ویروس باج افزار WannaCry: چه باید کرد؟ WannaCry: چگونه از خود در برابر ویروس باج افزار محافظت کنید از اطلاعات مهم نسخه پشتیبان تهیه کنید.

این راهنما برای متخصصان فنی در نظر گرفته نشده است، بنابراین:

  1. تعاریف برخی از اصطلاحات ساده شده است.
  2. جزئیات فنی در نظر گرفته نمی شود.
  3. روش های حفاظت از سیستم (نصب به روز رسانی، پیکربندی سیستم های امنیتی و غیره) در نظر گرفته نمی شود.
این دستورالعمل توسط من نوشته شده است تا به مدیران سیستمی کمک کنم که می خواهند کارکنان شرکت را که از حوزه فناوری اطلاعات دور هستند (حسابداری، پرسنل، فروشندگان و غیره) در اصول بهداشت سایبری آموزش دهند.

واژه نامه

نرم افزار(از این پس - نرم افزار) - برنامه یا مجموعه ای از برنامه های مورد استفاده برای کنترل رایانه.

رمزگذاریتبدیل داده ها به فرمی است که بدون کلید رمزگذاری قابل خواندن نیست.

کلید رمزگذاریاطلاعات محرمانه ای است که هنگام رمزگذاری/رمزگشایی فایل ها استفاده می شود.

رمزگشا- برنامه ای که الگوریتم رمزگشایی را پیاده سازی می کند.

الگوریتم- مجموعه ای از دستورالعمل ها که روشی را برای اجرا کننده برای دستیابی به نتیجه ای توصیف می کند.

پیوست نامه- یک فایل پیوست شده به ایمیل

افزونه(پسوند نام فایل) دنباله ای از کاراکترهایی است که به نام فایل اضافه شده و برای شناسایی نوع فایل استفاده می شود (به عنوان مثال *.doc، *.jpg). با توجه به نوع فایل ها از برنامه خاصی برای باز کردن آنها استفاده می شود. به عنوان مثال، اگر پسوند فایل *.doc باشد، MS Word برای باز کردن آن راه اندازی می شود، اگر *.jpg باشد، نمایشگر تصویر راه اندازی می شود و غیره.

ارتباط دادن(یا به طور دقیق تر، یک پیوند) بخشی از یک صفحه وب سند است که به عنصر دیگری (فرمان، متن، عنوان، یادداشت، تصویر) در خود سند یا به یک شی دیگر (فایل، دایرکتوری، برنامه کاربردی) که در دیسک محلی یا در شبکه کامپیوتری.

فایل متنییک فایل کامپیوتری حاوی داده های متنی است.

آرشیو کردن- این فشرده سازی است، یعنی کاهش حجم فایل.

نسخه پشتیبان- یک فایل یا گروهی از فایل‌ها که در نتیجه پشتیبان‌گیری اطلاعات ایجاد شده‌اند.

پشتیبان گیری- فرآیند ایجاد یک کپی از داده ها بر روی یک رسانه (هارد دیسک، فلاپی دیسک و غیره) که برای بازگرداندن داده ها به محل ذخیره اصلی یا جدید در صورت آسیب یا تخریب طراحی شده است.

دامنه(نام دامنه) - نامی که دسترسی به سایت های اینترنتی و منابع شبکه واقع در آنها (وب سایت ها، سرورهای ایمیل، سایر خدمات) را به شکلی مناسب برای شخص امکان پذیر می کند. به عنوان مثال، به جای 172.217.18.131، google.com.ua را وارد کنید، جایی که ua، com، google دامنه های سطوح مختلف هستند.


ویروس باج افزار چیست؟

ویروس باج افزار(از این پس باج افزار نامیده می شود) نرم افزار مخربی است که فایل های کاربر را رمزگذاری می کند و برای رمزگشایی باج می خواهد. رایج ترین انواع فایل های رمزگذاری شده اسناد و صفحات گسترده MS Office ( docx, xlsx)، تصاویر ( jpeg, png, tif)، فایل های ویدئویی ( avi, mpeg, mkvو غیره)، اسناد در قالب pdfو غیره، و همچنین فایل های پایگاه داده - 1C ( 1 سی دی, dbf), لهجه ( ام دی اف). فایل‌ها و برنامه‌های سیستم معمولاً رمزگذاری نشده‌اند تا ویندوز را در حال اجرا نگه دارند و به کاربر فرصتی برای تماس با باج‌افزار بدهند. در موارد نادر، کل دیسک رمزگذاری می شود، در این حالت، ویندوز نمی تواند بارگذاری شود.

خطر چنین ویروس هایی چیست؟

در اکثر موارد، رمزگشایی به تنهایی غیرممکن است، زیرا. الگوریتم های رمزگذاری بسیار پیچیده استفاده می شود. در موارد بسیار نادر، اگر عفونت با یک نوع ویروس از قبل شناخته شده رخ داده باشد، فایل ها را می توان رمزگشایی کرد، که سازندگان آنتی ویروس رمزگشا را برای آن منتشر کرده اند، اما حتی در این مورد، بازیابی اطلاعات 100٪ تضمین نمی شود. گاهی اوقات یک ویروس در کد خود نقص دارد و رمزگشایی اصولاً حتی توسط نویسنده بدافزار غیرممکن می شود.

در اکثریت قریب به اتفاق موارد، پس از رمزگذاری، رمزگذار فایل های اصلی را با استفاده از الگوریتم های خاص حذف می کند که امکان بازیابی را از بین می برد.

یکی دیگر از ویژگی های خطرناک این نوع ویروس ها این است که اغلب آنها برای آنتی ویروس ها "نامرئی" هستند، زیرا الگوریتم های مورد استفاده برای رمزگذاری نیز در بسیاری از برنامه های قانونی (به عنوان مثال، مشتری-بانک) استفاده می شود، به همین دلیل است که بسیاری از رمزگذارها توسط آنتی ویروس ها به عنوان بدافزار درک نمی شوند.

