Tato příručka není určena pro technické specialisty, proto:

1. definice některých pojmů jsou zjednodušeny;
2. technické detaily se neberou v úvahu;
3. metody ochrany systému (instalace aktualizací, konfigurace bezpečnostních systémů atd.) nejsou brány v úvahu.

Návod jsem napsal, abych pomohl systémovým administrátorům, kteří chtějí proškolit zaměstnance firem, kteří jsou vzdáleni IT sféře (účetní, personalisté, obchodníci atd.), v základech kyberhygieny.

Glosář

Software(dále - software) - program nebo soubor programů sloužící k ovládání počítače.

Šifrování je transformace dat do podoby, která je bez šifrovacího klíče nečitelná.

Šifrovací klíč je tajná informace používaná při šifrování/dešifrování souborů.

Dekodér- program, který implementuje dešifrovací algoritmus.

Algoritmus- soubor pokynů popisujících postup pro výkonného umělce k dosažení nějakého výsledku.

příloha pošty- soubor připojený k e-mailu.

Rozšíření(přípona názvu souboru) je sekvence znaků přidaných k názvu souboru a používaných k identifikaci typu souboru (například *.doc, *.jpg). Podle typu souborů bude k jejich otevření použit určitý program. Pokud je například přípona souboru *.doc, spustí se MS Word k jeho otevření, pokud je přípona *.jpg, spustí se prohlížeč obrázků atd.

Odkaz(přesněji hypertextový odkaz) je část webové stránky dokumentu, která odkazuje na jiný prvek (příkaz, text, nadpis, poznámka, obrázek) v dokumentu samotném nebo na jiný objekt (soubor, adresář, aplikaci) umístěný na na lokálním disku nebo v počítačové síti.

Textový soubor je počítačový soubor obsahující textová data.

Archivace- jedná se o kompresi, tedy zmenšení velikosti souboru.

Záložní kopie— soubor nebo skupina souborů vytvořená jako výsledek zálohování informací.

Záloha- proces vytváření kopie dat na médiu (pevný disk, disketa atd.) určený k obnově dat do původního nebo nového úložiště v případě poškození nebo zničení.

Doména(název domény) - název, který umožňuje přístup k internetovým stránkám a síťovým zdrojům na nich umístěným (webové stránky, e-mailové servery, další služby) ve formě vhodné pro osobu. Například místo 172.217.18.131 zadejte google.com.ua, kde ua, com, google jsou domény různých úrovní.

Co je to ransomware virus?

ransomware virus(dále jen ransomware) je škodlivý software, který šifruje uživatelské soubory a za dešifrování požaduje výkupné. Nejčastěji šifrovanými typy souborů jsou dokumenty a tabulky MS Office ( docx, xlsx), Snímky ( jpeg, png, tif), video soubory ( avi, mpeg, mkv atd.), dokumenty ve formátu pdf atd., stejně jako databázové soubory - 1C ( 1 CD, dbf), přízvuk ( mdf). Systémové soubory a programy jsou obvykle nešifrované, aby systém Windows zůstal v chodu a uživatel měl možnost kontaktovat ransomware. Ve vzácných případech je zašifrován celý disk, v tomto případě nelze načíst Windows.

Jaké je nebezpečí takových virů?

V naprosté většině případů je vlastní dešifrování NEMOŽNÉ, protože. používají se extrémně složité šifrovací algoritmy. Ve velmi vzácných případech lze soubory dešifrovat, pokud došlo k infekci již známým typem viru, na který výrobci antivirů vydali dešifrovací nástroj, ale ani v tomto případě není obnova informací 100% zaručena. Někdy má virus chybu ve svém kódu a dešifrování je v zásadě nemožné, a to i ze strany autora malwaru.

V naprosté většině případů po zakódování šifrovač smaže původní soubory pomocí speciálních algoritmů, což vylučuje možnost obnovení.

Další nebezpečnou vlastností virů tohoto druhu je, že jsou poměrně často pro antiviry „neviditelné“, protože Algoritmy používané pro šifrování jsou také používány v mnoha legálních programech (například klient-banka), a proto mnoho šifrátorů není antiviry vnímáno jako malware.

Způsoby infekce.

