü nasıl tedavi edilir

Yukarıdakilere dayanarak, masaüstündeki korkunç yazıt henüz görünmediyse ve çeşitli karakterlerden oluşan kaotik bir diziden anlaşılmaz uzun adlara sahip ilk dosyaları zaten gördüyseniz, bilgisayarı derhal prizden çıkarın.

Bu doğru, kaba ve uzlaşmaz. Bu şekilde, kötü amaçlı yazılımın algoritmasını durduracak ve en azından bir şeyleri kurtarabileceksiniz. Ne yazık ki benim durumumda çalışan bunu bilmiyordu ve her şeyini kaybetti. Annen...

Benim için pastanın kreması, görünen o ki, bu virüsün PC'ye bağlı tüm çıkarılabilir medyaları ve yazma erişim haklarına sahip ağ sürücülerini kolayca şifrelemesiydi. Yedeklerin olduğu yer orasıydı.

Şimdi tedavi hakkında. Anlamanız gereken ilk şey, virüsün iyileştirildiği, ancak dosyaların şifreli kalacağıdır. Belki sonsuza kadar. Tedavi sürecinin kendisi karmaşık değildir.

Bunu yapmak için sabit sürücüyü başka bir bilgisayara bağlamanız ve veya gibi yardımcı programlarla taramanız gerekir. Kaspersky Virüsü Temizleme Aracı. Güvende olmak için sırayla ikisini kullanabilirsiniz. Virüslü bir vidayı başka bir bilgisayara taşımak istemiyorsanız Canlı CD'den önyükleme yapın.

Kural olarak, bu tür antivirüs çözümleri şifreleyiciyi sorunsuz bir şekilde bulur ve kaldırır. Ancak bazen hiçbir şey tespit edemezler çünkü virüs işini yaptıktan sonra kendisini sistemden kaldırabilir. Bu öyle bir bok parçası ki, tüm izleri kaplıyor ve araştırılmasını zorlaştırıyor.

Şu soruyu tahmin ediyorum: Antivirüs neden istenmeyen yazılımların bilgisayara girmesini hemen engellemedi? O zaman hiçbir sorun olmazdı. Bana göre şu anda antivirüsler şifreleyicilerle olan mücadelesini kaybediyor ve bu çok üzücü.

Üstelik daha önce de söylediğim gibi, bu tür kötü amaçlı yazılımlar yasal şifreleme yöntemlerine dayalı olarak çalışır. Yani yaptıkları işin teknik açıdan yasa dışı olmadığı ortaya çıkıyor. Bu onları tanımlamanın zorluğudur.

Sürekli olarak yeni değişiklikler yayınlanıyor. antivirüs veritabanları sadece enfeksiyondan sonra. Yani ne yazık ki bu durumda %100 koruma olamaz. Yalnızca bir PC üzerinde çalışırken dikkatli davranış, ancak daha sonra buna daha fazla değineceğiz.

Bir virüsten sonra dosyaların şifresi nasıl çözülür?

Her şey özel duruma bağlıdır. Yukarıda şifreleme virüsündeki değişikliklerin herhangi bir şey olabileceği yazılmıştır. Buna bağlı olarak şifrelenmiş dosyalar farklı uzantılara sahiptir.

İyi haber şu ki, enfeksiyonun birçok sürümü için antivirüs şirketleri zaten şifre çözücüler (şifre çözücüler) bulmuş durumda. Rusça dili pazarının lideri Kaspersky Lab'dir. Bu amaçlar doğrultusunda aşağıdaki kaynak oluşturulmuştur:

Üzerinde, arama çubuğuna, fidye notundaki uzantı veya e-postayla ilgili bilgileri giriyoruz, "Ara" yı tıklıyoruz ve bizim için bir kaydetme yardımcı programı olup olmadığına bakıyoruz.

Şanslıysanız programı listeden indirin ve çalıştırın. Bazı şifre çözücülerin açıklaması, bir bilgisayarda çalışırken çevrimiçi veritabanındaki anahtarlara yönelik gelişmiş arama yapabilmek için İnternet erişiminizin olması gerektiğini belirtir.

Aksi takdirde her şey basittir. Belirli bir dosyayı veya diski bütünüyle seçin ve taramaya başlayın. "Şifrelenmiş dosyaları sil" öğesini etkinleştirirseniz, şifre çözüldükten sonra tüm orijinal dosyalar silinecektir. Ah, bu kadar acele etmeyeyim, hemen sonuca bakmam lazım.

Bazı virüs türleri için program, dosyanın iki versiyonunu isteyebilir: orijinal ve şifrelenmiş versiyon. İlki orada değilse, o zaman bu kaybedilmiş bir davadır.

Ayrıca kullanıcılar için lisanslı ürünler Kaspersky Lab, şifre çözme konusunda yardım almak için resmi forumla iletişime geçme fırsatına sahiptir. Ancak uzantımla (crypted000007) inceledikten sonra orada hiçbir yardım olmadığını fark ettim. Aynı şey Dr.Web için de söylenebilir.

