Krypteringsvirus – vad är det, varför är det farligt. WannaCry ransomware virus: vad ska man göra? Behandling av ransomware-virus

En våg av ett nytt krypteringsvirus, WannaCry (andra namn Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), har svept över världen, som krypterar dokument på en dator och pressar 300-600 USD för att avkoda dem. Hur kan du se om din dator är infekterad? Vad ska du göra för att undvika att bli ett offer? Och vad ska man göra för att återhämta sig?

När du har installerat uppdateringarna måste du starta om din dator.

Hur återställer man sig från Wana Decrypt0r ransomware-viruset?

När antivirusverktyget upptäcker ett virus kommer det antingen att ta bort det omedelbart eller fråga dig om du ska behandla det eller inte? Svaret är att behandla.

Hur återställer man filer krypterade av Wana Decryptor?

Vi kan inte säga något lugnande just nu. Inget fildekrypteringsverktyg har ännu skapats. För nu återstår bara att vänta tills dekrypteringsprogrammet är utvecklat.

Enligt Brian Krebs, en datasäkerhetsexpert, har brottslingarna för tillfället bara fått 26 000 USD, det vill säga bara cirka 58 personer gick med på att betala lösensumman till utpressarna. Ingen vet om de har återställt sina dokument.

Hur stoppar man spridningen av ett virus online?

När det gäller WannaCry kan lösningen på problemet vara att blockera port 445 på brandväggen, genom vilken infektionen sker.

Virus i sig som ett datorhot överraskar ingen idag. Men om de tidigare påverkade systemet som helhet och orsakade störningar i dess prestanda, idag, med tillkomsten av en sådan sort som ett krypteringsvirus, påverkar åtgärderna från ett genomträngande hot mer användardata. Det utgör kanske ett ännu större hot än körbara program som är destruktiva för Windows eller spionprogram.

Vad är ett ransomware-virus?

Själva koden, skriven i ett självkopierande virus, innebär att nästan all användardata krypteras med speciella kryptografiska algoritmer, utan att påverka operativsystemets systemfiler.

Till en början var logiken i virusets inverkan inte helt klar för många. Allt blev klart först när hackarna som skapade sådana applets började kräva pengar för att återställa den ursprungliga filstrukturen. Samtidigt tillåter det krypterade viruset dig inte att dekryptera filer på grund av dess egenskaper. För att göra detta behöver du en speciell dekryptering, om du vill, en kod, ett lösenord eller en algoritm som krävs för att återställa det önskade innehållet.

Principen om penetration i systemet och driften av viruskoden

Som regel är det ganska svårt att "plocka upp" sådan skit på Internet. Den huvudsakliga spridningskällan för "infektionen" är e-post på nivån för program installerade på en specifik datorterminal, såsom Outlook, Thunderbird, The Bat, etc. Låt oss notera direkt: detta gäller inte för e-postservrar på Internet, eftersom de har en ganska hög grad av skydd, och tillgång till användardata är endast möjlig på nivån

En annan sak är en applikation på en datorterminal. Det är här området för virusverkan är så brett att det är omöjligt att föreställa sig. Det är sant att det också är värt att göra en reservation här: i de flesta fall riktar virus sig mot stora företag från vilka de kan "ripa av" pengar för att tillhandahålla en dekrypteringskod. Detta är förståeligt, för inte bara på lokala datorterminaler utan också på sådana företags servrar kan filer så att säga lagras i en enda kopia, som inte kan förstöras under några omständigheter. Och sedan blir det ganska problematiskt att dekryptera filer efter ett ransomware-virus.

Naturligtvis kan en vanlig användare utsättas för en sådan attack, men i de flesta fall är detta osannolikt om du följer de enklaste rekommendationerna för att öppna bilagor med tillägg av okänd typ. Även om en e-postklient upptäcker en bilaga med filtillägget .jpg som en standardgrafisk fil, måste den först kontrolleras som standard installerad på systemet.

Om detta inte görs, när du öppnar det genom att dubbelklicka (standardmetod), kommer aktiveringen av koden att starta och krypteringsprocessen börjar, varefter samma Breaking_Bad (krypteringsvirus) inte bara kommer att vara omöjligt att ta bort, men även filerna kommer inte att kunna återställas efter att hotet har eliminerats.