راه های عفونت

اغلب، عفونت از طریق پیوست های ایمیل رخ می دهد. کاربر یک ایمیل از یک مخاطب شناخته شده برای او یا مبدل به عنوان یک سازمان (اداره مالیات، بانک) دریافت می کند. نامه ممکن است حاوی درخواستی برای انجام یک تطبیق حسابداری، تأیید پرداخت یک فاکتور، پیشنهاد آشنایی با بدهی اعتباری در بانک یا موارد مشابه باشد. یعنی اطلاعات به گونه ای خواهد بود که مطمئناً کاربر را مورد علاقه یا ترسانده و تشویق می کند تا پیوست ایمیل را با ویروس باز کند. اغلب، مانند یک بایگانی حاوی فایل *.js، *.scr، *.exe، *.hta، *.vbs، *.cmd، *.bat است. پس از راه اندازی چنین فایلی، بلافاصله یا پس از مدتی، فرآیند رمزگذاری فایل ها در رایانه شخصی آغاز می شود. همچنین فایل آلوده را می توان در یکی از برنامه های پیام فوری (اسکایپ، وایبر و ...) برای کاربر ارسال کرد.

در موارد کمتر، عفونت پس از نصب نرم افزار هک شده یا پس از کلیک بر روی یک لینک آلوده در یک وب سایت یا در بدنه یک ایمیل رخ می دهد.

باید در نظر داشت که اغلب، پس از آلوده کردن یک رایانه شخصی در شبکه، یک ویروس می تواند با استفاده از آسیب پذیری های ویندوز و/یا برنامه های نصب شده به سایر دستگاه ها سرایت کند.

علائم عفونت

  1. اغلب اوقات، پس از راه اندازی فایل پیوست شده به نامه، دیسک سخت فعالیت بالایی دارد، پردازنده تا 100٪ بارگیری می شود، یعنی. کامپیوتر شروع به کند شدن بسیار می کند.
  2. مدتی پس از راه اندازی ویروس، رایانه شخصی به طور ناگهانی راه اندازی مجدد می شود (در بیشتر موارد).
  3. پس از راه اندازی مجدد، یک فایل متنی باز می شود که گزارش می دهد که فایل های کاربر رمزگذاری شده است و مخاطبین را برای ارتباط (ایمیل) نشان می دهد. گاهی اوقات، به جای باز کردن فایل، تصویر زمینه دسکتاپ با متن باج جایگزین می شود.
  4. اکثر فایل‌های کاربر (اسناد، عکس‌ها، پایگاه‌داده‌ها) با پسوند دیگری (به عنوان مثال *.breaking_bad، *.better_call_soul، *.vault، *.neutrino، *.xtbl، و غیره) پایان می‌یابند یا به طور کامل تغییر نام داده می‌شوند. و هیچ برنامه ای را باز نکنید، حتی اگر پسوند را تغییر دهید. گاهی اوقات کل هارد دیسک رمزگذاری می شود. در این حالت ویندوز به هیچ وجه بوت نمی شود و پیام باج تقریباً بلافاصله پس از روشن شدن رایانه شخصی نمایش داده می شود.
  5. گاهی اوقات همه فایل های کاربر در یک آرشیو محافظت شده با رمز عبور قرار می گیرند. اگر مهاجم به رایانه شخصی نفوذ کند و فایل ها را به صورت دستی بایگانی و حذف کند، این اتفاق می افتد. یعنی وقتی یک فایل مخرب از یک پیوست ایمیل راه اندازی می شود، فایل های کاربر به طور خودکار رمزگذاری نمی شوند، بلکه نرم افزاری نصب می شود که به مهاجم اجازه می دهد مخفیانه از طریق اینترنت به رایانه شخصی متصل شود.

نمونه متن باج

اگر عفونت قبلاً رخ داده است چه باید کرد؟

  1. اگر فرآیند رمزگذاری در حضور شما شروع شد (کامپیوتر بسیار "کند" است؛ یک فایل متنی با پیامی در مورد رمزگذاری باز شد؛ فایل‌ها شروع به ناپدید شدن کردند و به جای آن کپی‌های رمزگذاری شده آنها ظاهر شد)، باید بلافاصله. مستقیمابرق کامپیوتر را با جدا کردن سیم برق یا نگه داشتن آن به مدت 5 ثانیه قطع کنید. دکمه پاور شاید با این کار مقداری از اطلاعات ذخیره شود. کامپیوتر را دوباره راه اندازی نکنید! OFF ONLY!
  2. اگر رمزگذاری قبلاً انجام شده است، به هیچ وجه نباید خودتان سعی کنید عفونت را درمان کنید، یا فایل های رمزگذاری شده یا فایل های ایجاد شده توسط باج افزار را حذف یا تغییر نام دهید.

در هر دو مورد، باید بلافاصله حادثه را به مدیر سیستم گزارش دهید.

مهم!!!

سعی نکنید به طور مستقل از طریق تماس های ارائه شده توسط مهاجم با مهاجم مذاکره کنید! در بهترین حالت، این بی فایده است؛ در بدترین حالت، می تواند مقدار باج برای رمزگشایی را افزایش دهد.

چگونه از عفونت جلوگیری کنیم یا عواقب آن را به حداقل برسانیم؟

  1. ایمیل‌های مشکوک را باز نکنید، به‌ویژه ایمیل‌هایی که ضمیمه دارند (برای آشنایی با نحوه تشخیص چنین ایمیل‌هایی به زیر مراجعه کنید).
  2. روی لینک های مشکوک در وب سایت ها و ایمیل هایی که دریافت می کنید کلیک نکنید.
  3. از دانلود یا نصب برنامه ها از منابع نامعتبر (وب سایت هایی با نرم افزارهای هک شده، ردیاب های تورنت) خودداری کنید.
  4. همیشه از فایل های مهم نسخه پشتیبان تهیه کنید. بهترین گزینه ذخیره نسخه پشتیبان در رسانه دیگری است که به رایانه شخصی (درایو فلش، درایو خارجی، درایو DVD) یا در فضای ابری (مثلاً Yandex.Disk) متصل نیست. اغلب، ویروس فایل‌های آرشیو (zip، rar، 7z) را نیز رمزگذاری می‌کند، بنابراین ذخیره کردن نسخه‌های پشتیبان در همان رایانه شخصی که فایل‌های اصلی در آن ذخیره می‌شوند، بی‌معنی است.