Nejčastěji dochází k infekci prostřednictvím příloh e-mailů. Uživatel obdrží e-mail od jemu známého adresáta nebo převlečeného za nějakou organizaci (finanční úřad, banka). Dopis může obsahovat žádost o provedení účetního odsouhlasení, potvrzení úhrady faktury, nabídku seznámit se s úvěrovým dluhem v bance nebo něco podobného. To znamená, že informace budou takové, že uživatele jistě zaujmou nebo vyděsí a povzbudí je k otevření přílohy e-mailu s virem. Nejčastěji to bude vypadat jako archiv obsahující soubor *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. Po spuštění takového souboru, okamžitě nebo po nějaké době, začne proces šifrování souborů na PC. Infikovaný soubor lze také odeslat uživateli v některém z programů pro rychlé zasílání zpráv (Skype, Viber atd.).

Méně často k infekci dochází po instalaci napadeného softwaru nebo po kliknutí na infikovaný odkaz na webové stránce nebo v těle e-mailu.

Je třeba mít na paměti, že velmi často se virus po infikování jednoho počítače v síti může rozšířit na další stroje pomocí zranitelností ve Windows a/nebo nainstalovaných programů.

Známky infekce.

1. Velmi často po spuštění souboru přiloženého k dopisu dochází k vysoké aktivitě pevného disku, procesor je zatížen až na 100 %, tzn. Počítač se začne hodně zpomalovat.
2. Po určité době po spuštění viru se počítač náhle restartuje (ve většině případů).
3. Po restartu se otevře textový soubor, který hlásí, že soubory uživatele jsou zašifrovány a označuje kontakty pro komunikaci (e-mail). Někdy je místo otevření souboru tapeta plochy nahrazena textem o výkupném.
4. Většina souborů uživatele (dokumenty, fotografie, databáze) končí s jinou příponou (například *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl atd.) nebo jsou zcela přejmenovány, a neotevírejte žádný program, i když změníte příponu. Někdy je zašifrován celý pevný disk. V tomto případě se Windows vůbec nespustí a zpráva o výkupném se zobrazí téměř okamžitě po zapnutí PC.
5. Někdy jsou všechny uživatelské soubory umístěny v jednom archivu chráněném heslem. K tomu dochází, pokud útočník pronikne do počítače a ručně archivuje a odstraňuje soubory. To znamená, že když je z přílohy e-mailu spuštěn škodlivý soubor, soubory uživatele nejsou automaticky zašifrovány, ale je nainstalován software, který umožňuje útočníkovi tajně se připojit k počítači přes internet.

Příklad výkupného textu

Co dělat, pokud k infekci již došlo?

1. Pokud se za vaší přítomnosti spustil proces šifrování (počítač se hodně „zpomalí“; byl otevřen textový soubor se zprávou o šifrování; soubory začaly mizet a místo toho se začaly objevovat jejich šifrované kopie), měli byste IHNED vypněte napájení počítače vytažením napájecího kabelu nebo jeho přidržením po dobu 5 sekund. tlačítko napájení. Možná to zachrání některé informace. NERESTARTUJTE PC! POUZE VYPNUTO!
2. Pokud již k šifrování došlo, v žádném případě se nepokoušejte vyléčit infekci sami, ani mazat či přejmenovávat zašifrované soubory nebo soubory vytvořené ransomwarem.

V obou případech byste měli incident okamžitě nahlásit správci systému.

DŮLEŽITÉ!!!

Nesnažte se samostatně vyjednávat s útočníkem prostřednictvím jím poskytnutých kontaktů! V nejlepším případě je to k ničemu, v nejhorším to může zvýšit výši výkupného za dešifrování.

Jak infekci předejít nebo minimalizovat její následky?

1. Neotevírejte podezřelé e-maily, zejména ty s přílohami (jak takové e-maily rozpoznat, viz níže).
2. Neklikejte na podezřelé odkazy na webových stránkách a v e-mailech, které obdržíte.
3. Nestahujte ani neinstalujte programy z nedůvěryhodných zdrojů (webové stránky s napadeným softwarem, sledovače torrentů).
4. Vždy zálohujte důležité soubory. Nejlepší možností by bylo ukládat zálohy na jiné médium, které není připojeno k PC (flash disk, externí disk, DVD mechanika), nebo v cloudu (například Yandex.Disk). Virus často šifruje i archivní soubory (zip, rar, 7z), takže ukládat zálohy na stejné PC, kde jsou uloženy původní soubory, nemá smysl.

Jak rozpoznat škodlivý e-mail?

1. Předmět a obsah dopisu nesouvisí s vaší profesní činností. Vedoucí kanceláře například obdržel dopis o daňové kontrole, fakturu nebo životopis.

2. Dopis obsahuje informace, které se netýkají naší země, regionu nebo oblasti působnosti naší společnosti. Například požadavek na splacení dluhu v bance registrované v Ruské federaci.

