See juhend ei ole mõeldud tehnilistele spetsialistidele, seetõttu:

1. mõne termini määratlusi on lihtsustatud;
2. tehnilisi üksikasju ei arvestata;
3. süsteemi kaitsemeetodeid (värskenduste installimine, turvasüsteemide konfigureerimine jne) ei arvestata.

Juhend on minu kirjutatud, et aidata süsteemiadministraatoreid, kes soovivad koolitada IT sfäärist (raamatupidamine, personal, müügiinimesed jne) kaugel asuvaid ettevõtte töötajaid küberhügieeni põhitõdedes.

Sõnastik

Tarkvara(edaspidi - tarkvara) - programm või programmide komplekt, mida kasutatakse arvuti juhtimiseks.

Krüpteerimine on andmete muutmine vormile, mis pole ilma krüpteerimisvõtmeta loetav.

Krüpteerimisvõti on failide krüptimisel/dekrüpteerimisel kasutatav salateave.

Dekooder- programm, mis rakendab dekrüpteerimisalgoritmi.

Algoritm- juhiste kogum, mis kirjeldab protseduuri, kuidas esineja saab mingi tulemuse saavutada.

kirja manus- meilile lisatud fail.

Laiendus(failinime laiend) on failinimele lisatud märgijada, mida kasutatakse failitüübi tuvastamiseks (näiteks *.doc, *.jpg). Vastavalt failide tüübile kasutatakse nende avamiseks teatud programmi. Näiteks kui faililaiendiks on *.doc, siis käivitatakse selle avamiseks MS Word, kui *.jpg, siis pildivaatur jne.

Link(või täpsemalt hüperlink) on dokumendi veebilehe osa, mis viitab dokumendis endas mõnele teisele elemendile (käsk, tekst, pealkiri, märkus, pilt) või mõnele teisele dokumendil asuvale objektile (fail, kataloog, rakendus). kohalikul kettal või arvutivõrgus.

Tekstifail on tekstiandmeid sisaldav arvutifail.

Arhiveerimine- see on tihendamine, st faili suuruse vähendamine.

Varukoopia— teabe varundamise tulemusena loodud fail või failide rühm.

Varundamine- andmekandjale (kõvaketas, diskett jne) andmete koopia loomise protsess, mis on ette nähtud andmete taastamiseks nende algsesse või uude salvestuskohta kahjustuse või hävimise korral.

Domeen(domeeninimi) - nimi, mis võimaldab juurdepääsu Interneti-saitidele ja neil asuvatele võrguressurssidele (veebisaidid, e-posti serverid, muud teenused) inimesele sobival kujul. Näiteks sisestage 172.217.18.131 asemel google.com.ua, kus ua, com, google on erineva tasemega domeenid.

Mis on lunavaraviirus?

lunavara viirus(edaspidi lunavara) on pahatahtlik tarkvara, mis krüpteerib kasutaja faile ja nõuab dekrüpteerimise eest lunaraha. Kõige sagedamini krüptitud failitüübid on MS Office'i dokumendid ja arvutustabelid ( docx, xlsx), pildid ( jpeg, png, tif), videofailid ( avi, mpeg, mkv jne), vormingus dokumendid pdf jne, samuti andmebaasifailid - 1C ( 1 CD, dbf), aktsent ( mdf). Süsteemifailid ja programmid on tavaliselt krüpteerimata, et Windows töötaks ja kasutajal oleks võimalus lunavaraga ühendust võtta. Harvadel juhtudel krüpteeritakse kogu ketas; sel juhul ei saa Windowsi laadida.

Mis on selliste viiruste oht?

Enamikul juhtudel on dekrüpteerimine iseseisvalt VÕIMATU, kuna. kasutatakse äärmiselt keerulisi krüpteerimisalgoritme. Väga harvadel juhtudel saab faile dekrüpteerida, kui on toimunud nakatumine juba teadaolevat tüüpi viirusega, millele viirusetõrjetootjad on dekrüpteerija välja andnud, kuid ka sel juhul pole info taastamine 100% garanteeritud. Mõnikord on viirusel koodis viga ja dekrüpteerimine muutub põhimõtteliselt võimatuks isegi pahavara autori poolt.

Enamikul juhtudel kustutab krüpteerija pärast kodeerimist originaalfailid spetsiaalsete algoritmide abil, mis välistab taastamise võimaluse.

Veel üks seda tüüpi viiruste ohtlik omadus on see, et need on sageli viirusetõrjetele "nähtamatud", kuna Krüpteerimiseks kasutatavaid algoritme kasutatakse ka paljudes legaalsetes programmides (näiteks klient-pank), mistõttu ei taju viirusetõrje paljusid krüptoreid pahavarana.

Nakatumise viisid.

