Ovaj priručnik nije namijenjen tehničkim stručnjacima, stoga:

1. definicije nekih pojmova su pojednostavljene;
2. tehnički detalji se ne uzimaju u obzir;
3. metode zaštite sistema (instaliranje ažuriranja, konfigurisanje sigurnosnih sistema, itd.) se ne razmatraju.

Uputstvo sam napisao da pomognem sistem administratorima koji žele da obuče zaposlene kompanije koji su daleko od IT sfere (računovodstvo, kadrovi, prodavci itd.), u osnovama sajber higijene.

Glossary

Softver(u daljem tekstu - softver) - program ili skup programa koji se koriste za upravljanje računarom.

Enkripcija je transformacija podataka u oblik koji je nečitljiv bez ključa za šifriranje.

Ključ za šifriranje je tajna informacija koja se koristi prilikom šifriranja/dešifriranja datoteka.

Dekoder- program koji implementira algoritam dešifriranja.

Algoritam- set uputstava koja opisuju proceduru kojom izvođač treba postići neki rezultat.

prilog pošte- fajl priložen uz email.

Produžetak(ekstenzija naziva datoteke) je niz znakova koji se dodaje imenu datoteke i koristi za identifikaciju tipa datoteke (na primjer, *.doc, *.jpg). U zavisnosti od vrste datoteka, određeni program će se koristiti za njihovo otvaranje. Na primjer, ako je ekstenzija datoteke *.doc, tada će se pokrenuti MS Word da je otvori, ako je *.jpg, tada će se pokrenuti preglednik slika itd.

Veza(tačnije, hiperveza) je dio web stranice dokumenta koji upućuje na drugi element (naredbu, tekst, naslov, bilješku, sliku) u samom dokumentu ili na drugi objekt (datoteka, direktorij, aplikacija) koji se nalazi na na lokalnom disku ili u računarskoj mreži.

Tekstualni fajl je kompjuterska datoteka koja sadrži tekstualne podatke.

Arhiviranje- ovo je kompresija, odnosno smanjenje veličine datoteke.

Rezervna kopija— datoteka ili grupa datoteka stvorenih kao rezultat sigurnosne kopije informacija.

Backup- proces kreiranja kopije podataka na mediju (tvrdi disk, disketa, itd.) dizajniran za vraćanje podataka na originalnu ili novu lokaciju za skladištenje u slučaju oštećenja ili uništenja.

Domain(ime domene) - ime koje omogućava pristup Internet stranicama i mrežnim resursima koji se nalaze na njima (web stranice, serveri e-pošte, drugi servisi) u obliku koji je pogodan za osobu. Na primjer, umjesto 172.217.18.131 unesite google.com.ua, gdje su ua, com, google domene različitih nivoa.

Šta je ransomware virus?

ransomware virus(u daljem tekstu ransomware) je zlonamjerni softver koji šifrira korisničke datoteke i zahtijeva otkupninu za dešifriranje. Najčešće šifrirani tipovi datoteka su MS Office dokumenti i tabele ( docx, xlsx), Slike ( jpeg, png, tif), video fajlovi ( avi, mpeg, mkv itd.), dokumenta u formatu pdf itd., kao i datoteke baze podataka - 1C ( 1CD, dbf), akcenat ( mdf). Sistemske datoteke i programi su obično nešifrirani kako bi Windows radio i dali korisniku priliku da kontaktira ransomware. U rijetkim slučajevima, cijeli disk je šifriran; u ovom slučaju Windows se ne može učitati.

Koja je opasnost od ovakvih virusa?

U velikoj većini slučajeva samostalno dešifriranje je NEMOGUĆE, jer. koriste se izuzetno složeni algoritmi šifriranja. U vrlo rijetkim slučajevima, datoteke se mogu dešifrirati ako je došlo do infekcije već poznatom vrstom virusa, za koji su proizvođači antivirusnih programa pustili dešifriranje, ali čak ni u tom slučaju oporavak informacija nije 100% zagarantovan. Ponekad virus ima grešku u svom kodu, a dešifrovanje postaje nemoguće u principu, čak i od strane autora malvera.

U velikoj većini slučajeva, nakon kodiranja, enkriptor briše originalne datoteke pomoću posebnih algoritama, što isključuje mogućnost oporavka.

Još jedna opasna karakteristika virusa ove vrste je da su vrlo često “nevidljivi” za antiviruse, jer Algoritmi koji se koriste za šifriranje također se koriste u mnogim legalnim programima (na primjer, klijent-banka), zbog čega antivirusni programi ne percipiraju mnoge enkriptore kao zlonamjerni softver.

Načini infekcije.