Benzer bir proje daha var ama bu sefer uluslararası. İnternetten alınan bilgilere göre önde gelen antivirüs üreticileri tarafından desteklenmektedir. İşte adresi:

Elbette bu doğru olabilir ancak site düzgün çalışmıyor. Açık ana sayfaİki şifrelenmiş dosyanın yanı sıra bir fidye dosyasının indirilmesi öneriliyor, ardından sistem bir şifre çözücünün mevcut olup olmadığına cevap verecek.

Ancak bunun yerine dil seçeneği olan bölüme geçiş yapılıyor ve hepsi bu. Bu nedenle bağımsız olarak "Şifre Çözücü-Yardımcı Programlar" bölümüne gidebilir ve ihtiyacınız olan programı bulmaya çalışabilirsiniz.

Bunu yapmak pek uygun değil çünkü kısa açıklama Mevcut yazılım, şifrelenmiş dosyaların desteklenen uzantılarını açıkça belirtmemektedir. Bunu yapmak için, her şifre çözücü türüne ilişkin genişletilmiş talimatları okumanız gerekir.

Bu yayını yazma sürecinde aynı prensipte düzgün çalışan benzer bir hizmet buldum. Tehdidin adını belirlemenize yardımcı olacak ve varsa "sihirli bir hap" sunacaktır. Kullanıcıya kolaylık sağlamak amacıyla sitenin sağ üst köşesinde çevirmen butonu bulunmaktadır.

Ne yapalım? Ödemek ya da ödememek

Buraya kadar okuduysanız dosyalarınız hala güvenli bir şekilde şifrelenmiş demektir. Ve burada soru şu: bundan sonra ne yapmalı? Aslında, son derece önemli dosyalar şifrelenirse, küçük işletmelerin yanı sıra büyük işletmelerin bile çalışmaları felç olabilir.

Öncelikle dolandırıcının talimatlarını takip edip fidyeyi ödeyebilirsiniz. Ancak Kaspersky Lab istatistikleri, ödeme yapıldıktan sonra her beş kuruluştan birinin şifre çözücü anahtarını asla almadığını gösteriyor.

Bu şu şekilde gerçekleşebilir: çeşitli nedenler. Örneğin virüs, özel anahtara sahip olan yaratıcılar tarafından değil, sahtekar aracılar tarafından kullanılmış olabilir.

Fidye dosyasındaki verilerini belirterek kötü amaçlı yazılım kodunu değiştirdiler, ancak ikinci bir anahtarları yok. Parayı alıp gittiler. Ve pişirmeye devam ediyorsun.

Genelde yalan söylemiyorlar, ben de tüm teknik nüansları bilmiyorum. Ama ne olursa olsun, gaspçılara para ödeyerek onları bu tür faaliyetlere devam etmeye motive etmiş oluyorsunuz. Sonuçta çalıştığına ve para kazandırdığına göre neden olmasın.

Ancak internette bu soruna yardımcı olacağına ve hatta crypted000007 uzantılı dosyaların şifresini çözeceğine söz veren en az iki şirket buldum. Büyük bir korkuyla içlerinden biriyle temasa geçtim.

Dürüst olmak gerekirse, adamlar bana yardım etmediler çünkü hemen şifre çözücülerinin olmadığını söylediler, ancak düşük seviyeli tarama kullanarak virüsün sildiği orijinal dosyaların yaklaşık% 30'unu geri yüklemeyi deneyebilirler.

Düşündüm ve reddettim. Ama kendilerini aptal yerine koymadıkları, zaman ayırıp her şeyi ayık bir şekilde açıkladıkları için onlara teşekkür ederim. Anahtarları olmadığı için dolandırıcılarla etkileşime girmemeleri gerektiği anlamına geliyor.

Ancak operasyonun başarısının% 100 garantisini veren daha "ilginç" bir şirket daha var. Web sitesi şu adreste bulunmaktadır:

Özel forumlarda gezinmeye çalıştım ancak gerçek müşterilerden gelen yorumları bulamadım. Yani herkes bunu biliyor, ancak çok azı bunu kullandı. Bir kısır döngü.

Bu adamlar alınan sonuçlara göre çalışıyorlar, ön ödeme yok. Tekrar ediyorum, şifrelenmiş000007'nin bile şifresini çözme garantisi veriyorlar. Bu, bir anahtara ve şifre çözücüye sahip oldukları anlamına gelir. Dolayısıyla şu soru ortaya çıkıyor: Bu şeyleri nereden alıyorlar? Yoksa bir şeyi mi kaçırıyorum?

Kötü bir şey söylemek istemiyorum, belki nazik ve yumuşaktırlar, dürüst çalışırlar ve insanlara yardım ederler. Her ne kadar teknik olarak bu bir ana anahtar olmadan imkansızdır. Her durumda, onlara karşı suçlayıcı bir şey bulundu.

Kendinizi fidye yazılımı virüsünden nasıl korursunuz?

Güvende kalmanıza ve bu tür kötü amaçlı yazılımların sızması durumunda kayıpları en aza indirmenize yardımcı olacak birkaç temel varsayım vereceğim. Sonuçta tüm bunları kendi tenimde yaşadım.

