Ez a kézikönyv nem műszaki szakemberek számára készült, ezért:

1. egyes kifejezések meghatározása leegyszerűsödik;
2. a műszaki részleteket nem veszik figyelembe;
3. a rendszervédelmi módszereket (frissítések telepítése, biztonsági rendszerek konfigurálása stb.) nem veszik figyelembe.

Az utasítást azért írtam, hogy segítsem azokat a rendszergazdákat, akik az informatikai szférától (számvitel, személyzet, értékesítők, stb.) távol álló céges alkalmazottakat szeretnék a kiberhigiénia alapjaira képezni.

Szójegyzék

Szoftver(a továbbiakban - szoftver) - a számítógép vezérlésére szolgáló program vagy programkészlet.

Titkosítás az adatok titkosítási kulcs nélkül olvashatatlan formává alakítása.

Titkosítási kulcs titkos információ, amelyet a fájlok titkosításához/visszafejtéséhez használnak.

Dekóder- a visszafejtő algoritmust megvalósító program.

Algoritmus- utasításkészlet, amely leírja az eljárást az előadó számára, hogy valamilyen eredményt érjen el.

levél melléklet- egy e-mailhez csatolt fájl.

Kiterjesztés(fájlnévkiterjesztés) a fájlnévhez hozzáadott és a fájltípus azonosítására szolgáló karaktersorozat (például *.doc, *.jpg). A fájlok típusától függően egy bizonyos programot használnak a megnyitáshoz. Például, ha a fájl kiterjesztése *.doc, akkor az MS Word elindul a megnyitáshoz, ha *.jpg, akkor a képnézegető stb.

Link(pontosabban hiperhivatkozás) a dokumentum weboldalának egy része, amely magában a dokumentumban egy másik elemre (parancs, szöveg, cím, jegyzet, kép) vagy egy másik objektumra (fájl, könyvtár, alkalmazás) hivatkozik. helyi lemezen vagy számítógépes hálózaton.

Szöveges fájl egy szöveges adatokat tartalmazó számítógépes fájl.

Archiválás- ez a tömörítés, vagyis a fájl méretének csökkentése.

Biztonsági másolat— információmentés eredményeként létrehozott fájl vagy fájlok csoportja.

biztonsági mentés- az adatok másolatának létrehozása olyan adathordozón (merevlemezen, hajlékonylemezen stb.), amely az adatok eredeti vagy új tárolóhelyére való visszaállítását szolgálja sérülés vagy megsemmisülés esetén.

Tartomány(domain név) - olyan név, amely lehetővé teszi az internetes webhelyek és az azokon található hálózati erőforrások (webhelyek, e-mail szerverek, egyéb szolgáltatások) elérését egy személy számára kényelmes formában. Például a 172.217.18.131 helyett írja be a google.com.ua címet, ahol az ua, com, google különböző szintű domainek.

Mi az a ransomware vírus?

ransomware vírus(a továbbiakban: ransomware) olyan rosszindulatú szoftver, amely titkosítja a felhasználói fájlokat, és váltságdíjat követel a visszafejtésért. A leggyakrabban titkosított fájltípusok az MS Office dokumentumok és táblázatok ( docx, xlsx), Képek ( jpeg, png, tif), videofájlok ( avi, mpeg, mkv stb.), dokumentumok formátumban pdf stb., valamint adatbázisfájlok - 1C ( 1 CD, dbf), Ékezet ( mdf). A rendszerfájlok és -programok általában nincsenek titkosítva annak érdekében, hogy a Windows továbbra is működjön, és a felhasználónak lehetősége legyen kapcsolatba lépni a zsarolóvírussal. Ritka esetekben a teljes lemez titkosítva van; ebben az esetben a Windows nem tölthető be.

Mi a veszélye az ilyen vírusoknak?

Az esetek túlnyomó többségében az önálló visszafejtés LEHETETLEN, mert. rendkívül összetett titkosítási algoritmusokat alkalmaznak. Nagyon ritka esetekben a fájlok visszafejthetők, ha egy már ismert típusú vírussal való fertőzés történt, amelyre a vírusirtó gyártók kiadtak egy dekódolót, de még ebben az esetben sem garantált az információ helyreállítása 100%-ban. Előfordul, hogy egy vírusnak hibás a kódja, és a visszafejtés elvileg még a kártevő szerzője által is lehetetlenné válik.

Az esetek túlnyomó többségében a kódolás után a titkosító speciális algoritmusok segítségével törli az eredeti fájlokat, ami kizárja a helyreállítás lehetőségét.

Az ilyen típusú vírusok másik veszélyes tulajdonsága, hogy gyakran „láthatatlanok” az antivírusok számára, mert A titkosításhoz használt algoritmusokat számos legális program is alkalmazza (például ügyfélbank), ezért sok titkosítót a vírusirtó nem tekint rosszindulatú programnak.

A fertőzés módjai.

