UPPMÄRKSAMHET! Företag ESET varnar för att det nyligen har skett en ökad aktivitet och risken för infektion av företagsnätverket med skadlig programvara, vars konsekvenser är:

1) Kryptering av konfidentiell information och filer, inklusive databaser 1C, dokument, bilder. Typen av krypterade filer beror på den specifika modifieringen av kryptören. Krypteringsprocessen utförs enligt komplexa algoritmer och i varje fall sker kryptering enligt ett visst mönster. Således är krypterad data svår att återställa.

2) I vissa fall, efter att ha utfört skadliga åtgärder, tas krypteringen automatiskt bort från datorn, vilket komplicerar proceduren för att välja en dekryptering.

Efter att ha utfört skadliga åtgärder visas ett fönster på skärmen på den infekterade datorn med informationen " Dina filer är krypterade", samt kraven på ransomware som måste uppfyllas för att få dekrypteringsprogrammet.

2) Använd antiviruslösningar med en inbyggd brandväggsmodul ( ESET NOD32 Smart Security) för att minska sannolikheten för att en angripare utnyttjar en sårbarhet i RDPäven om de nödvändiga uppdateringarna av operativsystemet inte är tillgängliga. Det rekommenderas att aktivera avancerad heuristik för att starta körbara filer(Avancerade inställningar (F5) - Dator - Virus- och spionprogramskydd - Realtidsskydd - Avancerade inställningar. Dessutom Kontrollera om ESET Live Grid är aktiverat(Avancerade inställningar (F5) - Verktyg - ESET Live Grid).

3) E-postservern bör förbjuda mottagning och överföring av körbara filer *.exe, och *.js, eftersom krypteringar ofta skickas av angripare som en bilaga till ett e-postmeddelande med fiktiv information om inkasso, information om det och annat liknande innehåll, vilket kan få användaren att öppna en skadlig bilaga från ett e-postmeddelande från angriparen och därigenom starta krypteringen .

4) Inaktivera körande makron i alla applikationer som ingår i Microsoft Office, eller liknande programvara från tredje part. Makron kan innehålla ett kommando för att ladda ner och köra skadlig kod som körs när du normalt visar ett dokument (till exempel öppnar ett dokument som heter " Inkassobesked.doc"från ett brev från cyberkriminella kan leda till infektion av systemet även om servern inte missade den skadliga bilagan med krypteringsfilen, förutsatt att du inte har inaktiverat exekvering av makron i inställningarna för kontorsprogram).

5) Träna regelbundet Säkerhetskopiering(säkerhetskopiera) viktig information lagrad på din dator. Börjar med OS Windows Vista ingår i operativsystem Windows inkluderar systemskydd över alla enheter, som säkerhetskopierar filer och mappar när du säkerhetskopierar eller skapar en systemåterställningspunkt. Som standard är den här tjänsten endast aktiverad för systempartitionen. Det rekommenderas att aktivera den här funktionen för alla avsnitt.

Vad ska man göra om infektion redan har inträffat?

Om du har blivit ett offer för brottslingar och dina filer är krypterade, skynda dig inte att överföra pengar till deras konto för att välja en dekryptering. Förutsatt att du är vår kund, kontakta teknisk support, vi kanske kan välja en avkodare för ditt fall eller så är en sådan avkodare redan tillgänglig. För att göra detta måste du lägga till ett exempel på krypteringsverktyget och andra misstänkta filer, om några, till arkivet och skicka detta arkiv till oss med . Inkludera även flera exempel på krypterade filer i arkivet. I kommentarerna, ange omständigheterna under vilka infektionen inträffade, samt dina licensdata och kontakt e-post för feedback.

Du kan försöka återställa den ursprungliga, okrypterade versionen av filer från skuggkopior, förutsatt att denna funktion var aktiverad och om skuggkopiorna inte skadades av ett krypteringsvirus. Mer om detta:

För mer information kontakta .

Nyligen har det skett en ökning av aktiviteten för en ny generation skadliga datorprogram. De dök upp för ganska länge sedan (6 - 8 år sedan), men takten i implementeringen har nått sitt maximum just nu. Allt oftare kan du stöta på det faktum att ett virus har krypterade filer.

Det är redan känt att dessa inte bara är primitiv skadlig kod, till exempel (som orsakar en blå skärm), utan allvarliga program som syftar till att skada, som regel, redovisningsdata. De krypterar alla befintliga filer inom räckhåll, inklusive 1C-redovisningsdata, docx, xlsx, jpg, doc, xls, pdf, zip.

Den särskilda faran med virusen i fråga

Det ligger i det faktum att en RSA-nyckel används, som är knuten till en specifik användares dator, varför en universell dekryptering används ( dekryptering) frånvarande. Virus som aktiveras på en dator kanske inte fungerar på en annan.