Çıkarılabilir (ağdan yalıtılmış) medyada düzenli yedeklemeler yapın. Hiç abartmadan en önemli şeyin bu olduğunu söyleyebilirim.

Altında çalışmayın hesap Enfeksiyon durumunda kayıpları en aza indirmek için yönetici haklarına sahip.

Gelen mektupların ve sosyal medyadaki bırakılan bağlantıların alıcılarını yakından izleyin. ağlar. Burada yorum yok.

Antivirüs programınızı güncel tutun. Seni kurtarabilir ama kesin değil.

Windows 7/10'da dosyaları etkinleştirdiğinizden emin olun. Önümüzdeki sayılarımızda bu konuya detaylı olarak değineceğiz.

Windows 7 ve üzeri sürümlerde Kullanıcı Hesabı Denetimini devre dışı bırakmayın.

Ben de tamamen virüs tarafından şifrelenmiş ofis dosyalarıyla baş başa kalıyorum. Bir gün orada bir şifre çözücü görmeyi umarak makalede belirtilen tüm kaynaklara periyodik olarak bakacağım. Belki bu hayatta şans gülümser, kim bilir.

Kullanıcının ev bilgisayarındaki film, müzik vb. dosyalarının şifrelenmesi bir durumdur. Bir işletmenin tüm ofis işlerine erişimin en az 5-7 yıl süreyle kesilmesi tamamen farklıdır. Acıyor, zaten biliyorum.

Virüslerin bir bilgisayar tehdidi olması bugün kimseyi şaşırtmıyor. Ancak daha önce sistemi bir bütün olarak etkileyerek performansında kesintilere neden oldularsa da, bugün şifreleme virüsü gibi çeşitli türlerin ortaya çıkmasıyla birlikte nüfuz eden bir tehdidin eylemleri daha fazla kullanıcı verisini etkiliyor. Windows'a veya casus yazılım uygulamalarına zarar veren yürütülebilir uygulamalardan belki de daha büyük bir tehdit oluşturur.

Fidye yazılımı virüsü nedir?

Kendi kendini kopyalayan bir virüsle yazılan kodun kendisi, işletim sisteminin sistem dosyalarını etkilemeden neredeyse tüm kullanıcı verilerinin özel şifreleme algoritmalarıyla şifrelenmesini içerir.

İlk başta virüsün etkisinin mantığı pek çok kişi için tam olarak açık değildi. Her şey ancak bu tür uygulamaları oluşturan bilgisayar korsanlarının orijinal dosya yapısını geri yüklemek için para talep etmeye başlamasıyla netleşti. Aynı zamanda şifrelenmiş virüsün kendisi de özellikleri nedeniyle dosyaların şifresini çözmenize izin vermez. Bunu yapmak için, istediğiniz içeriği geri yüklemek için gerekli olan özel bir şifre çözücüye, isterseniz bir koda, bir şifreye veya bir algoritmaya ihtiyacınız vardır.

Sisteme nüfuz etme ve virüs kodunun çalışması ilkesi

Kural olarak, internette bu tür saçmalıkları "toplamak" oldukça zordur. “Enfeksiyonun” ana yayılma kaynağı e-posta Outlook, Thunderbird, The Bat vb. gibi belirli bir bilgisayar terminaline yüklenen programlar düzeyinde. Hemen şunu belirtelim: İnternet posta sunucularıönemli değil çünkü yeterince var yüksek derece koruma ve kullanıcı verilerine erişim yalnızca düzeyde mümkündür

Başka bir şey bilgisayar terminalindeki bir uygulamadır. Burası virüslerin etki alanının hayal edilemeyecek kadar geniş olduğu yerdir. Doğru, burada da rezervasyon yaptırmaya değer: çoğu durumda virüsler, şifre çözme kodu sağlamak için parayı "soyabilecekleri" büyük şirketleri hedef alır. Bu anlaşılabilir bir durumdur, çünkü dosyalar yalnızca yerel bilgisayar terminallerinde değil, aynı zamanda bu tür şirketlerin sunucularında da, tabiri caizse, hiçbir koşulda imha edilemeyecek tek bir kopya halinde saklanabilmektedir. Ve fidye yazılımı virüsünden sonra dosyaların şifresini çözmek oldukça sorunlu hale gelir.

Elbette sıradan bir kullanıcı böyle bir saldırıya maruz kalabilir, ancak çoğu durumda, bilinmeyen türden uzantılara sahip ekleri açmaya yönelik en basit önerileri izlerseniz bu pek olası değildir. Bir e-posta istemcisi .jpg uzantılı bir eki standart grafik dosyası olarak algılasa bile, öncelikle bunun sistemde yüklü standart olarak kontrol edilmesi gerekir.

Bu yapılmazsa, çift tıklayarak açtığınızda (standart yöntem), kodun aktivasyonu başlayacak ve şifreleme işlemi başlayacak, bundan sonra aynı Breaking_Bad'in (şifreleyici virüs) kaldırılması imkansız olmayacak, ancak tehdit ortadan kaldırıldıktan sonra dosyalar da geri yüklenemeyecektir.

