Bu kılavuz teknik uzmanlara yönelik değildir, bu nedenle:

1. bazı terimlerin tanımları basitleştirilmiştir;
2. teknik detaylar dikkate alınmaz;
3. sistem koruma yöntemleri (güncellemeleri yükleme, güvenlik sistemlerini yapılandırma vb.) dikkate alınmaz.

Talimat, IT alanından uzak şirket çalışanlarını (muhasebe, personel, satış elemanları vb.) siber hijyenin temelleri konusunda eğitmek isteyen sistem yöneticilerine yardımcı olmak için tarafımdan yazılmıştır.

Sözlük

Yazılım(bundan böyle - yazılım) - bir bilgisayarı kontrol etmek için kullanılan bir program veya program grubu.

şifreleme verilerin şifreleme anahtarı olmadan okunamayacak bir forma dönüştürülmesidir.

Şifreleme anahtarı dosyaları şifrelerken/şifrelerini çözerken kullanılan gizli bilgilerdir.

kod çözücü- şifre çözme algoritmasını uygulayan bir program.

algoritma- icracının bir sonuç elde etmesi için prosedürü açıklayan bir dizi talimat.

mail eklentisi- bir e-postaya eklenmiş bir dosya.

Eklenti(dosya adı uzantısı), dosya adına eklenen ve dosya türünü tanımlamak için kullanılan bir karakter dizisidir (örneğin, *.doc, *.jpg). Dosyaların türüne göre, bunları açmak için belirli bir program kullanılacaktır. Örneğin, dosya uzantısı *.doc ise, açmak için MS Word, *.jpg ise, resim görüntüleyici başlatılacaktır, vb.

Bağlantı(veya daha doğrusu, bir köprü), belgenin kendisindeki başka bir öğeye (komut, metin, başlık, not, resim) veya bir başka nesneye (dosya, dizin, uygulama) başvuran bir belge web sayfasının bir parçasıdır. yerel diskte veya bilgisayar ağında.

Metin dosyası metin verilerini içeren bir bilgisayar dosyasıdır.

Arşivleme- bu sıkıştırma, yani dosyanın boyutunu küçültme.

Yedek kopya— bilgi yedeklemesinin bir sonucu olarak oluşturulan bir dosya veya bir dosya grubu.

Destek olmak- hasar veya imha durumunda verileri orijinal veya yeni depolama konumuna geri yüklemek için tasarlanmış bir ortamda (sabit disk, disket vb.) verilerin bir kopyasını oluşturma işlemi.

Alan adı(alan adı) - İnternet sitelerine ve üzerlerinde bulunan ağ kaynaklarına (web siteleri, e-posta sunucuları, diğer hizmetler) bir kişiye uygun bir biçimde erişmeyi mümkün kılan bir ad. Örneğin, 172.217.18.131 yerine google.com.ua girin; burada ua, com, google farklı düzeylerdeki alan adlarıdır.

Fidye yazılımı virüsü nedir?

fidye yazılımı virüsü(bundan böyle fidye yazılımı olarak anılacaktır), kullanıcı dosyalarını şifreleyen ve şifrenin çözülmesi için fidye talep eden kötü amaçlı yazılımdır. En yaygın olarak şifrelenen dosya türleri, MS Office belgeleri ve elektronik tablolardır ( belge, xlsx), Görüntüler ( jpeg, png, tif), video dosyaları ( avi, mpeg, mkv vb.), formatındaki belgeler pdf vb. ve ayrıca veritabanı dosyaları - 1C ( 1CD, dbf), Aksan ( mdf). Sistem dosyaları ve programları, genellikle Windows'u çalışır durumda tutmak ve kullanıcıya fidye yazılımlarıyla iletişim kurma fırsatı vermek için şifrelenmez. Nadir durumlarda, tüm disk şifrelenir; bu durumda Windows yüklenemez.

Bu tür virüslerin tehlikesi nedir?

Vakaların büyük çoğunluğunda, kendi başınıza şifre çözme İMKANSIZDIR, çünkü. son derece karmaşık şifreleme algoritmaları kullanılır. Çok nadir durumlarda, virüsten koruma üreticilerinin bir şifre çözücü yayınladığı, zaten bilinen bir virüs türüyle bir enfeksiyon meydana gelirse, dosyaların şifresi çözülebilir, ancak bu durumda bile, bilgilerin kurtarılması %100 garanti edilmez. Bazen bir virüsün kodunda bir kusur vardır ve şifre çözme, kötü amaçlı yazılımın yazarı tarafından bile prensipte imkansız hale gelir.

Çoğu durumda, şifrelemeden sonra şifreleyici, kurtarma olasılığını dışlayan özel algoritmalar kullanarak orijinal dosyaları siler.

Bu tür virüslerin bir başka tehlikeli özelliği de, çoğu zaman antivirüsler tarafından “görünmez” olmalarıdır, çünkü Şifreleme için kullanılan algoritmalar birçok yasal programda da kullanılır (örneğin, müşteri bankası), bu nedenle birçok şifreleyici antivirüsler tarafından kötü amaçlı yazılım olarak algılanmaz.

Enfeksiyon yolları.