Najčešće se infekcija događa putem priloga e-pošte. Korisnik prima e-mail od primatelja koji mu je poznat ili prerušen u organizaciju (poreska uprava, banka). Pismo može sadržavati zahtjev za obavljanje računovodstvenog usaglašavanja, potvrdu plaćanja računa, ponudu da se upoznate sa kreditnim dugom u banci ili nešto slično. Odnosno, informacije će biti takve da će sigurno zainteresirati ili uplašiti korisnika i potaknuti ih da otvore prilog e-pošte s virusom. Najčešće će izgledati kao arhiva koja sadrži *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat datoteku. Nakon pokretanja takve datoteke, odmah ili nakon nekog vremena, počinje proces šifriranja datoteka na PC-u. Takođe, zaraženi fajl se može poslati korisniku u nekom od programa za razmenu trenutnih poruka (Skype, Viber itd.).

Rjeđe se infekcija događa nakon instaliranja hakovanog softvera ili nakon klika na zaraženu vezu na web stranici ili u tijelu e-pošte.

Treba imati na umu da se vrlo često, nakon zaraze jednog računara na mreži, virus može proširiti na druge mašine koristeći ranjivosti u Windows-u i/ili instaliranim programima.

Znakovi infekcije.

1. Vrlo često, nakon pokretanja datoteke priložene pismu, dolazi do visoke aktivnosti tvrdog diska, procesor se opterećuje do 100%, tj. Računar počinje jako da usporava.
2. Neko vrijeme nakon pokretanja virusa, PC se iznenada ponovo pokreće (u većini slučajeva).
3. Nakon ponovnog pokretanja otvara se tekstualna datoteka koja javlja da su datoteke korisnika šifrirane i ukazuje na kontakte za komunikaciju (e-mail). Ponekad se umjesto otvaranja datoteke pozadina radne površine zamjenjuje tekstom otkupnine.
4. Većina korisničkih datoteka (dokumenti, fotografije, baze podataka) završavaju s različitim ekstenzijama (na primjer, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl, itd.) ili su potpuno preimenovane, i ne otvarajte nijedan program, čak i ako promijenite ekstenziju. Ponekad je cijeli tvrdi disk šifriran. U ovom slučaju, Windows se uopšte ne pokreće, a poruka o otkupnini se prikazuje skoro odmah nakon uključivanja računara.
5. Ponekad su svi korisnički fajlovi smešteni u jednu arhivu zaštićenu lozinkom. Ovo se dešava ako napadač prodre u PC i ručno arhivira i izbriše datoteke. Odnosno, kada se iz privitka e-pošte pokrene zlonamjerna datoteka, korisnikovi fajlovi se ne šifriraju automatski, već se instalira softver koji omogućava napadaču da se tajno poveže sa računarom putem interneta.

Primjer teksta otkupnine

Šta učiniti ako je infekcija već nastupila?

1. Ako je proces enkripcije započeo u vašem prisustvu (računar dosta „uspori“; otvorena je tekstualna datoteka s porukom o šifriranju; datoteke su počele nestajati, a umjesto njih su se pojavljivale njihove šifrirane kopije), trebali biste ODMAH isključite napajanje računara tako što ćete isključiti kabl za napajanje ili ga držati 5 sekundi. dugme za napajanje. Možda će to uštedjeti neke od informacija. NEMOJTE PONOVNO POKRETATI PC! OFF ONLY!
2. Ako je šifriranje već izvršeno, ni u kom slučaju ne biste trebali pokušavati sami izliječiti infekciju, niti izbrisati ili preimenovati šifrirane datoteke ili datoteke koje je stvorio ransomware.

U oba slučaja, trebate odmah prijaviti incident administratoru sistema.

BITAN!!!

Ne pokušavajte samostalno pregovarati sa napadačem putem kontakata koje je on pružio! U najboljem slučaju, ovo je beskorisno; u najgorem, može povećati iznos otkupnine za dešifriranje.

Kako spriječiti infekciju ili minimizirati njene posljedice?

1. Ne otvarajte sumnjive e-poruke, posebno one sa prilozima (u nastavku pogledajte kako prepoznati takve e-poruke).
2. Nemojte klikati na sumnjive veze na web stranicama i u e-mailovima koje primate.
3. Nemojte preuzimati ili instalirati programe iz nepouzdanih izvora (web stranice sa hakovanim softverom, torrent trackeri).
4. Uvijek pravite sigurnosnu kopiju važnih datoteka. Najbolja opcija bi bila da pohranite rezervne kopije na drugom mediju koji nije povezan sa računarom (fleš disk, eksterni disk, DVD uređaj) ili u oblaku (na primer, Yandex.Disk). Često virus šifrira i arhivske datoteke (zip, rar, 7z), tako da je pohranjivanje sigurnosnih kopija na istom računalu gdje su pohranjeni originalni fajlovi besmisleno.

Kako prepoznati zlonamjerni email?