Bu türdeki tüm virüslerin nüfuz etmesinin genel sonuçları

Daha önce de belirtildiği gibi, bu türdeki virüslerin çoğu sisteme e-posta yoluyla girer. Diyelim ki büyük bir kuruluş, belirli bir kayıtlı e-postaya "Sözleşmeyi değiştirdik, taranmış kopyası ektedir" veya "Malların nakliyesi için size bir fatura gönderildi (bir kopyası orada)" gibi içeriğe sahip bir mektup aldığını varsayalım. Doğal olarak, şüphelenmeyen çalışan dosyayı açar ve...

Seviye başına tüm kullanıcı dosyaları ofis belgeleri, multimedya, özel AutoCAD projeleri veya diğer arşiv verileri anında şifrelenir ve bilgisayar terminali açıksa yerel ağ, virüs diğer makinelerdeki verileri şifreleyerek daha da iletilebilir (bu, sistemin "frenlenmesiyle" ve programların veya o anda çalışan uygulamaların donmasıyla hemen fark edilir).

Şifreleme işleminin sonunda, virüsün kendisi görünüşe göre bir tür rapor gönderiyor, ardından şirket falan filan bir tehdidin sisteme sızdığına ve sadece falanca kuruluşun şifresini çözebileceğine dair bir mesaj alabilir. Bu genellikle bir virüs içerir. [e-posta korumalı]. Daha sonra, müşterinin e-postasına birkaç dosya gönderme teklifiyle birlikte şifre çözme hizmetleri için ödeme yapma zorunluluğu gelir ve bu genellikle hayalidir.

Koda maruz kalmanın zararları

Henüz kimse anlamadıysa: fidye yazılımı virüsünden sonra dosyaların şifresini çözmek oldukça emek yoğun bir süreçtir. Saldırganların taleplerine boyun eğmeseniz ve resmi devlet kurumlarını bilgisayar suçlarıyla mücadele ve önleme çalışmalarına dahil etmeye çalışsanız bile, genellikle bundan iyi bir sonuç çıkmaz.

Tüm dosyaları silerseniz, çıkarılabilir medyadan orijinal veriler üretirseniz ve hatta kopyalarsanız (tabii ki böyle bir kopya varsa), virüs etkinleştirildiğinde her şey yine de şifrelenecektir. Bu nedenle kendinizi çok fazla kandırmamalısınız, özellikle de aynı flash sürücüyü bir USB bağlantı noktasına taktığınızda kullanıcı, virüsün içindeki verileri nasıl şifreleyeceğini bile fark etmeyecektir. O zaman hiçbir sorun yaşamazsınız.

Ailede ilk doğan

Şimdi dikkatimizi ilk şifreleme virüsüne çevirelim. Ortaya çıktığı sırada hiç kimse, bir flört teklifi içeren bir e-posta ekinde bulunan yürütülebilir koda maruz kaldıktan sonra dosyaların nasıl iyileştirileceğini ve şifrelerinin nasıl çözüleceğini henüz düşünmemişti. Felaketin boyutunun farkına varılması ancak zamanla gerçekleşti.

Bu virüsün romantik adı “Seni Seviyorum” idi. Şüphelenmeyen bir kullanıcı, bir e-posta mesajındaki eki açtı ve tamamen oynatılamaz multimedya dosyaları (grafik, video ve ses) aldı. Ancak o zamanlar bu tür eylemler daha yıkıcı görünüyordu (kullanıcı medya kütüphanelerine zarar veriyordu) ve kimse bunun için para talep etmiyordu.

En yeni değişiklikler

Gördüğümüz gibi, teknolojinin evrimi oldukça karlı bir iş haline geldi, özellikle de büyük organizasyonların birçok yöneticisinin, hem para hem de bilgi kaybedebileceklerini hiç düşünmeden, şifre çözme çabaları için hemen para ödemeye koştuğu göz önüne alındığında.

Bu arada internetteki “gerekli parayı ödedim/ödedim, bana kod gönderdiler, her şey düzeldi” gibi “yanlış” yazılara bakmayın. Anlamsız! Bütün bunlar, kusura bakmayın, "enayileri" potansiyeli çekmek için virüsün geliştiricileri tarafından yazılmıştır. Ancak sıradan bir kullanıcının standartlarına göre ödenecek miktarlar oldukça ciddidir: yüzlerden birkaç bine veya onbinlerce euro veya dolara kadar.

Şimdi bu türün nispeten yakın zamanda kaydedilen en yeni virüs türlerine bakalım. Hepsi pratik olarak benzerdir ve yalnızca şifreleyiciler kategorisine değil aynı zamanda fidye yazılımı adı verilen gruba da aittir. Bazı durumlarda, daha doğru hareket ederler (paycrypt gibi), görünüşte resmi iş teklifleri veya birisinin kullanıcının veya kuruluşun güvenliğine önem verdiğine dair mesajlar gönderirler. Böyle bir şifreleme virüsü, mesajıyla kullanıcıyı yanıltıyor. Ödemek için en ufak bir girişimde bulunsa, işte bu, “boşanma” tamamlanmış olacak.