Enamasti nakatumine toimub meilimanuste kaudu. Kasutaja saab e-kirja talle teadaolevalt või organisatsiooniks (maksuamet, pank) maskeerunud adressaadilt. Kiri võib sisaldada soovi viia läbi raamatupidamisarvestus, kinnitada arve tasumist, pakkumist tutvuda krediidivõlaga pangas vms. See tähendab, et teave on selline, mis kindlasti huvitab või hirmutab kasutajat ja julgustab teda viirusega meilimanust avama. Enamasti näeb see välja nagu arhiiv, mis sisaldab *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat faili. Pärast sellise faili käivitamist algab kohe või mõne aja pärast arvutis failide krüptimise protsess. Samuti saab nakatunud faili saata kasutajale ühes kiirsuhtlusprogrammis (Skype, Viber jne).

Harvem tekib nakatumine pärast häkitud tarkvara installimist või pärast veebisaidil või e-kirja sisus olevale nakatunud lingile klõpsamist.

Tuleb meeles pidada, et väga sageli võib viirus pärast ühe võrgus oleva arvuti nakatamist Windowsi ja/või installitud programmide turvaaukude abil levida ka teistele masinatele.

Infektsiooni tunnused.

1. Väga sageli on peale kirjale lisatud faili käivitamist kõvaketta aktiivsus kõrge, protsessor on laetud kuni 100%, s.t. Arvuti hakkab palju aeglustuma.
2. Mõni aeg pärast viiruse käivitamist taaskäivitub arvuti ootamatult (enamikul juhtudel).
3. Pärast taaskäivitamist avaneb tekstifail, mis teatab, et kasutaja failid on krüpteeritud ja näitab kontakte suhtlemiseks (e-post). Mõnikord asendatakse faili avamise asemel töölaua taustapilt lunaraha tekstiga.
4. Enamik kasutaja faile (dokumendid, fotod, andmebaasid) saavad teise laiendiga (näiteks *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl jne) või on täielikult ümber nimetatud, ja ärge avage ühtegi programmi, isegi kui muudate laiendit. Mõnikord on kogu kõvaketas krüptitud. Sel juhul Windows ei käivitu üldse ja lunarahateade kuvatakse peaaegu kohe pärast arvuti sisselülitamist.
5. Mõnikord paigutatakse kõik kasutaja failid ühte parooliga kaitstud arhiivi. See juhtub siis, kui ründaja tungib arvutisse ning arhiivib ja kustutab failid käsitsi. See tähendab, et kui meilimanusest käivitatakse pahatahtlik fail, ei krüptitata kasutaja faile automaatselt, vaid installitakse tarkvara, mis võimaldab ründajal Interneti kaudu salaja arvutiga ühenduse luua.

Lunaraha teksti näide

Mida teha, kui nakatumine on juba toimunud?

1. Kui krüpteerimisprotsess algas teie juuresolekul (arvuti on väga "aeglane"; avati tekstifail krüptimist käsitleva teatega; failid hakkasid kaduma ja nende asemel hakkasid ilmuma nende krüptitud koopiad), peaksite KOHE lülitage arvuti toide välja, eemaldades toitejuhtme vooluvõrgust või hoides seda 5 sekundit all. toitenupp. Võib-olla säästab see osa teabest. ÄRGE KÄIVITAKE arvutit uuesti! AINULT VÄLJAS!
2. Kui krüpteerimine on juba toimunud, ei tohi mingil juhul püüda infektsiooni ise ravida ega krüpteeritud faile või lunavara loodud faile kustutada või ümber nimetada.

Mõlemal juhul peaksite juhtunust viivitamatult teavitama süsteemiadministraatorit.

TÄHTIS!!!

Ärge proovige ründajaga tema antud kontaktide kaudu iseseisvalt läbi rääkida! Parimal juhul on see kasutu; halvimal juhul võib see suurendada dekrüpteerimise eest makstavat lunaraha.

Kuidas vältida nakatumist või minimeerida selle tagajärgi?

1. Ärge avage kahtlaseid e-kirju, eriti neid, millel on manused (vt allpool, kuidas selliseid e-kirju ära tunda).
2. Ärge klõpsake veebisaitidel ja teile saadetud meilides kahtlastel linkidel.
3. Ärge laadige alla ega installige programme ebausaldusväärsetest allikatest (häkitud tarkvaraga veebisaidid, torrenti jälgijad).
4. Varundage alati olulised failid. Parim võimalus oleks salvestada varukoopiaid teisele andmekandjale, mis pole arvutiga ühendatud (välkmälu, väline draiv, DVD-draiv) või pilves (näiteks Yandex.Disk). Sageli krüpteerib viirus ka arhiivifaile (zip, rar, 7z), mistõttu on varukoopiate salvestamine samasse arvutisse, kus originaalfailid on, mõttetu.

Kuidas pahatahtlikku meili ära tunda?

1. Kirja teema ja sisu ei ole seotud teie kutsetegevusega. Näiteks büroojuht sai kirja maksurevisjoni, arve või CV kohta.