Çoğu zaman, enfeksiyon e-posta ekleri yoluyla gerçekleşir. Kullanıcı, tanıdığı veya bir kuruluş (vergi dairesi, banka) kılığında bir muhataptan bir e-posta alır. Mektup, bir muhasebe mutabakatı yapma talebini, bir faturanın ödenmesini onaylamayı, bir bankadaki kredi borcunu tanıma teklifini veya benzerlerini içerebilir. Yani bilgiler, kullanıcıyı kesinlikle ilgilendirecek veya korkutacak ve virüslü e-posta ekini açmaya teşvik edecek şekilde olacaktır. Çoğu zaman, *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat dosyası içeren bir arşiv gibi görünür. Böyle bir dosyayı başlattıktan hemen sonra veya bir süre sonra PC'deki dosyaları şifreleme işlemi başlar. Ayrıca, anlık mesajlaşma programlarından (Skype, Viber, vb.) birinde kullanıcıya virüslü bir dosya gönderilebilir.

Daha az sıklıkla, saldırıya uğramış bir yazılım yüklendikten sonra veya bir web sitesindeki veya bir e-postanın gövdesindeki virüslü bir bağlantıya tıklandıktan sonra bulaşma meydana gelir.

Çok sık olarak, ağdaki bir PC'ye bulaştıktan sonra, bir virüsün Windows ve/veya yüklü programlardaki güvenlik açıklarını kullanarak diğer makinelere yayılabileceği unutulmamalıdır.

Enfeksiyon belirtileri.

1. Çok sık olarak, mektuba ekli dosyayı başlattıktan sonra, sabit diskte yüksek bir aktivite vardır, işlemci %100'e kadar yüklenir, yani. Bilgisayar çok yavaşlamaya başlar.
2. Virüs başlatıldıktan bir süre sonra bilgisayar aniden yeniden başlar (çoğu durumda).
3. Yeniden başlatmanın ardından, kullanıcının dosyalarının şifrelendiğini bildiren ve iletişim için kişileri (e-posta) belirten bir metin dosyası açılır. Bazen, dosyayı açmak yerine masaüstü duvar kağıdı fidye metni ile değiştirilir.
4. Kullanıcı dosyalarının çoğu (belgeler, fotoğraflar, veritabanları) farklı bir uzantıyla (örneğin, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl, vb.) biter veya tamamen yeniden adlandırılır, ve uzantıyı değiştirseniz bile hiçbir programı açmayın. Bazen tüm sabit sürücü şifrelenir. Bu durumda, Windows hiç önyükleme yapmaz ve bilgisayar açıldıktan hemen sonra fidye mesajı görüntülenir.
5. Bazen tüm kullanıcı dosyaları tek bir parola korumalı arşive yerleştirilir. Bu, bir saldırgan PC'ye sızarsa ve dosyaları manuel olarak arşivler ve silerse olur. Yani, bir e-posta ekinden kötü amaçlı bir dosya başlatıldığında, kullanıcının dosyaları otomatik olarak şifrelenmez, ancak bir saldırganın İnternet üzerinden bir PC'ye gizlice bağlanmasına izin veren bir yazılım yüklenir.

Fidye metni örneği

Enfeksiyon zaten meydana geldiyse ne yapmalı?

1. Yanınızdayken şifreleme işlemi başladıysa (bilgisayar çok “yavaşlıyor”; şifreleme hakkında bir mesaj içeren bir metin dosyası açıldı; dosyalar kaybolmaya başladı ve bunun yerine şifreli kopyaları görünmeye başladı), yapmanız gerekir. HEMEN güç kablosunu çıkararak veya 5 saniye basılı tutarak bilgisayarı kapatın. güç düğmesi. Belki bu bazı bilgileri kurtaracaktır. PC'Yİ YENİDEN BAŞLATMAYIN! SADECE KAPALI!
2. Şifreleme zaten gerçekleştiyse, hiçbir durumda enfeksiyonu kendiniz iyileştirmeye veya fidye yazılımı tarafından oluşturulan şifrelenmiş dosyaları veya dosyaları silmeye veya yeniden adlandırmaya çalışmamalısınız.

Her iki durumda da, olayı derhal sistem yöneticisine bildirmelisiniz.

ÖNEMLİ!!!

Saldırganla, sağladığı bağlantılar aracılığıyla bağımsız olarak pazarlık etmeye çalışmayın! En iyi ihtimalle bu işe yaramaz; en kötü ihtimalle şifre çözme için fidye miktarını artırabilir.

Enfeksiyon nasıl önlenir veya sonuçları nasıl en aza indirilir?

1. Özellikle ekleri olan şüpheli e-postaları açmayın (bu tür e-postaları nasıl tanıyacağınızı öğrenmek için aşağıya bakın).
2. Web sitelerindeki ve aldığınız e-postalardaki şüpheli bağlantılara tıklamayın.
3. Güvenilmeyen kaynaklardan (saldırıya uğramış yazılım içeren web siteleri, torrent izleyicileri) program indirmeyin veya yüklemeyin.
4. Her zaman önemli dosyaları yedekleyin. En iyi seçenek, yedeklemeleri bilgisayara bağlı olmayan başka bir ortamda (flash sürücü, harici sürücü, DVD sürücüsü) veya bulutta (örneğin, Yandex.Disk) depolamak olacaktır. Virüs genellikle arşiv dosyalarını da (zip, rar, 7z) şifreler, bu nedenle yedekleri orijinal dosyaların depolandığı aynı bilgisayarda depolamak anlamsızdır.

Kötü amaçlı bir e-posta nasıl tanınır?

1. Mektubun konusu ve içeriği mesleki faaliyetlerinizle ilgili değildir. Örneğin, bir ofis yöneticisi vergi denetimi, fatura veya özgeçmiş hakkında bir mektup aldı.