Allmänna konsekvenser av penetration av alla virus av denna typ

Som redan nämnts kommer de flesta virus av denna typ in i systemet via e-post. Tja, låt oss säga att en stor organisation får ett brev till en specifik registrerad e-post med innehåll som "Vi har ändrat kontraktet, skannad kopia bifogas" eller "Du har fått en faktura för att skicka varorna (en kopia där)." Naturligtvis öppnar den intet ont anande medarbetaren filen och...

Alla användarfiler på nivån för kontorsdokument, multimedia, specialiserade AutoCAD-projekt eller andra arkivdata krypteras omedelbart, och om datorterminalen är placerad i ett lokalt nätverk kan viruset överföras vidare och kryptera data på andra maskiner (detta blir märkbar omedelbart efter "bromsning" av systemet och frysning av program eller program som körs för närvarande).

I slutet av krypteringsprocessen skickar tydligen viruset självt en sorts rapport, varefter företaget kan få ett meddelande om att ett sådant och ett hot har trängt in i systemet, och att bara en sådan och en sådan organisation kan dekryptera det. Detta involverar vanligtvis ett virus. [e-postskyddad]. Därefter kommer ett krav på att betala för dekrypteringstjänster med ett erbjudande att skicka flera filer till kundens e-post, vilket oftast är fiktivt.

Skada av exponering för kod

Om någon ännu inte har förstått: att dekryptera filer efter ett ransomware-virus är en ganska arbetskrävande process. Även om du inte ger efter för angriparnas krav och försöker involvera officiella myndigheter i att bekämpa och förebygga databrott, brukar det inte bli något bra av det.

Om du tar bort alla filer, producerar och till och med kopierar originaldata från flyttbara media (naturligtvis, om det finns en sådan kopia), kommer allt fortfarande att krypteras igen om viruset aktiveras. Så du bör inte lura dig själv för mycket, särskilt eftersom när du sätter in samma flash-enhet i en USB-port kommer användaren inte ens att märka hur viruset kommer att kryptera data på den också. Då har du inga problem.

Förstfödd i familjen

Låt oss nu rikta uppmärksamheten mot det första krypteringsviruset. Vid tiden för dess uppkomst hade ingen ännu tänkt på hur man skulle bota och dekryptera filer efter att ha blivit utsatt för en körbar kod som finns i en e-postbilaga med ett dejtingerbjudande. Medvetenheten om katastrofens omfattning kom först med tiden.

Det viruset hade det romantiska namnet "I Love You". En intet ont anande användare öppnade en bilaga i ett e-postmeddelande och fick helt ospelbara multimediafiler (grafik, video och ljud). På den tiden såg dock sådana handlingar mer destruktiva ut (skada på användarmediabibliotek), och ingen krävde pengar för det.

De senaste ändringarna

Som vi ser har teknikutvecklingen blivit en ganska lönsam verksamhet, särskilt med tanke på att många chefer för stora organisationer omedelbart springer för att betala för dekrypteringsinsatser, utan att alls tänka på att de kan förlora både pengar och information.

Förresten, titta inte på alla dessa "fel" inlägg på Internet och säg: "Jag betalade/betalade det nödvändiga beloppet, de skickade en kod till mig, allt återställdes." dumheter! Allt detta är skrivet av utvecklarna av viruset själva för att locka till sig potentiella, ursäkta mig, "suckers". Men enligt standarden för en vanlig användare är beloppen att betala ganska allvarliga: från hundratals till flera tusen eller tiotusentals euro eller dollar.

Låt oss nu titta på de nyaste typerna av virus av denna typ, som registrerades relativt nyligen. Alla av dem är praktiskt taget lika och tillhör inte bara kategorin krypteringar, utan också till gruppen av så kallade ransomware. I vissa fall agerar de mer korrekt (som paycrypt), och verkar skicka officiella affärserbjudanden eller meddelanden om att någon bryr sig om användarens eller organisationens säkerhet. Ett sådant krypterande virus vilseleder helt enkelt användaren med sitt budskap. Om han tar ens den minsta åtgärd för att betala, det är det - "skilsmässan" kommer att vara komplett.