Leggyakrabban a fertőzés e-mail mellékleteken keresztül történik. A felhasználó e-mailt kap az általa ismert vagy valamilyen szervezetnek (adóhivatal, bank) álcázott címzetttől. A levél tartalmazhat számviteli egyeztetésre, számla kifizetésének megerősítésére irányuló kérelmet, banki hiteltartozás megismerésére vonatkozó ajánlatot vagy hasonlót. Vagyis az információ olyan lesz, hogy minden bizonnyal érdekelni fogja vagy megijeszti a felhasználót, és arra ösztönzi őket, hogy nyissa meg a vírust tartalmazó e-mail mellékletet. Leggyakrabban úgy néz ki, mint egy *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat fájlokat tartalmazó archívum. Egy ilyen fájl elindítása után azonnal vagy egy idő után megkezdődik a fájlok titkosítási folyamata a számítógépen. Ezenkívül a fertőzött fájl elküldhető a felhasználónak valamelyik azonnali üzenetküldő programban (Skype, Viber stb.).

Ritkábban a fertőzés a feltört szoftverek telepítése után, vagy a webhelyen vagy egy e-mail szövegében található fertőzött hivatkozásra való kattintás után következik be.

Nem szabad megfeledkezni arról, hogy nagyon gyakran a hálózaton lévő számítógépek megfertőzése után a vírus átterjedhet más gépekre is a Windows és/vagy a telepített programok biztonsági résein keresztül.

Fertőzés jelei.

1. Nagyon gyakran a levélhez csatolt fájl elindítása után nagy a merevlemez aktivitása, a processzor 100%-ig terhelődik, pl. A számítógép nagyon lelassul.
2. A vírus elindítása után némi idővel a számítógép hirtelen újraindul (a legtöbb esetben).
3. Az újraindítás után megnyílik egy szöveges fájl, amely jelzi, hogy a felhasználó fájljai titkosítottak, és jelzi a kommunikációhoz szükséges kapcsolatokat (e-mail). Néha a fájl megnyitása helyett az asztal háttérképét váltságdíj szövegére cserélik.
4. A legtöbb felhasználó fájlja (dokumentumok, fényképek, adatbázisok) más kiterjesztéssel (például *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl stb.) végződik, vagy teljesen átneveződik, és ne nyisson meg semmilyen programot, még akkor sem, ha módosítja a kiterjesztést. Néha a teljes merevlemez titkosított. Ebben az esetben a Windows egyáltalán nem indul el, és a váltságdíj üzenet szinte azonnal megjelenik a számítógép bekapcsolása után.
5. Néha az összes felhasználói fájl egyetlen jelszóval védett archívumba kerül. Ez akkor fordul elő, ha egy támadó behatol a számítógépbe, és manuálisan archivál és töröl fájlokat. Ez azt jelenti, hogy amikor egy rosszindulatú fájl elindul egy e-mail mellékletből, a felhasználó fájljait nem titkosítják automatikusan, hanem olyan szoftvert telepítenek, amely lehetővé teszi a támadó számára, hogy az interneten keresztül titokban csatlakozzon a számítógéphez.

Váltságdíj szöveges példa

Mi a teendő, ha a fertőzés már megtörtént?

1. Ha a titkosítási folyamat az Ön jelenlétében indult el (a számítógép nagyon „lassú”; megnyílt egy szöveges fájl a titkosításról szóló üzenettel; a fájlok elkezdtek eltűnni, és helyettük a titkosított másolataik kezdtek megjelenni), AZONNAL kapcsolja ki a számítógépet a tápkábel kihúzásával vagy 5 másodpercig tartva. bekapcsológomb. Talán ez megment néhány információt. NE INDÍTSA ÚJRA a számítógépet! CSAK KI!
2. Ha a titkosítás már megtörtént, semmi esetre se próbálja meg saját maga gyógyítani a fertőzést, illetve ne törölje vagy nevezze át a titkosított fájlokat vagy a ransomware által létrehozott fájlokat.

Mindkét esetben haladéktalanul jelenteni kell az incidenst a rendszergazdának.

FONTOS!!!

Ne próbáljon meg önállóan tárgyalni a támadóval az általa megadott elérhetőségeken keresztül! Ez a legjobb esetben haszontalan, legrosszabb esetben pedig megnövelheti a visszafejtési váltságdíj összegét.

Hogyan lehet megelőzni a fertőzést vagy minimalizálni annak következményeit?

1. Ne nyissa meg a gyanús e-maileket, különösen azokat, amelyekhez csatolták (lásd alább az ilyen e-mailek felismerésének módját).
2. Ne kattintson a gyanús hivatkozásokra a webhelyeken és a kapott e-mailekben.
3. Ne töltsön le és ne telepítsen programokat nem megbízható forrásokból (feltört szoftvereket tartalmazó webhelyek, torrentkövetők).
4. Mindig készítsen biztonsági másolatot a fontos fájlokról. A legjobb megoldás az, ha a biztonsági másolatokat egy másik adathordozón tárolja, amely nem csatlakozik a számítógéphez (flash meghajtó, külső meghajtó, DVD-meghajtó), vagy a felhőben (például Yandex.Disk). A vírus gyakran az archív fájlokat (zip, rar, 7z) is titkosítja, így értelmetlen a biztonsági másolatokat ugyanazon a számítógépen tárolni, ahol az eredeti fájlokat tárolják.

Hogyan lehet felismerni egy rosszindulatú e-mailt?