3. Škodlivý e-mail je často navržen jako údajná odpověď na některé z vašich e-mailů. Na začátku předmětu takového dopisu je kombinace "Re:". Například "Re: Faktura", i když jistě víte, že jste na tuto adresu neposílali dopisy.

4. Dopis údajně pochází od známé společnosti, ale adresa odesílatele dopisu obsahuje nesmyslné sekvence písmen, slov, čísel, cizích domén, které nemají nic společného s oficiálními adresami společnosti uvedenými v textu dopisu.

5. Pole „Komu“ obsahuje neznámé jméno (nikoli vaši poštovní schránku), sadu nesouvislých znaků nebo duplicitní název poštovní schránky odesílatele.

6. V textu dopisu je příjemce pod různými záminkami požádán, aby poskytl nebo potvrdil jakékoli osobní nebo vlastnické informace, stáhl soubor nebo použil odkaz a zároveň informoval o naléhavosti nebo jakýchkoli sankcích v případě nedodržení pokyny uvedené v dopise.

7. Archiv připojený k dopisu obsahuje soubory *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Velmi běžné je také maskování škodlivého rozšíření. Například v názvu souboru "Účty pohledávky.doc.js" je *.doc falešná přípona, která nenese žádnou funkci, a *.js je skutečná přípona virového souboru.

8. Pokud dopis přišel od známého odesílatele, ale styl dopisu a gramotnost jsou velmi odlišné, je to také důvod k opatrnosti. Stejně jako necharakteristický obsah – například klient obdržel výzvu k zaplacení vyúčtování. V tomto případě je lepší kontaktovat odesílatele prostřednictvím jiného komunikačního kanálu (telefon, Skype), protože je pravděpodobné, že jeho počítač byl hacknut nebo infikován virem.

Příklad škodlivého e-mailu

Nový ransomwarový malware WannaCry (také známý jako WannaCry Decryptor, WannaCrypt, WCry a WanaCrypt0r 2.0) o sobě dal vědět světu 12. května 2017, kdy byly zašifrovány soubory v počítačích v několika zdravotnických zařízeních ve Spojeném království. Jak se brzy ukázalo, v podobné situaci se ocitly firmy v desítkách zemí a nejvíce utrpělo Rusko, Ukrajina, Indie a Tchaj-wan. Podle Kaspersky Lab byl jen první den útoku virus detekován v 74 zemích.

Proč je WannaCry nebezpečný? Virus zašifruje různé typy souborů (s ohledem na příponu .WCRY se soubory stanou zcela nečitelnými) a za dešifrování pak požaduje výkupné 600 dolarů. Aby se urychlil postup převodu peněz, je uživatel zastrašen skutečností, že za tři dny se částka výkupného zvýší a po sedmi dnech nebude možné soubory dešifrovat vůbec.

Hrozba infekce virem WannaCry ransomware postihuje počítače založené na operačních systémech Windows. Pokud používáte licencované verze Windows a pravidelně aktualizujete svůj systém, nemusíte se bát, že by se do vašeho systému dostal virus tímto způsobem.

Uživatelé MacOS, ChromeOS a Linuxu a také mobilních operačních systémů iOS a Android by se útoků WannaCry vůbec neměli bát.

Co dělat, když se stanete obětí WannaCry?

Britská Národní kriminální agentura (NCA) doporučuje, aby malé podniky, které jsou oběťmi ransomwaru a mají obavy z šíření viru online, podnikly následující kroky:

• Okamžitě izolujte svůj počítač, notebook nebo tablet od firemní/interní sítě. Vypněte Wi-Fi.
• Vyměňte ovladače.
• Bez připojení k síti Wi-Fi připojte počítač přímo k internetu.
• Aktualizujte svůj operační systém a veškerý další software.
• Aktualizujte a spusťte svůj antivirus.
• Znovu se připojte k síti.
• Sledujte síťový provoz a/nebo spusťte antivirovou kontrolu, abyste se ujistili, že ransomware je pryč.

Důležité!

Soubory zašifrované virem WannaCry nemůže dešifrovat nikdo kromě vetřelců. Neztrácejte proto čas a peníze na ty „IT génie“, kteří vám slibují, že vás této bolesti hlavy zachrání.

Vyplatí se platit útočníkům peníze?