Faran ligger också i det faktum att färdiga byggprogram har lagts ut på Internet i mer än ett år, vilket gör att även hackare (personer som anser sig vara hackare, men inte studerar programmering) kan utveckla den här typen av virus.

För närvarande har mer kraftfulla ändringar dykt upp.

Metod för att introducera dessa skadliga program

Viruset skickas målmedvetet, vanligtvis till företagets ekonomiavdelning. Först samlas e-postmeddelanden från HR-avdelningar och ekonomiavdelningar in från databaser som till exempel hh.ru. Därefter skickas brev ut. De innehåller oftast en begäran om antagning till en viss tjänst. Till ett sådant brev med ett CV, inuti vilket är ett riktigt dokument med ett implanterat OLE-objekt (pdf-fil med ett virus).

I situationer där redovisningsanställda omedelbart lanserade det här dokumentet hände följande efter en omstart: viruset döpte om och krypterade filerna och förstördes sedan själv.

Denna typ av brev är som regel korrekt skrivet och skickat från en postlåda som inte är skräppost (namnet matchar signaturen). En ledig tjänst söks alltid utifrån företagets kärnverksamhet, varför misstankar inte uppstår.

Varken det licensierade Kaspersky (antivirusprogrammet) eller Virus Total (en onlinetjänst för att kontrollera bilagor för virus) kan säkra datorn i det här fallet. Ibland rapporterar vissa antivirusprogram, när de skannar, att bilagan innehåller Gen:Variant.Zusy.71505.

Hur undviker man infektion med detta virus?

Varje mottagen fil bör kontrolleras. Särskild uppmärksamhet ägnas åt Word-dokument som har inbäddade pdf.

Alternativ för "infekterade" e-postmeddelanden

Det finns ganska många av dem. De vanligaste alternativen för hur viruskrypterade filer presenteras nedan. I samtliga fall skickas följande dokument via e-post:

1. Meddelande om starten av processen för att granska en stämningsansökan mot ett specifikt företag (brevet ber dig kontrollera uppgifterna genom att klicka på den angivna länken).
2. Brev från Ryska federationens högsta skiljedomstol om inkasso.
3. Meddelande från Sberbank angående ökningen av befintliga skulder.
4. Meddelande om registrering av trafiköverträdelse.
5. Ett brev från Inkassobyrån som anger maximalt anstånd med betalningen.

Meddelande om filkryptering

Efter infektion kommer den att visas i rotmappen på enhet C. Ibland placeras filer som WHAT_DO_DELA.txt, CONTACT.txt i alla kataloger med skadad text. Där informeras användaren om krypteringen av sina filer, som utförs med tillförlitliga kryptografiska algoritmer. Han varnas också för det olämpliga att använda verktyg från tredje part, eftersom detta kan leda till permanent skada på filerna, vilket i sin tur kommer att göra det omöjligt att dekryptera dem senare.

Meddelandet rekommenderar att du lämnar din dator som den är. Den indikerar lagringstiden för den medföljande nyckeln (vanligtvis 2 dagar). Ett exakt datum anges efter vilket alla typer av förfrågningar kommer att ignoreras.

Ett mejl ges i slutet. Det står också att användaren måste uppge sitt ID och att någon av följande åtgärder kan leda till att nyckeln förstörs, nämligen:

Hur dekrypterar man filer krypterade av ett virus?

Den här typen av kryptering är mycket kraftfull: filen tilldelas ett tillägg som perfect, nochance, etc. Det är helt enkelt omöjligt att knäcka, men du kan försöka använda kryptoanalytiker och hitta ett kryphål (Dr. WEB hjälper i vissa situationer) .

Det finns ett annat sätt att återställa filer krypterade av ett virus, men det fungerar inte för alla virus, och du måste också ta bort den ursprungliga exe-filen tillsammans med detta skadliga program, vilket är ganska svårt att göra efter självförstörelse.

Virusets begäran om införandet av en speciell kod är en mindre kontroll, eftersom filen redan har en dekryptering vid denna tidpunkt (koden från så att säga angriparna kommer inte att behövas). Kärnan i denna metod är att infoga tomma kommandon i det infiltrerade viruset (på samma plats där den inmatade koden jämförs). Resultatet är att det skadliga programmet själv börjar dekryptera filer och därigenom helt återställer dem.

Varje enskilt virus har sin egen speciella krypteringsfunktion, varför det inte kommer att vara möjligt att dekryptera det med en körbar fil från tredje part (exe-formatfil), eller så kan du försöka välja ovanstående funktion, för vilken alla åtgärder måste utföras ut med WinAPI.

filer: vad ska man göra?

För att utföra dekrypteringsproceduren behöver du:

Hur undviker man dataförlust på grund av skadlig programvara i fråga?