1. A levél tárgya és tartalma nem kapcsolódik az Ön szakmai tevékenységéhez. Például egy irodavezető kapott levelet adóellenőrzésről, számlát vagy önéletrajzot.

2. A levél olyan információkat tartalmaz, amelyek nem kapcsolódnak országunkhoz, régiónkhoz vagy cégünk tevékenységi területéhez. Például az Orosz Föderációban bejegyzett bankban fennálló tartozás visszafizetésének követelménye.

3. A rosszindulatú e-maileket gyakran állítólagos válaszként tervezik egyes e-mailjeire. Az ilyen levél tárgyának elején a "Re:" kombinációja található. Például: "Re: Számla", bár biztosan tudja, hogy nem erre a címre küldött levelet.

4. A levél állítólag egy ismert cégtől érkezett, de a levél feladójának címe értelmetlen betűsorokat, szavakat, számokat, idegen domaineket tartalmaz, amelyeknek semmi közük a szövegben említett cég hivatalos címeihez. a levélből.

5. A "Címzett" mező egy ismeretlen nevet (nem az Ön postafiókját), inkoherens karakterkészletet vagy a feladó postafiókjának ismétlődő nevét tartalmazza.

6. A levél szövegében különböző ürügyekkel arra kérik a címzettet, hogy adjon meg vagy erősítsen meg bármilyen személyes vagy védett adatot, töltsön le egy fájlt vagy kövessen egy hivatkozást, miközben számoljon be a sürgősségről vagy az esetleges szankciókról, ha nem tartja be a a levélben meghatározott utasításokat.

7. A levélhez csatolt archívum *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso fájlokat tartalmaz. Nagyon gyakori a rosszindulatú kiterjesztések elfedése is. Például az "Accounts receivable.doc.js" fájlnévben a *.doc egy hamis kiterjesztés, amely nem hordoz semmilyen funkciót, a *.js pedig a vírusfájl valódi kiterjesztése.

8. Ha a levél ismert feladótól érkezett, de a levél stílusa és a műveltség nagyon eltérő, ez is ok az óvatosságra. Valamint jellegtelen tartalom – például egy ügyfél számlafizetési kérést kapott. Ebben az esetben jobb, ha egy másik kommunikációs csatornán (telefon, Skype) lép kapcsolatba a feladóval, mivel valószínű, hogy a számítógépét feltörték vagy vírussal fertőzték meg.

Példa egy rosszindulatú e-mailre

Az új zsarolóvírus-kártevő, a WannaCry (más néven WannaCry Decryptor, WannaCrypt, WCry és WanaCrypt0r 2.0) 2017. május 12-én tette ismertté magát a világgal, amikor az Egyesült Királyság több egészségügyi intézményében is titkosították a számítógépeken található fájlokat. Mint hamarosan kiderült, több tucat ország cégei kerültek hasonló helyzetbe, a legtöbbet Oroszország, Ukrajna, India és Tajvan szenvedte el. A Kaspersky Lab szerint csak a támadás első napján 74 országban észlelték a vírust.

Miért veszélyes a WannaCry? A vírus különféle típusú fájlokat titkosít (a .WCRY kiterjesztéssel a fájlok teljesen olvashatatlanná válnak), majd 600 dolláros váltságdíjat követel a visszafejtésért. A pénzátutalási folyamat felgyorsítása érdekében a felhasználót megfélemlíti, hogy három nap múlva megnő a váltságdíj összege, és hét nap elteltével a fájlokat egyáltalán nem lehet visszafejteni.

A WannaCry ransomware vírussal való fertőzés veszélye a Windows operációs rendszeren alapuló számítógépeket érinti. Ha a Windows licencelt verzióit használja, és rendszeresen frissíti rendszerét, akkor nem kell attól tartania, hogy vírus ily módon behatol a rendszerébe.

A MacOS, ChromeOS és Linux, valamint iOS és Android mobil operációs rendszerek felhasználóinak egyáltalán nem kell tartaniuk a WannaCry támadásoktól.

Mi a teendő, ha a WannaCry áldozatává válik?

Az Egyesült Királyság Nemzeti Bűnüldözési Ügynöksége (NCA) azt javasolja, hogy a zsarolóprogramok áldozatává vált kisvállalkozások, amelyek aggódnak a vírus online terjedése miatt, tegyenek a következő lépéseket:

• Azonnal válassza le számítógépét, laptopját vagy táblagépét a vállalati/belső hálózatról. Kapcsolja ki a Wi-Fi-t.
• Változtassa meg az illesztőprogramokat.
• Anélkül, hogy Wi-Fi hálózathoz csatlakozna, közvetlenül csatlakoztassa számítógépét az internethez.
• Frissítse az operációs rendszert és az összes többi szoftvert.
• Frissítse és futtassa a víruskeresőt.
• Csatlakozzon újra a hálózathoz.
• Figyelje a hálózati forgalmat és/vagy futtasson víruskeresést, hogy megbizonyosodjon arról, hogy a zsarolóprogram eltűnt.

Fontos!

A WannaCry vírus által titkosított fájlokat a behatolókon kívül senki nem tudja visszafejteni. Ezért ne vesztegessen időt és pénzt azokra az "informatikai zsenikre", akik megígérik, hogy megmentenek ettől a fejfájástól.