چگونه یک ایمیل مخرب را تشخیص دهیم؟

1. موضوع و محتوای نامه مربوط به فعالیت های حرفه ای شما نیست. به عنوان مثال، یک مدیر دفتر نامه ای در مورد حسابرسی مالیاتی، یک فاکتور یا یک رزومه دریافت کرد.

2. نامه حاوی اطلاعاتی است که به کشور، منطقه یا حوزه فعالیت شرکت ما مربوط نمی شود. به عنوان مثال، الزام به بازپرداخت بدهی در یک بانک ثبت شده در فدراسیون روسیه.

3. اغلب یک ایمیل مخرب به عنوان پاسخ ادعایی به برخی از ایمیل های شما طراحی می شود. در ابتدای موضوع چنین نامه ای ترکیبی از "Re:" وجود دارد. به عنوان مثال، "Re: Invoice"، اگرچه مطمئناً می دانید که نامه ای به این آدرس نفرستاده اید.

4. ظاهرا نامه از طرف یک شرکت معروف آمده است، اما آدرس فرستنده نامه حاوی توالی های بی معنی از حروف، کلمات، اعداد، دامنه های اضافی است که هیچ ربطی به آدرس های رسمی شرکت ذکر شده در متن ندارد. از نامه

5. فیلد "To" حاوی یک نام ناشناخته (نه صندوق پست شما)، مجموعه ای از کاراکترهای نامنسجم یا نام تکراری صندوق پستی فرستنده است.

6. در متن نامه به بهانه های مختلف از گیرنده درخواست می شود ضمن ارائه یا تایید هرگونه اطلاعات شخصی یا اختصاصی، دانلود فایل یا دنبال کردن یک لینک، ضمن گزارش فوریت یا هرگونه تحریم در صورت عدم رعایت موارد مندرج، اقدام کند. دستورالعمل های مشخص شده در نامه

7. آرشیو پیوست شده به نامه حاوی فایل های *.js، *.scr، *.exe، *.hta، *.vbs، *.cmd، *.bat، *.iso است. همچنین پوشاندن یک برنامه افزودنی مخرب بسیار رایج است. به عنوان مثال، در نام فایل "Accounts receivable.doc.js" *.doc یک پسوند نادرست است که هیچ عملکردی ندارد و *.js پسوند واقعی فایل ویروس است.

8. اگر نامه از فرستنده معروفی آمده باشد، اما سبک نامه و سواد بسیار متفاوت است، این نیز دلیل بر احتیاط است. و همچنین محتوای نامشخص - به عنوان مثال، مشتری درخواست پرداخت صورتحساب را دریافت کرد. در این صورت، بهتر است از طریق کانال ارتباطی دیگری (تلفن، اسکایپ) با فرستنده تماس بگیرید، زیرا به احتمال زیاد رایانه شخصی وی هک شده یا به ویروس آلوده شده است.


نمونه ای از ایمیل های مخرب

بدافزار جدید باج‌افزار WannaCry (همچنین با نام‌های WannaCry Decryptor، WannaCrypt، WCry و WanaCrypt0r 2.0 نیز شناخته می‌شود) در 12 می 2017، زمانی که فایل‌های موجود در رایانه‌های چندین مؤسسه مراقبت‌های بهداشتی در بریتانیا رمزگذاری شدند، خود را به جهانیان معرفی کرد. همانطور که به زودی مشخص شد، شرکت ها در ده ها کشور در وضعیت مشابهی قرار گرفتند و روسیه، اوکراین، هند و تایوان بیشترین آسیب را متحمل شدند. به گفته آزمایشگاه کسپرسکی، تنها در روز اول حمله، ویروس در 74 کشور شناسایی شد.

چرا WannaCry خطرناک است؟ این ویروس انواع مختلف فایل ها را رمزگذاری می کند (با توجه به پسوند .WCRY، فایل ها کاملاً غیرقابل خواندن می شوند) و سپس برای رمزگشایی 600 دلار باج می خواهد. برای سرعت بخشیدن به روند انتقال پول، کاربر از این واقعیت وحشت دارد که در سه روز مبلغ باج افزایش می یابد و پس از هفت روز، فایل ها به هیچ وجه قابل رمزگشایی نخواهند بود.

تهدید آلودگی به ویروس باج افزار WannaCry بر رایانه های مبتنی بر سیستم عامل ویندوز تأثیر می گذارد. اگر از نسخه های دارای مجوز ویندوز استفاده می کنید و سیستم خود را به طور منظم به روز می کنید، دیگر لازم نیست نگران باشید که ویروس از این طریق وارد سیستم شما شود.

کاربران MacOS، ChromeOS و Linux و همچنین سیستم عامل های موبایل iOS و Android به هیچ وجه نباید از حملات WannaCry بترسند.

اگر قربانی WannaCry شدید چه باید کرد؟

آژانس ملی جرم و جنایت بریتانیا (NCA) توصیه می‌کند که کسب‌وکارهای کوچکی که قربانی باج‌افزار شده‌اند و نگران انتشار آنلاین ویروس هستند، اقدامات زیر را انجام دهند:

  • کامپیوتر، لپ تاپ یا تبلت خود را فوراً از شبکه شرکتی/داخلی جدا کنید. وای فای را خاموش کنید.
  • درایورها را تغییر دهید
  • بدون اتصال به شبکه Wi-Fi، رایانه خود را مستقیماً به اینترنت وصل کنید.
  • سیستم عامل خود و سایر نرم افزارها را به روز کنید.
  • آنتی ویروس خود را آپدیت و اجرا کنید.
  • دوباره به شبکه وصل شوید.
  • ترافیک شبکه را کنترل کنید و/یا اسکن ویروس را اجرا کنید تا مطمئن شوید که باج افزار ناپدید شده است.

مهم!

فایل های رمزگذاری شده توسط ویروس WannaCry توسط هیچ کس به جز مزاحمان قابل رمزگشایی نیستند. بنابراین، وقت و پول خود را برای آن «نابغه فناوری اطلاعات» که قول نجات شما را از این سردرد می دهند، تلف نکنید.