XTBL-virus

Denna relativt nya kan klassificeras som en klassisk version av ransomware. Vanligtvis kommer den in i systemet via e-postmeddelanden som innehåller bifogade filer, vilket är standard för Windows-skärmsläckare. Systemet och användaren tycker att allt är bra och aktiverar visning eller lagring av bilagan.

Tyvärr leder detta till tråkiga konsekvenser: filnamnen omvandlas till en uppsättning tecken, och .xtbl läggs till i huvudtillägget, varefter ett meddelande skickas till den önskade e-postadressen om möjligheten till dekryptering efter att ha betalat det angivna beloppet (vanligtvis 5 tusen rubel).

CBF-virus

Denna typ av virus tillhör också genrens klassiker. Det visas på systemet efter att ha öppnat e-postbilagor och byter sedan namn på användarfiler och lägger till ett tillägg som .nochance eller .perfect i slutet.

Tyvärr är det inte möjligt att dekryptera ett ransomware-virus av denna typ för att analysera innehållet i koden även i det skede då det dyker upp i systemet, eftersom det självförstörs efter att ha slutfört sina åtgärder. Inte ens vad många tror är ett universellt verktyg som RectorDecryptor hjälper inte. Återigen får användaren ett brev med krav på betalning, för vilket två dagar ges.

Breaking_Bad virus

Den här typen av hot fungerar på samma sätt, men byter namn på filer i standardversionen och lägger till .breaking_bad till tillägget.

Situationen är inte begränsad till detta. Till skillnad från tidigare virus kan denna skapa ytterligare ett tillägg - .Heisenberg, så det är inte alltid möjligt att hitta alla infekterade filer. Så Breaking_Bad (ett ransomware-virus) är ett ganska allvarligt hot. Förresten, det finns fall där till och med Kaspersky Endpoint Security 10-licenspaketet missar den här typen av hot.

Virus [e-postskyddad]

Här är ett annat, kanske det allvarligaste hotet, som mest riktar sig mot stora kommersiella organisationer. Som regel får någon avdelning ett brev som innehåller till synes ändringar i leveransavtalet, eller till och med bara en faktura. Bilagan kan innehålla en vanlig .jpg-fil (som en bild), men oftare - ett körbart script.js (Java-applet).

Hur dekrypterar man den här typen av ransomware-virus? Att döma av det faktum att någon okänd RSA-1024-algoritm används där, inget sätt. Baserat på namnet kan du anta att detta är ett 1024-bitars krypteringssystem. Men, om någon kommer ihåg, idag anses 256-bitars AES vara den mest avancerade.

Encryptor virus: hur man desinficerar och dekrypterar filer med antivirusprogram

Hittills har inga lösningar ännu hittats för att tyda hot av denna typ. Även sådana mästare inom antivirusskydd som Kaspersky, Dr. Web och Eset kan inte hitta nyckeln till att lösa problemet när systemet är infekterat med ett krypterande virus. Hur desinficerar man filer? I de flesta fall föreslås det att skicka en begäran till antivirusutvecklarens officiella webbplats (förresten, bara om systemet har licensierad programvara från denna utvecklare).

I det här fallet måste du bifoga flera krypterade filer, såväl som deras "friska" original, om några. Generellt sett är det få människor som sparar kopior av data, så problemet med deras frånvaro förvärrar bara en redan obehaglig situation.

Möjliga sätt att identifiera och eliminera hotet manuellt

Ja, genomsökning med konventionella antivirusprogram identifierar hot och tar till och med bort dem från systemet. Men vad ska man göra med informationen?

Vissa försöker använda dekrypteringsprogram som det redan nämnda verktyget RectorDecryptor (RakhniDecryptor). Låt oss genast notera: detta kommer inte att hjälpa. Och i fallet med Breaking_Bad-viruset kan det bara göra skada. Och det är varför.

Faktum är att människor som skapar sådana virus försöker skydda sig själva och ge vägledning till andra. När du använder dekrypteringsverktyg kan viruset reagera på ett sådant sätt att hela systemet kraschar, med fullständig förstörelse av all data lagrad på hårddiskar eller logiska partitioner. Detta är så att säga en vägledande läxa till uppbyggelse för alla dem som inte vill betala. Vi kan bara lita på officiella antiviruslaboratorier.

Kardinalmetoder

Men om det är riktigt dåligt måste du offra information. För att helt bli av med hotet måste du formatera hela hårddisken, inklusive virtuella partitioner, och sedan installera operativsystemet igen.