2. Kiri sisaldab teavet, mis ei ole seotud meie riigi, piirkonna või meie ettevõtte tegevuspiirkonnaga. Näiteks nõue tasuda võlg Vene Föderatsioonis registreeritud pangas.

3. Sageli on pahatahtlik e-kiri kavandatud väidetava vastusena mõnele teie meilile. Sellise kirja teema alguses on kombinatsioon "Re:". Näiteks "Re: Arve", kuigi teate kindlalt, et te pole sellele aadressile kirju saatnud.

4. Väidetavalt tuli kiri tuntud firmalt, kuid kirja saatja aadress sisaldab mõttetuid tähejadasid, sõnu, numbreid, kõrvalisi domeene, millel pole midagi pistmist tekstis mainitud ettevõtte ametlike aadressidega. kirjast.

5. Väli "Saaja" sisaldab tundmatut nime (mitte teie postkasti), ebaühtlaste märkide komplekti või saatja postkasti dubleerivat nime.

6. Kirja tekstis palutakse erinevatel ettekäänetel adressaadil esitada või kinnitada mis tahes isiklikku või varalist teavet, fail alla laadida või linki järgida, teavitades samal ajal kiireloomulisusest või sanktsioonidest juhul, kui kirja eirata. kirjas täpsustatud juhised.

7. Kirjale lisatud arhiiv sisaldab *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso faile. Väga levinud on ka pahatahtliku laienduse maskeerimine. Näiteks failinimes "Accounts receivable.doc.js" on *.doc valelaiend, mis ei kanna ühtegi funktsiooni, ja *.js on viirusefaili tegelik laiend.

8. Kui kiri tuli tuntud saatjalt, kuid kirja stiil ja kirjaoskus on väga erinevad, on ka see põhjus ettevaatlikuks olemiseks. Nagu ka iseloomutu sisu – näiteks sai klient arve tasumise palve. Sel juhul on parem võtta saatjaga ühendust mõne muu sidekanali (telefon, Skype) kaudu, kuna on tõenäoline, et tema arvutisse on häkitud või viirusega nakatunud.

Näide pahatahtlikust meilist

Uus lunavara pahavara WannaCry (tuntud ka kui WannaCry Decryptor, WannaCrypt, WCry ja WanaCrypt0r 2.0) andis endast maailmale tuntuks 12. mail 2017, kui mitmes Ühendkuningriigis asuvas tervishoiuasutuses arvutites olevad failid krüpteeriti. Nagu peagi selgus, sattusid sarnasesse olukorda kümnete riikide ettevõtted ning kõige rohkem said kannatada Venemaa, Ukraina, India ja Taiwan. Kaspersky Labi andmetel tuvastati viirus ainuüksi rünnaku esimesel päeval 74 riigis.

Miks on WannaCry ohtlik? Viirus krüpteerib erinevat tüüpi faile (.WCRY laiendit arvestades muutuvad failid täiesti loetamatuks) ja nõuab seejärel dekrüpteerimise eest 600 dollari suurust lunaraha. Rahaülekande protsessi kiirendamiseks hirmutab kasutajat asjaolu, et kolme päeva pärast lunaraha summa suureneb ja seitsme päeva pärast ei saa faile enam dekrüpteerida.

WannaCry lunavaraviirusega nakatumise oht mõjutab Windowsi operatsioonisüsteemidel põhinevaid arvuteid. Kui kasutate Windowsi litsentsitud versioone ja värskendate oma süsteemi regulaarselt, ei pea te muretsema, et viirus sel viisil teie süsteemi satub.

MacOS-i, ChromeOS-i ja Linuxi ning iOS-i ja Androidi mobiilioperatsioonisüsteemide kasutajad ei peaks WannaCry rünnakuid üldse kartma.

Mida teha, kui satute WannaCry ohvriks?

Ühendkuningriigi riiklik kuritegevuse agentuur (NCA) soovitab lunavara ohvriks langenud väikeettevõtetel, kes tunnevad muret viiruse leviku pärast veebis, võtta järgmised meetmed:

• Eraldage oma arvuti, sülearvuti või tahvelarvuti kohe ettevõtte/sisevõrgust. Lülitage Wi-Fi välja.
• Vahetage draivereid.
• Ühendage arvuti otse Internetti ilma Wi-Fi-võrguga ühendust loomata.
• Värskendage oma operatsioonisüsteemi ja kogu muud tarkvara.
• Värskendage ja käivitage viirusetõrje.
• Ühendage uuesti võrguga.
• Jälgige võrguliiklust ja/või käivitage viirusekontroll, veendumaks, et lunavara on kadunud.

Tähtis!

WannaCry viiruse poolt krüpteeritud faile ei saa dekrüpteerida keegi peale sissetungijate. Seetõttu ärge raisake aega ja raha nendele "IT-geeniustele", kes lubavad teid sellest peavalust päästa.

Kas tasub ründajatele raha maksta?