Det är värt att veta att i en situation där ett virus har krypterade filer kommer dekrypteringsprocessen att ta tid. En viktig punkt är att det i ovan nämnda skadliga program finns en bugg som låter dig spara vissa filer om du snabbt stänger av datorn (dra ut kontakten ur uttaget, stäng av strömfiltret, ta bort batteriet i fodralet av en bärbar dator), så snart ett stort antal filer med det tidigare angivna tillägget visas .

Återigen bör det betonas att det viktigaste är att ständigt skapa säkerhetskopior, men inte till en annan mapp, inte till flyttbara media som infogas i datorn, eftersom denna modifiering av viruset kommer att nå dessa platser. Det är värt att spara säkerhetskopior på en annan dator, på en hårddisk som inte är permanent ansluten till datorn och i molnet.

Du bör vara misstänksam mot alla dokument som kommer via post från okända personer (i form av ett CV, faktura, resolution från Ryska federationens högsta skiljedomstol eller skattekontoret, etc.). Du behöver inte köra dem på din dator (för dessa ändamål kan du välja en netbook som inte innehåller viktiga data).

Skadligt program * [e-postskyddad]: lösningar

I en situation där ovanstående virus har krypterade filer cbf, doc, jpg, etc., finns det bara tre alternativ för utvecklingen av händelsen:

1. Det enklaste sättet att bli av med det är att ta bort alla infekterade filer (detta är acceptabelt om inte data är särskilt viktiga).
2. Gå till laboratoriet för ett antivirusprogram, till exempel Dr. WEBB. Se till att skicka flera infekterade filer till utvecklarna tillsammans med dekrypteringsnyckeln, som finns på datorn som KEY.PRIVATE.
3. Det dyraste sättet. Det innebär att betala det belopp som begärs av hackare för att dekryptera infekterade filer. Som regel är kostnaden för denna tjänst mellan 200 och 500 US-dollar. Detta är acceptabelt i en situation där ett virus har krypterat filerna hos ett stort företag som har ett betydande informationsflöde varje dag, och detta skadliga program kan orsaka enorm skada på några sekunder. I detta avseende är betalning det snabbaste alternativet för att återställa infekterade filer.

Ibland visar sig ett extra alternativ vara effektivt. I fallet där ett virus har krypterade filer (paycrypt@gmail_com eller annan skadlig kod) kan det hjälpa för några dagar sedan.

Dekrypteringsprogrammet RectorDecryptor

Om viruset har krypterade jpg-, doc-, cbf-filer etc. så kan ett speciellt program hjälpa. För att göra detta måste du först gå till start och inaktivera allt utom antivirus. Därefter måste du starta om datorn. Visa alla filer, markera misstänkta. Fältet som heter "Kommando" anger platsen för en specifik fil (var uppmärksam på applikationer som inte har en signatur: tillverkare - inga data).

Alla misstänkta filer måste raderas, varefter du måste rensa webbläsarens cacheminne och tillfälliga mappar (CCleaner är lämplig för detta).

För att börja dekryptera måste du ladda ner programmet ovan. Kör sedan den och klicka på knappen "Starta skanning", som anger de ändrade filerna och deras tillägg. I moderna versioner av detta program kan du bara ange själva den infekterade filen och klicka på knappen "Öppna". Efter detta kommer filerna att dekrypteras.

Därefter skannar verktyget automatiskt all datordata, inklusive filer som finns på den anslutna nätverksenheten, och dekrypterar dem. Återställningsprocessen kan ta flera timmar (beroende på mängden arbete och datorns hastighet).

Som ett resultat kommer allt att dekrypteras till samma katalog där de ursprungligen fanns. Slutligen, allt som återstår är att ta bort alla befintliga filer med en misstänkt tillägg, för vilken du kan markera rutan i begäran om "Ta bort krypterade filer efter framgångsrik dekryptering" genom att först klicka på knappen "Ändra skanningsparametrar". Det är dock bättre att inte installera det, eftersom om dekryptering av filer misslyckas kan de raderas, och därefter måste du återställa dem först.

Så om ett virus har krypterade doc, cbf, jpg, etc.-filer, bör du inte skynda dig att betala för koden. Han kanske inte behövs.

Nyanser av att radera krypterade filer

När du försöker eliminera alla skadade filer genom en vanlig sökning och efterföljande radering, kan din dator frysa och sakta ner. I detta avseende är det värt att använda en speciell procedur. Efter att ha startat den måste du ange följande: del ".<диск>:\*.<расширение зараженного файла>"/f/s.

Det är absolut nödvändigt att ta bort filer som "Read-me.txt", för vilka du på samma kommandorad ska ange: del "<диск>:\*.<имя файла>"/f/s.

Således kan det noteras att om viruset har bytt namn och krypterat filer, bör du inte omedelbart spendera pengar på att köpa en nyckel från angripare, du bör först försöka ta reda på problemet själv. Det är bättre att investera pengar i att köpa ett speciellt program för att dekryptera skadade filer.