2. Mektup, ülkemiz, bölge veya şirketimizin faaliyet alanı ile ilgili olmayan bilgiler içermektedir. Örneğin, Rusya Federasyonu'nda kayıtlı bir bankada borcun geri ödenmesi şartı.

3. Genellikle kötü amaçlı bir e-posta, bazı e-postalarınıza iddia edilen bir yanıt olarak tasarlanır. Böyle bir mektubun konusunun başında "Re:" kombinasyonu vardır. Örneğin, "Re: Fatura", bu adrese mektup göndermediğinizi kesin olarak bilmenize rağmen.

4. Mektubun tanınmış bir şirketten geldiği sanılıyor, ancak mektubu gönderenin adresi, metinde belirtilen şirketin resmi adresleriyle ilgisi olmayan anlamsız harf, kelime, sayı, yabancı alan dizileri içeriyor. mektubun.

5. "Kime" alanı, bilinmeyen bir ad (posta kutunuz değil), bir dizi tutarsız karakter veya gönderenin posta kutusunun yinelenen bir adını içerir.

6. Mektubun metninde, çeşitli bahaneler altında, alıcıdan herhangi bir kişisel veya özel bilgiyi sağlaması veya onaylaması, bir dosya indirmesi veya bir bağlantıyı takip etmesi istenirken, aciliyet veya herhangi bir yaptırım hakkında bildirimde bulunulur. mektupta belirtilen talimatlar.

7. Mektuba ekli arşivde *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso dosyaları bulunur. Kötü amaçlı bir uzantıyı maskelemek de çok yaygındır. Örneğin, "Alacak hesapları.doc.js" dosya adında *.doc, herhangi bir işlev taşımayan sahte bir uzantıdır ve *.js, virüs dosyasının gerçek uzantısıdır.

8. Mektup tanınmış bir göndericiden geldiyse, ancak mektubun üslubu ve okuryazarlığı çok farklıysa, bu da dikkatli olmak için bir nedendir. Karakteristik olmayan içeriğin yanı sıra - örneğin, bir müşteri bir fatura ödeme talebi aldı. Bu durumda, bilgisayarının saldırıya uğraması veya bir virüs bulaşması muhtemel olduğundan, göndericiyle başka bir iletişim kanalı (telefon, Skype) aracılığıyla iletişim kurmak daha iyidir.

Kötü amaçlı bir e-posta örneği

Yeni fidye yazılımı kötü amaçlı yazılım WannaCry (WannaCry Decryptor, WannaCrypt, WCry ve WanaCrypt0r 2.0 olarak da bilinir), İngiltere'deki çeşitli sağlık kurumlarındaki bilgisayarlardaki dosyaların şifrelenmesiyle 12 Mayıs 2017'de dünyaya duyuruldu. Kısa sürede netlik kazandıkça, onlarca ülkedeki şirketler kendilerini benzer bir durumda buldu ve en çok Rusya, Ukrayna, Hindistan ve Tayvan zarar gördü. Kaspersky Lab'e göre, yalnızca saldırının ilk gününde 74 ülkede virüs tespit edildi.

WannaCry neden tehlikelidir? Virüs, çeşitli dosya türlerini şifreler (.WCRY uzantısı verildiğinde, dosyalar tamamen okunamaz hale gelir) ve ardından şifrenin çözülmesi için 600$'lık bir fidye talep eder. Para transferi prosedürünü hızlandırmak için, kullanıcı üç gün içinde fidye miktarının artacağı gerçeğiyle korkutulur ve yedi gün sonra dosyaların şifresi hiç çözülemeyecek.

WannaCry fidye yazılımı virüsünün bulaşma tehdidi, Windows işletim sistemlerine dayalı bilgisayarları etkiler. Windows'un lisanslı sürümlerini kullanıyorsanız ve sisteminizi düzenli olarak güncellerseniz, bu şekilde sisteminize bir virüs gireceğinden endişe etmenize gerek yoktur.

MacOS, ChromeOS ve Linux'un yanı sıra iOS ve Android mobil işletim sistemleri kullanıcıları WannaCry saldırılarından hiç korkmamalıdır.

WannaCry kurbanı olursanız ne yapmalısınız?

Birleşik Krallık Ulusal Suç Ajansı (NCA), fidye yazılımının kurbanı olan ve virüsün çevrimiçi ortamda yayılmasından endişe duyan küçük işletmelerin aşağıdaki önlemleri almasını tavsiye ediyor:

• Bilgisayarınızı, dizüstü bilgisayarınızı veya tabletinizi kurumsal/dahili ağdan hemen ayırın. Wi-Fi'yi kapatın.
• Sürücüleri değiştirin.
• Bir Wi-Fi ağına bağlanmadan bilgisayarınızı doğrudan İnternet'e bağlayın.
• İşletim sisteminizi ve diğer tüm yazılımları güncelleyin.
• Antivirüsünüzü güncelleyin ve çalıştırın.
• Ağa yeniden bağlanın.
• Fidye yazılımının gittiğinden emin olmak için ağ trafiğini izleyin ve/veya bir virüs taraması yapın.

Önemli!

WannaCry virüsü tarafından şifrelenen dosyaların şifresi davetsiz misafirler dışında hiç kimse tarafından çözülemez. Bu nedenle, sizi bu baş ağrısından kurtarmaya söz veren "BT dehaları" için zaman ve para harcamayın.

Saldırganlara para ödemeye değer mi?

