Вибір операційної системи

Вірус-шифрувальник. Як видалити вірус і відновити зашифровані файли. «Лабораторія Касперського» про шифрувальником "WannaCry" Новий вірус шифрувальник касперский

- це шкідлива програма, яка при своїй активізації шифрує всі персональні файли, такі як документи, фотографії і тд. Кількість подібних програм дуже велике і воно збільшується з кожним днем. Тільки в Останнім часомми зіткнулися з десятками варіантами шифрувальників: CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff і т.д. Мета таких вірусів-шифрувальників змусити користувачів купити, часто за велику суму грошей, програму і ключ необхідні для розшифровки власних файлів.

Звичайно можна відновити зашифровані файли просто виконавши інструкцію, яку творці вірусу залишають на зараженому комп'ютері. Але найчастіше вартість розшифровки дуже значна, так само потрібно знати, що частина вірусів-шифрувальників так зашифровують файли, що розшифрувати їх потім просто неможливо. І звичайно, просто неприємно платити за відновлення своїх власних файлів.

Нижче ми більш детально розповімо про віруси-шифрувальник, способі їх проникнення на комп'ютер жертви, а так само про те, як видалити вірус-шифрувальник і відновити зашифровані їм файли.

Як вірус-шифрувальник проникає на комп'ютер

Вірус-шифрувальник зазвичай поширюється за допомогою електронної пошти. Лист містить заражені документи. Такі листи розсилаються по величезній базі адрес електронної пошти. Автори цього вірусу використовують вводити в оману заголовки і зміст листів, намагаючись обманом змусити користувача відкрити вкладений в лист документ. Частина листів повідомляють про необхідність оплати рахунку, інші пропонують подивитися свіжий прайс-лист, треті відкрити веселу фотографію і т.д. У будь-якому випадку, результатом відкриття прикріпленого файлу буде зараження комп'ютера вірусом-шифрувальником.

Що таке вірус-шифрувальник

Вірус-шифрувальник - це шкідлива програма, яка вражає сучасні версії операційних систем сімейства Windows, Такі як Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ці віруси намагаються використовувати якомога більше стійкі режими шифрування, наприклад RSA-2048 з довжиною ключа 2048 біт, що практично виключає можливість підбору ключа для самостійної розшифровки файлів.

Під час зараження комп'ютера, вірус-шифрувальник використовує системний каталог% APPDATA% для зберігання власних файлів. для автоматичного запускусебе бреши включенні комп'ютера, шифрувальник створює запис в реєстрі Windows: розділах HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce.

Відразу після запуску вірус сканує всі доступні диски, включаючи мережеві і хмарні сховища, для визначення файлів які будуть зашифровані. Вірус-шифрувальник використовує розширення імені файлу, як спосіб визначення групи файлів, які будуть піддані зашифровки. Шифруються практично всі види файлів, включаючи такі поширені як:

0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos,. mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa,. apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, wallet, .wotreplay, .xxx, .desc, .py, .m3u, .flv,. js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, .rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb , .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm,. odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf, .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, .wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg , .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb,. xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm, .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, .zif, .zip, .zw

Відразу після того як файл зашифрований він отримує нове розширення, за яким часто можна ідентифікувати ім'я або тип шифрувальника. Деякі типи цих шкідливих програм можуть так само змінювати імена зашифрованих файлів. Потім вірус створює текстовий документз іменами подібними HELP_YOUR_FILES, README, який містить інструкцію по розшифровці зашифрованих файлів.

Під час своєї роботи вірус-шифрувальник намагається закрити можливість відновити файли використовуючи систему SVC (тіньові копії файлів). Для цього вірус в командному режимівикликає утиліту адміністрування тіньових копій файлів з ключем запускає процедуру їх повного видалення. Таким чином, практично завжди, неможливо відновити файли за допомогою використання їх тіньових копій.

Вірус-шифрувальник активно використовує тактику залякування, даючи жертві посилання на опис алгоритму шифрування і показуючи загрозливе повідомлення на робочому столі. Він намагається таким чином змусити користувача зараженого комп'ютера, не роздумуючи, вислати ID комп'ютера на адресу електронної пошти автора вірусу, для спроби повернути свої файли. Відповіддю на таке повідомлення найчастіше є сума викупу і адреса електронного гаманця.

Мій комп'ютер заражений вірусом-шифрувальником?