آیا ارزش پرداخت پول به مهاجمان را دارد؟

اولین سوالاتی که توسط کاربرانی که با ویروس جدید باج افزار WannaCry مواجه شده اند پرسیده می شود: نحوه بازیابی فایل ها و حذف ویروس. با پیدا نکردن راه حل های رایگان و مؤثر، با یک انتخاب روبرو می شوند - به زورگیر پول پرداخت کنند یا نه؟ از آنجایی که کاربران اغلب چیزی برای از دست دادن دارند (اسناد شخصی و آرشیو عکس در رایانه ذخیره می شوند)، تمایل به حل مشکل با کمک پول واقعاً ایجاد می شود.

اما NCA اصرار دارد نهپرداخت پول. اگر هنوز تصمیم به انجام این کار دارید، پس موارد زیر را در نظر داشته باشید:

  • اول، هیچ تضمینی وجود ندارد که به داده های خود دسترسی پیدا کنید.
  • ثانیاً، رایانه شما ممکن است حتی پس از پرداخت همچنان آلوده به ویروس باشد.
  • ثالثاً، شما به احتمال زیاد فقط پول خود را به مجرمان سایبری خواهید داد.

چگونه از خود در برابر WannaCry محافظت کنیم؟

ویاچسلاو بلاشوف، رئیس بخش اجرای سیستم های امنیت اطلاعات در SKB Kontur توضیح می دهد که برای جلوگیری از ابتلا به ویروس چه اقداماتی باید انجام داد:

ویژگی ویروس WannaCry این است که برخلاف سایر ویروس های باج افزار می تواند بدون دخالت انسان به سیستم نفوذ کند. قبلاً برای اینکه ویروس کار کند، لازم بود کاربر بی توجه باشد - او پیوند مشکوکی را از ایمیلی که واقعاً برای او در نظر گرفته نشده بود دنبال می کرد یا یک پیوست مخرب را دانلود می کرد. در مورد WannaCry، یک آسیب پذیری مورد سوء استفاده قرار می گیرد که مستقیماً در خود سیستم عامل وجود دارد. بنابراین، رایانه‌های مبتنی بر ویندوز که به‌روزرسانی‌های 14 مارس 2017 را نصب نکردند، اولین کسانی بودند که در معرض خطر قرار گرفتند. یک ایستگاه کاری آلوده از شبکه محلی کافی است تا ویروس به بقیه با آسیب پذیری موجود سرایت کند.

کاربرانی که تحت تأثیر ویروس قرار گرفته اند یک سوال اصلی دارند - چگونه اطلاعات خود را رمزگشایی کنیم؟ متاسفانه هنوز راه حل تضمینی وجود ندارد و بعید است که پیش بینی شود. حتی پس از پرداخت مبلغ مشخص شده نیز مشکل حل نمی شود. علاوه بر این، ممکن است وضعیت با این واقعیت تشدید شود که یک فرد به امید بازیابی داده های خود، خطر استفاده از رمزگشاهای ظاهراً "رایگان" را که در واقع فایل های مخرب نیز هستند، می کند. بنابراین توصیه اصلی این است که مراقب باشید و تمام تلاش خود را برای جلوگیری از چنین وضعیتی انجام دهید.

در حال حاضر دقیقاً چه کاری می توان و باید انجام داد:

1. آخرین به روز رسانی ها را نصب کنید.

این نه تنها در مورد سیستم عامل ها، بلکه در مورد ابزارهای محافظت از آنتی ویروس نیز صدق می کند. اطلاعات مربوط به به روز رسانی ویندوز را می توان یافت.

2. از اطلاعات مهم نسخه پشتیبان تهیه کنید.

3. هنگام کار با پست و اینترنت مراقب باشید.

به ایمیل های دریافتی با لینک ها و پیوست های مشکوک توجه کنید. برای کار با اینترنت، توصیه می شود از افزونه هایی استفاده کنید که به شما امکان می دهد از شر تبلیغات غیر ضروری و پیوند به منابع بالقوه مخرب خلاص شوید.

فن آوری های مدرن به هکرها اجازه می دهد تا به طور مداوم روش های کلاهبرداری را در رابطه با کاربران عادی بهبود بخشند. به عنوان یک قاعده، نرم افزار ویروسی که به رایانه نفوذ می کند برای این اهداف استفاده می شود. ویروس های رمزگذاری به ویژه خطرناک در نظر گرفته می شوند. تهدید در این واقعیت نهفته است که ویروس بسیار سریع پخش می شود و فایل ها را رمزگذاری می کند (کاربر به سادگی نمی تواند هیچ سندی را باز کند). و اگر بسیار ساده باشد، رمزگشایی داده ها بسیار دشوارتر است.

اگر یک ویروس فایل های رمزگذاری شده روی رایانه شما را داشته باشد چه باید کرد؟

همه افراد می توانند توسط یک باج افزار مورد حمله قرار گیرند، حتی کاربرانی که دارای نرم افزار آنتی ویروس قدرتمند هستند، بیمه نیستند. تروجان های رمزگذار فایل با کدهای مختلفی نشان داده می شوند که ممکن است فراتر از قدرت آنتی ویروس باشد. هکرها حتی موفق می شوند از این طریق به شرکت های بزرگی که از حفاظت لازم از اطلاعات خود مراقبت نکرده اند حمله کنند. بنابراین، با "انتخاب" یک برنامه باج افزار به صورت آنلاین، باید اقداماتی را انجام دهید.

علائم اصلی عفونت کند بودن رایانه و تغییر نام اسناد است (می توانید آن را روی دسکتاپ مشاهده کنید).

  1. کامپیوتر خود را مجددا راه اندازی کنید تا رمزگذاری متوقف شود. هنگامی که فعال است، راه اندازی برنامه های ناشناخته را تأیید نکنید.
  2. اگر آنتی ویروس مورد حمله باج افزار قرار نگرفته باشد، آن را اجرا کنید.
  3. در برخی موارد، کپی های سایه به بازیابی اطلاعات کمک می کنند. برای پیدا کردن آنها، "Properties" سند رمزگذاری شده را باز کنید. این روش با داده های رمزگذاری شده پسوند Vault که اطلاعاتی در پورتال دارد کار می کند.
  4. آخرین ابزار ضد ویروس کریپتو را دانلود کنید. موثرترین آنها توسط Kaspersky Lab ارائه شده است.