Yeni WannaCry fidye yazılımı virüsüyle karşılaşan kullanıcılar tarafından sorulan ilk sorular şunlardır: dosyalar nasıl kurtarılır ve bir virüs nasıl kaldırılır. Ücretsiz ve etkili çözümler bulamayanlar, bir seçenekle karşı karşıya kalıyorlar - gaspçıya para ödemek ya da ödememek? Kullanıcıların genellikle kaybedecek bir şeyleri olduğundan (kişisel belgeler ve fotoğraf arşivleri bilgisayarda saklanır), sorunu para yardımı ile çözme arzusu gerçekten ortaya çıkar.

Ama NCA ısrar ediyor olumsuzlukparayı öde. Hala bunu yapmaya karar verirseniz, aşağıdakileri aklınızda bulundurun:

• İlk olarak, verilerinize erişeceğinizin garantisi yoktur.
• İkincisi, ödeme yapıldıktan sonra bile bilgisayarınıza virüs bulaşmış olabilir.
• Üçüncüsü, büyük olasılıkla paranızı siber suçlulara vereceksiniz.

Kendinizi WannaCry'dan nasıl korursunuz?

SKB Kontur'da bilgi güvenliği sistemlerinin uygulanmasından sorumlu bölüm başkanı Vyacheslav Belashov, virüsün bulaşmasını önlemek için yapılması gerekenleri şöyle açıklıyor:

WannaCry virüsünün özelliği, diğer fidye yazılımı virüslerinin aksine, insan müdahalesi olmadan sisteme nüfuz edebilmesidir. Daha önce, virüsün çalışması için kullanıcının dikkatsiz olması gerekiyordu - gerçekten kendisi için tasarlanmamış bir e-postadan şüpheli bir bağlantı izledi veya kötü amaçlı bir ek indirdi. WannaCry durumunda, doğrudan işletim sisteminin kendisinde bulunan bir güvenlik açığından yararlanılır. Bu nedenle, 14 Mart 2017 güncellemelerini yüklemeyen Windows tabanlı bilgisayarlar ilk risk altındaydı. Yerel ağdan bir virüslü iş istasyonu, virüsün mevcut güvenlik açığıyla diğerlerine yayılması için yeterlidir.

Virüsten etkilenen kullanıcıların tek bir ana sorusu var - bilgilerinin şifresi nasıl çözülür? Ne yazık ki henüz garantili bir çözüm yok ve öngörülmesi de pek mümkün değil. Belirtilen tutarı ödememe rağmen sorun çözülmüyor. Ek olarak, bir kişinin verilerini kurtarma umuduyla, gerçekte kötü niyetli dosyalar olan sözde “ücretsiz” şifre çözücüleri kullanma riskiyle durum daha da kötüleşebilir. Bu nedenle verilebilecek ana tavsiye, dikkatli olmak ve böyle bir durumdan kaçınmak için mümkün olan her şeyi yapmaktır.

Şu anda tam olarak ne yapılabilir ve yapılmalıdır:

1. En son güncellemeleri yükleyin.

Bu sadece işletim sistemleri için değil, aynı zamanda anti-virüs koruma araçları için de geçerlidir. Windows'un güncellenmesiyle ilgili bilgiler bulunabilir.

2. Önemli bilgilerin yedek kopyalarını alın.

3. Posta ve İnternet ile çalışırken dikkatli olun.

Şüpheli bağlantılar ve ekler içeren gelen e-postalara dikkat edin. İnternet ile çalışmak için, gereksiz reklamlardan ve potansiyel olarak kötü niyetli kaynaklara bağlantılardan kurtulmanıza izin veren eklentilerin kullanılması önerilir.

Modern teknolojiler, bilgisayar korsanlarının sıradan kullanıcılarla ilgili olarak dolandırıcılık yöntemlerini sürekli olarak geliştirmesine olanak tanır. Kural olarak, bir bilgisayara giren virüs yazılımları bu amaçlar için kullanılır. Şifreleme virüsleri özellikle tehlikeli olarak kabul edilir. Tehdit, virüsün çok hızlı yayılması ve dosyaları şifrelemesidir (kullanıcı herhangi bir belgeyi açamaz). Ve oldukça basitse, verilerin şifresini çözmek çok daha zordur.

Bilgisayarınızda bir virüs şifrelenmiş dosyalara sahipse ne yapmalısınız?

Herkes bir fidye yazılımı tarafından saldırıya uğrayabilir, güçlü antivirüs yazılımına sahip kullanıcılar bile sigortalı değildir. Dosya şifreleyici Truva atları, antivirüsün gücünün ötesinde olabilecek farklı kodlarla temsil edilir. Bilgisayar korsanları, bilgilerinin gerekli korunmasına özen göstermeyen büyük şirketlere bu şekilde saldırmayı bile başarır. Bu nedenle, çevrimiçi bir fidye yazılımı programını "aldıktan" sonra, bir dizi önlem almanız gerekir.

Enfeksiyonun ana belirtileri, bilgisayarın yavaş çalışması ve belge adlarındaki değişikliktir (masaüstünde görebilirsiniz).

1. Şifrelemeyi durdurmak için bilgisayarınızı yeniden başlatın. Etkinleştirildiğinde, bilinmeyen programların başlatılmasını onaylamayın.
2. Fidye yazılımı tarafından saldırıya uğramadıysa virüsten koruma programını çalıştırın.
3. Bazı durumlarda, gölge kopyalar bilgilerin geri yüklenmesine yardımcı olur. Onları bulmak için şifreli belgenin "Özellikleri" ni açın. Bu yöntem, portalda bilgi bulunan Vault uzantısının şifrelenmiş verileriyle çalışır.
4. En son anti-kripto virüsü yardımcı programını indirin. En etkili olanları Kaspersky Lab tarafından sunulmaktadır.