Slutligen är det värt att komma ihåg att den här artikeln diskuterade frågan om hur man dekrypterar filer krypterade av ett virus.

God dag till alla, mina kära vänner och läsare av min blogg. Idag kommer ämnet att vara ganska sorgligt, eftersom det kommer att röra virus. Jag ska berätta om en incident som hände på mitt arbete för inte så länge sedan. En anställd ringde min avdelning med en upprymd röst: "Dima, viruset har krypterat filerna på datorn: vad ska jag göra nu?" Sedan insåg jag att det luktade som att något var stekt, men tillslut gick jag till henne för att titta.

Ja. Allt visade sig vara sorgligt. De flesta filerna på datorn var infekterade, eller snarare krypterade: Office-dokument, PDF-filer, 1C-databaser och många andra. I allmänhet, komplett ass. Förmodligen var det bara arkiv, ansökningar och textdokument (och en massa annat) som inte påverkades. Alla dessa data ändrade sin förlängning och ändrade också sina namn till något som sjd7gy2HjdlVnsjds.
Dessutom dök flera identiska README.txt-dokument upp på skrivbordet och i mappar De säger ärligt att din dator är infekterad och att du inte vidtar några åtgärder, inte tar bort någonting, skannar inte med antivirus, annars kommer filerna inte att bli. returnerad.
Filen säger också att dessa trevliga människor kommer att kunna återställa allt som det var. För att göra detta måste de skicka nyckeln från dokumentet till sin e-post, varefter du får de nödvändiga instruktionerna. De skriver inte priset, men det visar sig faktiskt att kostnaden för en retur är ungefär 20 000 rubel.

Är din data värd pengarna? Är du redo att betala för att ta bort ransomware? Jag tvivlar. Vad ska man göra då? Låt oss prata om detta senare. För nu, låt oss börja med allt i ordning.

Var kommer det ifrån

Var kommer detta otäcka krypteringsvirus ifrån? Allt är väldigt enkelt här. Folk hämtar det via e-post. Som regel tränger detta virus in i organisationer, företagsbrevlådor, men inte bara. Vid första anblicken kommer du inte att missta det för kakao, eftersom det inte kommer i form av spam, men från en verklig seriös organisation, till exempel, fick vi ett brev från Rostelecom-leverantören från deras officiella post.

Brevet var helt vanligt, som "Nya taxeplaner för juridiska personer." En PDF-fil ingår inuti. Och när du öppnar den här filen öppnar du Pandoras ask. Alla viktiga filer krypteras och förvandlas till en "kloss" i enkla ord. Dessutom fångar antivirus inte den här skiten direkt.

Vad jag gjorde och vad fungerade inte

Naturligtvis ville ingen betala 20 tusen för detta, eftersom informationen inte var värd så mycket, och dessutom var det inte alls ett alternativ att hantera bedragare. Och dessutom är det inte ett faktum att för detta belopp kommer allt att låsas upp för dig.

Jag körde drweb cureit-verktyget och det hittade viruset, men det var till liten nytta, eftersom filerna även efter viruset förblev krypterade. Att ta bort viruset visade sig vara enkelt, men att hantera konsekvenserna är mycket svårare. Jag gick till Doctor Web- och Kaspersky-forumen och där hittade jag ämnet jag behövde, och fick också veta att varken där eller där kunde hjälpa till med dekryptering ännu. Allt var väldigt hårt krypterat.

Men sökmotorer började visa resultat att vissa företag dekrypterar filer mot en avgift. Tja, det här intresserade mig, speciellt eftersom företaget visade sig vara verkligt, faktiskt existerande. På deras hemsida erbjöd de sig att dechiffrera fem stycken gratis för att visa sina förmågor. Tja, jag tog och skickade dem de 5 viktigaste filerna enligt min mening.
Efter en tid fick jag svar att de lyckades dechiffrera allt och att de för fullständig avkodning skulle debitera mig 22 tusen. Dessutom ville de inte ge mig filerna. Jag antog direkt att de med största sannolikhet arbetade tillsammans med bedragare. Jo, naturligtvis skickades de till helvetet.

• med hjälp av programmen "Recuva" och "RStudio"
• Går igenom olika verktyg
• Tja, för att lugna mig själv kunde jag inte låta bli att försöka (även om jag mycket väl visste att det inte skulle hjälpa) bara att göra det som var nödvändigt. Brad såklart)

Inget av detta hjälpte mig. Men jag hittade ändå en väg ut.\r\n\r\nSjälvklart, om du plötsligt har en sådan situation, titta då på vilken förlängning filerna är krypterade med. Efter det gå till http://support.kaspersky.ru/viruses/disinfection/10556 och se vilka tillägg som är listade. Om ditt tillägg finns på listan, använd det här verktyget.
Men i alla 3 fall jag såg dessa ransomware hjälpte inget av dessa verktyg. Närmare bestämt stötte jag på ett virus "da vinci-koden" Och "VALV". I det första fallet ändrades både namnet och tillägget, och i det andra bara tillägget. I allmänhet finns det ett helt gäng sådana krypteringar. Jag hör sådana jävlar som xtbl, ingen mer lösen, bättre ringa saul och många andra.