První otázky uživatelů, kteří se setkali s novým ransomwarovým virem WannaCry, jsou: jak obnovit soubory a jak odstranit virus. Protože nenacházejí bezplatná a efektivní řešení, stojí před volbou – zaplatit peníze vyděračovi, nebo ne? Vzhledem k tomu, že uživatelé často mají co ztratit (osobní dokumenty a archivy fotografií jsou uloženy v počítači), touha vyřešit problém pomocí peněz skutečně vzniká.

Ale NCA naléhá nezaplatit peníze. Pokud se přesto rozhodnete to udělat, mějte na paměti následující:

• Za prvé, neexistuje žádná záruka, že získáte přístup ke svým datům.
• Za druhé, váš počítač může být i po zaplacení stále napaden virem.
• Za třetí, s největší pravděpodobností dáte své peníze kyberzločincům.

Jak se chránit před WannaCry?

Jaká opatření podniknout, aby se zabránilo infekci virem, vysvětluje Vjačeslav Belashov, vedoucí oddělení implementace systémů informační bezpečnosti ve společnosti SKB Kontur:

Zvláštností viru WannaCry je, že dokáže proniknout do systému bez lidského zásahu, na rozdíl od jiných ransomwarových virů. Dříve bylo pro fungování viru vyžadováno, aby byl uživatel nepozorný – sledoval pochybný odkaz z e-mailu, který mu ve skutečnosti nebyl určen, nebo si stáhl škodlivou přílohu. V případě WannaCry je zneužita zranitelnost, která existuje přímo v samotném operačním systému. Jako první byly tedy ohroženy počítače se systémem Windows, které nenainstalovaly aktualizace ze 14. března 2017. Jedna infikovaná pracovní stanice z lokální sítě stačí k tomu, aby se virus rozšířil na ostatní s existující zranitelností.

Uživatelé postižení virem mají jednu hlavní otázku - jak dešifrovat své informace? Bohužel zatím neexistuje žádné zaručené řešení a je nepravděpodobné, že by se dalo předvídat. Ani po zaplacení stanovené částky není problém vyřešen. Situaci může navíc zhoršit skutečnost, že člověk v naději na obnovení svých dat riskuje použití údajně „bezplatných“ dešifrovačů, což jsou ve skutečnosti také škodlivé soubory. Proto je hlavní radou, kterou lze dát, být opatrný a udělat vše pro to, aby se takové situaci vyhnul.

Co přesně lze a mělo by se v tuto chvíli udělat:

1. Nainstalujte nejnovější aktualizace.

To platí nejen pro operační systémy, ale také pro nástroje antivirové ochrany. Informace o aktualizaci systému Windows naleznete.

2. Vytvořte záložní kopie důležitých informací.

3. Buďte opatrní při práci s poštou a internetem.

Věnujte pozornost příchozím e-mailům s pochybnými odkazy a přílohami. Pro práci s internetem se doporučuje používat pluginy, které vám umožní zbavit se zbytečné reklamy a odkazů na potenciálně škodlivé zdroje.

Moderní technologie umožňují hackerům neustále zlepšovat způsoby podvodů ve vztahu k běžným uživatelům. K těmto účelům se zpravidla používá virový software, který pronikne do počítače. Šifrovací viry jsou považovány za obzvláště nebezpečné. Hrozba spočívá v tom, že se virus šíří velmi rychle, šifruje soubory (uživatel prostě nemůže otevřít žádný dokument). A pokud je to docela jednoduché, pak je mnohem obtížnější data dešifrovat.

Co dělat, pokud virus zašifroval soubory ve vašem počítači

Ransomware může napadnout každého, pojištěni nejsou ani uživatelé, kteří mají výkonný antivirový software. Trojské koně pro šifrování souborů jsou reprezentovány odlišným kódem, který může být nad síly antiviru. Hackerům se takto daří napadat i velké společnosti, které se nepostaraly o potřebnou ochranu svých informací. Po „vyzvednutí“ ransomwarového programu online musíte přijmout řadu opatření.

Hlavními příznaky infekce jsou pomalý chod počítače a změna názvů dokumentů (můžete ji vidět na ploše).

1. Chcete-li zastavit šifrování, restartujte počítač. Je-li povoleno, nepotvrzujte spouštění neznámých programů.
2. Spusťte antivirus, pokud nebyl napaden ransomwarem.
3. V některých případech stínové kopie pomohou obnovit informace. Chcete-li je najít, otevřete "Vlastnosti" zašifrovaného dokumentu. Tato metoda pracuje se zašifrovanými daty rozšíření Vault, které má informace na portálu.
4. Stáhněte si nejnovější anti-crypto virus nástroj. Ty nejúčinnější nabízí společnost Kaspersky Lab.