2016'da şifreleme virüsleri: örnekler

Herhangi bir virüs saldırısıyla mücadele ederken, yeni antivirüs korumasıyla desteklenen kodun çok sık değiştiğini anlamak önemlidir. Elbette, koruma programlarının geliştirici veritabanlarını güncelleyene kadar biraz zamana ihtiyacı vardır. Son zamanların en tehlikeli şifreleme virüslerini seçtik.

Ishtar fidye yazılımı

Ishtar, kullanıcıdan zorla para alan bir fidye yazılımıdır. Virüs, 2016 sonbaharında fark edildi ve Rusya'dan ve bir dizi başka ülkeden çok sayıda kullanıcı bilgisayarına bulaştı. Ekli belgeleri (kurulumcular, belgeler vb.) içeren e-posta dağıtımı kullanılarak dağıtılır. Ishtar fidye yazılımının bulaştığı veriler, adında "ISHTAR" ön ekini alır. İşlem, parolayı almak için nereye gidileceğini belirten bir test belgesi oluşturur. Saldırganlar bunun için 3.000 ila 15.000 ruble talep ediyor.

Ishtar virüsünün tehlikesi, bugün kullanıcılara yardımcı olacak bir şifre çözücünün olmamasıdır. Virüsten koruma yazılımı şirketlerinin tüm kodu deşifre etmesi için zamana ihtiyacı vardır. Artık, yalnızca önemli bilgileri (özellikle önemliyse) ayrı bir ortamda izole edebilir ve belgelerin şifresini çözebilen bir yardımcı programın yayınlanmasını bekleyebilirsiniz. İşletim sistemini yeniden yüklemeniz önerilir.

Neitrino

Neitrino fidye yazılımı 2015 yılında internette ortaya çıktı. Saldırı prensibi ile bu kategorideki diğer virüslere benzer. "Neitrino" veya "Neutrino" ekleyerek klasör ve dosyaların adlarını değiştirir. Virüsün şifresini çözmek zordur - virüsten koruma şirketlerinin tüm temsilcilerinden çok karmaşık bir koda atıfta bulunarak bunu üstlenirler. Bir gölge kopyayı geri yüklemek bazı kullanıcılara yardımcı olabilir. Bunu yapmak için şifreli belgeye sağ tıklayın, "Özellikler"e gidin, "Önceki Sürümler" sekmesine gidin, "Geri Yükle"ye tıklayın. Kaspersky Lab'in ücretsiz yardımcı programını kullanmak gereksiz olmayacaktır.

Cüzdan veya .wallet.

Cüzdan şifreleme virüsü 2016'nın sonunda ortaya çıktı. Bulaşma işlemi sırasında, verilerin adını "Name..wallet" veya benzeri olarak değiştirir. Çoğu fidye yazılımı virüsü gibi, sisteme bilgisayar korsanları tarafından gönderilen e-posta ekleri yoluyla girer. Tehdit yakın zamanda ortaya çıktığı için, virüsten koruma programları bunu fark etmez. Şifrelemeden sonra, dolandırıcının iletişim için postayı belirttiği bir belge oluşturur. Şu anda, virüsten koruma yazılımı geliştiricileri, fidye yazılımı virüsünün kodunun şifresini çözmek için çalışıyor. [e-posta korumalı] Saldırıya uğrayan kullanıcılar sadece bekleyebilir. Veriler önemliyse, sistemi temizleyerek harici bir sürücüye kaydetmeniz önerilir.

muamma

Enigma şifreleme virüsü, Nisan 2016'nın sonunda Rus kullanıcılarının bilgisayarlarına bulaşmaya başladı. Günümüzde çoğu fidye yazılımında bulunan AES-RSA şifreleme modelini kullanır. Virüs, kullanıcının şüpheli bir e-postadan dosyaları açarak çalıştırdığı bir komut dosyası kullanarak bilgisayara nüfuz eder. Enigma şifresiyle başa çıkmak için hala evrensel bir çözüm yok. Antivirüs lisansı olan kullanıcılar, geliştiricinin resmi web sitesinde yardım isteyebilir. Küçük bir "açıklık" da bulundu - Windows UAC. Kullanıcı, virüs bulaşması sırasında görünen pencerede "Hayır"ı tıklarsa, daha sonra gölge kopyaları kullanarak bilgileri geri yükleyebilir.

Granit

Yeni fidye yazılımı virüsü Granit, 2016 sonbaharında Web'de ortaya çıktı. Bulaşma şu senaryoya göre gerçekleşir: kullanıcı, bilgisayardaki ve bağlı sürücülerdeki tüm verilere bulaşan ve şifreleyen bir yükleyici başlatır. Virüsle mücadele zordur. Kaldırmak için Kaspersky'nin özel yardımcı programlarını kullanabilirsiniz, ancak kodun şifresi henüz çözülmedi. Verilerin önceki sürümlerini geri yüklemek yardımcı olabilir. Ek olarak, kapsamlı deneyime sahip bir uzman şifreyi çözebilir, ancak hizmet pahalıdır.

agresif

Geçenlerde görüldü. Web sitemizden öğrenebileceğiniz, zaten iyi bilinen no_more_ransom fidye yazılımının bir uzantısıdır. E-postadan kişisel bilgisayarlara ulaşır. Birçok kurumsal bilgisayara saldırı düzenlendi. Virüs, "fidye" ödemeyi teklif eden, kilidi açma talimatları içeren bir metin belgesi oluşturur. Tyson fidye yazılımı yakın zamanda ortaya çıktı, bu nedenle henüz bir kilit açma anahtarı yok. Bilgileri geri yüklemenin tek yolu, bir virüs tarafından silinmemişlerse önceki sürümlere geri dönmektir. Saldırganların belirttiği hesaba para aktararak elbette risk alabilirsiniz ancak şifreyi alacağınızın garantisi yoktur.