Megéri pénzt fizetni a támadóknak?

Az új WannaCry ransomware vírussal találkozó felhasználók első kérdései a következők: hogyan lehet helyreállítani a fájlokat és hogyan távolíthat el egy vírust. Ha nem találnak ingyenes és hatékony megoldásokat, választás előtt állnak - fizetnek-e pénzt a zsarolónak vagy sem? Mivel a felhasználóknak gyakran van vesztenivalójuk (a személyes dokumentumok és fotóarchívumok a számítógépen vannak tárolva), valóban felmerül a vágy, hogy a problémát pénzzel oldják meg.

De az NCA sürgeti nemfizess. Ha mégis így dönt, tartsa szem előtt a következőket:

• Először is, nincs garancia arra, hogy hozzáférhet az adataihoz.
• Másodszor, a számítógépe még fizetés után is vírussal fertőzött lehet.
• Harmadszor, nagy valószínűséggel csak a kiberbűnözőknek adja oda a pénzét.

Hogyan védekezhet a WannaCry ellen?

Milyen lépéseket kell tenni a vírusfertőzés megelőzése érdekében – magyarázza Vjacseszlav Belasov, az SKB Kontur információbiztonsági rendszerek bevezetésével foglalkozó osztályának vezetője:

A WannaCry vírus sajátossága, hogy más ransomware vírusokkal ellentétben emberi beavatkozás nélkül is képes behatolni a rendszerbe. Korábban a vírus működéséhez figyelmetlenség kellett a felhasználótól – követett egy kétes hivatkozást egy olyan e-mailből, amelyet nem igazán neki szántak, vagy letöltött egy rosszindulatú mellékletet. A WannaCry esetében egy olyan sebezhetőséget használnak ki, amely közvetlenül az operációs rendszerben található. Ezért először azok a Windows-alapú számítógépek voltak veszélyben, amelyek nem telepítették a 2017. március 14-i frissítéseket. Elég egy fertőzött munkaállomás a helyi hálózatról ahhoz, hogy a vírus a meglévő biztonsági réssel átterjedjen a többire is.

A vírus által érintett felhasználóknak egy fő kérdésük van: hogyan lehet visszafejteni információikat? Garantált megoldás sajnos még nincs, és nem is valószínű, hogy előre látjuk. A probléma a megadott összeg kifizetése után sem oldódik meg. A helyzetet ráadásul súlyosbíthatja, hogy egy személy az adatai visszaszerzésének reményében kockáztat, hogy állítólag „ingyenes” dekódolókat használ, amelyek a valóságban szintén rosszindulatú fájlok. Ezért a fő tanács az, hogy legyen óvatos, és tegyen meg mindent az ilyen helyzet elkerülése érdekében.

Pontosan mit lehet és kell tenni jelenleg:

1. Telepítse a legújabb frissítéseket.

Ez nemcsak az operációs rendszerekre vonatkozik, hanem a vírusvédelmi eszközökre is. A Windows frissítésével kapcsolatos információk megtalálhatók.

2. Készítsen biztonsági másolatot a fontos információkról.

3. Legyen óvatos, amikor levelezéssel és internettel dolgozik.

Ügyeljen a megkérdőjelezhető hivatkozásokat és mellékleteket tartalmazó bejövő e-mailekre. Az internet használatához ajánlott olyan beépülő modulokat használni, amelyek lehetővé teszik, hogy megszabaduljon a felesleges reklámoktól és a potenciálisan rosszindulatú forrásokra mutató hivatkozásoktól.

A modern technológiák lehetővé teszik a hackerek számára, hogy folyamatosan javítsák a csalás módjait a hétköznapi felhasználókkal szemben. Általában a számítógépen áthatoló vírusszoftvert használják erre a célra. A titkosító vírusok különösen veszélyesek. A veszély abban rejlik, hogy a vírus nagyon gyorsan terjed, titkosítja a fájlokat (a felhasználó egyszerűen nem tud megnyitni egyetlen dokumentumot sem). És ha ez nagyon egyszerű, akkor sokkal nehezebb visszafejteni az adatokat.

Mi a teendő, ha egy vírus titkosított fájlokat tartalmaz a számítógépén

Mindenkit megtámadhat egy zsarolóvírus, még a hatékony víruskereső szoftverrel rendelkező felhasználók sem biztosítottak. A fájltitkosító trójaiakat különböző kódok képviselik, amelyek túlléphetnek a víruskereső erején. A hackereknek még olyan nagyvállalatokat is sikerül így megtámadniuk, amelyek nem gondoskodtak adataik szükséges védelméről. Tehát, miután „felkapott” egy ransomware programot az interneten, számos intézkedést kell tennie.

A fertőzés fő jelei a számítógép lassú működése és a dokumentumok elnevezésének megváltozása (az asztalon látható).

1. Indítsa újra a számítógépet a titkosítás leállításához. Ha engedélyezve van, ne erősítse meg az ismeretlen programok elindítását.
2. Futtassa a víruskeresőt, ha nem támadta meg ransomware.
3. Egyes esetekben az árnyékmásolatok segítenek visszaállítani az információkat. Megtalálásukhoz nyissa meg a titkosított dokumentum "Tulajdonságok" részét. Ez a módszer a Vault bővítmény titkosított adataival működik, amely információkat tartalmaz a portálon.
4. Töltse le a legújabb kriptográfiai vírusellenes segédprogramot. A leghatékonyabbakat a Kaspersky Lab kínálja.