Uue WannaCry lunavaraviirusega kokku puutunud kasutajate esimesed küsimused on järgmised: kuidas faile taastada ja kuidas viirust eemaldada. Tasuta ja tõhusaid lahendusi leidmata on nad valiku ees – maksta väljapressijale raha või mitte? Kuna kasutajatel on sageli midagi kaotada (isiklikud dokumendid ja fotoarhiivid hoitakse arvutis), tekib tõesti soov probleem raha toel lahendada.

Kuid NCA kutsub üles mittemaksa raha. Kui otsustate siiski seda teha, pidage meeles järgmist.

• Esiteks ei ole mingit garantiid, et saate oma andmetele juurdepääsu.
• Teiseks võib teie arvuti olla viirusega nakatunud ka pärast maksmist.
• Kolmandaks annate suure tõenäosusega lihtsalt oma raha küberkurjategijatele.

Kuidas kaitsta end WannaCry eest?

Milliseid meetmeid võtta viirusega nakatumise vältimiseks, selgitab SKB Konturi infoturbesüsteemide juurutamise osakonna juhataja Vjatšeslav Belašov:

WannaCry viiruse eripära seisneb selles, et erinevalt teistest lunavaraviirustest suudab see süsteemi tungida ilma inimese sekkumiseta. Varem oli viiruse toimimiseks vaja, et kasutaja oleks tähelepanematu – ta järgis kahtlast linki meilist, mis polnud tegelikult talle mõeldud, või laadis alla pahatahtliku manuse. WannaCry puhul kasutatakse ära haavatavust, mis eksisteerib otse operatsioonisüsteemis endas. Seetõttu sattusid esimestena ohtu Windowsi-põhised arvutid, mis ei installinud 14. märtsi 2017 värskendusi. Piisab ühest nakatunud tööjaamast kohtvõrgust, et viirus leviks olemasoleva haavatavusega teistele.

Viirusest mõjutatud kasutajatel on üks põhiküsimus – kuidas oma teavet dekrüpteerida? Kahjuks ei ole veel garanteeritud lahendust ja seda ei saa tõenäoliselt ette näha. Isegi pärast määratud summa tasumist ei lahene probleem. Lisaks võib olukorda raskendada asjaolu, et inimene riskib oma andmete taastamise lootuses kasutada väidetavalt “tasuta” dekrüptoreid, mis tegelikult on samuti pahatahtlikud failid. Seetõttu on peamine nõuanne, mida saab anda, olla ettevaatlik ja teha kõik endast oleneva, et sellist olukorda vältida.

Mida täpselt saab ja peaks hetkel tegema:

1. Installige uusimad värskendused.

See kehtib mitte ainult operatsioonisüsteemide, vaid ka viirusetõrjevahendite kohta. Teavet Windowsi värskendamise kohta leiate.

2. Tee olulisest teabest varukoopiaid.

3. Olge posti ja Internetiga töötades ettevaatlik.

Pöörake tähelepanu küsitavate linkide ja manustega sissetulevatele meilidele. Internetiga töötamiseks on soovitatav kasutada pistikprogramme, mis võimaldavad teil vabaneda tarbetust reklaamist ja linkidest potentsiaalselt pahatahtlikele allikatele.

Kaasaegsed tehnoloogiad võimaldavad häkkeritel tavakasutajate suhtes pettuse viise pidevalt täiustada. Nendel eesmärkidel kasutatakse reeglina arvutisse tungivat viirustarkvara. Eriti ohtlikeks peetakse krüpteerimisviiruseid. Oht seisneb selles, et viirus levib väga kiiresti, krüpteerides faile (kasutaja lihtsalt ei saa ühtegi dokumenti avada). Ja kui see on üsna lihtne, siis on andmete dekrüpteerimine palju keerulisem.

Mida teha, kui viirus on teie arvutis faile krüpteerinud

Lunavara võib rünnata kõiki, isegi kasutajad, kellel on võimas viirusetõrjetarkvara, pole kindlustatud. Failide krüptimise troojalased on esindatud erineva koodiga, mis võib viirusetõrjele üle jõu käia. Häkkeritel õnnestub sel viisil rünnata isegi suuri ettevõtteid, kes pole hoolitsenud oma teabe vajaliku kaitse eest. Niisiis, kui olete lunavaraprogrammi võrgus üles võtnud, peate võtma mitmeid meetmeid.

Peamisteks nakatumise tunnusteks on arvuti aeglane töö ja dokumentide nimede muutumine (seda on näha töölaual).

1. Krüptimise peatamiseks taaskäivitage arvuti. Kui see on lubatud, ärge kinnitage tundmatute programmide käivitamist.
2. Käivitage viirusetõrje, kui lunavara pole seda rünnanud.
3. Mõnel juhul aitavad varikoopiad teavet taastada. Nende leidmiseks avage krüptitud dokumendi "Atribuudid". See meetod töötab laienduse Vault krüpteeritud andmetega, millel on portaalis teave.
4. Laadige alla uusim krüptoviirusevastane utiliit. Kõige tõhusamaid pakub Kaspersky Lab.