spor

2017 yılının başlarında, birkaç kullanıcı yeni Spora fidye yazılımının kurbanı oldu. Çalışma prensibi olarak, benzerlerinden çok farklı değil, ancak daha profesyonel bir performansa sahip: şifre alma talimatları daha iyi yazılmış, web sitesi daha güzel görünüyor. C dilinde oluşturulan Spora fidye yazılımı, kurban verilerini şifrelemek için RSA ve AES kombinasyonunu kullanır. Kural olarak, 1C muhasebe programının aktif olarak kullanıldığı bilgisayarlara saldırı düzenlendi. .pdf formatında basit bir fatura kisvesi altına gizlenen virüs, şirket çalışanlarını faturayı başlatmaya zorluyor. Henüz bir tedavisi bulunamadı.

1C.Drop.1

1C için bu şifreleme virüsü, 2016 yazında ortaya çıktı ve birçok muhasebe departmanının işini aksattı. 1C yazılımı kullanan bilgisayarlar için özel olarak geliştirilmiştir. Bir e-postadaki bir dosyayı bir PC'ye göndererek, sahibinden programı güncellemesini ister. Kullanıcı hangi düğmeye basarsa bassın, virüs dosyaları şifrelemeye başlayacaktır. Dr.Web uzmanları şifre çözme araçları üzerinde çalışıyor ancak şu ana kadar hiçbir çözüm bulunamadı. Bu, çeşitli modifikasyonlarda olabilen karmaşık koddan kaynaklanmaktadır. 1C.Drop.1'e karşı tek koruma, kullanıcıların dikkatli olması ve önemli belgelerin düzenli olarak arşivlenmesidir.

da Vinci Şifresi

Alışılmadık bir ada sahip yeni bir fidye yazılımı. Virüs 2016 baharında ortaya çıktı. Geliştirilmiş kod ve güçlü şifreleme modu ile öncekilerden farklıdır. da_vinci_code, kullanıcının bağımsız olarak başlattığı yürütülebilir bir uygulama (genellikle bir e-postaya eklenir) sayesinde bilgisayara bulaşır. Da Vinci kodlayıcı (da vinci kodu), gövdeyi sistem dizinine ve kayıt defterine kopyalayarak Windows açıldığında otomatik olarak başlamasını sağlar. Her kurbanın bilgisayarına benzersiz bir kimlik atanır (şifrenin alınmasına yardımcı olur). Verilerin şifresini çözmek neredeyse imkansızdır. Saldırganlara para ödeyebilirsiniz, ancak kimse şifreyi alacağınızı garanti etmez.

[e-posta korumalı] / [e-posta korumalı]

2016'da fidye yazılımlarına sıklıkla eşlik eden iki e-posta adresi. Kurbanı saldırganla ilişkilendirmeye yararlar. Adresler çeşitli virüs türlerine eklenmiştir: da_vinci_code, no_more_ransom vb. Dolandırıcılara para transfer etmenin yanı sıra iletişim kurmanız şiddetle tavsiye edilmez. Çoğu durumda kullanıcılar şifresiz kalır. Böylece saldırganların fidye yazılımlarının çalıştığını göstererek gelir elde ediyor.

Kötü kırma

2015'in başında ortaya çıktı, ancak yalnızca bir yıl sonra aktif olarak yayıldı. Bulaşma ilkesi diğer fidye yazılımlarıyla aynıdır: bir e-postadan dosya yükleme, veri şifreleme. Geleneksel antivirüsler genellikle Breaking Bad virüsünü fark etmez. Bazı kodlar Windows UAC'yi atlayamaz, bu nedenle kullanıcı yine de belgelerin önceki sürümlerini geri yükleyebilir. Dekoder henüz anti-virüs yazılımı geliştiren hiçbir şirket tarafından sunulmadı.

XTBL

Birçok kullanıcı için sorun yaratan çok yaygın bir fidye yazılımı. Bir PC'deyken, virüs birkaç dakika içinde dosya uzantısını .xtbl olarak değiştirir. Saldırganın şantaj yaptığı bir belge oluşturulur. XTBL virüsünün bazı türleri, sistem geri yükleme dosyalarını yok edemez ve önemli belgelerin kurtarılmasına izin verir. Virüsün kendisi birçok program tarafından kaldırılabilir, ancak belgelerin şifresini çözmek çok zordur. Lisanslı bir antivirüsünüz varsa, virüslü veri örneklerini ekleyerek teknik destek kullanın.

Kukaraça

Kukaracha şifresi Aralık 2016'da tespit edildi. İlginç bir ada sahip bir virüs, oldukça dirençli olan RSA-2048 algoritmasını kullanarak kullanıcı dosyalarını gizler. Kaspersky Anti-Virus, onu Trojan-Ransom.Win32.Scatter.lb olarak tanımladı. Kukaracha, diğer belgelere bulaşmaması için bilgisayardan kaldırılabilir. Ancak, virüslü olanların şifresini çözmek bugün neredeyse imkansız (çok güçlü bir algoritma).

Fidye yazılımı nasıl çalışır?

Çok sayıda fidye yazılımı var, ancak hepsi benzer bir prensipte çalışıyor.