Визначити заражений комп'ютер чи ні вірусом-шифрувальником досить легко. Зверніть увагу на розширення ваших персональних файлів, таких як документи, фотографії, музика і т.д. Якщо розширення змінилося або ваші персональні файли пропали, залишивши після себе безліч файлів з невідомими іменами, то комп'ютер заражений. Крім цього ознакою зараження є наявність файлу з ім'ям HELP_YOUR_FILES або README в ваших каталогах. Цей файл буде містити інструкцію по розшифровці файлів.

Якщо ви підозрюєте, що відкрили лист заражене вірусом шифрувальником, але симптомів зараження поки немає, то не вимикайте і не перезавантажувати комп'ютер. Виконайте кроки описані в цій інструкції, розділ. Ще раз повторюся, дуже важливо не вимикати комп'ютер, в деяких типах шифрувальників процес зашифровуваної файлів активізується при першому, після зараження, включенні комп'ютера!

Як розшифрувати файли зашифровані вірусом-шифрувальником?

Якщо ця біда трапилася, то не потрібно панікувати! Але потрібно знати, що в більшості випадків безкоштовного расшифровщика немає. Виною цьому, стійкі алгоритми шифрування, які використовуються подібними шкідливими програмами. Це означає без особистого ключа розшифрувати файли практично неможливо. Використовувати метод підбору ключа так само не вихід, через велику довжину ключа. Тому, на жаль, тільки оплата авторам вірусу всій запитаної суми - єдиний спосіб спробувати отримати ключ розшифровки.

Звичайно, немає абсолютно ніякої гарантії, що після оплати автори вірусу вийдуть на зв'язок і нададуть ключ необхідний для розшифровки ваших файлів. Крім цього потрібно розуміти, що сплачуючи гроші розробникам вірусів, ви самі змушуєте їх на створення нових вірусів.

Як видалити вірус-шифрувальник?

Перед тим як приступити до цього, вам необхідно знати, що приступаючи до видалення вірусу і спробі самостійного відновленняфайлів, ви блокуєте можливість розшифрувати файли заплативши авторам вірусу запитану ними суму.

Kaspersky Virus Removal Tool і Malwarebytes Anti-malwareможуть виявляти різні типиактивних вірусів-шифрувальників і легко видалять їх з комп'ютера, АЛЕ вони не можуть відновити зашифровані файли.

5.1. Видалити вірус-шифрувальник за допомогою Kaspersky Virus Removal Tool

За замовчуванням програма налаштована на відновлення всіх типів файлів, але для прискорення роботи рекомендується залишити тільки типи файлів, які вам потрібно відновити. Завершивши вибір натисніть кнопку OK.

У нижній частині вікна програми QPhotoRec знайдіть кнопку Browse і натисніть її. Вам потрібно вибрати каталог в який будуть збережені відновлені файли. Бажано використовувати диск на якому не перебувають зашифровані файли вимагають відновлення (можете використовувати флешку або зовнішній диск).

Для запуску процедури пошуку і відновлення вихідних копій зашифрованих файлів натисніть кнопку Search. Цей процес триває досить довго, так що наберіться терпіння.

Коли пошук буде закінчено, натисніть кнопку Quit. Тепер відкрийте папку, яку ви вибрали для збереження відновлених файлів.

У папці будуть перебувати каталоги з іменами recup_dir.1, recup_dir.2, recup_dir.3 і тд. чим більше файлівзнайде програма, тим більше буде і каталогів. Для пошуку потрібних вам файлів, послідовно перевірте всі каталоги. Для полегшення пошуку потрібного вам файлу, серед великої кількості відновлених, використовуйте вбудовану систему пошуку Windows(На основі вмісту файлів), а так само не забувайте про функції сортування файлів в каталогах. Як параметр сортування можна вибрати дату зміни файлу, так як QPhotoRec при відновленні файлу намагається відновити цю властивість.

Як запобігти зараженню комп'ютера вірусом-шифрувальником?

Більшість сучасних антивірусних програм вже мають вбудовану систему захисту від проникнення і активізації вірусів-шифрувальників. Тому якщо на вашому комп'ютері немає антивірусної програми, то обов'язково її встановіть. Як її вибрати можете дізнатися прочитавши цю.

Більш того, існують і спеціалізовані захисні програми. Наприклад це CryptoPrevent, докладніше.

Кілька фінальних слів

Виконавши цю інструкцію ваш комп'ютер буде очищений від вірусу-шифрувальника. Якщо у вас з'явилися питання або вам необхідна допомога, то звертайтеся на наш.

По всьому світу прокотилася хвиля нового вірусу-шифрувальника WannaCry (інші назви Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), який зашифровує документи на комп'ютері і вимагає 300-600 USD за їх декодування. Як дізнатися, чи заражений комп'ютер? Що треба зробити, щоб не стати жертвою? І що зробити, щоб вилікуватися?