Krüpteerimisviirused 2016. aastal: näited

Iga viirusrünnakuga võitlemisel on oluline mõista, et kood muutub väga sageli, millele lisandub uus viirusetõrje. Loomulikult vajavad kaitseprogrammid veidi aega, kuni arendaja andmebaase värskendab. Oleme välja valinud viimase aja ohtlikumad krüpteerimisviirused.

Ishtari lunavara

Ishtar on lunavara, mis pressib kasutajalt raha välja. Viirust märgati 2016. aasta sügisel, nakatades tohutul hulgal Venemaa ja mitmete teiste riikide kasutajate arvuteid. Seda levitatakse e-posti teel, mis sisaldab lisatud dokumente (installerid, dokumendid jne). Ishtari lunavaraga nakatunud andmed saavad nime eesliite "ISHTAR". Protsessi käigus luuakse testdokument, mis näitab, kuhu parooli saamiseks pöörduda. Ründajad nõuavad selle eest 3000–15 000 rubla.

Ishtari viiruse oht seisneb selles, et täna pole ühtegi dekrüpteerijat, mis kasutajaid aitaks. Viirusetõrjetarkvara ettevõtted vajavad kogu koodi dešifreerimiseks aega. Nüüd saate olulise teabe (kui see on eriti oluline) eraldada ainult eraldi kandjale, oodates dokumente dekrüpteerida suutva utiliidi avaldamist. Soovitatav on operatsioonisüsteem uuesti installida.

Neitrino

Neitrino lunavara ilmus Internetti 2015. aastal. Rünnakupõhimõtte järgi sarnaneb see teiste selle kategooria viirustega. Muudab kaustade ja failide nimesid, lisades "Neitrino" või "Neutrino". Viirust on raske dešifreerida - kaugeltki mitte kõik viirusetõrjefirmade esindajad ei võta seda ette, viidates väga keerulisele koodile. Varikoopia taastamine võib mõnda kasutajat aidata. Selleks paremklõpsake krüptitud dokumendil, minge "Atribuudid", vahekaart "Eelmised versioonid", klõpsake "Taasta". Kaspersky Labi tasuta utiliidi kasutamine ei ole üleliigne.

Rahakott või .rahakott.

Walleti krüpteerimisviirus ilmus 2016. aasta lõpus. Nakatumise käigus muudab see andmete nimeks "Nimi..rahakott" vms. Nagu enamik lunavaraviiruseid, siseneb see süsteemi häkkerite saadetud meilimanuste kaudu. Kuna oht ilmnes üsna hiljuti, ei pane viirusetõrjeprogrammid seda tähele. Pärast krüptimist loob see dokumendi, milles pettur määrab suhtluseks kasutatava kirja. Praegu tegelevad viirusetõrjetarkvara arendajad lunavaraviiruse koodi dekrüpteerimisega. [e-postiga kaitstud] Rünnatud kasutajad saavad ainult oodata. Kui andmed on olulised, on soovitatav need süsteemi puhastades välisele draivile salvestada.

Enigma

Enigma krüpteerimisviirus hakkas Venemaa kasutajate arvuteid nakatama 2016. aasta aprilli lõpus. See kasutab AES-RSA krüpteerimismudelit, mida tänapäeval leidub enamikus lunavarades. Viirus tungib arvutisse skripti abil, mida kasutaja ise käivitab, avades faile kahtlasest meilist. Endiselt pole Enigma šifriga toimetulemiseks universaalset vahendit. Kasutajad, kellel on viirusetõrje litsents, saavad abi küsida arendaja ametlikul veebisaidil. Leiti ka väike "lünk" - Windows UAC. Kui kasutaja klõpsab viirusnakkuse ajal ilmuvas aknas "Ei", saab ta hiljem varikoopiate abil teavet taastada.

Graniit

Uus lunavaraviirus Granit ilmus veebi 2016. aasta sügisel. Nakatumine toimub järgmise stsenaariumi kohaselt: kasutaja käivitab installiprogrammi, mis nakatab ja krüpteerib kõik arvutis ja ühendatud draivides olevad andmed. Viiruse vastu võitlemine on keeruline. Selle eemaldamiseks võite kasutada Kaspersky spetsiaalseid utiliite, kuid koodi pole veel dekrüpteeritud. Abi võib olla andmete eelmiste versioonide taastamisest. Lisaks saab dekrüpteerida suurte kogemustega spetsialist, kuid teenus on kallis.

Tyson

Hiljuti nähtud. Tegemist on laiendusega juba tuntud lunavarale no_more_ransom, millega saad tutvuda meie kodulehel. Jõuab personaalarvutitesse e-posti teel. Paljud ettevõtte arvutid on rünnatud. Viirus loob avamisjuhistega tekstidokumendi, pakkudes välja "lunaraha". Tysoni lunavara ilmus hiljuti, seega pole veel avamisvõtit. Ainus viis teabe taastamiseks on eelmiste versioonide tagastamine, kui viirus pole neid kustutanud. Ründajate näidatud kontole raha kandes võib muidugi riskida, kuid parooli saamine pole garanteeritud.