ویروس های رمزگذاری در سال 2016: نمونه ها

هنگام مبارزه با هر گونه حمله ویروسی، مهم است که بدانیم کد اغلب تغییر می کند و با محافظت آنتی ویروس جدید تکمیل می شود. البته، برنامه‌های حفاظتی به مدتی زمان نیاز دارند تا توسعه‌دهنده پایگاه‌های داده را به‌روزرسانی کند. ما خطرناک ترین ویروس های رمزنگاری چند وقت اخیر را انتخاب کرده ایم.

باج افزار Ishtar

Ishtar باج افزاری است که از کاربر اخاذی می کند. این ویروس در پاییز 2016 مورد توجه قرار گرفت و تعداد زیادی از رایانه های کاربران از روسیه و تعدادی از کشورهای دیگر را آلوده کرد. با استفاده از توزیع ایمیل، که حاوی اسناد پیوست شده (نصب کننده ها، اسناد و غیره) است، توزیع می شود. داده های آلوده به باج افزار Ishtar در نام پیشوند "ISHTAR" را دریافت می کنند. این فرآیند یک سند آزمایشی ایجاد می کند که نشان می دهد برای دریافت رمز عبور به کجا بروید. مهاجمان برای آن از 3000 تا 15000 روبل درخواست می کنند.

خطر ویروس Ishtar این است که امروزه هیچ رمزگشایی وجود ندارد که به کاربران کمک کند. شرکت های نرم افزار آنتی ویروس برای رمزگشایی همه کدها به زمان نیاز دارند. اکنون فقط می توانید اطلاعات مهم را (اگر از اهمیت ویژه ای برخوردار باشند) در یک رسانه جداگانه جدا کنید و منتظر انتشار ابزاری باشید که قادر به رمزگشایی اسناد باشد. توصیه می شود سیستم عامل را دوباره نصب کنید.

نیترینو

باج افزار Neitrino در سال 2015 در اینترنت ظاهر شد. با اصل حمله، مشابه سایر ویروس های این دسته است. نام پوشه ها و فایل ها را با افزودن "Neitrino" یا "Neutrino" تغییر می دهد. رمزگشایی این ویروس دشوار است - به دور از همه نمایندگان شرکت های آنتی ویروس، با اشاره به یک کد بسیار پیچیده، این کار را انجام می دهند. بازیابی یک کپی سایه ممکن است به برخی از کاربران کمک کند. برای انجام این کار، روی سند رمزگذاری شده کلیک راست کنید، به "Properties" بروید، برگه "Previous Versions" را کلیک کنید، روی "Restore" کلیک کنید. استفاده از ابزار رایگان آزمایشگاه کسپرسکی اضافی نخواهد بود.

کیف پول یا .wallet.

ویروس رمزگذاری کیف پول در پایان سال 2016 ظاهر شد. در طی فرآیند آلودگی، نام داده ها را به "Name..wallet" یا مشابه تغییر می دهد. مانند بسیاری از ویروس‌های باج‌افزار، از طریق پیوست‌های ایمیل ارسال شده توسط هکرها وارد سیستم می‌شود. از آنجایی که تهدید اخیراً ظاهر شده است، برنامه های آنتی ویروس متوجه آن نمی شوند. پس از رمزگذاری، سندی ایجاد می کند که در آن کلاهبردار نامه را برای ارتباط مشخص می کند. در حال حاضر، توسعه دهندگان نرم افزار ضد ویروس در حال کار بر روی رمزگشایی کد ویروس باج افزار هستند. [ایمیل محافظت شده]کاربران مورد حمله فقط می توانند منتظر بمانند. اگر داده ها مهم هستند، توصیه می شود با تمیز کردن سیستم، آن را در یک درایو خارجی ذخیره کنید.

معما

ویروس رمزگذاری Enigma از اواخر آوریل 2016 شروع به آلوده کردن رایانه های کاربران روسی کرد. از مدل رمزگذاری AES-RSA استفاده می کند که امروزه در اکثر باج افزارها یافت می شود. ویروس با استفاده از اسکریپتی که خود کاربر با باز کردن فایل‌های یک ایمیل مشکوک اجرا می‌کند، به رایانه نفوذ می‌کند. هنوز هیچ راه حل جهانی برای مقابله با رمز انیگما وجود ندارد. کاربرانی که مجوز آنتی ویروس دارند می توانند از وب سایت رسمی توسعه دهنده کمک بخواهند. یک "خلاف" کوچک نیز پیدا شد - Windows UAC. اگر کاربر روی "نه" در پنجره ای که در هنگام آلودگی ویروس ظاهر می شود کلیک کند، می تواند بعداً اطلاعات را با استفاده از کپی های سایه بازیابی کند.

سنگ گرانیت

ویروس جدید باج افزار Granit در پاییز 2016 در وب ظاهر شد. آلودگی طبق سناریوی زیر رخ می دهد: کاربر نصب کننده ای را راه اندازی می کند که تمام داده های رایانه شخصی و درایوهای متصل را آلوده و رمزگذاری می کند. مبارزه با ویروس سخت است. برای حذف آن، می توانید از ابزارهای ویژه Kaspersky استفاده کنید، اما کد هنوز رمزگشایی نشده است. بازیابی نسخه های قبلی داده ها ممکن است کمک کند. علاوه بر این، متخصصی که تجربه زیادی دارد می تواند رمزگشایی کند، اما خدمات گران است.

