Táto príručka nie je určená pre technických špecialistov, preto:

1. definície niektorých pojmov sú zjednodušené;
2. technické detaily sa neberú do úvahy;
3. metódy ochrany systému (inštalácia aktualizácií, konfigurácia bezpečnostných systémov a pod.) sa neberú do úvahy.

Návod som napísal, aby som pomohol systémovým administrátorom, ktorí chcú zaškoliť zamestnancov firiem, ktorí sú ďaleko od IT sféry (účtovníctvo, personalistika, predajcovia atď.), v základoch kyberhygieny.

Slovník pojmov

softvér(ďalej - softvér) - program alebo súbor programov používaných na ovládanie počítača.

Šifrovanie je transformácia údajov do podoby, ktorá je bez šifrovacieho kľúča nečitateľná.

Šifrovací kľúč je tajná informácia používaná pri šifrovaní/dešifrovaní súborov.

Dekodér- program, ktorý implementuje dešifrovací algoritmus.

Algoritmus- súbor inštrukcií popisujúcich postup výkonného umelca na dosiahnutie nejakého výsledku.

príloha pošty- súbor priložený k e-mailu.

Rozšírenie(prípona názvu súboru) je sekvencia znakov pridaných k názvu súboru a používaná na identifikáciu typu súboru (napríklad *.doc, *.jpg). Podľa typu súborov sa na ich otvorenie použije určitý program. Napríklad, ak je prípona súboru *.doc, na otvorenie sa spustí MS Word, ak je *.jpg, spustí sa prehliadač obrázkov atď.

Odkaz(presnejšie hypertextový odkaz) je časť webovej stránky dokumentu, ktorá odkazuje na iný prvok (príkaz, text, nadpis, poznámka, obrázok) v samotnom dokumente alebo na iný objekt (súbor, adresár, aplikácia) umiestnený na na lokálnom disku alebo v počítačovej sieti.

Textový súbor je počítačový súbor obsahujúci textové údaje.

Archivácia- ide o kompresiu, teda zmenšenie veľkosti súboru.

Záložná kópia— súbor alebo skupina súborov vytvorená ako výsledok zálohovania informácií.

Zálohovanie- proces vytvárania kópie údajov na médiu (pevný disk, disketa atď.) určený na obnovenie údajov na pôvodné alebo nové miesto uloženia v prípade poškodenia alebo zničenia.

doména(názov domény) - názov, ktorý umožňuje prístup k internetovým stránkam a sieťovým zdrojom na nich umiestneným (webové stránky, e-mailové servery, iné služby) vo forme vhodnej pre osobu. Napríklad namiesto 172.217.18.131 zadajte google.com.ua, kde ua, com, google sú domény rôznych úrovní.

Čo je to ransomware vírus?

ransomware vírus(ďalej len ransomvér) je škodlivý softvér, ktorý šifruje používateľské súbory a za dešifrovanie požaduje výkupné. Najbežnejšie šifrované typy súborov sú dokumenty a tabuľky MS Office ( docx, xlsx), Snímky ( jpeg, png, tif), video súbory ( avi, mpeg, mkv atď.), dokumenty vo formáte pdf atď., ako aj databázové súbory - 1C ( 1 CD, dbf), prízvuk ( mdf). Systémové súbory a programy zvyčajne nie sú zašifrované, aby bol systém Windows spustený a aby používateľ mal možnosť kontaktovať ransomvér. V zriedkavých prípadoch je zašifrovaný celý disk, v tomto prípade nie je možné načítať systém Windows.

Aké je nebezpečenstvo takýchto vírusov?

Vo veľkej väčšine prípadov je dešifrovanie na vlastnú päsť NEMOŽNÉ, pretože. používajú sa extrémne zložité šifrovacie algoritmy. Vo veľmi zriedkavých prípadoch je možné súbory dešifrovať, ak došlo k infekcii už známym typom vírusu, na ktorý výrobcovia antivírusov vydali dešifrovač, ale ani v tomto prípade nie je 100% zaručená obnova informácií. Niekedy má vírus chybu vo svojom kóde a dešifrovanie je v zásade nemožné, dokonca aj zo strany autora škodlivého softvéru.

Vo veľkej väčšine prípadov po zakódovaní šifrovač vymaže pôvodné súbory pomocou špeciálnych algoritmov, čo vylučuje možnosť obnovenia.

Ďalšou nebezpečnou vlastnosťou vírusov tohto druhu je to, že často sú pre antivírusy „neviditeľné“, pretože Algoritmy používané na šifrovanie sa používajú aj v mnohých legálnych programoch (napríklad klient-banka), a preto mnohé šifrovače antivírusy nevnímajú ako malvér.

Spôsoby infekcie.