1. Predmet i sadržaj pisma nisu vezani za vaše profesionalne aktivnosti. Na primjer, menadžer kancelarije je dobio pismo o poreskoj reviziji, fakturu ili životopis.

2. Pismo sadrži informacije koje se ne odnose na našu državu, regiju ili područje djelovanja naše kompanije. Na primjer, zahtjev za otplatom duga u banci registrovanoj u Ruskoj Federaciji.

3. Često je zlonamjerna e-pošta dizajnirana kao navodni odgovor na neke od vaših e-poruka. Na početku teme takvog pisma nalazi se kombinacija "Re:". Na primjer, "Re: Račun", iako sigurno znate da niste slali pisma na ovu adresu.

4. Pismo je navodno došlo od poznate kompanije, ali adresa pošiljaoca pisma sadrži besmislene nizove slova, riječi, brojeva, stranih domena koji nemaju nikakve veze sa službenim adresama kompanije pomenute u tekstu pisma.

5. Polje „Prima“ sadrži nepoznato ime (ne vaše poštansko sanduče), skup nekoherentnih znakova ili duplikat imena poštanskog sandučeta pošiljaoca.

6. U tekstu pisma, pod različitim izgovorima, od primaoca se traži da dostavi ili potvrdi bilo koju ličnu ili vlasničku informaciju, preuzme datoteku ili prati link, uz izvještavanje o hitnosti ili bilo kakvim sankcijama u slučaju nepoštivanja uputstva navedena u pismu.

7. Arhiva priložena pismu sadrži datoteke *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Također je vrlo uobičajeno maskirati zlonamjernu ekstenziju. Na primjer, u nazivu datoteke "Accounts receivable.doc.js", *.doc je lažna ekstenzija koja ne nosi nikakvu funkcionalnost, a *.js je prava ekstenzija datoteke virusa.

8. Ako je pismo stiglo od poznatog pošiljaoca, ali se stil pisma i pismenost veoma razlikuju, to je takođe razlog za oprez. Kao i nekarakteristični sadržaj - na primjer, klijentu je stigao zahtjev za plaćanje računa. U ovom slučaju, bolje je kontaktirati pošiljaoca putem drugog kanala komunikacije (telefon, Skype), jer je vjerovatno da je njegov računar hakovan ili zaražen virusom.

Primjer zlonamjernog emaila

Novi ransomware zlonamjerni softver WannaCry (također poznat kao WannaCry Decryptor, WannaCrypt, WCry i WanaCrypt0r 2.0) postao je poznat svijetu 12. maja 2017. godine, kada su šifrirani fajlovi na računarima u nekoliko zdravstvenih ustanova u Velikoj Britaniji. Kako se ubrzo pokazalo, u sličnoj situaciji našle su se kompanije u desetinama zemalja, a najviše su stradale Rusija, Ukrajina, Indija i Tajvan. Prema podacima Kaspersky Lab-a, samo prvog dana napada virus je otkriven u 74 zemlje.

Zašto je WannaCry opasan? Virus šifrira različite vrste datoteka (s obzirom na ekstenziju .WCRY, datoteke postaju potpuno nečitljive) i zatim zahtijeva otkupninu od 600 dolara za dešifriranje. Kako bi se ubrzao postupak prijenosa novca, korisnika plaši činjenica da će se za tri dana iznos otkupnine povećati, a nakon sedam dana, fajlovi se uopće neće moći dešifrirati.

Prijetnja zaraze virusom WannaCry ransomware pogađa računare bazirane na Windows operativnim sistemima. Ako koristite licencirane verzije Windowsa i redovno ažurirate svoj sistem, onda ne morate da brinete da će virus na ovaj način ući u vaš sistem.

Korisnici MacOS-a, ChromeOS-a i Linux-a, kao i iOS i Android mobilnih operativnih sistema, nikako se ne bi trebali bojati WannaCry napada.

Šta učiniti ako postanete žrtva WannaCryja?

Nacionalna agencija za kriminal Ujedinjenog Kraljevstva (NCA) preporučuje da mala preduzeća koja su žrtve ransomwarea i zabrinuta su zbog širenja virusa na mreži poduzmu sljedeće radnje:

• Odmah izolujte svoj računar, laptop ili tablet od korporativne/interne mreže. Isključite Wi-Fi.
• Promijenite drajvere.
• Bez povezivanja na Wi-Fi mrežu, direktno povežite računar na Internet.
• Ažurirajte svoj operativni sistem i sav drugi softver.
• Ažurirajte i pokrenite svoj antivirus.
• Ponovo se povežite na mrežu.
• Pratite mrežni promet i/ili pokrenite skeniranje virusa kako biste bili sigurni da je ransomware nestao.

Bitan!