Titkosító vírusok 2016-ban: példák

Bármilyen vírustámadás elleni küzdelem során fontos megérteni, hogy a kód nagyon gyakran változik, új vírusvédelemmel kiegészítve. Természetesen a védelmi programoknak időre van szükségük, amíg a fejlesztő frissíti az adatbázisokat. Kiválogattuk az utóbbi idők legveszélyesebb titkosító vírusait.

Ishtar ransomware

Az Ishtar egy zsarolóprogram, amely pénzt csal ki a felhasználótól. A vírust 2016 őszén vették észre, és rengeteg felhasználó számítógépét fertőzte meg Oroszországból és számos más országból. Terjesztése e-mailes terjesztéssel történik, amely csatolt dokumentumokat (telepítőket, dokumentumokat stb.) tartalmaz. Az Ishtar ransomware-rel fertőzött adatok az „ISHTAR” előtagot kapják a névben. A folyamat létrehoz egy tesztdokumentumot, amely jelzi, hová kell menni a jelszó beszerzéséhez. A támadók 3000-15000 rubelt követelnek érte.

Az Ishtar vírus veszélye, hogy ma nincs olyan dekódoló, amely segítené a felhasználókat. A víruskereső szoftvereket gyártó cégeknek időre van szükségük az összes kód megfejtéséhez. Most már csak a fontos információkat (ha azok különösen fontosak) elkülönítheti egy külön adathordozón, várva a dokumentumok visszafejtésére képes segédprogram kiadását. Az operációs rendszer újratelepítése javasolt.

Neitrino

A Neitrino ransomware 2015-ben jelent meg az interneten. A támadás elve alapján hasonló a kategória többi vírusához. Megváltoztatja a mappák és fájlok nevét a „Neitrino” vagy a „Neutrino” hozzáadásával. A vírust nehéz megfejteni - a víruskereső cégek korántsem minden képviselője vállalja ezt, nagyon összetett kódra hivatkozva. Egy árnyékmásolat visszaállítása segíthet egyes felhasználóknak. Ehhez kattintson a jobb gombbal a titkosított dokumentumra, lépjen a "Tulajdonságok" fülre, majd a "Korábbi verziók" fülre, kattintson a "Visszaállítás" gombra. Nem lesz felesleges a Kaspersky Lab ingyenes segédprogramját használni.

Pénztárca vagy .pénztárca.

A Wallet titkosító vírus 2016 végén jelent meg. A fertőzési folyamat során az adatok nevét "Név..pénztárca"-ra vagy hasonlóra változtatja. A legtöbb zsarolóvírushoz hasonlóan a hackerek által küldött e-mail mellékleteken keresztül jut be a rendszerbe. Mivel a fenyegetés nemrég jelent meg, a víruskereső programok nem veszik észre. A titkosítás után létrehoz egy dokumentumot, amelyben a csaló megadja a kommunikációhoz szükséges levelet. Jelenleg a vírusirtó szoftverfejlesztők dolgoznak a ransomware vírus kódjának visszafejtésén. [e-mail védett] A megtámadott felhasználók csak várhatnak. Ha fontosak az adatok, akkor a rendszer tisztításával javasolt külső meghajtóra menteni.

Talány

Az Enigma titkosító vírus 2016. április végén kezdte megfertőzni az orosz felhasználók számítógépeit. Az AES-RSA titkosítási modellt használja, amely manapság a legtöbb ransomware-ben megtalálható. A vírus egy olyan szkript segítségével hatol be a számítógépbe, amelyet a felhasználó maga futtat le úgy, hogy fájlokat nyit meg egy gyanús e-mailből. Még mindig nincs univerzális gyógymód az Enigma rejtjel kezelésére. A vírusirtó licenccel rendelkező felhasználók a fejlesztő hivatalos webhelyén kérhetnek segítséget. Egy kis "kiskapukat" is találtak - Windows UAC. Ha a felhasználó a „Nem” gombra kattint a vírusfertőzés során megjelenő ablakban, később árnyékmásolatok segítségével visszaállíthatja az információkat.

Gránit

Az új Granit ransomware vírus 2016 őszén jelent meg a weben. A fertőzés a következő forgatókönyv szerint történik: a felhasználó elindít egy telepítőt, amely megfertőzi és titkosítja a számítógépen és a csatlakoztatott meghajtókon található összes adatot. A vírus elleni küzdelem nehéz. Az eltávolításhoz használhatja a Kaspersky speciális segédprogramjait, de a kódot még nem sikerült visszafejteni. Az adatok korábbi verzióinak visszaállítása segíthet. Ezenkívül egy nagy tapasztalattal rendelkező szakember meg tudja fejteni a titkosítást, de a szolgáltatás drága.