Spora

2017. aasta alguses langes hulk kasutajaid uue Spora lunavara ohvriks. Tööpõhimõtte kohaselt ei erine see palju oma kolleegidest, kuid uhkeldab professionaalsema jõudlusega: parooli hankimise juhised on paremini kirjutatud, veebisait näeb kenam välja. Loodud Spora lunavara C-keeles, kasutab ohvrite andmete krüptimiseks RSA ja AES kombinatsiooni. Reeglina rünnati arvuteid, milles 1C raamatupidamisprogrammi aktiivselt kasutatakse. Lihtsa .pdf-vormingus arve varjus peituv viirus sunnib ettevõtte töötajaid selle käivitama. Ravi pole veel leitud.

1C.Drop.1

See 1C krüpteerimisviirus ilmus 2016. aasta suvel, häirides paljude raamatupidamisosakondade tööd. See töötati välja spetsiaalselt 1C tarkvara kasutavate arvutite jaoks. E-kirjas oleva faili arvutisse jõudmisel palub see omanikul programmi värskendada. Ükskõik millist nuppu kasutaja vajutab, hakkab viirus faile krüpteerima. Dr.Webi spetsialistid tegelevad dekrüpteerimisvahenditega, kuid siiani pole lahendust leitud. Selle põhjuseks on keerukas kood, mis võib olla mitme modifikatsiooniga. Ainus kaitse 1C.Drop.1 vastu on kasutajate valvsus ja oluliste dokumentide regulaarne arhiveerimine.

da_vinci_code

Uus lunavara ebatavalise nimega. Viirus ilmus 2016. aasta kevadel. See erineb oma eelkäijatest täiustatud koodi ja tugeva krüpteerimisrežiimi poolest. da_vinci_code nakatab arvuti tänu käivitatavale rakendusele (tavaliselt e-kirjale lisatud), mille kasutaja iseseisvalt käivitab. Da Vinci kooder (da Vinci kood) kopeerib keha süsteemikataloogi ja registrisse, tagades, et see käivitub automaatselt, kui Windows on sisse lülitatud. Iga ohvri arvutile määratakse unikaalne ID (aitab parooli kätte saada). Andmeid on peaaegu võimatu dekrüpteerida. Võite ründajatele raha maksta, kuid keegi ei garanteeri, et saate parooli.

[e-postiga kaitstud] / [e-postiga kaitstud]

Kaks meiliaadressi, mis 2016. aastal sageli lunavaraga kaasas olid. Nende eesmärk on ühendada ohver ründajaga. Aadresse lisati erinevat tüüpi viirustele: da_vinci_code, no_more_ransom ja nii edasi. Väga ei soovitata ühendust võtta ega petturitele raha üle kanda. Enamikul juhtudel jäävad kasutajad paroolideta. Seega näidates, et ründajate lunavara töötab, teenides tulu.

Halvale teele

Ilmus 2015. aasta alguses, kuid levis aktiivselt alles aasta hiljem. Nakatumise põhimõte on identne muu lunavaraga: faili installimine meilist, andmete krüpteerimine. Tavalised viirusetõrjed Breaking Bad viirust tavaliselt ei märka. Mõni kood ei saa Windowsi UAC-st mööda minna, nii et kasutaja saab siiski taastada dokumentide varasemaid versioone. Dekoodrit pole veel esitlenud ükski viirusetõrjetarkvara arendav ettevõte.

XTBL

Väga levinud lunavara, mis tekitas probleeme paljudele kasutajatele. Arvutisse sattudes muudab viirus mõne minutiga faililaiendi .xtbl-ks. Luuakse dokument, milles ründaja pressib raha välja. Mõned XTBL viiruse tüved ei suuda süsteemi taastefaile hävitada, võimaldades oluliste dokumentide taastamist. Viirust ennast saab eemaldada paljude programmidega, kuid dokumentide dekrüpteerimine on väga keeruline. Kui teil on litsentsitud viirusetõrje, kasutage tehnilist tuge, lisades nakatunud andmete näidised.

Kukaracha

Kukaracha šifrit märgati 2016. aasta detsembris. Huvitava nimega viirus peidab kasutaja failid RSA-2048 algoritmi abil, mis on väga vastupidav. Kaspersky Anti-Virus tuvastas selle kui Trojan-Ransom.Win32.Scatter.lb. Kukaracha saab arvutist eemaldada, et teised dokumendid ei nakatuks. Nakatunud on aga tänapäeval peaaegu võimatu dekrüpteerida (väga võimas algoritm).

Kuidas lunavara töötab

Lunavara on tohutult palju, kuid need kõik töötavad sarnasel põhimõttel.