Najčastejšie sa infekcia vyskytuje prostredníctvom príloh e-mailov. Používateľ dostane e-mail od adresáta, ktorý je mu známy alebo sa vydáva za nejakú organizáciu (daňový úrad, banka). List môže obsahovať žiadosť o vykonanie účtovného vyrovnania, potvrdenie úhrady faktúry, ponuku na oboznámenie sa s úverovým dlhom v banke alebo niečo podobné. To znamená, že informácie budú také, že používateľa určite zaujmú alebo vystrašia a povzbudia ho, aby otvoril prílohu e-mailu s vírusom. Najčastejšie to bude vyzerať ako archív obsahujúci súbor *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. Po spustení takéhoto súboru okamžite alebo po určitom čase začne proces šifrovania súborov v počítači. Infikovaný súbor je tiež možné odoslať používateľovi v jednom z programov na odosielanie okamžitých správ (Skype, Viber atď.).

Menej často sa infekcia vyskytuje po inštalácii napadnutého softvéru alebo po kliknutí na infikovaný odkaz na webovej stránke alebo v tele e-mailu.

Treba mať na pamäti, že veľmi často sa vírus po infikovaní jedného počítača v sieti môže rozšíriť na ďalšie počítače pomocou zraniteľností vo Windows a/alebo nainštalovaných programov.

Známky infekcie.

1. Veľmi často po spustení súboru priloženého k listu dochádza k vysokej aktivite pevného disku, procesor je zaťažený až na 100%, t.j. Počítač sa začne výrazne spomaľovať.
2. Po určitom čase po spustení vírusu sa počítač náhle reštartuje (vo väčšine prípadov).
3. Po reštarte sa otvorí textový súbor, ktorý hlási, že súbory používateľa sú zašifrované a označuje kontakty na komunikáciu (e-mail). Niekedy sa namiesto otvorenia súboru tapeta pracovnej plochy nahradí textom o výkupnom.
4. Väčšina súborov používateľa (dokumenty, fotografie, databázy) končí s inou príponou (napríklad *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl atď.) alebo sú úplne premenované, a neotvárajte žiadny program, aj keď zmeníte príponu. Niekedy je zašifrovaný celý pevný disk. V tomto prípade sa systém Windows vôbec nespustí a správa o výkupnom sa zobrazí takmer okamžite po zapnutí počítača.
5. Niekedy sú všetky používateľské súbory umiestnené v jednom archíve chránenom heslom. To sa stane, ak útočník prenikne do počítača a súbory archivuje a odstraňuje manuálne. To znamená, že keď sa z prílohy e-mailu spustí škodlivý súbor, súbory používateľa sa automaticky nezašifrujú, ale nainštaluje sa softvér, ktorý útočníkovi umožní tajne sa pripojiť k počítaču cez internet.

Príklad výkupného textu

Čo robiť, ak sa infekcia už vyskytla?

1. Ak sa proces šifrovania začal vo vašej prítomnosti (počítač je veľmi „pomalý“; otvoril sa textový súbor so správou o šifrovaní; súbory začali miznúť a namiesto toho sa začali objavovať ich šifrované kópie), mali by ste OKAMŽITE vypnite napájanie počítača odpojením napájacieho kábla alebo jeho podržaním na 5 sekúnd. vypínač. Možno to zachráni niektoré informácie. NEREŠTARTUJTE PC! LEN VYPNUTÉ!
2. Ak už k šifrovaniu došlo, v žiadnom prípade by ste sa nemali pokúšať infekciu vyliečiť sami, ani odstraňovať či premenovať šifrované súbory alebo súbory vytvorené ransomvérom.

V oboch prípadoch by ste mali incident okamžite nahlásiť správcovi systému.

DÔLEŽITÉ!!!

Nesnažte sa nezávisle vyjednávať s útočníkom prostredníctvom kontaktov, ktoré mu poskytol! V najlepšom prípade je to zbytočné, v horšom prípade to môže zvýšiť výšku výkupného za dešifrovanie.

Ako infekcii predchádzať alebo minimalizovať jej následky?

1. Neotvárajte podozrivé e-maily, najmä tie s prílohami (pozri nižšie, ako rozpoznať takéto e-maily).
2. Neklikajte na podozrivé odkazy na webových stránkach a v e-mailoch, ktoré dostanete.
3. Nesťahujte ani neinštalujte programy z nedôveryhodných zdrojov (webové stránky s napadnutým softvérom, sledovače torrentov).
4. Vždy zálohujte dôležité súbory. Najlepšou možnosťou by bolo ukladať zálohy na iné médium, ktoré nie je pripojené k počítaču (flash disk, externý disk, jednotka DVD) alebo v cloude (napríklad Yandex.Disk). Vírus často šifruje aj archívne súbory (zip, rar, 7z), takže ukladanie záloh na rovnaký počítač, kde sú uložené pôvodné súbory, je zbytočné.

Ako rozpoznať škodlivý e-mail?

1. Predmet a obsah listu nesúvisia s vašou odbornou činnosťou. Vedúci kancelárie napríklad dostal list o daňovej kontrole, faktúru alebo životopis.

2. List obsahuje informácie, ktoré nesúvisia s našou krajinou, regiónom alebo oblasťou činnosti našej spoločnosti. Napríklad požiadavka splatiť dlh v banke registrovanej v Ruskej federácii.