Tyson

Nemrég volt látható. Ez a már jól ismert no_more_ransom ransomware kiterjesztése, amelyről honlapunkon tájékozódhat. E-mailből eljut a személyi számítógépekhez. Sok vállalati PC-t megtámadtak. A vírus létrehoz egy szöveges dokumentumot a zárolás feloldására vonatkozó utasításokkal, és felajánlja a „váltságdíjat”. A Tyson ransomware nemrég jelent meg, így még nincs feloldó kulcs. Az adatok visszaállításának egyetlen módja a korábbi verziók visszaküldése, ha azokat nem törölte vírus. Természetesen kockáztathatsz, ha pénzt utalsz a támadók által megjelölt számlára, de nincs garancia arra, hogy megkapod a jelszót.

Spora

2017 elején számos felhasználó esett áldozatul az új Spora ransomware-nek. Működési elve szerint nem sokban különbözik társaitól, de professzionálisabb teljesítménnyel büszkélkedhet: jobban meg vannak írva a jelszó beszerzési utasítások, szebb a weboldal. Létrehozta a Spora ransomware-t C nyelven, az RSA és az AES kombinációját használja az áldozatok adatainak titkosításához. Általában megtámadták azokat a számítógépeket, amelyeken az 1C számviteli programot aktívan használják. Az egyszerű .pdf formátumú számla leple alatt megbúvó vírus elindítására kényszeríti a cég alkalmazottait. Még nem találtak gyógymódot.

1C.Drop.1

Ez az 1C titkosító vírus 2016 nyarán jelent meg, sok könyvelési osztály munkáját megzavarva. Kifejezetten az 1C szoftvert használó számítógépekhez fejlesztették ki. Ha egy e-mailben lévő fájlt átjut a számítógépre, a tulajdonos felkéri a program frissítésére. Bármelyik gombot is megnyomja a felhasználó, a vírus elkezdi titkosítani a fájlokat. A Dr.Web szakemberei dolgoznak a visszafejtő eszközökön, de egyelőre nem találtak megoldást. Ez a bonyolult kódnak köszönhető, amely többféle módosításban is lehet. Az 1C.Drop.1 ellen csak a felhasználók ébersége és a fontos dokumentumok rendszeres archiválása jelent védelmet.

da_vinci_code

Egy új zsarolóprogram szokatlan névvel. A vírus 2016 tavaszán jelent meg. A továbbfejlesztett kóddal és az erős titkosítási móddal különbözik elődeitől. A da_vinci_code egy futtatható alkalmazásnak köszönhetően (általában egy e-mailhez csatolva) fertőzi meg a számítógépet, amelyet a felhasználó önállóan indít el. A da Vinci kódoló (da Vinci kód) átmásolja a törzset a rendszerkönyvtárba és a rendszerleíró adatbázisba, biztosítva, hogy a Windows bekapcsolásakor automatikusan elinduljon. Minden áldozat számítógépéhez egyedi azonosító tartozik (segít a jelszó beszerzésében). Az adatok visszafejtése szinte lehetetlen. Fizethet pénzt a támadóknak, de senki nem garantálja, hogy megkapja a jelszót.

[e-mail védett] / [e-mail védett]

Két e-mail cím, amelyek gyakran kísérték a zsarolóvírusokat 2016-ban. Arra szolgálnak, hogy összekapcsolják az áldozatot a támadóval. A címeket különféle típusú vírusokhoz csatolták: da_vinci_code, no_more_ransom és így tovább. Nagyon nem ajánlott felvenni a kapcsolatot, valamint pénzt utalni a csalóknak. A felhasználók a legtöbb esetben jelszavak nélkül maradnak. Így megmutatja, hogy a támadók ransomware működik, és bevételt termel.

Breaking Bad

2015 elején jelent meg, de csak egy évvel később terjedt el aktívan. A fertőzés elve megegyezik a többi zsarolóvíruséval: fájl telepítése e-mailből, adattitkosítás. A hagyományos antivírusok általában nem veszik észre a Breaking Bad vírust. Egyes kódok nem tudják megkerülni a Windows UAC-t, így a felhasználó továbbra is vissza tudja állítani a dokumentumok korábbi verzióit. A dekódert még egyetlen vírusirtó szoftvert fejlesztő cég sem mutatta be.

XTBL

Nagyon gyakori zsarolóprogram, amely sok felhasználónak okozott gondot. A számítógépre kerülve a vírus percek alatt megváltoztatja a fájl kiterjesztését .xtbl-re. Létrejön egy dokumentum, amelyben a támadó pénzt zsarol ki. Az XTBL vírus egyes változatai nem képesek megsemmisíteni a rendszer-visszaállítási fájlokat, ami lehetővé teszi a fontos dokumentumok visszaküldését. Maga a vírus számos programmal eltávolítható, de a dokumentumok visszafejtése nagyon nehéz. Ha rendelkezik licencelt víruskeresővel, vegye igénybe a technikai támogatást a fertőzött adatok mintáinak csatolásával.

Kukaracha

A Kukaracha-rejtjelet 2016 decemberében észlelték. Egy érdekes nevű vírus az RSA-2048 algoritmus segítségével rejti el a felhasználói fájlokat, amely rendkívül ellenálló. A Kaspersky Anti-Virus a Trojan-Ransom.Win32.Scatter.lb néven azonosította. A Kukaracha eltávolítható a számítógépről, hogy más dokumentumok ne fertőződjenek meg. A fertőzötteket azonban ma már szinte lehetetlen visszafejteni (nagyon erős algoritmus).