Datoteke šifrirane virusom WannaCry ne mogu dešifrirati niko osim uljeza. Stoga, ne gubite vrijeme i novac na one "IT genije" koji obećavaju da će vas spasiti od ove glavobolje.

Da li se isplati plaćati novac napadačima?

Prva pitanja koja postavljaju korisnici koji su se susreli sa novim WannaCry ransomware virusom su: kako oporaviti datoteke i kako ukloniti virus. Ne pronalazeći besplatna i efikasna rješenja, suočeni su sa izborom - platiti novac iznuđivaču ili ne? Budući da korisnici često imaju šta da izgube (lični dokumenti i arhive fotografija pohranjeni su na računaru), želja da se problem riješi uz pomoć novca zaista se javlja.

Ali NCA poziva neplatiti novac. Ako se ipak odlučite na to, imajte na umu sljedeće:

• Prvo, ne postoji garancija da ćete dobiti pristup svojim podacima.
• Drugo, vaš računar može i dalje biti zaražen virusom čak i nakon plaćanja.
• Treće, najvjerovatnije ćete samo dati svoj novac sajber kriminalcima.

Kako se zaštititi od WannaCryja?

Koje radnje preduzeti da bi se sprečila infekcija virusom, objašnjava Vjačeslav Belašov, šef odeljenja za implementaciju sistema informacione bezbednosti u SKB Kontur:

Posebnost virusa WannaCry je u tome što može prodrijeti u sistem bez ljudske intervencije, za razliku od drugih ransomware virusa. Ranije je za djelovanje virusa bilo potrebno da korisnik bude nepažljiv - slijedio je sumnjivi link iz e-maila koji mu zapravo nije bio namijenjen ili je preuzeo zlonamjerni prilog. U slučaju WannaCry-a, eksploatiše se ranjivost koja postoji direktno u samom operativnom sistemu. Stoga su računari zasnovani na Windows-u koji nisu instalirali ažuriranja od 14. marta 2017. bili prvi u opasnosti. Jedna zaražena radna stanica iz lokalne mreže dovoljna je da se virus proširi na ostale sa postojećom ranjivosti.

Korisnici pogođeni virusom imaju jedno glavno pitanje - kako dešifrirati svoje podatke? Nažalost, zagarantovanog rješenja još nema, a teško da će se ni predvidjeti. Ni nakon uplate navedenog iznosa problem nije riješen. Osim toga, situacija može biti pogoršana činjenicom da osoba, u nadi da će oporaviti svoje podatke, riskira korištenje navodno „besplatnih“ dešifratora, koji su u stvarnosti također zlonamjerni fajlovi. Stoga je glavni savjet koji se može dati je da budete oprezni i učinite sve da izbjegnete takvu situaciju.

Šta se tačno može i treba uraditi u ovom trenutku:

1. Instalirajte najnovija ažuriranja.

Ovo se ne odnosi samo na operativne sisteme, već i na alate za zaštitu od virusa. Informacije o ažuriranju Windows-a možete pronaći.

2. Napravite rezervne kopije važnih informacija.

3. Budite oprezni kada radite sa poštom i internetom.

Obratite pažnju na dolaznu e-poštu sa upitnim linkovima i prilozima. Za rad s Internetom preporučuje se korištenje dodataka koji vam omogućavaju da se riješite nepotrebnog oglašavanja i linkova ka potencijalno zlonamjernim izvorima.

Savremene tehnologije omogućavaju hakerima da stalno poboljšavaju načine prevare u odnosu na obične korisnike. U pravilu se u ove svrhe koristi virusni softver koji prodire u računar. Posebno opasnim se smatraju virusi za šifriranje. Prijetnja leži u činjenici da se virus vrlo brzo širi, šifrirajući datoteke (korisnik jednostavno ne može otvoriti nijedan dokument). A ako je prilično jednostavno, onda je mnogo teže dešifrirati podatke.

Šta učiniti ako virus ima šifrovane datoteke na vašem računaru

Svako može biti napadnut od strane ransomware-a, čak ni korisnici koji imaju moćan antivirusni softver nisu osigurani. Trojanci za šifriranje datoteka su predstavljeni različitim kodom, koji može biti izvan moći antivirusa. Hakeri na ovaj način uspijevaju čak i da napadnu velike kompanije koje nisu vodile računa o potrebnoj zaštiti svojih informacija. Dakle, nakon što ste "pokupili" ransomware program na mreži, morate poduzeti niz mjera.

Glavni znakovi zaraze su spor rad računara i promjena naziva dokumenata (to možete vidjeti na radnoj površini).