3. Často je škodlivý e-mail navrhnutý ako údajná odpoveď na niektoré z vašich e-mailov. Na začiatku predmetu takéhoto listu je kombinácia „Re:“. Napríklad „Re: Faktúra“, hoci s istotou viete, že ste listy na túto adresu neposielali.

4. List údajne pochádza od známej spoločnosti, ale adresa odosielateľa listu obsahuje nezmyselné sekvencie písmen, slov, čísel, cudzích domén, ktoré nemajú nič spoločné s oficiálnymi adresami spoločnosti uvedenými v texte. z listu.

5. Pole „Komu“ obsahuje neznáme meno (nie vaša poštová schránka), množinu nesúvislých znakov alebo duplicitný názov poštovej schránky odosielateľa.

6. V texte listu je pod rôznymi zámienkami príjemca vyzvaný, aby poskytol alebo potvrdil akékoľvek osobné alebo majetkové informácie, stiahol súbor alebo sledoval odkaz, pričom informuje o naliehavosti alebo akýchkoľvek sankciách v prípade nedodržania pokyny uvedené v liste.

7. Archív priložený k listu obsahuje súbory *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Veľmi bežné je aj maskovanie škodlivého rozšírenia. Napríklad v názve súboru "Pohľadávky.doc.js" je *.doc falošná prípona, ktorá nenesie žiadnu funkčnosť a *.js je skutočná prípona súboru vírusu.

8. Ak list pochádza od známeho odosielateľa, ale štýl listu a gramotnosť sú veľmi odlišné, je to tiež dôvod na opatrnosť. Rovnako ako necharakteristický obsah – napríklad klient dostal výzvu na zaplatenie účtu. V tomto prípade je lepšie kontaktovať odosielateľa prostredníctvom iného komunikačného kanála (telefón, Skype), pretože je pravdepodobné, že jeho počítač bol napadnutý alebo infikovaný vírusom.

Príklad škodlivého e-mailu

Nový ransomvérový malvér WannaCry (známy aj ako WannaCry Decryptor, WannaCrypt, WCry a WanaCrypt0r 2.0) dal o sebe vedieť svetu 12. mája 2017, keď boli zašifrované súbory na počítačoch vo viacerých zdravotníckych zariadeniach v Spojenom kráľovstve. Ako sa čoskoro ukázalo, v podobnej situácii sa ocitli firmy v desiatkach krajín a najviac utrpelo Rusko, Ukrajina, India a Taiwan. Podľa Kaspersky Lab len v prvý deň útoku bol vírus zistený v 74 krajinách.

Prečo je WannaCry nebezpečný? Vírus zašifruje rôzne typy súborov (vzhľadom na príponu .WCRY sa súbory stanú úplne nečitateľné) a za dešifrovanie potom požaduje výkupné 600 dolárov. Aby sa urýchlil postup prevodu peňazí, používateľ je vystrašený skutočnosťou, že o tri dni sa výkupné zvýši a po siedmich dňoch sa súbory nebudú dať dešifrovať vôbec.

Hrozba infekcie ransomvérovým vírusom WannaCry postihuje počítače založené na operačných systémoch Windows. Ak používate licencované verzie systému Windows a pravidelne aktualizujete svoj systém, nemusíte sa báť, že by sa do vášho systému dostal vírus týmto spôsobom.

Používatelia MacOS, ChromeOS a Linux, ale aj mobilných operačných systémov iOS a Android by sa útokov WannaCry vôbec nemali báť.

Čo robiť, ak sa stanete obeťou WannaCry?

Národná kriminálna agentúra Spojeného kráľovstva (NCA) odporúča, aby malé podniky, ktoré sa stali obeťou ransomvéru a obávajú sa šírenia vírusu online, podnikli nasledujúce kroky:

• Okamžite izolujte svoj počítač, notebook alebo tablet od firemnej/internej siete. Vypnite Wi-Fi.
• Zmeňte ovládače.
• Bez pripojenia k sieti Wi-Fi pripojte počítač priamo k internetu.
• Aktualizujte svoj operačný systém a všetok ďalší softvér.
• Aktualizujte a spustite antivírus.
• Znovu sa pripojte k sieti.
• Monitorujte sieťový prenos a/alebo spustite antivírusovú kontrolu, aby ste sa uistili, že ransomvér je preč.

Dôležité!

Súbory zašifrované vírusom WannaCry nemôže dešifrovať nikto okrem votrelcov. Nestrácajte preto čas a peniaze na tých „IT géniov“, ktorí vám sľúbia, že vás od tejto bolesti hlavy ušetria.

Oplatí sa platiť útočníkom peniaze?

Prvé otázky používateľov, ktorí sa stretli s novým ransomwarovým vírusom WannaCry, sú: ako obnoviť súbory a ako odstrániť vírus. Keďže nenachádzajú bezplatné a efektívne riešenia, stoja pred voľbou - zaplatiť peniaze vydieračovi alebo nie? Keďže používatelia majú často čo stratiť (osobné dokumenty a archívy fotografií sú uložené v počítači), túžba vyriešiť problém pomocou peňazí skutočne vzniká.