تایسون

اخیرا دیده شد. این یک برنامه افزودنی از باج افزار شناخته شده no_more_ransom است که می توانید در وب سایت ما با آن آشنا شوید. از ایمیل به رایانه های شخصی می رسد. بسیاری از رایانه های شخصی شرکت ها مورد حمله قرار گرفته اند. این ویروس یک سند متنی با دستورالعمل‌هایی برای باز کردن قفل ایجاد می‌کند و پیشنهاد پرداخت «باج» می‌دهد. باج افزار تایسون به تازگی ظاهر شده است، بنابراین هنوز کلید باز کردن قفل وجود ندارد. تنها راه بازیابی اطلاعات این است که نسخه های قبلی را در صورتی که توسط ویروس پاک نشده اند، برگردانید. البته می توانید با انتقال پول به حسابی که مهاجمان نشان داده اند، ریسک کنید، اما هیچ تضمینی برای دریافت رمز عبور وجود ندارد.

اسپور

در اوایل سال 2017، تعدادی از کاربران قربانی باج افزار جدید Spora شدند. طبق اصل عملکرد، تفاوت چندانی با همتایان خود ندارد، اما عملکرد حرفه ای تری دارد: دستورالعمل های دریافت رمز عبور بهتر نوشته شده است، وب سایت زیباتر به نظر می رسد. باج‌افزار Spora به زبان C ایجاد شد و از ترکیبی از RSA و AES برای رمزگذاری داده‌های قربانی استفاده می‌کند. به عنوان یک قاعده، رایانه هایی که برنامه حسابداری 1C به طور فعال در آنها استفاده می شود مورد حمله قرار گرفتند. این ویروس که تحت عنوان یک فاکتور ساده در قالب pdf پنهان شده است، کارمندان شرکت را مجبور به راه اندازی آن می کند. هنوز درمانی پیدا نشده است.

1C.Drop.1

این ویروس رمزگذاری برای 1C در تابستان 2016 ظاهر شد و کار بسیاری از بخش های حسابداری را مختل کرد. این به طور خاص برای رایانه هایی که از نرم افزار 1C استفاده می کنند توسعه یافته است. دریافت فایل در ایمیل به رایانه شخصی، از مالک می خواهد که برنامه را به روز کند. هر دکمه ای را که کاربر فشار دهد، ویروس شروع به رمزگذاری فایل ها می کند. متخصصان Dr.Web در حال کار بر روی ابزارهای رمزگشایی هستند، اما تاکنون هیچ راه حلی پیدا نشده است. این به دلیل کد پیچیده است که می تواند در چندین تغییر باشد. تنها محافظت در برابر 1C.Drop.1 هوشیاری کاربران و بایگانی منظم اسناد مهم است.

da_vinci_code

یک باج افزار جدید با نامی غیرعادی. این ویروس در بهار 2016 ظاهر شد. با نسخه های قبلی خود با کد بهبود یافته و حالت رمزگذاری قوی متفاوت است. da_vinci_code یک کامپیوتر را به لطف یک برنامه اجرایی (معمولاً به یک ایمیل متصل می شود) آلوده می کند، که کاربر به طور مستقل راه اندازی می کند. کدگذار داوینچی (کد داوینچی) بدنه را در دایرکتوری سیستم و رجیستری کپی می کند و اطمینان حاصل می کند که با روشن شدن ویندوز به طور خودکار شروع به کار می کند. به رایانه هر قربانی یک شناسه منحصر به فرد اختصاص داده می شود (به دریافت رمز عبور کمک می کند). رمزگشایی داده ها تقریبا غیرممکن است. شما می توانید به مهاجمان پول پرداخت کنید، اما هیچکس تضمین نمی کند که رمز عبور را دریافت خواهید کرد.

[ایمیل محافظت شده] / [ایمیل محافظت شده]

دو آدرس ایمیل که اغلب در سال 2016 با باج افزار همراه بودند. آنها برای ارتباط قربانی با مهاجم خدمت می کنند. آدرس‌ها به انواع مختلفی از ویروس‌ها متصل شدند: da_vinci_code، no_more_ransom و غیره. تماس با افراد و همچنین انتقال پول به کلاهبرداران به شدت توصیه نمی شود. کاربران در بیشتر موارد بدون رمز عبور می مانند. بنابراین، نشان می دهد که باج افزار مهاجمان کار می کند و درآمد ایجاد می کند.

بریکینگ بد

در ابتدای سال 2015 ظاهر شد، اما تنها یک سال بعد به طور فعال گسترش یافت. اصل آلودگی با سایر باج افزارها یکسان است: نصب یک فایل از ایمیل، رمزگذاری داده ها. آنتی ویروس های معمولی معمولا متوجه ویروس Breaking Bad نمی شوند. برخی از کدها نمی توانند UAC ویندوز را دور بزنند، بنابراین کاربر همچنان می تواند نسخه های قبلی اسناد را بازیابی کند. این رمزگشا هنوز توسط هیچ شرکتی که نرم افزار ضد ویروس تولید می کند ارائه نشده است.

XTBL

یک باج افزار بسیار رایج که برای بسیاری از کاربران دردسر ایجاد کرد. ویروس پس از استفاده از رایانه شخصی، پسوند فایل را در عرض چند دقیقه به xtbl. تغییر می دهد. سندی ایجاد می شود که در آن مهاجم اخاذی می کند. برخی از گونه‌های ویروس XTBL نمی‌توانند فایل‌های بازیابی سیستم را از بین ببرند و اجازه می‌دهند اسناد مهم بازیابی شوند. خود ویروس را می توان با بسیاری از برنامه ها حذف کرد، اما رمزگشایی اسناد بسیار دشوار است. اگر یک آنتی ویروس دارای مجوز دارید، با پیوست کردن نمونه هایی از داده های آلوده، از پشتیبانی فنی استفاده کنید.

کوکاراچا

رمز کوکاراچا در دسامبر 2016 مشاهده شد. ویروسی با نام جالب فایل های کاربر را با استفاده از الگوریتم RSA-2048 که بسیار مقاوم است، پنهان می کند. آنتی ویروس کسپرسکی آن را با نام Trojan-Ransom.Win32.Scatter.lb شناسایی کرد. Kukaracha را می توان از رایانه حذف کرد تا سایر اسناد آلوده نشوند. با این حال، امروزه رمزگشایی موارد آلوده تقریبا غیرممکن است (الگوریتمی بسیار قدرتمند).