Hogyan működik a ransomware

Nagyon sok ransomware létezik, de mindegyik hasonló elven működik.

1. Hozzáférés a személyi számítógéphez. Általában az e-mailhez csatolt fájlnak köszönhetően. A telepítést maga a felhasználó kezdeményezi a dokumentum megnyitásával.
2. Fájlfertőzés. Szinte minden fájltípus titkosított (a vírustól függően). Létrejön egy szöveges dokumentum, amely kapcsolatokat tartalmaz a behatolókkal való kommunikációhoz.
3. Minden. A felhasználó semmilyen dokumentumhoz nem fér hozzá.

Gyógyszerek népszerű laboratóriumokból

A ransomware széles körben elterjedt használata, amely a felhasználói adatok legveszélyesebb fenyegetése, számos víruskereső labor lendületévé vált. Minden népszerű cég olyan programokkal látja el felhasználóit, amelyek segítenek a ransomware elleni küzdelemben. Emellett sokuk a rendszer által védett dokumentumok visszafejtésében is segít.

Kaspersky és titkosító vírusok

Oroszország és a világ egyik leghíresebb víruskereső laboratóriuma kínálja a leghatékonyabb eszközöket a ransomware vírusok elleni küzdelemhez. A ransomware vírus első akadálya a Kaspersky Endpoint Security 10 lesz a legújabb frissítésekkel. A víruskereső egyszerűen nem engedi, hogy a fenyegetés bejusson a számítógépbe (az új verziókat azonban nem lehet leállítani). Az információk visszafejtéséhez a fejlesztő egyszerre több ingyenes segédprogramot is bemutat: XoristDecryptor, RakhniDecryptor és Ransomware Decryptor. Segítenek megtalálni a vírust és kiválasztani a jelszót.

Dr. Web és ransomware

Ez a labor a víruskereső programjuk használatát javasolja, amelynek fő funkciója a fájlok biztonsági mentése. A dokumentumok másolatait tartalmazó tárolás is védett a behatolók illetéktelen hozzáférésétől. A licencelt termék tulajdonosai Dr. Web, elérhető a technikai támogatással való kapcsolatfelvétel funkciója. Igaz, még a tapasztalt szakemberek sem mindig tudnak ellenállni az ilyen típusú fenyegetéseknek.

ESET Nod 32 és ransomware

Ez a cég sem állt félre, jó védelmet nyújtott felhasználóinak a számítógépbe kerülő vírusok ellen. Ezenkívül a laboratórium nemrégiben kiadott egy ingyenes segédprogramot naprakész adatbázisokkal - az Eset Crysis Decryptort. A fejlesztők azt állítják, hogy még a legújabb zsarolóvírusok elleni küzdelemben is segít.

Folytatja nyomasztó menetét a weben, megfertőzi a számítógépeket és titkosítja a fontos adatokat. Hogyan védheti meg magát a zsarolóvírusoktól, hogyan védheti meg a Windowst a zsarolóvírusoktól – adnak ki javításokat, javításokat a fájlok visszafejtésére és gyógyítására?

Új ransomware vírus 2017 Wanna Cry továbbra is megfertőzi a vállalati és magán számítógépeket. Nál nél 1 milliárd dolláros kár a vírustámadás miatt. 2 hét alatt legalább megfertőződött a ransomware vírus 300 ezer számítógép figyelmeztetések és biztonsági intézkedések ellenére.

Mi az a ransomware 2017- úgy tűnik, általában a legártalmatlanabb oldalakon, például a felhasználói hozzáféréssel rendelkező banki szervereken "felveheti". Miután az áldozat merevlemezére került, a zsarolóprogram „letelepszik” a System32 rendszermappában. Innentől a program azonnal letiltja a vírusirtót és megy az "Autorun"-ra". Minden újraindítás után a titkosító program a rendszerleíró adatbázisban kezdődik elkezdi piszkos munkáját. A ransomware elkezdi letölteni az olyan programok hasonló példányait, mint a Ransom és a Trojan. Az is gyakran előfordul ransomware önreplikáció. Ez a folyamat lehet pillanatnyi, vagy hetekig is eltarthat – amíg az áldozat észreveszi, hogy valami nincs rendben.

A ransomware gyakran hétköznapi képeknek, szöveges fájloknak álcázza magát, de a lényeg mindig ugyanaz - ez egy futtatható fájl .exe, .drv, .xvd kiterjesztéssel; néha - libraries.dll. Leggyakrabban a fájlnak teljesen ártalmatlan neve van, például " dokumentum. doc", vagy " kép.jpg”, ahol a kiterjesztést kézzel írják, és a valódi fájltípus rejtve van.

A titkosítás befejezése után a felhasználó az ismerős fájlok helyett "véletlenszerű" karakterkészletet lát a névben és belül, és a kiterjesztés egy eddig ismeretlenre változik - .NO_MORE_RANSOM, .xdata Egyéb.