Ale NCA nalieha niezaplatiť. Ak sa to stále rozhodnete urobiť, majte na pamäti nasledovné:

• Po prvé, neexistuje žiadna záruka, že získate prístup k svojim údajom.
• Po druhé, váš počítač môže byť aj po zaplatení stále napadnutý vírusom.
• Po tretie, s najväčšou pravdepodobnosťou dáte svoje peniaze kyberzločincom.

Ako sa chrániť pred WannaCry?

Aké kroky podniknúť, aby sa zabránilo infekcii vírusom, vysvetľuje Vyacheslav Belashov, vedúci oddelenia implementácie systémov informačnej bezpečnosti v SKB Kontur:

Zvláštnosťou vírusu WannaCry je, že dokáže preniknúť do systému bez ľudského zásahu, na rozdiel od iných ransomware vírusov. Predtým sa na fungovanie vírusu vyžadovalo, aby bol používateľ nepozorný – sledoval pochybný odkaz z e-mailu, ktorý v skutočnosti nebol určený jemu, alebo si stiahol škodlivú prílohu. V prípade WannaCry je zneužitá zraniteľnosť, ktorá existuje priamo v samotnom operačnom systéme. Ako prvé boli teda ohrozené počítače so systémom Windows, ktoré nenainštalovali aktualizácie zo 14. marca 2017. Jedna infikovaná pracovná stanica z lokálnej siete stačí na to, aby sa vírus rozšíril na ostatné s existujúcou zraniteľnosťou.

Používatelia postihnutí vírusom majú jednu hlavnú otázku - ako dešifrovať svoje informácie? Bohužiaľ, zatiaľ neexistuje žiadne zaručené riešenie a je nepravdepodobné, že by sa dalo predvídať. Ani po zaplatení stanovenej sumy sa problém nevyrieši. Situáciu môže navyše zhoršiť skutočnosť, že osoba v nádeji na obnovenie svojich údajov riskuje používanie údajne „bezplatných“ dešifrovačov, čo sú v skutočnosti tiež škodlivé súbory. Preto hlavnou radou, ktorú možno poskytnúť, je byť opatrný a urobiť všetko pre to, aby ste sa vyhli takejto situácii.

Čo presne sa môže a malo v súčasnosti urobiť:

1. Nainštalujte najnovšie aktualizácie.

Týka sa to nielen operačných systémov, ale aj nástrojov antivírusovej ochrany. Informácie o aktualizácii systému Windows nájdete.

2. Vytvorte záložné kópie dôležitých informácií.

3. Buďte opatrní pri práci s poštou a internetom.

Venujte pozornosť prichádzajúcim e-mailom s pochybnými odkazmi a prílohami. Pre prácu s internetom sa odporúča používať pluginy, ktoré vám umožnia zbaviť sa zbytočnej reklamy a odkazov na potenciálne škodlivé zdroje.

Moderné technológie umožňujú hackerom neustále zlepšovať spôsoby podvodov vo vzťahu k bežným používateľom. Na tieto účely sa spravidla používa vírusový softvér, ktorý preniká do počítača. Šifrovacie vírusy sa považujú za obzvlášť nebezpečné. Hrozba spočíva v tom, že vírus sa šíri veľmi rýchlo a šifruje súbory (používateľ jednoducho nemôže otvoriť žiadny dokument). A ak je to celkom jednoduché, potom je oveľa ťažšie dešifrovať údaje.

Čo robiť, ak vírus zašifroval súbory vo vašom počítači

Každý môže byť napadnutý ransomvérom, dokonca aj používatelia, ktorí majú výkonný antivírusový softvér, nie sú poistení. Trójske kone na šifrovanie súborov sú reprezentované odlišným kódom, ktorý môže byť nad sily antivírusu. Hackerom sa takto darí útočiť aj na veľké spoločnosti, ktoré sa nepostarajú o potrebnú ochranu svojich informácií. Takže po „vyzdvihnutí“ ransomvérového programu online musíte urobiť niekoľko opatrení.

Hlavnými príznakmi infekcie je pomalý chod počítača a zmena názvov dokumentov (môžete to vidieť na ploche).

1. Ak chcete zastaviť šifrovanie, reštartujte počítač. Keď je povolená, nepotvrdzujte spustenie neznámych programov.
2. Spustite antivírus, ak nebol napadnutý ransomvérom.
3. V niektorých prípadoch tieňové kópie pomôžu obnoviť informácie. Ak ich chcete nájsť, otvorte "Vlastnosti" zašifrovaného dokumentu. Táto metóda pracuje so zašifrovanými údajmi rozšírenia Vault, ktoré má informácie na portáli.
4. Stiahnite si najnovšiu pomôcku na ochranu proti kryptovírusom. Tie najúčinnejšie ponúka spoločnosť Kaspersky Lab.