Після установки оновлень, комп'ютер треба буде перевантажити.

Як вилікується від вірусу-шифрувальника Wana Decrypt0r?

Коли антивірусна утиліта, виявить вірус, вона або видалить його відразу, або запитає у вас лікувати чи ні? Відповідь - лікувати.

Як відновити зашифровані Wana Decryptor файли?

Нічого втішного на даний момент повідомити не можемо. Поки інструменту по розшифровці файлів не створили. Поки залишається тільки почекати, коли дешифровщик буде розроблений.

За даними Брайана Кребса (Brian Krebs), експерта по комп'ютерної безпеки, На даний момент злочинці отримали лише 26'000 USD, тобто тільки близько 58 осіб погодилося заплатити викуп здирникам. Відновили вони свої документи при цьому, ніхто не знає.

Як зупинити поширення вірусу в мережі?

У випадку з WannaCry вирішенням проблеми може стати блокування 445 порту на Firewall (міжмережевий екран), через яке йде зараження.

Продовжує своє гнітюче хід по Мережі, заражаючи комп'ютери і шифруючи важливі дані. Як захиститися від шифрувальника, захистити Windows від вимагача - випущені чи заплатки, патчі, щоб розшифрувати і вилікувати файли?

новий вірус-шіфровальщік 2017 Wanna Cryпродовжує заражати корпоративні і приватні ПК. У Щерба від вірусної атаки налічує 1 млрд доларів. За 2 тижні вірус-шифрувальник заразив щонайменше 300 тисяч комп'ютерів, Незважаючи на попередження та заходи безпеки.

Вірус-шифрувальник 2017, що це- як правило, можна «підчепити», здавалося б, на найшкідливіших сайтах, наприклад, банківських серверах з доступом користувача. Потрапивши на жорсткий диск жертви, шифрувальник «осідає» в системній папці System32. Звідти програма відразу відключає антивірус і потрапляє в «Автозапуск». Після кожної перезавантаження програма-шифрувальник запускається в реєстр, Починаючи свою чорну справу. Шифрувальник починає завантажувати собі подібні копії програм типу Ransom і Trojan. Також нерідко відбувається самореплікаціі шифрувальника. Процес цей може бути миттєвим, а може відбуватися тижнями - до тих пір, поки жертва помітить недобре.

Шифрувальник часто маскується під звичайні картинки, текстові файли, Але сутність завжди одна - це ісполняеми файл з расшіреніем.exe, .drv, .xvd; іноді - бібліотекі.dll. Найчастіше файл несе цілком невинне ім'я, наприклад « документ. doc», Або« картінка.jpg», Де розширення прописано вручну, а істинний тип файлу прихований.

Після завершення шифровки користувач бачить замість знайомих файлів набір «рандомних» символів в назві і всередині, а розширення змінюється на досі невідоме - .NO_MORE_RANSOM, .xdataта інші.

Вірус-шифрувальник 2017 Wanna Cry - як захиститися. Хотілося б відразу відзначити, що Wanna Cry - скоріше збірний термін всіх вірусів шифрувальників і здирників, так як за останній час заражав комп'ютери частіше всіх. Отже, мова піде про із ащіте від шифрувальників Ransom Ware, яких безліч: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Як захистити Windows від шифрувальника.EternalBlue через протокол SMB портів.

Захист Windows від шифрувальника 2017 - основні правила:

  • оновлення Windows, своєчасний перехід на ліцензійну ОС (примітка: версія XP не оновлюється)
  • оновлення антивірусних базі файрволлов на вимогу
  • гранична уважність при скачуванні будь-яких файлів (милі «котики» можуть обернутися втратою всіх даних)
  • резервне копіювання важливої ​​інформаціїна змінний носій.

Вірус-шифрувальник 2017: як вилікувати і розшифрувати файли.

Сподіваючись на антивірусне ПЗ, можна забути про дешифраторі на деякий час. У лабораторіях Касперського, Dr. Web, Avast!та інших антивірусів поки , не знайдено рішення щодо лікування заражених файлів. На даний момент є можливість видалити вірус з допомогою антивірусу, але алгоритмів повернути все «на круги своя» поки немає.

Деякі намагаються застосувати дешифратори типу утиліти RectorDecryptor, Але це не допоможе: алгоритм для дешифрування нових вірусів поки не складений. Також абсолютно невідомо, яким чином поведе себе вірус, якщо він не видалений, після застосування таких програм. Часто це може обернутися стиранням всіх файлів - для науки тим, хто не хоче платити зловмисникам, авторам вірусу.