XTBL virüsü

Nispeten yeni olan bu fidye yazılımının klasik bir versiyonu olarak sınıflandırılabilir. Tipik olarak, Windows ekran koruyucuları için standart olan, dosya ekleri içeren e-posta mesajları yoluyla sisteme girer. Sistem ve kullanıcı her şeyin yolunda olduğunu düşünüyor ve eki görüntülemeyi veya kaydetmeyi etkinleştiriyor.

Ne yazık ki, bu üzücü sonuçlara yol açmaktadır: dosya adları bir dizi karaktere dönüştürülür ve ana uzantıya .xtbl eklenir, ardından istenen e-posta adresine, belirtilen tutarı ödedikten sonra şifre çözme olasılığı hakkında bir mesaj gönderilir. (genellikle 5 bin ruble).

CBF virüsü

Bu virüs türü aynı zamanda türün klasiklerine de aittir. E-posta eklerini açtıktan sonra sistemde görünür ve kullanıcı dosyalarını yeniden adlandırarak sonuna .nochance veya .perfect gibi bir uzantı ekler.

Ne yazık ki, bu tür bir fidye yazılımı virüsünün, kodun içeriğini analiz etmek için sistemde görünme aşamasında bile şifresini çözmek mümkün değildir, çünkü eylemlerini tamamladıktan sonra kendi kendini yok eder. Birçoğunun RectorDecryptor gibi evrensel bir araç olduğuna inandığı şey bile yardımcı olmuyor. Kullanıcı yine iki gün süre verilen ödeme talep eden bir mektup alır.

Breaking_Bad virüsü

Bu tür tehditler aynı şekilde çalışır ancak standart sürümdeki dosyaları yeniden adlandırarak uzantıya .breaking_bad adını ekler.

Durum bununla sınırlı değil. Önceki virüslerin aksine, bu virüs başka bir uzantı oluşturabilir - .Heisenberg, bu nedenle virüslü tüm dosyaları bulmak her zaman mümkün değildir. Yani Breaking_Bad (bir fidye yazılımı virüsü) oldukça ciddi bir tehdittir. Bu arada, bir lisans paketinin bile Kaspersky Uç Nokta Güvenlik 10 bu tür tehditleri gözden kaçırıyor.

Virüs [e-posta korumalı]

Belki de en ciddi tehditlerden biri daha, çoğunlukla büyük ticari organizasyonları hedef alıyor. Kural olarak, bazı departmanlar tedarik sözleşmesinde görünüşte değişiklikler içeren bir mektup, hatta sadece bir fatura alır. Ek, normal bir .jpg dosyası (bir resim gibi) içerebilir, ancak daha sıklıkla yürütülebilir bir script.js (Java uygulaması) içerebilir.

Bu tür şifreleme virüsünün şifresi nasıl çözülür? Orada bilinmeyen bir RSA-1024 algoritmasının kullanıldığına bakılırsa, hiçbir şekilde. Adından yola çıkarak bunun 1024 bit şifreleme sistemi olduğunu varsayabilirsiniz. Ancak hatırlayan varsa, bugün 256-bit AES en gelişmişi olarak kabul ediliyor.

Şifreleyici virüs: antivirüs yazılımı kullanılarak dosyaların temizlenmesi ve şifrelerinin çözülmesi

Bugüne kadar bu tür tehditleri çözecek bir çözüm bulunamadı. Antivirüs koruması alanında Kaspersky gibi ustalar bile Dr. Sisteme şifreleyici bir virüs bulaştığında Web ve Eset, sorunu çözmenin anahtarını bulamaz. Dosyalar nasıl dezenfekte edilir? Çoğu durumda, antivirüs geliştiricisinin resmi web sitesine bir istek gönderilmesi önerilir (bu arada, yalnızca sistemin yazılımı bu geliştiriciden lisanslamış olması durumunda).

Bu durumda, birkaç şifrelenmiş dosyayı ve varsa "sağlıklı" orijinallerini eklemeniz gerekir. Genel olarak, çok az kişi verilerin kopyalarını kaydeder, bu nedenle bunların yokluğu sorunu, zaten hoş olmayan bir durumu daha da kötüleştirir.

Tehdidi manuel olarak tanımlamanın ve ortadan kaldırmanın olası yolları

Evet, geleneksel antivirüs programlarıyla tarama yapmak tehditleri tespit eder ve hatta bunları sistemden kaldırır. Peki bilgiyle ne yapmalı?

Bazıları, daha önce bahsedilen RectorDecryptor (RakhniDecryptor) yardımcı programı gibi şifre çözme programlarını kullanmaya çalışır. Hemen şunu belirtelim: Bunun hiçbir faydası olmayacak. Breaking_Bad virüsü durumunda ise yalnızca zarar verebilir. İşte nedeni.

Gerçek şu ki, bu tür virüsleri yaratan insanlar kendilerini korumaya ve başkalarına yol göstermeye çalışıyorlar. Şifre çözme yardımcı programlarını kullanırken virüs, tüm sistemin "uçacağı" ve üzerinde depolanan tüm verilerin tamamen yok edileceği şekilde tepki verebilir. sabit sürücüler veya mantıksal bölümlerde. Bu, tabiri caizse, ödeme yapmak istemeyenlerin eğitimi için gösterge niteliğinde bir derstir. Yalnızca resmi antivirüs laboratuvarlarına güvenebiliriz.