Šifrovacie vírusy v roku 2016: príklady

Pri boji s akýmkoľvek vírusovým útokom je dôležité pochopiť, že kód sa veľmi často mení, doplnený o novú antivírusovú ochranu. Samozrejme, ochranné programy potrebujú nejaký čas, kým vývojár aktualizuje databázy. Vybrali sme najnebezpečnejšie šifrovacie vírusy poslednej doby.

Ishtar ransomvér

Ishtar je ransomvér, ktorý od používateľa vymáha peniaze. Vírus bol zaznamenaný na jeseň roku 2016 a infikoval obrovské množstvo počítačov používateľov z Ruska a mnohých ďalších krajín. Je distribuovaný pomocou e-mailovej distribúcie, ktorá obsahuje priložené dokumenty (inštalátory, dokumenty atď.). Dáta infikované ransomvérom Ishtar majú v názve predponu „ISHTAR“. Tento proces vytvorí testovací dokument, ktorý naznačuje, kam ísť získať heslo. Útočníci za to požadujú od 3 000 do 15 000 rubľov.

Nebezpečenstvo vírusu Ishtar je v tom, že dnes neexistuje žiadny dešifrovač, ktorý by používateľom pomohol. Spoločnosti s antivírusovým softvérom potrebujú čas na rozlúštenie celého kódu. Teraz môžete dôležité informácie (ak sú mimoriadne dôležité) izolovať iba na samostatnom médiu a čakať na vydanie nástroja schopného dešifrovať dokumenty. Odporúča sa preinštalovať operačný systém.

Neitrino

Ransomvér Neitrino sa objavil na internete v roku 2015. Princípom útoku je podobný iným vírusom tejto kategórie. Zmení názvy priečinkov a súborov pridaním „Neitrino“ alebo „Neutrino“. Vírus je ťažké dešifrovať - ​​zďaleka nie všetci zástupcovia antivírusových spoločností to robia s odkazom na veľmi zložitý kód. Niektorým používateľom môže pomôcť obnovenie tieňovej kópie. Ak to chcete urobiť, kliknite pravým tlačidlom myši na zašifrovaný dokument, prejdite na položku „Vlastnosti“, kartu „Predchádzajúce verzie“ a kliknite na položku „Obnoviť“. Nebude zbytočné používať bezplatný nástroj od spoločnosti Kaspersky Lab.

Peňaženka alebo .peňaženka.

Šifrovací vírus Wallet sa objavil na konci roka 2016. Počas procesu infekcie zmení názov údajov na "Name..peňaženka" alebo podobne. Ako väčšina ransomvérových vírusov sa do systému dostáva prostredníctvom e-mailových príloh, ktoré posielajú hackeri. Keďže sa hrozba objavila pomerne nedávno, antivírusové programy si ju nevšimnú. Po zašifrovaní vytvorí dokument, v ktorom podvodník špecifikuje poštu na komunikáciu. V súčasnosti vývojári antivírusového softvéru pracujú na dešifrovaní kódu vírusu ransomware. [e-mail chránený] Napadnutí užívatelia môžu len čakať. Ak sú dáta dôležité, odporúča sa ich uložiť na externý disk vyčistením systému.

Enigma

Šifrovací vírus Enigma začal koncom apríla 2016 infikovať počítače ruských používateľov. Používa model šifrovania AES-RSA, ktorý sa dnes nachádza vo väčšine ransomvéru. Vírus preniká do počítača pomocou skriptu, ktorý si používateľ sám spúšťa otváraním súborov z podozrivého emailu. Univerzálny liek, ako sa vysporiadať so šifrou Enigma, stále neexistuje. Používatelia, ktorí majú licenciu na antivírus, môžu požiadať o pomoc na oficiálnej webovej stránke vývojára. Našla sa aj malá „medzera“ – Windows UAC. Ak používateľ klikne na „Nie“ v okne, ktoré sa objaví počas vírusovej infekcie, môže neskôr obnoviť informácie pomocou tieňových kópií.

Žula

Na jeseň 2016 sa na webe objavil nový ransomvérový vírus Granit. K infekcii dochádza podľa nasledujúceho scenára: používateľ spustí inštalačný program, ktorý infikuje a zašifruje všetky údaje na počítači a pripojených jednotkách. Boj s vírusom je ťažký. Na jeho odstránenie môžete použiť špeciálne nástroje od spoločnosti Kaspersky, ale kód ešte nebol dešifrovaný. Pomôcť môže obnovenie predchádzajúcich verzií údajov. Okrem toho môže dešifrovať špecialista, ktorý má bohaté skúsenosti, ale služba je drahá.