Šifrovací viry v roce 2016: příklady

Při boji s jakýmkoli virovým útokem je důležité pochopit, že kód se velmi často mění, doplněný o novou antivirovou ochranu. Ochranné programy samozřejmě potřebují nějaký čas, než vývojář aktualizuje databáze. Vybrali jsme nejnebezpečnější šifrovací viry poslední doby.

Ishtar ransomware

Ishtar je ransomware, který z uživatele vymáhá peníze. Virus byl zaznamenán na podzim roku 2016 a infikoval obrovské množství počítačů uživatelů z Ruska a řady dalších zemí. Je distribuován pomocí emailové distribuce, která obsahuje přiložené dokumenty (instalátory, dokumenty atd.). Data infikovaná ransomwarem Ishtar mají v názvu předponu „ISHTAR“. Tento proces vytvoří testovací dokument, který uvádí, kam se dostat pro získání hesla. Útočníci za něj požadují od 3 000 do 15 000 rublů.

Nebezpečí viru Ishtar je v tom, že dnes neexistuje žádný dešifrovač, který by uživatelům pomohl. Společnosti zabývající se antivirovým softwarem potřebují čas na rozluštění celého kódu. Nyní můžete pouze izolovat důležité informace (pokud jsou zvláště důležité) na samostatném médiu a čekat na vydání nástroje schopného dešifrovat dokumenty. Doporučuje se přeinstalovat operační systém.

Neitrino

Ransomware Neitrino se objevil na internetu v roce 2015. Principem útoku je podobný jako u jiných virů této kategorie. Změní názvy složek a souborů přidáním „Neitrino“ nebo „Neutrino“. Virus je obtížné dešifrovat - zdaleka ne všichni zástupci antivirových společností to dělají s odkazem na velmi složitý kód. Některým uživatelům může pomoci obnovení stínové kopie. Chcete-li to provést, klikněte pravým tlačítkem myši na zašifrovaný dokument, přejděte na „Vlastnosti“, záložku „Předchozí verze“ a klikněte na „Obnovit“. Nebude zbytečné používat bezplatný nástroj od společnosti Kaspersky Lab.

Peněženka nebo .peněženka.

Šifrovací virus Wallet se objevil na konci roku 2016. Během procesu infekce změní název dat na "Jméno..peněženka" nebo podobně. Jako většina ransomwarových virů se do systému dostává prostřednictvím e-mailových příloh zaslaných hackery. Vzhledem k tomu, že se hrozba objevila poměrně nedávno, antivirové programy si ji nevšimnou. Po zašifrování vytvoří dokument, ve kterém podvodník specifikuje poštu pro komunikaci. V současné době vývojáři antivirového softwaru pracují na dešifrování kódu ransomwarového viru. [e-mail chráněný] Napadení uživatelé mohou jen čekat. Pokud jsou data důležitá, doporučuje se uložit je na externí disk vyčištěním systému.

Hádanka

Šifrovací virus Enigma začal na konci dubna 2016 infikovat počítače ruských uživatelů. Využívá model šifrování AES-RSA, který dnes najdeme ve většině ransomwaru. Virus proniká do počítače pomocí skriptu, který si uživatel sám spouští otevíráním souborů z podezřelého emailu. Univerzální lék, jak se vypořádat se šifrou Enigma, stále neexistuje. Uživatelé, kteří mají licenci na antivirus, mohou požádat o pomoc na oficiálních stránkách vývojáře. Našla se i malá „mezera“ – Windows UAC. Pokud uživatel klepne na "Ne" v okně, které se objeví během virové infekce, může později obnovit informace pomocí stínových kopií.

Žula

Na podzim roku 2016 se na webu objevil nový ransomwarový virus Granit. K infekci dochází podle následujícího scénáře: uživatel spustí instalační program, který infikuje a zašifruje všechna data na PC a připojených discích. Boj s virem je obtížný. Chcete-li jej odstranit, můžete použít speciální nástroje od společnosti Kaspersky, ale kód ještě nebyl dešifrován. Pomoci může obnovení předchozích verzí dat. Specialista, který má bohaté zkušenosti, navíc dokáže dešifrovat, ale služba je drahá.