Vad hjälpte

Har du någonsin hört talas om skuggkopior? Så när en återställningspunkt skapas skapas skuggkopior av dina filer automatiskt. Och om något händer med dina filer kan du alltid återställa dem till det ögonblick då återställningspunkten skapades. Ett underbart program för att återställa filer från skuggkopior hjälper oss med detta.

Att börja ladda ner och installera programmet "Shadow Explorer". Om den senaste versionen misslyckas (detta händer), installera sedan den föregående.

Gå till Shadow Explorer. Som vi kan se liknar programmets huvuddel Explorer, d.v.s. filer och mappar. Var nu uppmärksam på det övre vänstra hörnet. Där ser vi den lokala enhetsbeteckningen och datumet. Detta datum betyder att alla inskickade filer på enhet C är aktuella vid den tidpunkten. Jag har 30 november. Det betyder att den sista återställningspunkten skapades den 30 november.
Om vi ​​klickar på rullgardinsmenyn för datum ser vi för vilka datum vi fortfarande har skuggkopior. Och om vi klickar på rullgardinsmenyn med lokala enheter och väljer till exempel enhet D, ser vi vilket datum vi har aktuella filer. Men för disken D punkter skapas inte automatiskt, så denna sak måste anges i inställningarna. Detta mycket lätt att göra.
Som du kan se, om för disken C Jag har ett ganska nyligt datum, då för disken D den sista punkten skapades för nästan ett år sedan. Tja, då gör vi det punkt för punkt:

Allt. Nu återstår bara att vänta på att exporten ska slutföras. Och sedan går vi till själva mappen som du valde och kontrollerar alla filer för öppningsbarhet och funktionalitet. Allt är coolt).
Jag vet att Internet erbjuder några andra olika metoder, verktyg etc., men jag kommer inte att skriva om dem, eftersom det är tredje gången jag stöter på det här problemet, och ingenting annat än skuggkopior har någonsin hjälpt mig. Även om jag kanske bara hade otur).

Men förra gången var det tyvärr möjligt att återställa endast de filer som fanns på enhet C, eftersom punkter som standard skapades endast för enhet C. Följaktligen fanns det inga skuggkopior för enhet D. Naturligtvis måste du också komma ihåg att det finns återställningspunkter, vilket kan leda till, så håll koll på det också.

Och för att skuggkopior ska skapas för andra hårddiskar behöver du dem också.

Förebyggande

För att undvika problem med återhämtning måste du förebygga. För att göra detta måste du följa följande regler.

Förresten, detta virus krypterade en gång filer på en flash-enhet där våra nyckelcertifikat för digitala signaturer fanns. Så var mycket försiktig med flash-enheter också.

Med vänliga hälsningar, Dmitry Kostin.

Bekämpar nya virushot - ransomware

Vi skrev nyligen om det faktum att nya hot sprids på Internet - ransomware-virus eller, mer omfattande, filkrypterande virus, du kan läsa mer om dem på vår hemsida, på denna länk.

I det här ämnet kommer vi att berätta hur du kan returnera data krypterad av ett virus för detta kommer vi att använda två dekrypteringar, från Kaspersky och Doctor Web antivirus, dessa är de mest effektiva metoderna för att returnera krypterad information.

1. Ladda ner verktyg för att dekryptera filer från länkarna: Kaspersky och Dr.WEB

Eller dekrypteringar för en specifik typ av krypterade filer som är .

2. Först kommer vi att försöka dekryptera filerna med hjälp av ett program från Kaspersky:

2.1. Starta Kasperskys dekrypteringsprogram, om den ber om några åtgärder, till exempel tillstånd att starta, startar vi den, om den ber om att uppdatera uppdaterar vi den, detta ökar chanserna att returnera krypterad data

2.2. I programfönstret som dyker upp för att dekryptera filer ser vi flera knappar. Konfigurera avancerade inställningar och börja skanna.

2.3. Om det behövs, välj ytterligare alternativ och ange var du ska söka efter krypterade filer och, om nödvändigt, radera efter dekryptering. Jag rekommenderar inte att du väljer det här alternativet, filer dekrypteras inte alltid korrekt!