1. Kişisel bir bilgisayara erişim. Kural olarak, e-postaya ekli dosya sayesinde. Kurulum, kullanıcının kendisi tarafından doküman açılarak başlatılır.
2. Dosya enfeksiyonu. Hemen hemen tüm dosya türleri şifrelenir (virüse bağlı olarak). Davetsiz misafirlerle iletişim için kişileri içeren bir metin belgesi oluşturulur.
3. Herşey. Kullanıcı herhangi bir belgeye erişemez.

Popüler laboratuvarlardan ilaçlar

Kullanıcı verilerine yönelik en tehlikeli tehdit olarak kabul edilen fidye yazılımının yaygın kullanımı, birçok antivirüs laboratuvarı için bir itici güç haline geldi. Her popüler şirket, kullanıcılarına fidye yazılımlarıyla mücadele etmelerine yardımcı olan programlar sağlar. Ek olarak, birçoğu sistem tarafından korunan belgelerin şifresinin çözülmesine yardımcı olur.

Kaspersky ve şifreleme virüsleri

Bugün Rusya ve dünyadaki en ünlü anti-virüs laboratuvarlarından biri, fidye yazılımı virüsleriyle mücadele için en etkili araçları sunuyor. Fidye yazılımı virüsünün önündeki ilk engel, en son güncellemelerle Kaspersky Endpoint Security 10 olacak. Anti-virüs, tehdidin bilgisayara girmesine izin vermez (ancak yeni sürümler durdurulmayabilir). Geliştirici, bilgilerin şifresini çözmek için aynı anda birkaç ücretsiz yardımcı program sunar: XoristDecryptor, RakhniDecryptor ve Ransomware Decryptor. Virüsü bulmaya ve şifreyi almaya yardımcı olurlar.

Dr. Web ve fidye yazılımı

Bu laboratuvar, ana özelliği dosya yedekleme olan anti-virüs programlarının kullanılmasını önerir. Belgelerin kopyalarının bulunduğu depolama, izinsiz girişlere karşı da korunur. Lisanslı ürünün sahipleri Dr. Web, yardım için teknik desteğe başvurma işlevi mevcuttur. Doğru, deneyimli uzmanlar bile bu tür bir tehdide her zaman direnemez.

ESET Nod 32 ve fidye yazılımı

Bu şirket de bir kenara çekilmedi ve kullanıcılarına bilgisayara giren virüslere karşı iyi bir koruma sağladı. Buna ek olarak, laboratuvar yakın zamanda güncel veritabanlarına sahip ücretsiz bir yardımcı program yayınladı - Eset Crysis Decryptor. Geliştiriciler, en yeni fidye yazılımlarına karşı mücadelede yardımcı olacağını iddia ediyor.

Bilgisayarlara bulaşarak ve önemli verileri şifreleyerek Web üzerindeki baskıcı yürüyüşüne devam ediyor. Kendinizi fidye yazılımlarından nasıl korursunuz, Windows'u fidye yazılımlarından nasıl korursunuz - dosyaların şifresini çözmek ve iyileştirmek için yamalar, yamalar yayınlanıyor mu?

Yeni fidye yazılımı virüsü 2017 Wanna Cry kurumsal ve özel bilgisayarlara bulaşmaya devam ediyor. saat Virüs saldırısından 1 milyar dolar zarar. 2 hafta içinde, fidye yazılımı virüsü en az bulaştı 300 bin bilgisayar Uyarılara ve güvenlik önlemlerine rağmen.

2017 fidye yazılımı nedir- kural olarak, en zararsız sitelerde, örneğin kullanıcı erişimine sahip bankacılık sunucularında "alabilirsiniz". Fidye yazılımı kurbanın sabit diskindeyken System32 sistem klasörüne "yerleşir". Oradan, program antivirüsü hemen devre dışı bırakır ve "Otomatik Çalıştır" a gider". Her yeniden başlatmadan sonra, şifreleme programı kayıt defterinde başlar kirli işine başlar. Fidye yazılımı, Ransom ve Trojan gibi programların benzer kopyalarını indirmeye başlar. Ayrıca sıklıkla olur fidye yazılımı kendini çoğaltma. Bu süreç anlık olabilir veya haftalar sürebilir - kurban bir şeylerin yanlış olduğunu fark edene kadar.

Fidye yazılımı genellikle kendisini sıradan resimler, metin dosyaları olarak gizler., ama öz her zaman aynıdır - bu, .exe, .drv, .xvd uzantılı yürütülebilir bir dosyadır; Bazen - kütüphaneler.dll. Çoğu zaman, dosyanın tamamen zararsız bir adı vardır, örneğin " belge. doktor", veya " resim.jpg”, uzantının manuel olarak yazıldığı ve gerçek dosya türü gizli.

Şifreleme tamamlandıktan sonra, kullanıcı tanıdık dosyalar yerine ad ve iç kısımda bir dizi "rastgele" karakter görür ve uzantı şimdiye kadar bilinmeyen bir şekilde değişir - .NO_MORE_RANSOM, .xdata ve diğerleri.

2017 Wanna Cry fidye yazılımı virüsü – kendinizi nasıl korursunuz. Wanna Cry'ın son zamanlarda bilgisayarlara en sık bulaştığı için tüm fidye yazılımı ve fidye yazılımı virüsleri için ortak bir terim olduğunu hemen belirtmek isterim. Yani, hakkında konuşalım Kendinizi, çok sayıda bulunan Ransom Ware fidye yazılımından koruyun: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Windows fidye yazılımlarından nasıl korunur? – SMB bağlantı noktası protokolü aracılığıyla EternalBlue.