Tyson

Nedávno bylo vidět. Jde o rozšíření již známého ransomwaru no_more_ransom, o kterém se můžete dozvědět na našem webu. Dostane se do osobních počítačů z e-mailu. Mnoho podnikových počítačů bylo napadeno. Virus vytvoří textový dokument s pokyny k odemknutí a nabídne zaplacení „výkupného“. Nedávno se objevil ransomware Tyson, takže zatím neexistuje žádný odemykací klíč. Jediným způsobem, jak obnovit informace, je vrátit předchozí verze, pokud nebyly odstraněny virem. Můžete samozřejmě riskovat převodem peněz na účet uvedený útočníky, ale není zaručeno, že heslo dostanete.

Spora

Na začátku roku 2017 se řada uživatelů stala obětí nového ransomwaru Spora. Podle principu fungování se příliš neliší od svých protějšků, ale může se pochlubit profesionálnějším výkonem: pokyny pro získání hesla jsou lépe napsané, web vypadá hezčí. Vytvořený ransomware Spora v jazyce C využívá kombinaci RSA a AES k šifrování dat obětí. Zpravidla byly napadeny počítače, na kterých se aktivně používá účetní program 1C. Virus skrývající se pod rouškou prosté faktury ve formátu .pdf nutí zaměstnance firmy k jeho spuštění. Zatím nebyl nalezen žádný lék.

1C.Drop.1

Tento šifrovací virus pro 1C se objevil v létě 2016 a narušil práci mnoha účetních oddělení. Byl vyvinut speciálně pro počítače, které používají software 1C. Po přijetí souboru v e-mailu do počítače se vlastník vyzve k aktualizaci programu. Bez ohledu na to, které tlačítko uživatel stiskne, virus začne šifrovat soubory. Specialisté Dr.Web pracují na dešifrovacích nástrojích, ale zatím nebylo nalezeno žádné řešení. To je způsobeno složitým kódem, který může být v několika modifikacích. Jedinou ochranou proti 1C.Drop.1 je ostražitost uživatelů a pravidelná archivace důležitých dokumentů.

da_vinci_code

Nový ransomware s neobvyklým názvem. Virus se objevil na jaře 2016. Od svých předchůdců se liší vylepšeným kódem a silným režimem šifrování. da_vinci_code infikuje počítač díky spustitelné aplikaci (obvykle připojené k e-mailu), kterou uživatel samostatně spustí. Da Vinciho kodér (da Vinci kód) zkopíruje tělo do systémového adresáře a registru a zajistí, že se spustí automaticky při zapnutí Windows. Počítači každé oběti je přiděleno jedinečné ID (pomáhá získat heslo). Dešifrování dat je téměř nemožné. Útočníkům můžete platit peníze, ale nikdo vám nezaručí, že dostanete heslo.

[e-mail chráněný] / [e-mail chráněný]

Dvě e-mailové adresy, které v roce 2016 často doprovázely ransomware. Slouží ke spojení oběti s útočníkem. Adresy byly připojeny k různým typům virů: da_vinci_code, no_more_ransom a tak dále. Důrazně se nedoporučuje kontaktovat podvodníky a převádět peníze. Uživatelé ve většině případů zůstávají bez hesla. To ukazuje, že útočníci ransomware funguje a generují příjem.

Perníkový táta

Objevil se na začátku roku 2015, ale aktivně se rozšířil až o rok později. Princip infekce je shodný s jiným ransomwarem: instalace souboru z emailu, šifrování dat. Konvenční antiviry si virus Breaking Bad obvykle nevšimnou. Některý kód nemůže obejít Windows UAC, takže uživatel je stále schopen obnovit předchozí verze dokumentů. Dekodér zatím žádná společnost vyvíjející antivirový software nepředstavila.

XTBL

Velmi běžný ransomware, který způsobil potíže mnoha uživatelům. Jakmile je virus na PC, změní příponu souboru na .xtbl během několika minut. Vytvoří se dokument, ve kterém útočník vymáhá peníze. Některé kmeny viru XTBL nemohou zničit soubory obnovení systému, což umožňuje obnovení důležitých dokumentů. Samotný virus lze odstranit mnoha programy, ale dešifrování dokumentů je velmi obtížné. Pokud vlastníte licencovaný antivirus, využijte technickou podporu připojením vzorků infikovaných dat.

Kukaracha

Šifra Kukaracha byla spatřena v prosinci 2016. Virus se zajímavým názvem skrývá uživatelské soubory pomocí algoritmu RSA-2048, který je vysoce odolný. Kaspersky Anti-Virus jej identifikoval jako Trojan-Ransom.Win32.Scatter.lb. Kukaracha lze z počítače odstranit, aby nebyly infikovány další dokumenty. Infikované je však dnes téměř nemožné dešifrovat (velmi výkonný algoritmus).