Tyson

Nedávno bolo videné. Ide o rozšírenie už známeho ransomvéru no_more_ransom, o ktorom sa môžete dozvedieť na našej stránke. Dostane sa do osobných počítačov z e-mailu. Mnoho firemných počítačov bolo napadnutých. Vírus vytvorí textový dokument s pokynmi na odomknutie a ponúkne zaplatenie „výkupného“. Nedávno sa objavil ransomvér Tyson, takže zatiaľ neexistuje kľúč na odomknutie. Jediný spôsob, ako obnoviť informácie, je vrátiť predchádzajúce verzie, ak neboli odstránené vírusom. Môžete samozrejme riskovať prevodom peňazí na účet, ktorý útočníci označili, ale nie je zaručené, že heslo dostanete.

Spora

Začiatkom roka 2017 sa množstvo používateľov stalo obeťou nového ransomvéru Spora. Princípom fungovania sa príliš nelíši od svojich náprotivkov, ale môže sa pochváliť profesionálnejším výkonom: pokyny na získanie hesla sú lepšie, web vyzerá krajšie. Vytvorený ransomvér Spora v jazyku C využíva kombináciu RSA a AES na šifrovanie údajov obetí. Spravidla boli napadnuté počítače, na ktorých sa aktívne používa účtovný program 1C. Vírus skrývajúci sa pod rúškom jednoduchej faktúry vo formáte .pdf núti zamestnancov firmy, aby ho spustili. Zatiaľ sa nenašiel žiadny liek.

1C.Drop.1

Tento šifrovací vírus pre 1C sa objavil v lete 2016 a narušil prácu mnohých účtovných oddelení. Bol vyvinutý špeciálne pre počítače, ktoré používajú softvér 1C. Prechod cez súbor v e-maile do počítača vyzve vlastníka, aby aktualizoval program. Bez ohľadu na to, ktoré tlačidlo používateľ stlačí, vírus začne šifrovať súbory. Špecialisti Dr.Web pracujú na dešifrovacích nástrojoch, no zatiaľ sa nenašlo žiadne riešenie. Môže za to zložitý kód, ktorý môže byť vo viacerých modifikáciách. Jedinou ochranou pred 1C.Drop.1 je ostražitosť používateľov a pravidelná archivácia dôležitých dokumentov.

da_vinci_code

Nový ransomvér s nezvyčajným názvom. Vírus sa objavil na jar 2016. Od svojich predchodcov sa líši vylepšeným kódom a silným režimom šifrovania. da_vinci_code infikuje počítač vďaka spustiteľnej aplikácii (zvyčajne priloženej k e-mailu), ktorú používateľ samostatne spúšťa. Da Vinciho kodér (da Vinciho kód) skopíruje telo do systémového adresára a registra, čím zaistí, že sa spustí automaticky pri zapnutí systému Windows. Počítač každej obete má pridelené jedinečné ID (pomáha získať heslo). Dešifrovanie údajov je takmer nemožné. Útočníkom môžete zaplatiť peniaze, ale nikto vám nezaručí, že dostanete heslo.

[e-mail chránený] / [e-mail chránený]

Dve e-mailové adresy, ktoré často sprevádzali ransomvér v roku 2016. Slúžia na spojenie obete s útočníkom. Adresy boli pripojené k rôznym typom vírusov: da_vinci_code, no_more_ransom atď. Dôrazne sa neodporúča kontaktovať a prevádzať peniaze podvodníkom. Používatelia vo väčšine prípadov zostávajú bez hesla. To znamená, že útočníci ransomware funguje a generujú príjem.

Breaking Bad

Objavil sa začiatkom roka 2015, ale aktívne sa rozšíril až o rok neskôr. Princíp infekcie je identický s iným ransomware: inštalácia súboru z emailu, šifrovanie dát. Bežné antivírusy si vírus Breaking Bad zvyčajne nevšimnú. Niektoré kódy nemôžu obísť Windows UAC, takže používateľ môže stále obnoviť predchádzajúce verzie dokumentov. Dekodér zatiaľ nepredstavila žiadna spoločnosť vyvíjajúca antivírusový softvér.

XTBL

Veľmi bežný ransomvér, ktorý spôsobil problémy mnohým používateľom. Akonáhle sa vírus dostane do počítača, zmení príponu súboru na .xtbl v priebehu niekoľkých minút. Vytvorí sa dokument, v ktorom útočník vymáha peniaze. Niektoré varianty vírusu XTBL nedokážu zničiť súbory na obnovenie systému, čo vám umožňuje vrátiť dôležité dokumenty. Samotný vírus je možné odstrániť mnohými programami, ale dešifrovanie dokumentov je veľmi ťažké. Ak vlastníte licencovaný antivírus, využite technickú podporu priložením vzoriek infikovaných údajov.

Kukaracha

Šifra Kukaracha bola objavená v decembri 2016. Vírus so zaujímavým názvom skrýva používateľské súbory pomocou algoritmu RSA-2048, ktorý je vysoko odolný. Kaspersky Anti-Virus ho identifikoval ako Trojan-Ransom.Win32.Scatter.lb. Kukaracha je možné odstrániť z počítača, aby neboli infikované ďalšie dokumenty. Infikované je však dnes takmer nemožné dešifrovať (veľmi výkonný algoritmus).