Windows fidye yazılımı koruması 2017 - temel kurallar:

• Windows güncellemesi, lisanslı bir işletim sistemine zamanında geçiş (Not: XP sürümü güncellenmez)
• anti-virüs veritabanlarını ve güvenlik duvarlarını talep üzerine güncelleme
• herhangi bir dosyayı indirirken çok dikkatli olun (sevimli "kediler" tüm verilerin kaybolmasına neden olabilir)
• önemli bilgileri çıkarılabilir medyaya yedekleme.

Fidye yazılımı virüsü 2017: dosyaların nasıl iyileştirileceği ve şifrelerinin çözüleceği.

Anti-virüs yazılımına güvenerek, bir süre şifre çözücüyü unutabilirsiniz.. laboratuvarlarda Kaspersky, Dr. Web, Avast! ve diğer antivirüsler virüslü dosyaları iyileştirmek için bir çözüm bulunamadı. Şu anda, bir virüsten koruma yazılımı kullanarak virüsü kaldırmak mümkün, ancak henüz her şeyi “normale” döndürecek bir algoritma yok.

Bazıları RectorDecryptor yardımcı programı gibi şifre çözücüleri kullanmayı dener ama bu yardımcı olmaz: yeni virüslerin şifresini çözmek için algoritma henüz derlenmedi. Ayrıca bu tür programlar kullanıldıktan sonra kaldırılmazsa virüsün nasıl davranacağı da kesinlikle bilinmiyor. Genellikle bu, tüm dosyaların silinmesine neden olabilir - saldırganlara, virüsün yazarlarına ödeme yapmak istemeyenlere bir uyarı olarak.

Şu anda, kaybolan verileri kurtarmanın en etkili yolu, onlarla iletişime geçmektir. kullandığınız virüsten koruma programının satıcısından destek alın. Bunu yapmak için bir mektup gönderin veya üreticinin web sitesindeki geri bildirim formunu kullanın. Şifrelenmiş dosyayı eke ve varsa orijinalin bir kopyasını eklediğinizden emin olun. Bu, programcıların algoritmayı oluşturmasına yardımcı olacaktır. Ne yazık ki, birçokları için bir virüs saldırısı tam bir sürpriz olur ve hiçbir kopyası bulunmaz, bu da durumu zaman zaman karmaşıklaştırır.

Windows'u fidye yazılımlarından tedavi etmenin kardiyak yöntemleri. Ne yazık ki, bazen işletim sisteminin tamamen değiştirilmesini gerektiren sabit sürücüyü tam biçimlendirmeye başvurmanız gerekir. Birçoğu sistemi geri yüklemeyi düşünecek, ancak bu bir seçenek değil - virüsten kurtulacak bir “geri alma” olsa bile, dosyalar hala şifreli kalacak.

12 Nisan 2017'de WannaCry adlı bir şifreleme virüsünün dünyaya hızla yayıldığı ve “Ağlamak istiyorum” olarak çevrilebilecek bilgiler ortaya çıktı. Kullanıcıların, Windows'u WannaCry virüsünden güncelleme hakkında soruları var.

Bilgisayar ekranındaki bir virüs şöyle görünür:

Her şeyi şifreleyen kötü WannaCry virüsü

Virüs bilgisayardaki tüm dosyaları şifreler ve sözde bilgisayarın şifresini çözmek için Bitcoin cüzdanına 300 $ veya 600 $ fidye talep eder. Dünyanın 150 ülkesindeki bilgisayarlara virüs bulaştı, en çok etkilenen Rusya.

MegaFon, Rus Demiryolları, İçişleri Bakanlığı, Sağlık Bakanlığı ve diğer şirketler bu virüsle karşı karşıya geldi. Kurbanlar arasında sıradan internet kullanıcıları da var.

Virüs karşısında neredeyse herkes eşittir. Belki de fark, şirketlerde virüsün kuruluş içindeki yerel ağ boyunca yayılması ve anında mümkün olan maksimum sayıda bilgisayara bulaşmasıdır.

WannaCry virüsü, Windows çalıştıran bilgisayarlardaki dosyaları şifreler. Mart 2017'de Microsoft, Windows XP, Vista, 7, 8, 10'un çeşitli sürümleri için MS17-010 güncellemelerini yayımladı.

Otomatik Windows güncellemelerini yapılandıranların, güncellemeyi zamanında aldıkları ve bundan kaçınabildikleri için virüs için risk bölgesi dışında oldukları ortaya çıktı. Bunun gerçekten böyle olduğunu iddia etmeyeceğim.

Pirinç. 3. KB4012212 güncellemesini yüklerken mesaj

Yüklemeden sonra, KB4012212 güncellemesi dizüstü bilgisayarın yeniden başlatılmasını gerektirdi, bu gerçekten hoşuma gitmedi, çünkü bunun nasıl biteceği bilinmiyor, ancak kullanıcı nereye gitmeli? Ancak, yeniden başlatma iyi gitti. Bu, bir sonraki virüs saldırısına kadar barış içinde yaşayacağımız anlamına geliyor ve ne yazık ki bu tür saldırıların gerçekleşeceğinden şüphe yok.

Her durumda, işletim sistemini ve dosyalarınızı geri yüklemek için bir yerinizin olması önemlidir.

WannaCry'dan Windows 8 güncellemesi

Lisanslı Windows 8'e sahip bir dizüstü bilgisayar için KB 4012598 güncellemesi yüklendi, çünkü