Kardinal yöntemler

Ancak işler gerçekten kötüyse bilgiyi feda etmek zorunda kalacaksınız. Tehditten tamamen kurtulmak için sanal bölümler de dahil olmak üzere tüm sabit sürücüyü biçimlendirmeniz ve ardından işletim sistemini yeniden yüklemeniz gerekir.

Ne yazık ki başka çıkış yolu yok. Belirli bir kaydedilmiş geri yükleme noktasına kadar bile yardımcı olmayacaktır. Virüs kaybolabilir ancak dosyalar şifreli kalacaktır.

Son söz yerine

Sonuç olarak durumun şu şekilde olduğunu belirtmekte fayda var: Bir fidye yazılımı virüsü sisteme giriyor, kirli işlerini yapıyor ve bilinen hiçbir yöntemle tedavi edilemiyor. Anti-virüs koruma araçları bu tür tehditlere karşı hazır değildi. Bir virüsü maruz kaldıktan sonra tespit etmenin veya onu kaldırmanın mümkün olduğunu söylemeye gerek yok. Ancak şifrelenmiş bilgiler çirkin kalacaktır. Bu nedenle, antivirüs yazılımı geliştirme şirketlerinin en iyi beyinlerinin yine de bir çözüm bulacağını umuyorum, ancak şifreleme algoritmalarına bakılırsa bunu yapmak çok zor olacak. Alman Donanmasının İkinci Dünya Savaşı sırasında sahip olduğu Enigma şifreleme makinesini hatırlayın. En iyi kriptograflar, cihazı ele geçirene kadar mesajların şifresini çözecek bir algoritma sorununu çözemezlerdi. Burada da işler bu şekilde.

"Rahatsız ettiğim için özür dilerim ama... dosyalarınız şifrelenmiş. Şifre çözme anahtarını almak için acilen belirli bir miktar parayı cüzdanınıza aktarın... Aksi takdirde verileriniz sonsuza kadar yok edilecektir. 3 saatin var, zaman geçti.” Ve bu bir şaka değil. Şifreleme virüsü gerçek bir tehditten daha fazlasıdır.

Bugün, son yıllarda yayılan fidye yazılımı kötü amaçlı yazılımlarının ne olduğundan, bulaştığında ne yapılması gerektiğinden, bilgisayarınızı nasıl iyileştirebileceğinizden, hatta bunun mümkün olup olmadığından ve kendinizi bunlardan nasıl koruyacağınızdan bahsedeceğiz.

Her şeyi şifreliyoruz!

Fidye yazılımı virüsü (şifreleyici, şifreleyici), etkinliği kullanıcının dosyalarını şifrelemek ve ardından şifre çözme aracı için fidye talep etmekten oluşan özel bir kötü amaçlı fidye yazılımı türüdür. Fidye miktarları 200 dolardan başlıyor ve on binlerce, yüzbinlerce yeşil kağıt parçasına ulaşıyor.

Birkaç yıl önce yalnızca bilgisayarlar çalışıyordu Windows tabanlı. Bugün, ürün yelpazesi görünüşte iyi korunan Linux, Mac ve Android'i kapsayacak şekilde genişledi. Ek olarak, şifreleyicilerin çeşitliliği sürekli artıyor - dünyayı şaşırtacak bir şeyleri olan yeni ürünler birbiri ardına ortaya çıkıyor. Bu nedenle, klasik bir şifreleme Truva Atı ile bir ağ solucanının (kullanıcıların aktif katılımı olmadan ağlar arasında yayılan kötü amaçlı bir program) "geçmesi" nedeniyle ortaya çıktı.

WannaCry'dan sonra daha az gelişmiş Petya yok ve Kötü Tavşan. Ve "şifreleme işi" sahiplerine iyi bir gelir getirdiğinden, bunların son olmadığından emin olabilirsiniz.

Giderek daha fazla sayıda şifreleyici, özellikle de son 3-5 yılda piyasaya sürülenler, kaba kuvvetle veya diğer mevcut yöntemlerle kırılamayan güçlü şifreleme algoritmaları kullanıyor. Verileri kurtarmanın tek yolu, saldırganların satın almayı teklif ettiği orijinal anahtarı kullanmaktır. Ancak gerekli miktarın onlara aktarılması bile anahtarın alınacağını garanti etmez. Suçluların sırlarını açığa vurmak ve potansiyel karlarını kaybetmek için aceleleri yoktur. Zaten paraları varsa sözlerini tutmanın ne anlamı var?

Şifreleyen virüslerin dağıtım yolları

Kötü amaçlı yazılımların özel kullanıcıların ve kuruluşların bilgisayarlarına girmesinin ana yolu, e-posta veya daha doğrusu, e-postalara eklenen dosyalar ve bağlantılardır.

“Kurumsal müşterilere” yönelik böyle bir mektuba örnek:

• “Kredi borcunuzu derhal ödeyin.”
• "İddia mahkemeye sunuldu"
• “Cezayı/ücreti/vergiyi ödeyin.”
• “Ek elektrik faturası ücreti.”
• "Ah, fotoğraftaki sen misin?"
• "Lena benden bunu acilen sana vermemi istedi" vb.