Ako funguje ransomvér

Existuje obrovské množstvo ransomvéru, no všetky fungujú na podobnom princípe.

1. Prístup k osobnému počítaču. Spravidla vďaka priloženému súboru k e-mailu. Inštaláciu spúšťa samotný používateľ otvorením dokumentu.
2. Infekcia súboru. Takmer všetky typy súborov sú šifrované (v závislosti od vírusu). Vytvorí sa textový dokument, ktorý obsahuje kontakty pre komunikáciu s narušiteľmi.
3. Všetko. Používateľ nemá prístup k žiadnemu dokumentu.

Prostriedky z populárnych laboratórií

Široké používanie ransomvéru, ktorý sa považuje za najnebezpečnejšiu hrozbu pre používateľské dáta, sa stalo impulzom pre mnohé antivírusové laboratóriá. Každá populárna spoločnosť poskytuje svojim používateľom programy, ktoré im pomáhajú bojovať proti ransomvéru. Mnohé z nich navyše pomáhajú s dešifrovaním dokumentov chránených systémom.

Kaspersky a šifrovacie vírusy

Jedno z najznámejších antivírusových laboratórií v Rusku a vo svete dnes ponúka najefektívnejšie prostriedky na boj proti vírusom ransomware. Prvou prekážkou pre vírus ransomware bude Kaspersky Endpoint Security 10 s najnovšími aktualizáciami. Antivírus jednoducho nedovolí hrozbe preniknúť do počítača (nové verzie sa však nemusia zastaviť). Na dešifrovanie informácií vývojár predstavuje niekoľko bezplatných nástrojov naraz: XoristDecryptor, RakhniDecryptor a Ransomware Decryptor. Pomáhajú nájsť vírus a získať heslo.

DR. Web a ransomvér

Toto laboratórium odporúča používať ich antivírusový program, ktorého hlavnou funkciou je zálohovanie súborov. Úložisko s kópiami dokumentov je tiež chránené pred neoprávneným prístupom narušiteľov. Majitelia licencovaného produktu Dr. Web, je k dispozícii funkcia kontaktovania technickej podpory so žiadosťou o pomoc. Je pravda, že ani skúsení špecialisti nemôžu vždy odolať tomuto typu hrozby.

ESET Nod 32 a ransomvér

Bokom nezostala ani táto spoločnosť, ktorá svojim používateľom poskytuje dobrú ochranu pred vírusmi prenikajúcimi do počítača. Laboratórium navyše nedávno vydalo bezplatnú utilitu s aktuálnymi databázami – Eset Crysis Decryptor. Vývojári tvrdia, že pomôže v boji aj proti najnovšiemu ransomvéru.

Pokračuje vo svojom utláčateľskom pochode na webe, infikuje počítače a šifruje dôležité údaje. Ako sa chrániť pred ransomvérom, chrániť Windows pred ransomvérom – vydávajú sa záplaty na dešifrovanie a liečenie súborov?

Nový ransomware vírus 2017 Wanna Cry pokračuje v infikovaní firemných a súkromných počítačov. o Škody spôsobené vírusovým útokom vo výške 1 miliardy USD. Za 2 týždne sa vírus ransomware infikoval najmenej 300 tisíc počítačov napriek varovaniam a bezpečnostným opatreniam.

Čo je ransomware 2017- zdá sa, že na najnebezpečnejších stránkach môžete spravidla "vyzdvihnúť", napríklad bankové servery s užívateľským prístupom. Po umiestnení na pevný disk obete sa ransomvér „usadí“ v systémovom priečinku System32. Odtiaľ program okamžite zakáže antivírus a prejde na "Autorun"". Po každom reštarte, šifrovací program začína v registri začína svoju špinavú prácu. Ransomware začne sťahovať podobné kópie programov ako Ransom a Trojan. Aj to sa často stáva samoreplikácia ransomvéru. Tento proces môže byť krátkodobý alebo môže trvať týždne – kým si obeť nevšimne, že niečo nie je v poriadku.

Ransomvér sa často maskuje ako obyčajné obrázky, textové súbory ale podstata je vždy rovnaká - toto je spustiteľný súbor s príponou .exe, .drv, .xvd; niekedy - libraries.dll. Najčastejšie má súbor úplne neškodný názov, napríklad „ dokument. doc", alebo " obrázok.jpg“, kde je prípona napísaná ručne a skutočný typ súboru je skrytý.

Po dokončení šifrovania používateľ namiesto známych súborov vidí v názve a vnútri súbor „náhodných“ znakov a prípona sa zmení na doteraz neznámu - .NO_MORE_RANSOM, .xdata iné.

2017 Wanna Cry ransomware virus – ako sa chrániť. Hneď by som rád poznamenal, že Wanna Cry je skôr súhrnné označenie pre všetky ransomvérové ​​a ransomvérové ​​vírusy, keďže v poslednej dobe najčastejšie infikuje počítače. Takže, poďme sa rozprávať Chráňte sa pred ransomvérom Ransom Ware, ktorých je veľmi veľa: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Ako chrániť Windows pred ransomware. – EternalBlue cez protokol portu SMB.