Tyvärr finns det ingen annan utväg. Inte ens upp till en viss sparad återställningspunkt hjälper. Viruset kan försvinna, men filerna förblir krypterade.

Istället för ett efterord

Sammanfattningsvis är det värt att notera att situationen är denna: ett ransomware-virus penetrerar systemet, gör sitt smutsiga arbete och botas inte på något känt sätt. Antivirusskyddsverktyg var inte redo för den här typen av hot. Det säger sig självt att det är möjligt att upptäcka ett virus efter exponering eller ta bort det. Men den krypterade informationen kommer att förbli ful. Så jag skulle vilja hoppas att de bästa hjärnorna hos företag som utvecklar antivirusprogram fortfarande kommer att hitta en lösning, även om det, att döma av krypteringsalgoritmerna, kommer att vara mycket svårt att göra. Kom bara ihåg Enigma-krypteringsmaskinen som den tyska flottan hade under andra världskriget. De bästa kryptograferna kunde inte lösa problemet med en algoritm för att dekryptera meddelanden förrän de fick tag i enheten. Så är det här också.

Den fortsätter sin förtryckande marsch över Internet, infekterar datorer och krypterar viktig data. Hur skyddar du dig mot ransomware, skyddar Windows från ransomware - har patchar släppts för att dekryptera och desinficera filer?

Nytt ransomware-virus 2017 Wanna Cry fortsätter att infektera företags- och privata datorer. U Skador från virusattack uppgår till 1 miljard dollar. Om 2 veckor infekterades ransomware-viruset åtminstone 300 tusen datorer trots varningar och säkerhetsåtgärder.

Ransomware virus 2017, vad är det?- som regel kan du "plocka upp" på de till synes mest ofarliga sajterna, till exempel bankservrar med användaråtkomst. Väl på offrets hårddisk "lägger sig" ransomware i systemmappen System32. Därifrån inaktiverar programmet omedelbart antivirus och går in i "Autorun"" Efter varje omstart, ransomware körs in i registret, börjar sitt smutsiga arbete. Ransomwaren börjar ladda ner liknande kopior av program som Ransom och Trojan. Det händer också ofta självreplikering av ransomware. Denna process kan vara tillfällig, eller det kan ta veckor innan offret märker att något är fel.

Ransomwaren klär sig ofta som vanliga bilder eller textfiler, men essensen är alltid densamma - detta är en körbar fil med filändelsen .exe, .drv, .xvd; Ibland - libraries.dll. Oftast har filen ett helt ofarligt namn, till exempel " dokumentera. doc", eller" bild.jpg", där tillägget skrivs manuellt, och den sanna filtypen är dold.

Efter att krypteringen är klar ser användaren, istället för bekanta filer, en uppsättning "slumpmässiga" tecken i namnet och insidan, och tillägget ändras till en tidigare okänd - .NO_MORE_RANSOM, .xdata och andra.

Wanna Cry ransomware virus 2017 – hur du skyddar dig själv. Jag vill omedelbart notera att Wanna Cry snarare är en samlingsbeteckning för alla krypterings- och ransomware-virus, eftersom det nyligen har infekterat datorer oftast. Så, vi ska prata om Skydda dig mot Ransom Ware ransomware, som det finns väldigt många av: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Hur man skyddar Windows från ransomware. – EternalBlue via SMB-portprotokoll.

Skydda Windows från ransomware 2017 – grundläggande regler:

• Windows-uppdatering, snabb övergång till ett licensierat operativsystem (observera: XP-versionen är inte uppdaterad)
• uppdatering av antivirusdatabaser och brandväggar vid behov
• extrem försiktighet vid nedladdning av filer (söta "sälar" kan resultera i förlust av all data)
• Säkerhetskopiera viktig information till flyttbara media.

Ransomware virus 2017: hur man desinficerar och dekrypterar filer.

Med antivirusprogramvara kan du glömma dekrypteringsprogrammet ett tag. I laboratorier Kaspersky, Dr. Webb, Avast! och andra antivirus för nu ingen lösning för att behandla infekterade filer hittades. För närvarande är det möjligt att ta bort viruset med ett antivirusprogram, men det finns inga algoritmer för att återställa allt "till det normala" ännu.