1. Juurdepääs personaalarvutile. Reeglina tänu e-kirjale lisatud failile. Installimise algatab kasutaja ise, avades dokumendi.
2. Faili nakatumine. Peaaegu igat tüüpi failid on krüptitud (olenevalt viirusest). Luuakse tekstidokument, mis sisaldab kontakte sissetungijatega suhtlemiseks.
3. Kõik. Kasutajal pole juurdepääsu ühelegi dokumendile.

Abinõud populaarsetest laboritest

Lunavara laialdane kasutamine, mis on tunnistatud kõige ohtlikumaks ohuks kasutajaandmetele, on saanud tõuke paljudele viirusetõrjelaboritele. Iga populaarne ettevõte pakub oma kasutajatele programme, mis aitavad neil lunavara vastu võidelda. Lisaks aitavad paljud neist süsteemi poolt kaitstud dokumentide dekrüpteerimisel.

Kaspersky ja krüpteerimisviirused

Venemaa ja maailma üks kuulsamaid viirusetõrjelaboreid pakub tänapäeval kõige tõhusamaid vahendeid lunavaraviiruste vastu võitlemiseks. Esimeseks takistuseks lunavaraviirusele saab Kaspersky Endpoint Security 10 koos uusimate uuendustega. Viirusetõrje lihtsalt ei lase ohul arvutisse siseneda (uusi versioone ei pruugita siiski peatada). Teabe dekrüpteerimiseks pakub arendaja korraga mitu tasuta utiliiti: XoristDecryptor, RakhniDecryptor ja Ransomware Decryptor. Need aitavad viiruse üles leida ja parooli üles korjata.

Dr. Veeb ja lunavara

See labor soovitab kasutada nende viirusetõrjeprogrammi, mille põhifunktsioon on failide varundamine. Dokumentide koopiatega hoidla on kaitstud ka sissetungijate volitamata juurdepääsu eest. Litsentsitud toote omanikud Dr. Veeb, tehnilise toe poole pöördumise funktsioon on saadaval. Tõsi, isegi kogenud spetsialistid ei suuda seda tüüpi ohtudele alati vastu seista.

ESET Nod 32 ja lunavara

Ka see ettevõte ei jäänud kõrvale, pakkudes oma kasutajatele head kaitset arvutisse sattuvate viiruste eest. Lisaks on labor hiljuti välja andnud tasuta utiliidi koos ajakohaste andmebaasidega – Eset Crysis Decryptor. Arendajad väidavad, et see aitab võidelda isegi uusima lunavara vastu.

See jätkab oma rõhuvat marssi veebis, nakatades arvuteid ja krüptides olulisi andmeid. Kuidas kaitsta end lunavara eest, kaitsta Windowsi lunavara eest – kas failide dekrüpteerimiseks ja ravimiseks antakse välja plaastreid, plaastreid?

Uus lunavaraviirus 2017 Wanna Cry nakatab jätkuvalt ettevõtete ja eraarvuteid. Kell 1 miljard dollarit kahju viirusrünnakust. Kahe nädalaga nakatas lunavaraviirus vähemalt 300 tuhat arvutit hoolimata hoiatustest ja turvameetmetest.

Mis on lunavara 2017- reeglina saate "korjata", näib, kõige kahjutumatel saitidel, näiteks kasutaja juurdepääsuga pangaservereid. Ohvri kõvakettale sattunud lunavara "selab" System32 süsteemikausta. Sealt edasi keelab programm koheselt viirusetõrje ja läheb "Autoruni" juurde". Pärast iga taaskäivitamist krüpteerimisprogramm algab registris alustades oma musta tööd. Lunavara hakkab alla laadima sarnaseid koopiaid sellistest programmidest nagu Ransom ja Trojan. Samuti juhtub sageli lunavara iseseplikatsioon. See protsess võib olla hetkeline või võib kesta nädalaid – kuni ohver märkab, et midagi on valesti.

Lunavara maskeerib end sageli tavalisteks piltide, tekstifailidena, kuid olemus on alati sama - see on käivitatav fail laiendiga .exe, .drv, .xvd; mõnikord - libraries.dll. Enamasti on failil täiesti kahjutu nimi, näiteks " dokument. dok", või" pilt.jpg”, kus laiend kirjutatakse käsitsi ja tegelik failitüüp on peidetud.

Pärast krüptimise lõppu näeb kasutaja tuttavate failide asemel nimes ja sees "juhuslike" märkide komplekti ning laiend muutub senitundmatuks - .NO_MORE_RANSOM, .xdata muud.

2017 Wanna Cry lunavaraviirus – kuidas end kaitsta. Tahaksin kohe märkida, et Wanna Cry on pigem koondnimetus kõigile lunavara- ja lunavaraviirustele, kuna see on viimasel ajal kõige sagedamini nakatanud arvuteid. Niisiis, räägime sellest Kaitske end Ransom Ware lunavara eest, mida on väga palju: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Kuidas kaitsta Windowsi lunavara eest. – EternalBlue SMB pordi protokolli kaudu.