Katılıyorum, yalnızca bilgili bir kullanıcı böyle bir mektuba dikkatli davranacaktır. Çoğu kişi tereddüt etmeden eki açacak ve kötü amaçlı programı kendisi başlatacaktır. Bu arada, antivirüsün çığlıklarına rağmen.

Aşağıdakiler de fidye yazılımını dağıtmak için aktif olarak kullanılır:

• Sosyal ağlar (arkadaşların ve yabancıların hesaplarından e-posta gönderme).
• Kötü amaçlı ve virüslü web kaynakları.
• Banner reklamı.
• Saldırıya uğramış hesaplardan mesajlaşma programları aracılığıyla posta göndermek.
• Vareznik siteleri ve keygen ve crack distribütörleri.
• Yetişkin siteleri.
• Uygulama ve içerik depoları.

Virüsleri şifrelemenin iletkenleri genellikle diğer kötü amaçlı programlardır, özellikle reklam göstericileri ve arka kapı Truva atları. İkincisi, sistemdeki ve yazılımdaki güvenlik açıklarını kullanarak suçlunun uzaktan erişim virüslü cihaza. Bu gibi durumlarda şifreleyicinin başlatılması her zaman potansiyel olarak tehlikeli kullanıcı eylemleriyle aynı zamana denk gelmez. Arka kapı sistemde kaldığı sürece bir saldırgan istediği zaman cihaza girip şifreleme başlatabilir.

Kuruluşların bilgisayarlarına bulaşmak için (sonuçta, ev kullanıcılarından daha fazlasını bilgisayarlardan alabilirler), özellikle karmaşık yöntemler geliştirilmektedir. Örneğin Petya Truva Atı, MEDoc vergi muhasebesi programının güncelleme modülü aracılığıyla cihazlara sızdı.

Ağ solucanlarının işlevlerine sahip şifreleyiciler, daha önce de belirtildiği gibi, protokol açıkları yoluyla İnternet de dahil olmak üzere ağlara yayılır. Ve kesinlikle hiçbir şey yapmadan onlara bulaşabilirsiniz. Nadiren güncellenen Windows işletim sistemi kullanıcıları, güncelleştirmelerin bilinen boşlukları kapatması nedeniyle en büyük risk altındadır.

WannaCry gibi bazı kötü amaçlı yazılımlar, sistem geliştiricilerinin henüz farkında olmadığı 0 günlük güvenlik açıklarından yararlanır. Bu şekilde enfeksiyona tam olarak direnmek ne yazık ki mümkün değil ancak sizin de mağdurlar arasında olma ihtimaliniz %1’e bile ulaşmıyor. Neden? Evet, çünkü kötü amaçlı yazılım tüm savunmasız makinelere aynı anda bulaşamaz. Yeni kurbanlar planlarken sistem geliştiricileri de hayat kurtaran bir güncelleme yayınlamayı başarıyor.

Fidye yazılımı virüs bulaşmış bir bilgisayarda nasıl davranır?

Şifreleme işlemi, kural olarak, fark edilmeden başlar ve işaretleri belirginleştiğinde, verileri kaydetmek için zaten çok geç olmuştur: o zamana kadar, kötü amaçlı yazılım ulaşabildiği her şeyi şifrelemiştir. Bazen bir kullanıcı açık bir klasördeki dosyaların uzantısının değiştiğini fark edebilir.

Dosyalarda yeni ve bazen ikinci bir uzantının mantıksız görünmesi ve ardından açılmanın durması, kesinlikle bir şifreleyici saldırısının sonuçlarını gösterir. Bu arada, kötü amaçlı yazılımın tanımlanması genellikle hasarlı nesnelerin aldığı uzantıya göre mümkündür.

Şifrelenmiş dosyaların uzantılarının ne olabileceğine bir örnek:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, vb.

Çok fazla seçenek var ve yarın yenileri ortaya çıkacak, bu yüzden her şeyi listelemenin bir anlamı yok. Enfeksiyonun türünü belirlemek için arama motoruna birkaç uzantı beslemek yeterlidir.

Dolaylı olarak şifrelemenin başlangıcını gösteren diğer belirtiler:

• Windows ekranda bir anlığına beliriyor komut satırı. Çoğu zaman bu, sistem ve program güncellemelerini yüklerken normal bir olgudur, ancak onu gözetimsiz bırakmamak daha iyidir.
• UAC, açmayı planlamadığınız bir programın başlatılmasını istiyor.
• Bilgisayarın aniden yeniden başlatılması ve ardından sistem diski kontrol yardımcı programının çalışmasının simüle edilmesi (başka varyasyonlar da mümkündür). “Doğrulama” sırasında şifreleme işlemi gerçekleşir.

Kötü amaçlı operasyon başarıyla tamamlandıktan sonra ekranda fidye talebi ve çeşitli tehditlerin yer aldığı bir mesaj belirir.