Jak funguje ransomware

Existuje obrovské množství ransomwaru, ale všechny fungují na podobném principu.

1. Přístup k osobnímu počítači. Zpravidla díky přiloženému souboru k e-mailu. Instalaci zahájí uživatel sám otevřením dokumentu.
2. Infekce souboru. Téměř všechny typy souborů jsou šifrovány (v závislosti na viru). Vytvoří se textový dokument, který obsahuje kontakty pro komunikaci s narušiteli.
3. Všechno. Uživatel nemá přístup k žádnému dokumentu.

Léky z populárních laboratoří

Široké používání ransomwaru, který je považován za nejnebezpečnější hrozbu pro uživatelská data, se stalo impulsem pro mnoho antivirových laboratoří. Každá populární společnost poskytuje svým uživatelům programy, které jim pomáhají bojovat proti ransomwaru. Řada z nich navíc pomáhá s dešifrováním dokumentů chráněných systémem.

Kaspersky a šifrovací viry

Jedna z nejznámějších antivirových laboratoří v Rusku a ve světě dnes nabízí nejúčinnější prostředky pro boj s ransomwarovými viry. První překážkou pro virus ransomware bude Kaspersky Endpoint Security 10 s nejnovějšími aktualizacemi. Antivirus jednoduše nedovolí hrozbě vstoupit do počítače (nové verze však nemusí být zastaveny). K dešifrování informací vývojář představuje několik bezplatných nástrojů najednou: XoristDecryptor, RakhniDecryptor a Ransomware Decryptor. Pomáhají najít virus a získat heslo.

Dr. Web a ransomware

Tato laboratoř doporučuje používat jejich antivirový program, jehož hlavní funkcí je zálohování souborů. Úložiště s kopiemi dokumentů je také chráněno před neoprávněným přístupem narušitelů. Majitelé licencovaného produktu Dr. Web, je k dispozici funkce kontaktování technické podpory pro pomoc. Je pravda, že ani zkušení specialisté nemohou vždy odolat tomuto typu hrozby.

ESET Nod 32 a ransomware

Stranou nezůstala ani tato společnost, která svým uživatelům poskytuje dobrou ochranu před viry pronikajícími do počítače. Laboratoř navíc nedávno vydala bezplatnou utilitu s aktuálními databázemi – Eset Crysis Decryptor. Vývojáři tvrdí, že pomůže v boji i proti nejnovějšímu ransomwaru.

Pokračuje ve svém despotickém pochodu na webu, infikuje počítače a šifruje důležitá data. Jak se chránit před ransomwarem, chránit Windows před ransomwarem – jsou vydávány záplaty pro dešifrování a léčení souborů?

Nový ransomware virus 2017 Wanna Cry pokračuje v infikování firemních a soukromých počítačů. V Škody způsobené virovým útokem ve výši 1 miliardy dolarů. Za 2 týdny se virus ransomware infikoval minimálně 300 tisíc počítačů navzdory varováním a bezpečnostním opatřením.

Co je ransomware 2017- zdálo by se, že na nejnebezpečnějších stránkách můžete zpravidla "vyzvednout", například bankovní servery s uživatelským přístupem. Jakmile je ransomware na pevném disku oběti, „usadí se“ v systémové složce System32. Odtud program okamžitě zakáže antivirus a přejde na "Autorun"". Po každém restartu šifrovací program začíná v registru začíná svou špinavou práci. Ransomware začne stahovat podobné kopie programů jako Ransom a Trojan. Často se to také stává sebereplikace ransomwaru. Tento proces může být chvilkový, nebo může trvat týdny – dokud si oběť nevšimne, že něco není v pořádku.

Ransomware se často maskuje jako obyčejné obrázky, textové soubory ale podstata je vždy stejná - toto je spustitelný soubor s příponou .exe, .drv, .xvd; někdy - knihovny.dll. Nejčastěji má soubor zcela neškodný název, například " dokument. doc", nebo " obrázek.jpg“, kde se přípona zapisuje ručně a skutečný typ souboru je skrytý.

Po dokončení šifrování uživatel vidí místo známých souborů sadu "náhodných" znaků v názvu a uvnitř a přípona se změní na dosud neznámou - .NO_MORE_RANSOM, .xdata a další.

2017 Wanna Cry ransomware virus – jak se chránit. Hned bych chtěl poznamenat, že Wanna Cry je spíše souhrnné označení pro všechny ransomware a ransomwarové viry, protože v poslední době infikuje počítače nejčastěji. Takže, pojďme mluvit o Chraňte se před ransomware Ransom Ware, kterých je celá řada: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Jak chránit Windows před ransomwarem. – EternalBlue přes protokol portu SMB.