Windows ransomware ochrana 2017 - základné pravidlá:

• Aktualizácia systému Windows, včasný prechod na licencovaný operačný systém (Poznámka: Verzia XP nie je aktualizovaná)
• aktualizácia antivírusových databáz a firewallov na požiadanie
• maximálna opatrnosť pri sťahovaní akýchkoľvek súborov (roztomilé „mačky“ môžu viesť k strate všetkých údajov)
• zálohovanie dôležitých informácií na vymeniteľné médiá.

Encryption virus 2017: ako liečiť a dešifrovať súbory.

Spoliehajúc sa na antivírusový softvér môžete na chvíľu zabudnúť na dešifrovač. V laboratóriách Kaspersky, Dr. Web, Avast! a iné antivírusy nenašlo sa žiadne riešenie na vyliečenie infikovaných súborov. V súčasnosti je možné odstrániť vírus pomocou antivírusu, ale zatiaľ neexistujú žiadne algoritmy, ktoré by všetko vrátili „do normálu“.

Niektorí sa pokúšajú použiť dešifrovacie nástroje, ako napríklad nástroj RectorDecryptor ale toto nepomoze: Algoritmus na dešifrovanie nových vírusov ešte nebol zostavený. Je tiež absolútne neznáme, ako sa bude vírus správať, ak nebude odstránený po použití takýchto programov. Často to môže viesť k vymazaniu všetkých súborov - ako varovanie pre tých, ktorí nechcú platiť útočníkom, autorom vírusu.

V súčasnosti je najefektívnejším spôsobom, ako obnoviť stratené údaje, kontaktovať ich. podporu od predajcu antivírusového programu, ktorý používate. Ak to chcete urobiť, pošlite list alebo použite formulár spätnej väzby na webovej stránke výrobcu. Nezabudnite pridať zašifrovaný súbor do prílohy a ak existuje, kópiu originálu. To pomôže programátorom pri zostavovaní algoritmu. Bohužiaľ, pre mnohých je vírusový útok úplným prekvapením a kópie sa nenájdu, čo občas komplikuje situáciu.

Kardiálne metódy liečenia Windowsu pred ransomvérom. Bohužiaľ, niekedy sa musíte uchýliť k úplnému formátovaniu pevného disku, čo znamená úplnú zmenu operačného systému. Mnohí budú myslieť na obnovenie systému, ale toto nie je možné - aj keď dôjde k „vráteniu späť“, ktoré vás zbaví vírusu, súbory zostanú zašifrované.

12. apríla 2017 sa objavili informácie o rýchlom šírení šifrovacieho vírusu s názvom WannaCry po celom svete, čo možno preložiť ako „Chcem plakať“. Používatelia majú otázky týkajúce sa aktualizácie systému Windows pred vírusom WannaCry.

Vírus na obrazovke počítača vyzerá takto:

Zlý vírus WannaCry, ktorý šifruje všetko

Vírus zašifruje všetky súbory v počítači a požaduje výkupné vo výške 300 alebo 600 dolárov od bitcoinovej peňaženky za údajné dešifrovanie počítača. Infikované boli počítače v 150 krajinách sveta, najviac postihnuté je Rusko.

MegaFon, Ruské železnice, Ministerstvo vnútra, Ministerstvo zdravotníctva a ďalšie spoločnosti sa stretli s týmto vírusom. Medzi obeťami sú bežní užívatelia internetu.

Takmer všetci sú si pred vírusom rovní. Rozdiel je možno v tom, že vo firmách sa vírus šíri po lokálnej sieti v rámci organizácie a okamžite infikuje maximálny možný počet počítačov.

Vírus WannaCry šifruje súbory na počítačoch so systémom Windows. V marci 2017 spoločnosť Microsoft vydala aktualizácie MS17-010 pre rôzne verzie systému Windows XP, Vista, 7, 8, 10.

Ukazuje sa, že tí, ktorí majú nakonfigurované automatické aktualizácie systému Windows, sú mimo rizikovú zónu pre vírus, pretože aktualizáciu dostali včas a dokázali sa jej vyhnúť. Nebudem tvrdiť, že je to skutočne tak.

Ryža. 3. Správa pri inštalácii aktualizácie KB4012212

Po inštalácii aktualizácia KB4012212 vyžadovala reštart prenosného počítača, čo sa mi veľmi nepáčilo, pretože nie je známe, ako by to mohlo skončiť, ale kam by mal používateľ ísť? Reštart však prebehol dobre. To znamená, že žijeme v mieri až do ďalšieho napadnutia vírusom a, žiaľ, niet pochýb o tom, že k takýmto útokom dôjde.

V každom prípade je dôležité mať miesto na obnovenie operačného systému a súborov.

Aktualizácia systému Windows 8 od spoločnosti WannaCry

Pre notebook s licencovaným Windowsom 8 bola nainštalovaná aktualizácia KB 4012598, pretože