2.4. Vi startar skanningen och väntar på att våra viruskrypterade data ska dekrypteras.

3. Om den första metoden inte fungerade. Låt oss försöka dekryptera filer med ett program från Dr. WEBB

3.1. När du har laddat ner dekrypteringsapplikationen lägger du den till exempel i roten på "C:"-enheten., så filen "te102decrypt.exe" bör vara tillgänglig på "c:\te102decrypt.exe"

3.2. Nu gå till kommandoraden(Starta-Sök-Skriv "CMD" utan citattecken-kör genom att trycka på Enter)

3.3. För att börja dekryptera filer skriv kommandot "c:\te102decrypt.exe -k 86 -e (krypteringskod)". Ransomware-koden är ett tillägg som läggs till i slutet av filen, till exempel " [e-postskyddad] _45jhj" - skriv utan citattecken och parentes, observera mellanslag. Du bör få något som c:\te102decrypt.exe -k 86 -e [e-postskyddad] _45jhj

3.4. Tryck på Enter och vänta på att filerna ska dekrypteras som har krypterats, i vissa fall skapas flera kopior av de dekrypterade filerna, du försöker köra dem, spara kopian av den dekrypterade filen som öppnas normalt, resten kan raderas.

Ladda ner andra fildekrypteringar:

Uppmärksamhet: Se till att spara en kopia av de krypterade filerna på en extern enhet eller annan dator. Dekrypteringarna som presenteras nedan får inte dekryptera filer, utan bara korrumpera dem!

Det är bäst att köra dekrypteringen på en virtuell maskin eller på en speciellt förberedd dator, efter att först ha laddat ner flera filer till dem.

Dekrypteringarna som presenteras nedan fungerar enligt följande: Till exempel är dina filer krypterade med amba-krypteringen och filerna ser ut som "Agreement.doc.amba" eller "Account.xls.amba", ladda sedan ner dekrypteringsprogrammet för amba-filer och kör det, det kommer att hitta alla filer med detta tillägg och dekryptera det, men jag upprepar, skydda dig själv och först göra en kopia av de krypterade filerna, annars kan du förlora dina felaktigt dekrypterade data för alltid!

Om du inte vill ta risker, skicka sedan flera filer till oss, efter att ha kontaktat oss med hjälp av feedbackformuläret kommer vi att starta dekrypteringen på en speciellt förberedd dator, isolerad från Internet.

De presenterade filerna kontrollerades med den senaste versionen av Kaspersky antivirus och med de senaste databasuppdateringarna.

Virus i sig som ett datorhot överraskar ingen idag. Men om de tidigare påverkade systemet som helhet och orsakade störningar i dess prestanda, idag, med tillkomsten av en sådan sort som ett krypteringsvirus, påverkar åtgärderna från ett genomträngande hot mer användardata. Det utgör kanske ett ännu större hot än körbara program som är destruktiva för Windows eller spionprogram.

Vad är ett ransomware-virus?

Själva koden, skriven i ett självkopierande virus, innebär att nästan all användardata krypteras med speciella kryptografiska algoritmer, utan att påverka operativsystemets systemfiler.

Till en början var logiken i virusets inverkan inte helt klar för många. Allt blev klart först när hackarna som skapade sådana applets började kräva pengar för att återställa den ursprungliga filstrukturen. Samtidigt tillåter det krypterade viruset dig inte att dekryptera filer på grund av dess egenskaper. För att göra detta behöver du en speciell dekryptering, om du vill, en kod, ett lösenord eller en algoritm som krävs för att återställa det önskade innehållet.

Principen för penetration i systemet och driften av viruskoden

Som regel är det ganska svårt att "plocka upp" sådan skit på Internet. Den huvudsakliga spridningskällan för "infektionen" är e-post på nivån för program installerade på en specifik datorterminal, såsom Outlook, Thunderbird, The Bat, etc. Låt oss notera direkt: detta gäller inte för e-postservrar på Internet, eftersom de har en ganska hög grad av skydd, och tillgång till användardata är endast möjlig på nivån

En annan sak är en applikation på en datorterminal. Det är här området för virusverkan är så brett att det är omöjligt att föreställa sig. Det är sant att det också är värt att göra en reservation här: i de flesta fall riktar virus sig mot stora företag från vilka de kan "ripa av" pengar för att tillhandahålla en dekrypteringskod. Detta är förståeligt, för inte bara på lokala datorterminaler utan också på sådana företags servrar kan filer så att säga lagras i en enda kopia, som inte kan förstöras under några omständigheter. Och sedan blir det ganska problematiskt att dekryptera filer efter ett ransomware-virus.

Naturligtvis kan en vanlig användare utsättas för en sådan attack, men i de flesta fall är detta osannolikt om du följer de enklaste rekommendationerna för att öppna bilagor med tillägg av okänd typ. Även om en e-postklient upptäcker en bilaga med filtillägget .jpg som en standardgrafisk fil, måste den först kontrolleras som standard installerad på systemet.

Om detta inte görs, när du öppnar det genom att dubbelklicka (standardmetod), kommer aktiveringen av koden att starta och krypteringsprocessen börjar, varefter samma Breaking_Bad (krypteringsvirus) inte bara kommer att vara omöjligt att ta bort, men även filerna kommer inte att kunna återställas efter att hotet har eliminerats.