1. Ponovo pokrenite računar da zaustavite šifriranje. Kada je omogućeno, nemojte potvrđivati ​​pokretanje nepoznatih programa.
2. Pokrenite antivirus ako ga nije napao ransomware.
3. U nekim slučajevima, sjene kopije će pomoći u vraćanju informacija. Da biste ih pronašli, otvorite "Svojstva" šifriranog dokumenta. Ova metoda radi sa šifriranim podacima ekstenzije Vault, koja ima informacije na portalu.
4. Preuzmite najnoviji uslužni program protiv kripto virusa. Najefikasnije nudi Kaspersky Lab.

Virusi za šifriranje u 2016: primjeri

Kada se borite protiv bilo kakvog virusnog napada, važno je shvatiti da se kod vrlo često mijenja, dopunjen novom antivirusnom zaštitom. Naravno, programima zaštite je potrebno neko vrijeme dok programer ne ažurira baze podataka. Odabrali smo najopasnije viruse za šifriranje u posljednje vrijeme.

Ishtar ransomware

Ishtar je ransomware koji iznuđuje novac od korisnika. Virus je primijećen u jesen 2016. godine, zarazivši ogroman broj računara korisnika iz Rusije i niza drugih zemalja. Distribuira se putem distribucije putem e-pošte, koja sadrži priložene dokumente (instalateri, dokumenti, itd.). Podaci zaraženi Ishtar ransomwareom dobijaju prefiks "ISHTAR" u imenu. Proces kreira probni dokument koji pokazuje gdje treba ići da dobijete lozinku. Napadači za to traže od 3.000 do 15.000 rubalja.

Opasnost od Ishtar virusa je u tome što danas ne postoji dešifrator koji bi pomogao korisnicima. Kompaniji antivirusnog softvera treba vremena da dešifruju sav kod. Sada možete samo izolirati važne informacije (ako su od posebne važnosti) na zasebnom mediju, čekajući objavljivanje uslužnog programa koji može dešifrirati dokumente. Preporučuje se ponovna instalacija operativnog sistema.

Neitrino

Neitrino ransomware pojavio se na internetu 2015. godine. Po principu napada sličan je drugim virusima ove kategorije. Mijenja nazive foldera i datoteka dodavanjem "Neitrino" ili "Neutrino". Virus je teško dešifrirati - daleko od toga da svi predstavnici antivirusnih kompanija to poduzimaju, pozivajući se na vrlo složen kod. Vraćanje sjene kopije može pomoći nekim korisnicima. Da biste to učinili, desnom tipkom miša kliknite šifrirani dokument, idite na "Svojstva", karticu "Prethodne verzije", kliknite "Vrati". Neće biti suvišno koristiti besplatni uslužni program kompanije Kaspersky Lab.

Novčanik ili .novčanik.

Virus enkripcije Wallet pojavio se krajem 2016. godine. Tokom procesa infekcije, mijenja naziv podataka u "Ime..wallet" ili slično. Kao i većina ransomware virusa, on ulazi u sistem putem priloga e-pošte koje šalju hakeri. Budući da se prijetnja pojavila sasvim nedavno, antivirusni programi je ne primjećuju. Nakon šifriranja, kreira dokument u kojem prevarant navodi poštu za komunikaciju. Trenutno, programeri antivirusnog softvera rade na dešifriranju koda ransomware virusa. [email protected] Napadnuti korisnici mogu samo čekati. Ako su podaci važni, preporučuje se da ih sačuvate na eksternom disku čišćenjem sistema.

Enigma

Virus za šifrovanje Enigma počeo je da inficira računare ruskih korisnika krajem aprila 2016. godine. Koristi AES-RSA model enkripcije, koji se danas nalazi u većini ransomware-a. Virus prodire u računar koristeći skriptu koju sam korisnik pokreće otvaranjem datoteka iz sumnjive e-pošte. Još uvijek ne postoji univerzalni lijek za rješavanje Enigma šifre. Korisnici koji imaju licencu za antivirus mogu zatražiti pomoć na službenoj web stranici programera. Pronađena je i mala "puškarnica" - Windows UAC. Ako korisnik klikne na "Ne" u prozoru koji se pojavi tokom zaraze virusom, kasnije može vratiti informacije pomoću sjenčanih kopija.

Granit

Novi ransomware virus Granit pojavio se na webu u jesen 2016. godine. Infekcija se događa prema sljedećem scenariju: korisnik pokreće instalater koji inficira i šifrira sve podatke na PC-u i povezanim diskovima. Borba protiv virusa je teška. Da biste ga uklonili, možete koristiti posebne uslužne programe kompanije Kaspersky, ali kod još nije dešifrovan. Vraćanje prethodnih verzija podataka može pomoći. Osim toga, stručnjak koji ima veliko iskustvo može dešifrirati, ali usluga je skupa.