باج افزار چگونه کار می کند

تعداد زیادی باج افزار وجود دارد، اما همه آنها بر اساس یک اصل کار می کنند.

  1. دسترسی به کامپیوتر شخصی به عنوان یک قاعده، به لطف فایل پیوست شده به ایمیل. نصب توسط خود کاربر با باز کردن سند آغاز می شود.
  2. عفونت فایل تقریباً همه انواع فایل ها رمزگذاری شده اند (بسته به ویروس). یک سند متنی ایجاد می شود که حاوی مخاطبین برای ارتباط با مزاحمان است.
  3. همه چیز. کاربر نمی تواند به هیچ سندی دسترسی داشته باشد.

درمان از آزمایشگاه های محبوب

استفاده گسترده از باج افزار، که به عنوان خطرناک ترین تهدید برای داده های کاربر شناخته می شود، به انگیزه ای برای بسیاری از آزمایشگاه های آنتی ویروس تبدیل شده است. هر شرکت محبوب برنامه هایی را در اختیار کاربران خود قرار می دهد که به آنها در مبارزه با باج افزار کمک می کند. علاوه بر این، بسیاری از آنها به رمزگشایی اسناد محافظت شده توسط سیستم کمک می کنند.

کسپرسکی و ویروس های رمزگذاری

یکی از معروف ترین آزمایشگاه های ضد ویروس در روسیه و جهان امروزه موثرترین ابزار را برای مبارزه با ویروس های باج افزار ارائه می دهد. اولین مانع برای ویروس باج افزار، Kaspersky Endpoint Security 10 با آخرین به روز رسانی ها خواهد بود. آنتی ویروس به سادگی اجازه نمی دهد که تهدید وارد رایانه شود (اما ممکن است نسخه های جدید متوقف نشوند). برای رمزگشایی اطلاعات، توسعه دهنده چندین ابزار رایگان را به طور همزمان ارائه می دهد: XoristDecryptor، RakhniDecryptor و Ransomware Decryptor. آنها به یافتن ویروس و انتخاب رمز عبور کمک می کنند.

دکتر. وب و باج افزار

این آزمایشگاه استفاده از برنامه ضد ویروس خود را توصیه می کند که ویژگی اصلی آن پشتیبان گیری از فایل است. ذخیره سازی با کپی اسناد نیز از دسترسی غیرمجاز توسط متجاوزان محافظت می شود. صاحبان محصول دارای مجوز Dr. وب، عملکرد تماس با پشتیبانی فنی برای کمک در دسترس است. درست است، حتی متخصصان با تجربه همیشه نمی توانند در برابر این نوع تهدید مقاومت کنند.

ESET Nod 32 و باج افزار

این شرکت نیز کنار نرفته و از کاربران خود در برابر ویروس های وارد شده به رایانه محافظت می کند. علاوه بر این، آزمایشگاه اخیرا یک ابزار رایگان با پایگاه داده های به روز منتشر کرده است - Eset Crysis Decryptor. توسعه دهندگان ادعا می کنند که در مبارزه با حتی جدیدترین باج افزار کمک خواهد کرد.

این کشور به راهپیمایی ظالمانه خود در وب ادامه می دهد و رایانه ها را آلوده می کند و داده های مهم را رمزگذاری می کند. چگونه از خود در برابر باج افزار محافظت کنید، از ویندوز در برابر باج افزار محافظت کنید - آیا وصله ها، وصله ها برای رمزگشایی و درمان فایل ها منتشر می شوند؟

ویروس باج افزار جدید 2017 Wanna Cryهمچنان رایانه های شخصی شرکتی و خصوصی را آلوده می کند. در ۱ میلیارد دلار خسارت ناشی از حمله ویروس. در عرض 2 هفته، ویروس باج افزار حداقل آلوده شد 300 هزار کامپیوتربا وجود هشدارها و تدابیر امنیتی

باج افزار 2017 چیست؟- به عنوان یک قاعده، به نظر می رسد در بی ضررترین سایت ها، به عنوان مثال، سرورهای بانکی با دسترسی کاربر، می توانید "انتخاب کنید". زمانی که باج‌افزار روی هارد دیسک قربانی قرار گرفت، در پوشه سیستم System32 مستقر می‌شود.. از آنجا، برنامه بلافاصله آنتی ویروس را غیرفعال می کند و به "Autorun" می رود". پس از هر بار راه اندازی مجدد، برنامه رمزگذاری در رجیستری شروع می شودکار کثیفش را شروع کرد باج افزار شروع به دانلود نسخه های مشابه از برنامه هایی مانند Ransom و Trojan می کند. همچنین اغلب اتفاق می افتد باج افزار خود تکرار. این فرآیند می‌تواند لحظه‌ای باشد یا هفته‌ها طول بکشد - تا زمانی که قربانی متوجه اشتباهی شود.

این باج افزار اغلب خود را به عنوان تصاویر معمولی، فایل های متنی پنهان می کند، اما جوهر همیشه یکسان است - این یک فایل اجرایی با پسوند .exe، .drv، xvd. است; گاهی - libraries.dll. اغلب، فایل یک نام کاملاً بی ضرر دارد، به عنوان مثال " سند سند"، یا " picture.jpg"، جایی که پسوند به صورت دستی نوشته می شود و نوع فایل واقعی پنهان است.

پس از تکمیل رمزگذاری، کاربر به جای فایل های آشنا مجموعه ای از کاراکترهای "تصادفی" را در نام و داخل می بیند و پسوند به یک نام تا به حال ناشناخته تغییر می کند - NO_MORE_RANSOM، xdataدیگر.

ویروس باج افزار Wanna Cry 2017 – چگونه از خود محافظت کنیم. می‌خواهم فوراً متذکر شوم که Wanna Cry یک اصطلاح جمعی برای همه ویروس‌های باج‌افزار و باج‌افزار است، زیرا اخیراً اغلب رایانه‌ها را آلوده کرده است. بنابراین، اجازه دهید در مورد صحبت کنیم از خود در برابر باج افزار Ransom Ware محافظت کنید که تعداد زیادی از آنها وجود دارد: Breaking.dad، NO_MORE_RANSOM، Xdata، XTBL، Wanna Cry.