Vissa försöker använda dekrypteringar som verktyget RectorDecryptor, men det här hjälper inte: en algoritm för att dekryptera nya virus har ännu inte kompilerats. Det är också absolut okänt hur viruset kommer att bete sig om det inte tas bort efter användning av sådana program. Ofta kan detta resultera i att alla filer raderas - som en varning till dem som inte vill betala angriparna, upphovsmännen till viruset.

För tillfället är det mest effektiva sättet att återställa förlorad data att kontakta teknisk support. stöd från leverantören av antivirusprogrammet du använder. För att göra detta bör du skicka ett brev eller använda feedbackformuläret på tillverkarens webbplats. Se till att lägga till den krypterade filen i bilagan och, om tillgänglig, en kopia av originalet. Detta kommer att hjälpa programmerare att komponera algoritmen. Tyvärr kommer en virusattack för många som en fullständig överraskning, och inga kopior hittas, vilket komplicerar situationen avsevärt.

Hjärtmetoder för att behandla Windows från ransomware. Tyvärr måste du ibland ta till att helt formatera hårddisken, vilket medför en fullständig förändring av OS. Många kommer att tänka på att återställa systemet, men detta är inte ett alternativ - även en "återställning" kommer att bli av med viruset, men filerna kommer fortfarande att förbli krypterade.

är ett skadligt program som, när det är aktiverat, krypterar alla personliga filer, såsom dokument, foton, etc. Antalet sådana program är mycket stort och det ökar för varje dag. Först nyligen har vi stött på dussintals ransomware-varianter: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, etc. Målet med sådana krypteringsvirus är att tvinga användare att köpa, ofta för en stor summa pengar, programmet och nyckeln som behövs för att dekryptera sina egna filer.

Naturligtvis kan du återställa krypterade filer helt enkelt genom att följa instruktionerna som skaparna av viruset lämnar på den infekterade datorn. Men oftast är kostnaden för dekryptering mycket betydande, och du måste också veta att vissa ransomware-virus krypterar filer på ett sådant sätt att det helt enkelt är omöjligt att dekryptera dem senare. Och naturligtvis är det bara irriterande att betala för att återställa dina egna filer.

Nedan kommer vi att prata mer i detalj om krypteringsvirus, hur de penetrerar offrets dator, samt hur man tar bort krypteringsviruset och återställer filer krypterade av det.

Hur tränger ett ransomware-virus igenom en dator?

Ett ransomware-virus sprids vanligtvis via e-post. Brevet innehåller infekterade dokument. Sådana brev skickas till en enorm databas med e-postadresser. Författarna till detta virus använder vilseledande rubriker och innehåll i brev och försöker lura användaren att öppna ett dokument som är bifogat brevet. Vissa brev informerar om behovet av att betala en räkning, andra erbjuder sig att titta på den senaste prislistan, andra erbjuder sig att öppna ett roligt foto osv. I vilket fall som helst kommer att öppna den bifogade filen att resultera i att din dator infekteras med ett ransomware-virus.

Vad är ett ransomware-virus?

Ett ransomware-virus är ett skadligt program som infekterar moderna versioner av Windows-operativsystem, såsom Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Dessa virus försöker använda starkast möjliga krypteringslägen, till exempel RSA-2048 med nyckellängden är 2048 bitar, vilket praktiskt taget eliminerar möjligheten att välja en nyckel för att självständigt dekryptera filer.

När en dator infekteras använder ransomware-viruset systemkatalogen %APPDATA% för att lagra sina egna filer. För att automatiskt starta sig själv när datorn slås på skapar ransomware en post i Windows-registret: sektionerna HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\ Microsoft\Windows\CurrentVersion\Kör, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Omedelbart efter lanseringen genomsöker viruset alla tillgängliga enheter, inklusive nätverks- och molnlagring, för att fastställa filer som kommer att krypteras. Ett ransomware-virus använder ett filnamnstillägg som ett sätt att identifiera en grupp filer som kommer att krypteras. Nästan alla typer av filer är krypterade, inklusive sådana vanliga som:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, plånbok, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw

Omedelbart efter att filen är krypterad får den ett nytt tillägg, som ofta kan användas för att identifiera namnet eller typen av ransomware. Vissa typer av dessa skadliga program kan också ändra namnen på krypterade filer. Viruset skapar sedan ett textdokument med namn som HELP_YOUR_FILES, README, som innehåller instruktioner för att dekryptera de krypterade filerna.