Fidye yazılımı kullanıcı dosyalarının önemli bir bölümünü şifreler: fotoğraflar, müzik, videolar, metin belgeleri, arşivler, postalar, veritabanları, program uzantılı dosyalar vb. Ancak işletim sistemi nesnelerine dokunmazlar çünkü saldırganların virüslü bilgisayarın çalışmayı durdurmasına gerek yoktur. Bazı virüsler disklerin ve bölümlerin önyükleme kayıtlarının yerini alır.

Şifrelemenin ardından tüm gölge kopyalar ve kurtarma noktaları genellikle sistemden silinir.

Bir bilgisayarı fidye yazılımından nasıl kurtarabilirim?

Kötü amaçlı programları virüslü bir sistemden kaldırmak basittir; neredeyse tüm antivirüsler bunların çoğunu zorluk çekmeden halledebilir. Ancak! Suçludan kurtulmanın sorunu çözeceğine inanmak saflıktır: Virüsü kaldırsanız da kaldırmasanız da dosyalar şifreli kalacaktır. Ek olarak, bazı durumlarda bu, mümkünse daha sonraki şifre çözme işlemlerini zorlaştıracaktır.

Şifrelemeyi başlatırken doğru prosedür

• Şifreleme belirtilerini fark ettiğinizde, Düğmeyi basılı tutarak bilgisayarın gücünü hemen kapatın3-4 saniye güç. Bu, dosyaların en azından bir kısmını kaydedecektir.
• Başka bir bilgisayarda oluştur önyükleme diski veya flash sürücü ile antivirüs programı. Örneğin, Kaspersky Kurtarma Diski 18, DrWeb LiveDisk ESET NOD32 LiveCD vesaire.
• Virüslü makineyi bu diskten önyükleyin ve sistemi tarayın. Bulunan virüsleri kaldırın ve karantinada tutun (şifre çözme için gerekli olma ihtimaline karşı). Ancak bundan sonra bilgisayarınızı sabit sürücünüzden başlatabilirsiniz.
• Sistem araçlarını veya üçüncü taraf araçlarını kullanarak şifrelenmiş dosyaları gölge kopyalardan kurtarmayı deneyin.

Dosyalar zaten şifrelenmişse ne yapmalısınız?

• Umudunuzu kaybetmeyin. Antivirüs ürün geliştiricilerinin web siteleri, ücretsiz şifre çözme yardımcı programları içerir. farklı türler kötü amaçlı yazılım. Özellikle, yardımcı programlardan Avast'ın Ve Kaspersky Laboratuvarı.
• Kodlayıcı tipini belirledikten sonra uygun yardımcı programı indirin, kesinlikle yap kopyalar hasarlı dosyalar ve onları deşifre etmeye çalışın. Başarılı olursa geri kalanını deşifre edin.

Dosyaların şifresi çözülmezse

Eğer yardımcı programların hiçbiri yardımcı olmuyorsa, muhtemelen henüz tedavisi olmayan bir virüse yakalanmışsınızdır.

Bu durumda ne yapabilirsiniz:

• Ücretli bir antivirüs ürünü kullanıyorsanız destek ekibiyle iletişime geçin. Hasarlı dosyaların birkaç kopyasını laboratuvara gönderin ve yanıt bekleyin. Müsaitlik durumuna bağlıdır teknik fizibilite sana yardım edecekler.

Bu arada, Dr.Web yalnızca kullanıcılarına değil, etkilenen herkese yardımcı olan birkaç laboratuvardan biridir. Bu sayfadaki dosyanın şifresini çözmek için bir istek gönderebilirsiniz.

• Dosyaların umutsuzca hasar gördüğü, ancak sizin için çok değerli olduğu ortaya çıkarsa, bir gün bir kurtarma çözümü bulunacağını yalnızca umut edebilir ve bekleyebilirsiniz. Yapabileceğiniz en iyi şey sistemi ve dosyaları olduğu gibi, yani tamamen devre dışı bırakıp kullanılmamış halde bırakmaktır. sabit disk. Kötü amaçlı yazılım dosyalarını silmek, işletim sistemini yeniden yüklemek ve hatta güncellemek bile sizi mahrum bırakabilir. ve bu şansçünkü şifreleme/şifre çözme anahtarları oluşturulurken sıklıkla benzersiz sistem tanımlayıcıları ve virüsün kopyaları kullanılır.

Fidyeyi ödemek bir seçenek değil çünkü anahtarı alma olasılığınız sıfıra yakın. Ve bir suç işini finanse etmenin hiçbir anlamı yok.

Kendinizi bu tür kötü amaçlı yazılımlardan nasıl korursunuz?

Okuyucuların her birinin yüzlerce kez duyduğu tavsiyeleri tekrarlamak istemiyorum. Evet, yükle iyi antivirüs, şüpheli bağlantılara ve saçmalıklara tıklamayın - bu önemlidir. Ancak hayatın gösterdiği gibi, size %100 güvenlik garantisi verecek sihirli bir hap bugün mevcut değil.

Bu tür fidye yazılımlarına karşı korunmanın tek etkili yöntemi veri yedekleme bulut hizmetleri de dahil olmak üzere diğer fiziksel ortamlara. Yedekleme, yedekleme, yedekleme...