Allmänna konsekvenser av penetration av alla virus av denna typ

Som redan nämnts kommer de flesta virus av denna typ in i systemet via e-post. Tja, låt oss säga att en stor organisation får ett brev till en specifik registrerad e-post med innehåll som "Vi har ändrat kontraktet, skannad kopia bifogas" eller "Du har fått en faktura för att skicka varorna (en kopia där)." Naturligtvis öppnar den intet ont anande medarbetaren filen och...

Alla användarfiler på nivån för kontorsdokument, multimedia, specialiserade AutoCAD-projekt eller andra arkivdata krypteras omedelbart, och om datorterminalen är placerad i ett lokalt nätverk kan viruset överföras vidare och kryptera data på andra maskiner (detta blir märkbar omedelbart efter "bromsning" av systemet och frysning av program eller program som körs för närvarande).

I slutet av krypteringsprocessen skickar tydligen viruset självt en sorts rapport, varefter företaget kan få ett meddelande om att ett sådant och ett hot har trängt in i systemet, och att bara en sådan och en sådan organisation kan dekryptera det. Detta involverar vanligtvis ett virus. [e-postskyddad]. Därefter kommer ett krav på att betala för dekrypteringstjänster med ett erbjudande att skicka flera filer till kundens e-post, vilket oftast är fiktivt.

Skada från exponering för kod

Om någon ännu inte har förstått: att dekryptera filer efter ett ransomware-virus är en ganska arbetskrävande process. Även om du inte ger efter för angriparnas krav och försöker involvera officiella myndigheter i att bekämpa och förebygga databrott, brukar det inte bli något bra av det.

Om du tar bort alla filer, producerar och till och med kopierar originaldata från flyttbara media (naturligtvis, om det finns en sådan kopia), kommer allt fortfarande att krypteras igen om viruset aktiveras. Så du bör inte lura dig själv för mycket, särskilt eftersom när du sätter in samma flash-enhet i en USB-port kommer användaren inte ens att märka hur viruset kommer att kryptera data på den också. Då har du inga problem.

Förstfödd i familjen

Låt oss nu rikta uppmärksamheten mot det första krypteringsviruset. Vid tidpunkten för dess uppkomst hade ingen ännu tänkt på hur man skulle bota och dekryptera filer efter att ha blivit utsatt för en körbar kod som finns i en e-postbilaga med ett dejtingerbjudande. Medvetenheten om katastrofens omfattning kom först med tiden.

Det viruset hade det romantiska namnet "I Love You". En intet ont anande användare öppnade en bilaga i ett e-postmeddelande och fick helt ospelbara multimediafiler (grafik, video och ljud). På den tiden såg dock sådana handlingar mer destruktiva ut (skada på användarmediabibliotek), och ingen krävde pengar för det.

De senaste ändringarna

Som vi ser har teknikutvecklingen blivit en ganska lönsam verksamhet, särskilt med tanke på att många chefer för stora organisationer omedelbart springer för att betala för dekrypteringsinsatser, utan att alls tänka på att de kan förlora både pengar och information.

Förresten, titta inte på alla dessa "fel" inlägg på Internet och säg: "Jag betalade/betalade det nödvändiga beloppet, de skickade en kod till mig, allt återställdes." dumheter! Allt detta är skrivet av utvecklarna av viruset själva för att locka till sig potentiella, ursäkta mig, "suckers". Men enligt standarden för en vanlig användare är beloppen att betala ganska allvarliga: från hundratals till flera tusen eller tiotusentals euro eller dollar.

Låt oss nu titta på de nyaste typerna av virus av denna typ, som registrerades relativt nyligen. Alla av dem är praktiskt taget lika och tillhör inte bara kategorin krypteringar, utan också till gruppen av så kallade ransomware. I vissa fall agerar de mer korrekt (som paycrypt), och verkar skicka officiella affärserbjudanden eller meddelanden om att någon bryr sig om användarens eller organisationens säkerhet. Ett sådant krypterande virus vilseleder helt enkelt användaren med sitt budskap. Om han tar ens den minsta åtgärd för att betala, det är det - "skilsmässan" kommer att vara komplett.

XTBL-virus

Denna relativt nya kan klassificeras som en klassisk version av ransomware. Vanligtvis kommer den in i systemet via e-postmeddelanden som innehåller bifogade filer, vilket är standard för Windows-skärmsläckare. Systemet och användaren tycker att allt är bra och aktiverar visning eller lagring av bilagan.

Tyvärr leder detta till tråkiga konsekvenser: filnamnen omvandlas till en uppsättning tecken, och .xtbl läggs till i huvudtillägget, varefter ett meddelande skickas till den önskade e-postadressen om möjligheten till dekryptering efter att ha betalat det angivna beloppet (vanligtvis 5 tusen rubel).