Tyson

Nedavno viđeno. To je proširenje već dobro poznatog no_more_ransom ransomwarea, o čemu možete saznati na našoj web stranici. Dolazi do ličnih računara putem e-pošte. Mnogi korporativni računari su napadnuti. Virus kreira tekstualni dokument sa uputstvima za otključavanje, nudeći plaćanje "otkupnine". Nedavno se pojavio Tyson ransomware, tako da još uvijek nema ključa za otključavanje. Jedini način za vraćanje informacija je vraćanje prethodnih verzija ako ih nije obrisao virus. Možete, naravno, riskirati prebacivanjem novca na račun koji su naveli napadači, ali nema garancije da ćete dobiti lozinku.

Spora

Početkom 2017. jedan broj korisnika je postao žrtva novog Spora ransomwarea. Po principu rada ne razlikuje se mnogo od svojih kolega, ali se može pohvaliti profesionalnijim performansama: upute za dobivanje lozinke su bolje napisane, web stranica izgleda ljepše. Kreiran Spora ransomware na C jeziku, koristi kombinaciju RSA i AES za šifriranje podataka o žrtvama. U pravilu su napadnuti računari na kojima se aktivno koristi 1C računovodstveni program. Virus, koji se krije pod maskom jednostavne fakture u .pdf formatu, prisiljava zaposlenike kompanije da ga lansiraju. Još uvijek nije pronađen lijek.

1C.Drop.1

Ovaj virus šifriranja za 1C pojavio se u ljeto 2016. godine, poremeteći rad mnogih računovodstvenih odjela. Razvijen je posebno za računare koji koriste 1C softver. Prelazeći kroz datoteku u e-poruci na PC, traži od vlasnika da ažurira program. Koje god dugme korisnik pritisne, virus će početi da šifruje datoteke. Dr.Web stručnjaci rade na alatima za dešifriranje, ali do sada nije pronađeno rješenje. To je zbog složenog koda, koji može biti u nekoliko modifikacija. Jedina zaštita od 1C.Drop.1 je budnost korisnika i redovno arhiviranje važnih dokumenata.

da_vinci_code

Novi ransomware s neobičnim imenom. Virus se pojavio u proljeće 2016. Od svojih prethodnika se razlikuje po poboljšanom kodu i jakom načinu šifriranja. da_vinci_code inficira računar zahvaljujući izvršnoj aplikaciji (obično priloženoj e-poruci), koju korisnik samostalno pokreće. Da Vinci koder (da Vinci kod) kopira tijelo u sistemski direktorij i registar, osiguravajući da se automatski pokreće kada se Windows uključi. Računaru svake žrtve je dodijeljen jedinstveni ID (pomaže u dobivanju lozinke). Gotovo je nemoguće dešifrirati podatke. Možete platiti novac napadačima, ali niko ne garantuje da ćete dobiti lozinku.

[email protected] / [email protected]

Dvije adrese e-pošte koje su često pratile ransomware u 2016. Služe za povezivanje žrtve sa napadačem. Adrese su bile pridružene raznim tipovima virusa: da_vinci_code, no_more_ransom, i tako dalje. Nije preporučljivo kontaktirati, kao i prenijeti novac prevarantima. Korisnici u većini slučajeva ostaju bez lozinki. Dakle, pokazujući da napadači ransomware radi, stvarajući prihod.

Breaking Bad

Pojavio se početkom 2015., ali se aktivno širio tek godinu dana kasnije. Princip zaraze je identičan sa drugim ransomware-om: instalacija fajla iz e-pošte, enkripcija podataka. Konvencionalni antivirusi obično ne primjećuju virus Breaking Bad. Neki kod ne može zaobići Windows UAC, tako da korisnik i dalje može vratiti prethodne verzije dokumenata. Dekoder još nije predstavila nijedna kompanija koja razvija antivirusni softver.

XTBL

Vrlo čest ransomware koji je uzrokovao probleme mnogim korisnicima. Kada se nađe na računaru, virus menja ekstenziju datoteke u .xtbl za nekoliko minuta. Kreira se dokument u kojem napadač iznuđuje novac. Neki sojevi virusa XTBL ne mogu uništiti datoteke za vraćanje sistema, omogućavajući oporavak važnih dokumenata. Sam virus mogu ukloniti mnogi programi, ali je vrlo teško dešifrirati dokumente. Ako posjedujete licencirani antivirus, koristite tehničku podršku tako što ćete priložiti uzorke zaraženih podataka.

Kukaracha

Kukaracha šifra je primećena u decembru 2016. Virus zanimljivog imena skriva korisničke datoteke koristeći RSA-2048 algoritam, koji je vrlo otporan. Kaspersky Anti-Virus ga je identifikovao kao Trojan-Ransom.Win32.Scatter.lb. Kukaracha se može ukloniti sa računara kako se drugi dokumenti ne bi zarazili. Međutim, zaražene je danas gotovo nemoguće dešifrirati (veoma moćan algoritam).