Under sin drift försöker krypteringsviruset blockera möjligheten att återställa filer med hjälp av SVC-systemet (skuggkopia av filer). För att göra detta anropar viruset, i kommandoläge, verktyget för att administrera skuggkopior av filer med en nyckel som startar proceduren för att helt radera dem. Således är det nästan alltid omöjligt att återställa filer med hjälp av deras skuggkopior.

Ransomware-viruset använder aktivt skrämseltaktik genom att ge offret en länk till en beskrivning av krypteringsalgoritmen och visa ett hotfullt meddelande på skrivbordet. På så sätt försöker han utan att tveka tvinga användaren av den infekterade datorn att skicka dator-ID:t till e-postadressen till virusets författare för att försöka få tillbaka sina filer. Svaret på ett sådant meddelande är oftast lösensumman och adressen till e-plånboken.

Är min dator infekterad med ett ransomware-virus?

Det är ganska lätt att avgöra om en dator är infekterad med ett krypteringsvirus eller inte. Var uppmärksam på tilläggen av dina personliga filer, såsom dokument, foton, musik, etc. Om tillägget har ändrats eller dina personliga filer har försvunnit, vilket lämnar efter sig många filer med okända namn, är din dator infekterad. Ett tecken på infektion är dessutom närvaron av en fil med namnet HELP_YOUR_FILES eller README i dina kataloger. Den här filen kommer att innehålla instruktioner för att dekryptera filerna.

Om du misstänker att du har öppnat ett e-postmeddelande som är infekterat med ett ransomware-virus, men det finns inga symtom på infektion ännu, stäng inte av eller starta om din dator. Följ stegen som beskrivs i denna manual, avsnitt. Jag upprepar än en gång, det är mycket viktigt att inte stänga av datorn i vissa typer av ransomware, filkrypteringsprocessen aktiveras första gången du slår på datorn efter infektion!

Hur dekrypterar man filer krypterade med ett ransomware-virus?

Om denna katastrof inträffar, då finns det ingen anledning att få panik! Men du måste veta att det i de flesta fall inte finns någon gratis dekryptering. Detta beror på de starka krypteringsalgoritmerna som används av sådan skadlig kod. Det betyder att utan en privat nyckel är det nästan omöjligt att dekryptera filer. Att använda nyckelvalsmetoden är inte heller ett alternativ, på grund av nyckelns stora längd. Därför är det tyvärr enda sättet att försöka få tag i dekrypteringsnyckeln genom att bara betala författarna till viruset hela det begärda beloppet.

Naturligtvis finns det absolut ingen garanti för att efter betalning kommer författarna till viruset att kontakta dig och tillhandahålla den nödvändiga nyckeln för att dekryptera dina filer. Dessutom måste du förstå att genom att betala pengar till virusutvecklare så uppmuntrar du dem själv att skapa nya virus.

Hur tar man bort ett ransomware-virus?

Innan du börjar måste du veta att genom att börja ta bort viruset och försöka återställa filerna själv, blockerar du möjligheten att dekryptera filerna genom att betala författarna till viruset det belopp som de begärde.

Kaspersky Virus Removal Tool och Malwarebytes Anti-malware kan upptäcka olika typer av aktiva ransomware-virus och tar enkelt bort dem från din dator, MEN de kan inte återställa krypterade filer.

5.1. Ta bort ransomware med Kaspersky Virus Removal Tool

Som standard är programmet konfigurerat för att återställa alla filtyper, men för att påskynda arbetet rekommenderas det att endast lämna de filtyper som du behöver för att återställa. När du är klar med ditt val klickar du på OK.

Längst ned i QPhotoRec-programfönstret letar du upp knappen Bläddra och klickar på den. Du måste välja katalogen där de återställda filerna ska sparas. Det är lämpligt att använda en disk som inte innehåller krypterade filer som kräver återställning (du kan använda en flash-enhet eller extern enhet).

För att starta proceduren för att söka och återställa originalkopior av krypterade filer, klicka på knappen Sök. Denna process tar ganska lång tid, så ha tålamod.

När sökningen är klar klickar du på knappen Avsluta. Öppna nu mappen du har valt för att spara de återställda filerna.