Windows ransomware ochrana 2017 - základní pravidla:

• Aktualizace systému Windows, včasný přechod na licencovaný operační systém (Poznámka: Verze XP není aktualizována)
• aktualizace antivirových databází a firewallů na vyžádání
• maximální opatrnost při stahování jakýchkoli souborů (roztomilé "kočky" mohou vést ke ztrátě všech dat)
• zálohování důležitých informací na vyměnitelná média.

Ransomware virus 2017: jak vyléčit a dešifrovat soubory.

Spoléháte-li se na antivirový software, můžete na decryptor na chvíli zapomenout. V laboratořích Kaspersky, Dr. Web, Avast! a další antiviry nebylo nalezeno žádné řešení pro léčbu infikovaných souborů. V současné době je možné virus odstranit pomocí antiviru, ale zatím neexistují žádné algoritmy, které by vše vrátily „do normálu“.

Někteří se snaží používat dešifrovací nástroje, jako je nástroj RectorDecryptor ale tohle nepomůže: Algoritmus pro dešifrování nových virů ještě nebyl zkompilován. Je také absolutně neznámé, jak se virus bude chovat, pokud nebude po použití takových programů odstraněn. Často to může mít za následek vymazání všech souborů - jako varování pro ty, kteří nechtějí platit útočníkům, autorům viru.

V tuto chvíli je nejúčinnějším způsobem, jak obnovit ztracená data, kontaktovat je. podporu od dodavatele antivirového programu, který používáte. Chcete-li to provést, zašlete dopis nebo použijte formulář zpětné vazby na webu výrobce. Nezapomeňte do přílohy přidat zašifrovaný soubor a případně kopii originálu. To pomůže programátorům při sestavování algoritmu. Bohužel pro mnohé je virový útok naprostým překvapením a kopie se nenacházejí, což situaci občas komplikuje.

Kardiální metody léčby Windows před ransomwarem. Bohužel se někdy musíte uchýlit k úplnému zformátování pevného disku, což znamená kompletní změnu operačního systému. Mnoho lidí bude přemýšlet o obnovení systému, ale to není možnost - i když dojde k „rollbacku“, který se viru zbaví, soubory zůstanou zašifrovány.

12. dubna 2017 se objevila informace o rychlém šíření šifrovacího viru s názvem WannaCry po celém světě, což lze přeložit jako „chci plakat“. Uživatelé mají dotazy ohledně aktualizace systému Windows před virem WannaCry.

Virus na obrazovce počítače vypadá takto:

Špatný virus WannaCry, který šifruje všechno

Virus zašifruje všechny soubory v počítači a požaduje výkupné ve výši 300 nebo 600 dolarů od bitcoinové peněženky za údajné dešifrování počítače. Infikovány byly počítače ve 150 zemích světa, nejvíce postiženo je Rusko.

MegaFon, Ruské dráhy, Ministerstvo vnitra, Ministerstvo zdravotnictví a další společnosti se s tímto virem setkaly tváří v tvář. Mezi oběťmi jsou běžní uživatelé internetu.

Téměř všichni jsou si před virem rovni. Rozdíl je možná v tom, že ve firmách se virus šíří po lokální síti v rámci organizace a okamžitě infikuje maximální možný počet počítačů.

Virus WannaCry šifruje soubory na počítačích se systémem Windows. V březnu 2017 společnost Microsoft vydala aktualizace MS17-010 pro různé verze Windows XP, Vista, 7, 8, 10.

Ukazuje se, že ti, kteří mají nakonfigurované automatické aktualizace systému Windows, jsou mimo rizikovou zónu pro virus, protože aktualizaci obdrželi včas a mohli se jí vyhnout. Nebudu tvrdit, že tomu tak skutečně je.

Rýže. 3. Zpráva při instalaci aktualizace KB4012212

Po instalaci aktualizace KB4012212 vyžadovala restart notebooku, což se mi moc nelíbilo, protože není známo, jak by to mohlo skončit, ale kam by měl uživatel jít? Restart však dopadl dobře. To znamená, že žijeme v míru až do příštího virového útoku a bohužel není pochyb o tom, že k takovým útokům dojde.

V každém případě je důležité mít místo pro obnovení operačního systému a vašich souborů.

Aktualizace Windows 8 od WannaCry

Pro notebook s licencovaným Windows 8 byla nainstalována aktualizace KB 4012598, protože