چگونه از ویندوز در برابر باج افزار محافظت کنیم.EternalBlue از طریق پروتکل پورت SMB.

حفاظت از باج افزار ویندوز 2017 - قوانین اساسی:

  • به روز رسانی ویندوز، انتقال به موقع به یک سیستم عامل دارای مجوز (توجه: نسخه XP به روز نشده است)
  • به روز رسانی پایگاه داده های ضد ویروس و فایروال ها در صورت تقاضا
  • هنگام دانلود هر فایلی نهایت دقت را داشته باشید (گربه های زیبا می توانند منجر به از دست رفتن تمام داده ها شوند)
  • پشتیبان گیری از اطلاعات مهم در رسانه های قابل جابجایی

ویروس Ransomware 2017: نحوه درمان و رمزگشایی فایل ها.

با تکیه بر نرم افزارهای ضد ویروس، می توانید رمزگشا را برای مدتی فراموش کنید. در آزمایشگاه ها کسپرسکی، دکتر. وب، آواست!و آنتی ویروس های دیگر هیچ راه حلی برای درمان فایل های آلوده یافت نشد. در حال حاضر، حذف ویروس با استفاده از آنتی ویروس امکان پذیر است، اما هنوز هیچ الگوریتمی برای بازگرداندن همه چیز به حالت عادی وجود ندارد.

برخی سعی می کنند از رمزگشاها مانند ابزار RectorDecryptor استفاده کننداما این کمکی نمی کند: الگوریتم رمزگشایی ویروس های جدید هنوز تدوین نشده است. همچنین کاملاً ناشناخته است که اگر ویروس پس از استفاده از چنین برنامه هایی حذف نشود، چگونه رفتار خواهد کرد. اغلب این می تواند منجر به پاک شدن همه پرونده ها شود - به عنوان یک هشدار برای کسانی که نمی خواهند به مهاجمان، نویسندگان ویروس، پول پرداخت کنند.

در حال حاضر، موثرترین راه برای بازیابی اطلاعات از دست رفته تماس با آنهاست. پشتیبانی از فروشنده برنامه آنتی ویروسی که استفاده می کنید. برای انجام این کار، نامه ای ارسال کنید یا از فرم بازخورد در وب سایت سازنده استفاده کنید. حتماً فایل رمزگذاری شده را به پیوست اضافه کنید و در صورت وجود، یک کپی از نسخه اصلی. این به برنامه نویسان در ترسیم الگوریتم کمک می کند. متأسفانه، برای بسیاری، یک حمله ویروس کاملاً غافلگیرکننده است و نسخه هایی از آن یافت نمی شود، که گاهی اوقات وضعیت را پیچیده می کند.

روش های قلبی درمان ویندوز از باج افزار. متأسفانه، گاهی اوقات باید به قالب بندی کامل هارد دیسک متوسل شوید که مستلزم تغییر کامل سیستم عامل است. بسیاری به بازیابی سیستم فکر می کنند، اما این یک گزینه نیست - حتی یک "بازگشت" وجود دارد که به شما امکان می دهد از شر ویروس خلاص شوید، سپس فایل ها همچنان رمزگذاری شده باقی می مانند.

در 12 آوریل 2017، اطلاعاتی در مورد گسترش سریع یک ویروس رمزگذاری به نام WannaCry در سراسر جهان ظاهر شد که می تواند به عنوان "من می خواهم گریه کنم" ترجمه شود. کاربران در مورد به روز رسانی ویندوز از ویروس WannaCry سؤالاتی دارند.

یک ویروس روی صفحه کامپیوتر به شکل زیر است:

ویروس بد WannaCry که همه چیز را رمزگذاری می کند

این ویروس همه فایل‌های موجود در رایانه را رمزگذاری می‌کند و باج 300 یا 600 دلاری را به کیف پول بیت‌کوین می‌خواهد تا ظاهراً رایانه را رمزگشایی کند. کامپیوترها در 150 کشور جهان آلوده شدند که بیشترین آسیب را روسیه دارد.

مگافون، راه آهن روسیه، وزارت امور داخلی، وزارت بهداشت و سایر شرکت ها با این ویروس روبرو شدند. در میان قربانیان کاربران عادی اینترنت هستند.

تقریباً همه در برابر ویروس برابر هستند. شاید تفاوت این باشد که در شرکت‌ها ویروس در سراسر شبکه محلی درون سازمان پخش می‌شود و فوراً حداکثر تعداد ممکن رایانه را آلوده می‌کند.

ویروس WannaCry فایل‌ها را روی رایانه‌های دارای ویندوز رمزگذاری می‌کند. در مارس 2017، مایکروسافت به‌روزرسانی‌های MS17-010 را برای نسخه‌های مختلف ویندوز XP، Vista، 7، 8، 10 منتشر کرد.

به نظر می‌رسد کسانی که به‌روزرسانی‌های خودکار ویندوز را پیکربندی کرده‌اند، خارج از منطقه خطر ویروس هستند، زیرا به‌موقع به‌روزرسانی را دریافت کرده‌اند و توانسته‌اند از آن اجتناب کنند. من قصد ندارم ادعا کنم که این در واقع مورد است.

برنج. 3. هنگام نصب به روز رسانی KB4012212 پیام دهید

پس از نصب، به‌روزرسانی KB4012212 نیاز به راه‌اندازی مجدد لپ‌تاپ داشت، که من واقعاً آن را دوست نداشتم، زیرا معلوم نیست این کار چگونه می‌تواند به پایان برسد، اما کاربر کجا باید برود؟ با این حال، راه اندازی مجدد به خوبی انجام شد. این بدان معناست که ما تا حمله بعدی ویروس در آرامش زندگی می کنیم و افسوس که در انجام چنین حملاتی شکی نیست.


در هر صورت، داشتن مکانی برای بازیابی سیستم عامل و فایل های خود از آن مهم است.

به روز رسانی ویندوز 8 از WannaCry

برای لپ تاپ با ویندوز 8 دارای مجوز، به روز رسانی KB 4012598 نصب شد، زیرا

مقالات مرتبط