2017 Wanna Cry ransomware vírus – hogyan védekezhet. Azonnal szeretném megjegyezni, hogy a Wanna Cry inkább az összes ransomware és ransomware vírus gyűjtőfogalma, mivel az utóbbi időben leggyakrabban fertőzte meg a számítógépeket. Szóval, beszéljünk róla Védje magát a Ransom Ware ransomware ellen, amelyek közül nagyon sok van: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Hogyan védhetjük meg a Windows-t a zsarolóprogramoktól. – EternalBlue az SMB port protokollon keresztül.

Windows ransomware Protection 2017 – alapvető szabályok:

• Windows frissítés, időszerű átállás licencelt operációs rendszerre (Megjegyzés: az XP verzió nem frissül)
• víruskereső adatbázisok és tűzfalak igény szerinti frissítése
• a lehető legnagyobb gondossággal töltse le a fájlokat (az aranyos "macskák" az összes adat elvesztését okozhatják)
• fontos információk biztonsági mentése cserélhető adathordozóra.

Ransomware vírus 2017: fájlok gyógyítása és visszafejtése.

A víruskereső szoftverre támaszkodva egy időre elfelejtheti a visszafejtőt. Laboratóriumokban Kaspersky, Dr. Web, Avast!és egyéb vírusirtók nem találtunk megoldást a fertőzött fájlok gyógyítására. Jelenleg lehetőség van a vírus eltávolítására egy vírusirtó segítségével, de még nincsenek olyan algoritmusok, amelyek mindent „normálra” állítanának vissza.

Néhányan dekódolókat próbálnak használni, például a RectorDecryptor segédprogramot de ez nem segít: Az új vírusok visszafejtésére szolgáló algoritmus még nem készült. Az sem ismert, hogy a vírus hogyan fog viselkedni, ha nem távolítják el az ilyen programok használata után. Ez gyakran az összes fájl törlését eredményezheti - figyelmeztetésül azoknak, akik nem akarnak fizetni a támadóknak, a vírus szerzőinek.

Jelenleg az elveszett adatok helyreállításának leghatékonyabb módja, ha kapcsolatba lép velük. támogatást az Ön által használt víruskereső program szállítójától. Ehhez küldjön levelet, vagy használja a gyártó honlapján található visszajelzési űrlapot. Feltétlenül adja hozzá a titkosított fájlt a melléklethez, és ha van, akkor az eredeti másolatát. Ez segít a programozóknak az algoritmus összeállításában. Sajnos sokak számára teljes meglepetést okoz egy vírustámadás, és nem találnak másolatokat, ami időnként bonyolítja a helyzetet.

A Windows ransomware elleni kardiális kezelési módszerei. Sajnos néha a merevlemez teljes formázásához kell folyamodnia, ami az operációs rendszer teljes megváltoztatását vonja maga után. Sokan gondolkodnak a rendszer visszaállításán, de ez nem opció - még van egy „visszaállítás”, amely lehetővé teszi a vírus megszabadulását, akkor a fájlok továbbra is titkosítva maradnak.

2017. április 12-én információ jelent meg a WannaCry nevű titkosítási vírus gyors terjedéséről a világon, ami úgy fordítható, hogy „Sírni akarok”. A felhasználóknak kérdéseik vannak a Windows WannaCry vírusról való frissítésével kapcsolatban.

A számítógép képernyőjén megjelenő vírus így néz ki:

A rossz WannaCry vírus, amely mindent titkosít

A vírus titkosítja a számítógépen található összes fájlt, és 300 vagy 600 dollár váltságdíjat követel a Bitcoin pénztárcájától a számítógép állítólagos visszafejtéséhez. A világ 150 országában fertőződtek meg számítógépek, a leginkább érintett Oroszország.

A MegaFon, az Orosz Vasutak, a Belügyminisztérium, az Egészségügyi Minisztérium és más cégek szembesültek ezzel a vírussal. Az áldozatok között vannak hétköznapi internetezők is.

A vírus előtt szinte mindenki egyenlő. A különbség talán az, hogy a cégeknél a vírus a szervezeten belül a helyi hálózaton keresztül terjed, és azonnal a lehető legtöbb számítógépet megfertőzi.

A WannaCry vírus titkosítja a fájlokat a Windows rendszerű számítógépeken. 2017 márciusában a Microsoft MS17-010 frissítéseket adott ki a Windows XP, Vista, 7, 8, 10 különböző verzióihoz.

Kiderült, hogy akiknél automatikus Windows-frissítés van beállítva, azok kívül esnek a vírus kockázati zónáján, mert időben megkapták a frissítést, és el tudták kerülni. Nem állítom, hogy ez valóban így van.

Rizs. 3. Üzenet a KB4012212 frissítés telepítésekor

Telepítés után a KB4012212 frissítés miatt újra kellett indítani a laptopot, ami nem igazán tetszett, mert nem tudni, hogy ennek mi lehet a vége, de hova forduljon a felhasználó? Az újraindítás azonban jól sikerült. Ez azt jelenti, hogy békében élünk a következő vírustámadásig, és sajnos nem kétséges, hogy ilyen támadásokra is sor kerül.

Mindenesetre fontos, hogy legyen hová visszaállítani az operációs rendszert és a fájlokat.

Windows 8 frissítés a WannaCry-től

Egy licencelt Windows 8 operációs rendszerrel rendelkező laptophoz a KB 4012598 frissítés telepítve lett, mert