Mappen kommer att innehålla kataloger som heter recup_dir.1, recup_dir.2, recup_dir.3, etc. Ju fler filer programmet hittar, desto fler kataloger kommer det att finnas. För att hitta de filer du behöver, kontrollera alla kataloger en efter en. För att göra det lättare att hitta filen du behöver bland ett stort antal återställda, använd det inbyggda Windows-söksystemet (efter filinnehåll), och glöm inte heller funktionen att sortera filer i kataloger. Du kan välja datumet då filen ändrades som ett sorteringsalternativ, eftersom QPhotoRec försöker återställa den här egenskapen när en fil återställs.

Hur förhindrar man att ett ransomware-virus infekterar din dator?

De flesta moderna antivirusprogram har redan ett inbyggt skyddssystem mot penetrering och aktivering av krypteringsvirus. Därför, om du inte har ett antivirusprogram på din dator, se till att installera det. Du kan ta reda på hur du väljer det genom att läsa detta.

Dessutom finns det specialiserade skyddsprogram. Till exempel, detta är CryptoPrevent, mer detaljer.

Några sista ord

Genom att följa dessa instruktioner kommer din dator att rensas från ransomware-viruset. Om du har några frågor eller behöver hjälp, vänligen kontakta oss.

Enligt de första rapporterna klassificerades krypteringsviruset som aktiverades av angripare i tisdags som en medlem av den redan kända Petya-familjen av ransomware, men det visade sig senare att detta var en ny familj av skadlig programvara med väsentligt annorlunda funktionalitet. Kaspersky Lab har kallat det nya viruset ExPetr.

”Den analys som genomfördes av våra experter visade att offren till en början inte hade någon chans att få tillbaka sina filer. "Kaspersky Labs forskare analyserade den del av skadlig kod som är associerad med filkryptering och fann att när skivan väl är krypterad har skaparna av viruset inte längre möjlighet att dekryptera det tillbaka", rapporterar laboratoriet.

Som företaget noterar kräver dekryptering en unik identifierare för en specifik trojansk installation. I tidigare kända versioner av liknande krypteringar Petya/Mischa/GoldenEye, innehöll installationsidentifieraren den information som behövs för dekryptering. I fallet med ExPetr finns inte denna identifierare. Detta innebär att skaparna av skadlig programvara inte kan få den information de behöver för att dekryptera filer. Med andra ord har offer för ransomware inget sätt att få tillbaka sin data, förklarar Kaspersky Lab.

Viruset blockerar datorer och kräver 300 dollar i bitcoins, säger Group-IB till RIA Novosti. Attacken började på tisdagen runt 11.00. Enligt mediarapporter hade Bitcoin-plånboken som specificerades för att överföra pengar till utpressarna vid 18-tiden på onsdagen fått nio överföringar. Med hänsyn till provisionen för överföringar överförde offren cirka 2,7 tusen dollar till hackarna.

Jämfört med WannaCry anses detta virus vara mer destruktivt, eftersom det sprids med flera metoder - med Windows Management Instrumentation, PsExec och EternalBlue-exploatet. Dessutom inkluderar ransomware det kostnadsfria Mimikatz-verktyget.

Antalet användare som attackerats av det nya "nya Petya" krypteringsviruset har nått 2 tusen, rapporterade Kaspersky Lab, som undersöker vågen av datorinfektioner, på onsdagen.

Enligt antivirusföretaget ESET började attacken i Ukraina, som drabbades mer än andra länder. Enligt företagets bedömning av länder som drabbats av viruset ligger Italien på andra plats efter Ukraina och Israel på tredje plats. I topp tio ingick även Serbien, Ungern, Rumänien, Polen, Argentina, Tjeckien och Tyskland. Ryssland tog 14:e plats i denna lista.

Dessutom sa Avast vilka operativsystem som påverkades mest av viruset.

Windows 7 var på första plats - 78% av alla infekterade datorer. Därefter kommer Windows XP (18 %), Windows 10 (6 %) och Windows 8.1 (2 %).

Således lärde WannaCry det globala samhället praktiskt taget ingenting - datorer förblev oskyddade, system uppdaterades inte och Microsofts ansträngningar att utfärda patchar även för föråldrade system gick helt enkelt till spillo.