Kako radi ransomware

Postoji ogroman broj ransomware-a, ali svi rade na sličnom principu.

1. Pristup personalnom računaru. U pravilu, zahvaljujući priloženom fajlu na e-mail. Instalaciju pokreće sam korisnik otvaranjem dokumenta.
2. Infekcija fajla. Gotovo sve vrste datoteka su šifrirane (ovisno o virusu). Kreira se tekstualni dokument koji sadrži kontakte za komunikaciju sa uljezima.
3. Sve. Korisnik ne može pristupiti nijednom dokumentu.

Lijekovi iz popularnih laboratorija

Široka upotreba ransomwarea, koji je prepoznat kao najopasnija prijetnja korisničkim podacima, postala je poticaj za mnoge antivirusne laboratorije. Svaka popularna kompanija svojim korisnicima nudi programe koji im pomažu u borbi protiv ransomware-a. Osim toga, mnogi od njih pomažu u dešifriranju dokumenata zaštićenih sistemom.

Kaspersky i virusi za šifriranje

Jedna od najpoznatijih antivirusnih laboratorija u Rusiji i svijetu danas nudi najefikasnije sredstvo za borbu protiv ransomware virusa. Prva prepreka za virus ransomware biće Kaspersky Endpoint Security 10 sa najnovijim ažuriranjima. Antivirus jednostavno neće dozvoliti da prijetnja uđe u računar (međutim, nove verzije možda neće biti zaustavljene). Za dešifriranje informacija, programer predstavlja nekoliko besplatnih uslužnih programa odjednom: XoristDecryptor, RakhniDecryptor i Ransomware Decryptor. Oni pomažu pronaći virus i podići lozinku.

dr. Web i ransomware

Ova laboratorija preporučuje korištenje njihovog antivirusnog programa, čija je glavna karakteristika sigurnosna kopija datoteka. Skladište sa kopijama dokumenata takođe je zaštićeno od neovlašćenog pristupa uljeza. Vlasnici licenciranog proizvoda Dr. Web, dostupna je funkcija kontaktiranja tehničke podrške za pomoć. Istina, čak ni iskusni stručnjaci ne mogu uvijek odoljeti ovoj vrsti prijetnje.

ESET Nod 32 i ransomware

Ni ova kompanija nije ostala po strani, pružajući svojim korisnicima dobru zaštitu od ulaska virusa u računar. Osim toga, laboratorija je nedavno objavila besplatni uslužni program sa ažuriranim bazama podataka - Eset Crysis Decryptor. Programeri tvrde da će pomoći u borbi čak i protiv najnovijeg ransomwarea.

Nastavlja svoj opresivni marš na Webu, inficirajući računare i šifrirajući važne podatke. Kako se zaštititi od ransomware-a, zaštititi Windows od ransomware-a - izdaju li se zakrpe, zakrpe za dešifriranje i liječenje datoteka?

Novi ransomware virus 2017 Wanna Cry nastavlja da zarazi korporativne i privatne računare. At 1 milijardu dolara štete od napada virusa. Za 2 sedmice, virus ransomwarea zaražen je najmanje 300 hiljada kompjutera uprkos upozorenjima i merama bezbednosti.

Šta je ransomware 2017- u pravilu možete "pokupiti", čini se, na najbezopasnijim stranicama, na primjer, bankarske servere s korisničkim pristupom. Jednom kada se nađe na hard disku žrtve, ransomware se "složi" u sistemsku fasciklu System32. Odatle, program odmah deaktivira antivirus i ide na "Autorun"". Nakon svakog ponovnog pokretanja, program za šifriranje počinje u registru počinje svoj prljavi posao. Ransomware počinje preuzimati slične kopije programa kao što su Ransom i Trojan. To se takođe često dešava samoreplikacija ransomwarea. Ovaj proces može biti trenutan, ili može potrajati sedmicama - dok žrtva ne primijeti da nešto nije u redu.

Ransomware se često maskira u obične slike, tekstualne datoteke, ali suština je uvek ista - ovo je izvršna datoteka sa ekstenzijom .exe, .drv, .xvd; ponekad - libraries.dll. Najčešće datoteka ima potpuno bezopasan naziv, na primjer " dokument. doc", ili " picture.jpg“, gdje se ekstenzija upisuje ručno, i pravi tip datoteke je skriven.

Nakon što je šifriranje završeno, korisnik umjesto poznatih datoteka vidi skup "slučajnih" znakova u nazivu i unutra, a ekstenzija se mijenja u dosad nepoznatu - .NO_MORE_RANSOM, .xdata i drugi.

2017 Wanna Cry ransomware virus – kako se zaštititi. Želio bih odmah da napomenem da je Wanna Cry prije skupni pojam za sve ransomware i ransomware viruse, jer je u posljednje vrijeme najčešće inficirao računare. Pa, hajde da pričamo o tome Zaštitite se od Ransom Ware ransomwarea, kojih ima mnogo: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Kako zaštititi Windows od ransomware-a. – EternalBlue preko SMB port protokola.