CBF-virus

Denna typ av virus tillhör också genrens klassiker. Den visas på systemet efter att ha öppnat e-postbilagor, och byter sedan namn på användarfiler, och lägger till ett tillägg som .nochance eller .perfect i slutet.

Tyvärr är det inte möjligt att dekryptera ett ransomware-virus av denna typ för att analysera innehållet i koden även i det skede då det dyker upp i systemet, eftersom det självförstörs efter att ha slutfört sina åtgärder. Inte ens vad många tror är ett universellt verktyg som RectorDecryptor hjälper inte. Återigen får användaren ett brev med krav på betalning, för vilket två dagar ges.

Breaking_Bad virus

Den här typen av hot fungerar på samma sätt, men byter namn på filer i standardversionen och lägger till .breaking_bad till tillägget.

Situationen är inte begränsad till detta. Till skillnad från tidigare virus kan den här skapa ytterligare ett tillägg - .Heisenberg, så det är inte alltid möjligt att hitta alla infekterade filer. Så Breaking_Bad (ett ransomware-virus) är ett ganska allvarligt hot. Förresten, det finns fall där till och med Kaspersky Endpoint Security 10-licenspaketet missar den här typen av hot.

Virus [e-postskyddad]

Här är ett annat, kanske det allvarligaste hotet, som mest riktar sig mot stora kommersiella organisationer. Som regel får någon avdelning ett brev som innehåller till synes ändringar i leveransavtalet, eller till och med bara en faktura. Bilagan kan innehålla en vanlig .jpg-fil (som en bild), men oftare - ett körbart script.js (Java-applet).

Hur dekrypterar man den här typen av ransomware-virus? Att döma av det faktum att någon okänd RSA-1024-algoritm används där, inget sätt. Baserat på namnet kan du anta att detta är ett 1024-bitars krypteringssystem. Men, om någon kommer ihåg, idag anses 256-bitars AES vara den mest avancerade.

Encryptor virus: hur man desinficerar och dekrypterar filer med antivirusprogram

Hittills har inga lösningar ännu hittats för att tyda hot av denna typ. Även sådana mästare inom antivirusskydd som Kaspersky, Dr. Web och Eset kan inte hitta nyckeln till att lösa problemet när systemet är infekterat med ett krypterande virus. Hur desinficerar man filer? I de flesta fall föreslås det att skicka en begäran till antivirusutvecklarens officiella webbplats (förresten, bara om systemet har licensierad programvara från denna utvecklare).

I det här fallet måste du bifoga flera krypterade filer, såväl som deras "friska" original, om några. Generellt sett är det få människor som sparar kopior av data, så problemet med deras frånvaro förvärrar bara en redan obehaglig situation.

Möjliga sätt att identifiera och eliminera hotet manuellt

Ja, genomsökning med konventionella antivirusprogram identifierar hot och tar till och med bort dem från systemet. Men vad ska man göra med informationen?

Vissa försöker använda dekrypteringsprogram som det redan nämnda verktyget RectorDecryptor (RakhniDecryptor). Låt oss genast notera: detta kommer inte att hjälpa. Och i fallet med Breaking_Bad-viruset kan det bara göra skada. Och det är varför.

Faktum är att människor som skapar sådana virus försöker skydda sig själva och ge vägledning till andra. Vid användning av dekrypteringsverktyg kan viruset reagera på ett sådant sätt att hela systemet kraschar, med fullständig förstörelse av all data lagrad på hårddiskar eller logiska partitioner. Detta är så att säga en vägledande läxa till uppbyggelse för alla dem som inte vill betala. Vi kan bara lita på officiella antiviruslaboratorier.

Kardinalmetoder

Men om det är riktigt dåligt måste du offra information. För att helt bli av med hotet måste du formatera hela hårddisken, inklusive virtuella partitioner, och sedan installera operativsystemet igen.

Tyvärr finns det ingen annan utväg. Inte ens upp till en viss sparad återställningspunkt hjälper. Viruset kan försvinna, men filerna förblir krypterade.

Istället för ett efterord

Sammanfattningsvis är det värt att notera att situationen är denna: ett ransomware-virus tränger in i systemet, gör sitt smutsiga arbete och botas inte på något känt sätt. Antivirusskyddsverktyg var inte redo för den här typen av hot. Det säger sig självt att det är möjligt att upptäcka ett virus efter exponering eller ta bort det. Men den krypterade informationen kommer att förbli ful. Så jag skulle vilja hoppas att de bästa hjärnorna hos företag som utvecklar antivirusprogram fortfarande kommer att hitta en lösning, även om det, att döma av krypteringsalgoritmerna, kommer att vara mycket svårt att göra. Kom bara ihåg Enigma-krypteringsmaskinen som den tyska flottan hade under andra världskriget. De bästa kryptograferna kunde inte lösa problemet med en algoritm för att dekryptera meddelanden förrän de fick tag i enheten. Så är det här också.