Windowsi lunavarakaitse 2017 – põhireeglid:

• Windowsi värskendus, õigeaegne üleminek litsentsitud operatsioonisüsteemile (Märkus: XP versiooni ei värskendata)
• viirusetõrje andmebaaside ja tulemüüride värskendamine nõudmisel
• äärmine ettevaatus mis tahes failide allalaadimisel (armsad "kassid" võivad põhjustada kõigi andmete kadumise)
• olulise teabe varundamine irdkandjale.

Lunavaraviirus 2017: kuidas faile ravida ja dekrüpteerida.

Viirusetõrjetarkvarale tuginedes võite dekrüpteerija mõneks ajaks unustada. Laborites Kaspersky, dr. Veeb, Avast! ja muud viirusetõrjed nakatunud failide ravimiseks ei leitud lahendust. Hetkel on võimalik viirust viirusetõrje abil eemaldada, kuid algoritme, mis kõike “normaalsesse seisukorda” viiks, veel pole.

Mõned proovivad kasutada dekrüptoreid, näiteks utiliiti RectorDecryptor aga see ei aita: Uute viiruste dekrüpteerimise algoritmi pole veel koostatud. Samuti on täiesti teadmata, kuidas viirus käitub, kui seda pärast selliste programmide kasutamist ei eemaldata. Sageli võib see lõppeda kõigi failide kustutamisega – hoiatuseks neile, kes ei soovi ründajatele ehk viiruse autoritele maksta.

Praegu on kõige tõhusam viis kaotatud andmete taastamiseks nendega ühendust võtta. teie kasutatava viirusetõrjeprogrammi müüja tugi. Selleks saatke kiri või kasutage tootja veebisaidil olevat tagasisidevormi. Lisage manusele kindlasti krüpteeritud fail ja kui see on olemas, siis originaali koopia. See aitab programmeerijatel algoritmi koostada. Kahjuks tuleb paljudele viirusrünnak täieliku üllatusena ning koopiaid ei leita, mis muudab olukorra kohati keeruliseks.

Kardiaalsed meetodid Windowsi ravimiseks lunavara eest. Kahjuks peate mõnikord kasutama kõvaketta täielikku vormindamist, mis tähendab OS-i täielikku muutmist. Paljud mõtlevad süsteemi taastamisele, kuid see pole valik - isegi kui toimub "tagasivõtmine", mis viirusest vabaneb, jäävad failid endiselt krüpteerituks.

12. aprillil 2017 ilmus teave WannaCry-nimelise krüpteerimisviiruse kiirest levikust üle maailma, mida võib tõlkida kui "Ma tahan nutta". Kasutajatel on küsimusi Windowsi värskendamise kohta WannaCry viiruse eest.

Viirus arvutiekraanil näeb välja selline:

Halb WannaCry viirus, mis krüpteerib kõik

Viirus krüpteerib kõik arvutis olevad failid ja nõuab Bitcoini rahakotile 300 või 600 dollari suurust lunaraha, et arvuti väidetavalt dekrüpteerida. Nakatunud on arvutid 150 maailma riigis, enim kannatas Venemaa.

MegaFon, Venemaa Raudtee, siseministeerium, tervishoiuministeerium ja teised ettevõtted puutusid selle viirusega silmitsi. Ohvrite hulgas on tavalisi internetikasutajaid.

Peaaegu kõik on viiruse ees võrdsed. Erinevus seisneb võib-olla selles, et ettevõtetes levib viirus kogu organisatsiooni sees kohalikus võrgus ja nakatab koheselt võimalikult palju arvuteid.

WannaCry viirus krüpteerib faile Windowsiga arvutites. 2017. aasta märtsis andis Microsoft välja MS17-010 värskendused Windows XP, Vista, 7, 8, 10 erinevatele versioonidele.

Selgub, et need, kellel on seadistatud automaatsed Windowsi värskendused, on viiruse riskitsoonist väljas, kuna said värskenduse õigel ajal ja suutsid seda vältida. Ma ei hakka väitma, et see tegelikult nii on.

Riis. 3. Teade värskenduse KB4012212 installimisel

Pärast installimist nõudis värskendus KB4012212 sülearvuti taaskäivitamist, mis mulle eriti ei meeldinud, sest pole teada, kuidas see lõppeda võib, kuid kuhu peaks kasutaja pöörduma? Taaskäivitamine läks aga hästi. See tähendab, et elame rahus kuni järgmise viiruserünnakuni ja paraku pole kahtlust, et sellised rünnakud leiavad aset.

Igal juhul on oluline, et oleks koht, kust operatsioonisüsteem ja failid taastada.

Windows 8 värskendus WannaCrylt

Litsentsiga Windows 8 sülearvuti jaoks installiti värskendus KB 4012598, kuna