Windows zaštita od ransomware-a 2017 - osnovna pravila:

• Windows ažuriranje, blagovremeni prelazak na licencirani OS (Napomena: XP verzija nije ažurirana)
• ažuriranje antivirusnih baza podataka i zaštitnih zidova na zahtjev
• najveća pažnja pri preuzimanju bilo kojeg fajla (slatke "mačke" mogu dovesti do gubitka svih podataka)
• pravljenje rezervnih kopija važnih informacija na prenosivim medijima.

Ransomware virus 2017: kako izliječiti i dešifrirati datoteke.

Oslanjajući se na antivirusni softver, možete zaboraviti na dešifriranje na neko vrijeme. U laboratorijama Kaspersky, Dr. Web, Avast! i drugi antivirusi nije pronađeno rješenje za liječenje zaraženih datoteka. Trenutno je moguće ukloniti virus pomoću antivirusa, ali još ne postoje algoritmi koji bi sve vratili "u normalu".

Neki pokušavaju koristiti dekriptore poput uslužnog programa RectorDecryptor ali ovo neće pomoći: algoritam za dešifriranje novih virusa još nije kompajliran. Također je apsolutno nepoznato kako će se virus ponašati ako se ne ukloni nakon korištenja takvih programa. Često to može rezultirati brisanjem svih datoteka - kao upozorenje onima koji ne žele platiti napadačima, autorima virusa.

Trenutno je najefikasniji način povratka izgubljenih podataka da ih kontaktirate. podršku od dobavljača antivirusnog programa koji koristite. Da biste to učinili, pošaljite pismo ili upotrijebite obrazac za povratne informacije na web stranici proizvođača. Obavezno dodajte šifriranu datoteku u prilog i, ako postoji, kopiju originala. Ovo će pomoći programerima u sastavljanju algoritma. Nažalost, za mnoge je napad virusa potpuno iznenađenje, a kopije nisu pronađene, što povremeno komplikuje situaciju.

Srčane metode liječenja Windowsa od ransomware-a. Nažalost, ponekad morate pribjeći potpunom formatiranju tvrdog diska, što podrazumijeva potpunu promjenu OS-a. Mnogi će pomisliti da obnove sistem, ali to nije opcija - čak i ako dođe do "povratka" koji će se riješiti virusa, datoteke će i dalje ostati šifrirane.

Dana 12. aprila 2017. godine pojavile su se informacije o brzom širenju virusa za šifriranje pod nazivom WannaCry širom svijeta, što se može prevesti kao „Želim da plačem“. Korisnici imaju pitanja o ažuriranju Windowsa od WannaCry virusa.

Virus na ekranu računara izgleda ovako:

Loš virus WannaCry koji sve šifrira

Virus šifrira sve fajlove na računaru i traži otkupninu od 300 ili 600 dolara za Bitcoin novčanik da bi navodno dešifrovao računar. Zaraženi su računari u 150 zemalja svijeta, a najviše je pogođena Rusija.

MegaFon, Ruske željeznice, Ministarstvo unutrašnjih poslova, Ministarstvo zdravlja i druge kompanije suočile su se licem u lice sa ovim virusom. Među žrtvama su i obični korisnici interneta.

Pred virusom su skoro svi jednaki. Razlika je možda u tome što se u kompanijama virus širi po lokalnoj mreži unutar organizacije i trenutno zarazi najveći mogući broj računara.

Virus WannaCry šifrira datoteke na računarima koji koriste Windows. Još u martu 2017, Microsoft je objavio MS17-010 ažuriranja za različite verzije Windows XP, Vista, 7, 8, 10.

Ispostavilo se da su oni koji imaju konfigurisana automatska ažuriranja Windowsa van zone rizika od virusa, jer su ažuriranje primili na vreme i uspeli da ga izbegnu. Neću da tvrdim da je to zaista tako.

Rice. 3. Poruka prilikom instaliranja ažuriranja KB4012212

Nakon instalacije, ažuriranje KB4012212 zahtijevalo je ponovno pokretanje laptopa, što mi se baš i nije svidjelo, jer se ne zna kako bi se ovo moglo završiti, ali gdje bi korisnik trebao otići? Međutim, ponovno pokretanje je prošlo dobro. To znači da živimo u miru do sljedećeg napada virusa i, nažalost, nema sumnje da će se takvi napadi dogoditi.

U svakom slučaju, važno je imati mjesto za vraćanje operativnog sistema i vaših datoteka.

Windows 8 ažuriranje od WannaCry

Za laptop sa licenciranim Windows 8 instalirano je ažuriranje KB 4012598, jer