На даний момент найефективнішим способом повернути втрачені дані - це звернення в тех. підтримку постачальника антивірусної програми, яку ви використовуєте. Для цього слід відправити лист, або скористатися формою для зворотнього зв'язкуна сайті виробника. У вкладення обов'язково додати зашифрований файл і, якщо така є - копія оригіналу. Це допоможе програмістам у складанні алгоритму. На жаль, для багатьох вірусна атака стає повною несподіванкою, і копій не знаходиться, що в рази ускладнює ситуацію.

Кардіальні методи лікування Windows від шифрувальника. На жаль, іноді доводиться вдаватися до повного форматування вінчестера, що тягне за собою повну змінуОС. Багатьом прийде в голову відновлення системи, але це не вихід - навіть є «відкат» дозволить позбутися від вірусу, то файли все одно залишаться зашірованнимі.

Самі по собі віруси як комп'ютерна загроза сьогодні нікого не дивують. Але якщо раніше вони впливали на систему в цілому, викликаючи збої в її працездатності, сьогодні, з появою такого різновиду, як вірус-шифрувальник, дії проникаючої загрози стосуються більше призначених для користувача даних. Він являє собою, бути може, навіть більшу загрозу, ніж деструктивні для Windows виконувані програми або шпигунські аплети.

Що таке вірус-шифрувальник?

Сам по собі код, прописаний в самокопіюється вірус, передбачає шифрування практично всіх призначених для користувача даних спеціальними криптографічними алгоритмами, що не зачіпає системні файли операційної системи.

Спочатку логіка впливу вірусу багатьом була не зовсім зрозуміла. Все прояснилося тільки тоді, коли хакери, котрі творили такі аплети, почали вимагати за відновлення початкової структури файлів гроші. При цьому сам проник вірус-шифрувальник розшифрувати файли в силу своїх особливостей не дозволяє. Для цього потрібен спеціальний дешифратор, якщо хочете, код, пароль або алгоритм, необхідний для відновлення шуканого вмісту.

Принцип проникнення в систему і роботи коду вірусу

Як правило, «підчепити» таку гидоту в Інтернеті досить важко. Основним джерелом поширення «зарази» є електронна пошта на рівні інстальованих на конкретному комп'ютерному терміналі програм на зразок Outlook, Thunderbird, The Bat та т. Д. Зауважимо відразу: поштових інтернет-серверів це не стосується, оскільки вони мають досить високий ступінь захисту, а доступ до призначених для користувача даних можливий хіба що на рівні

Інша справа - додаток на комп'ютерному терміналі. Ось тут-то для дії вірусів поле настільки широке, що і уявити собі неможливо. Правда, тут теж варто зробити застереження: у більшості випадків віруси мають на меті великі компанії, З яких можна «здерти» гроші за надання коду розшифровки. Це і зрозуміло, адже не тільки на локальних комп'ютерних терміналах, а й на серверах таких фірм може зберігатися не те що повністю але і файли, так би мовити, в єдиному екземплярі, що не підлягають знищенню ні в якому разі. І тоді розшифровка файлів після вірусу-шифрувальника стає досить проблематичною.

Звичайно, і пересічний користувач може зазнати такої атаці, але в більшості випадків це малоймовірно, якщо дотримуватися найпростіші рекомендації по відкриттю вкладень з розширеннями невідомого типу. Навіть якщо поштовий клієнтвизначає вкладення з расшіреніем.jpg як стандартний графічний файл, Спочатку його обов'язково потрібно перевірити штатним встановленим в системі.

Якщо цього не зробити, при відкритті подвійним кліком (стандартний метод) запуститься активація коду, і почнеться процес шифрування, після чого той же Breaking_Bad (вірус-шифрувальник) не тільки буде неможливо видалити, але і файли після усунення загрози відновити не вдасться.

Загальні наслідки проникнення всіх вірусів такого типу

Як вже говорилося, більшість вірусів цього типу проникають в систему через електронну пошту. Ну ось, припустимо, у велику організацію, на конкретний зареєстрований мейл приходить лист зі змістом на кшталт «Ми змінили контракт, скан у вкладенні» або «Вам відправлена ​​накладна з відвантаження товару (копія там-то)». Природно, нічого не підозрюючи співробітник відкриває файл і ...

Всі призначені для користувача файли на рівні офісних документів, Мультимедіа, спеціалізованих проектів AutoCAD або ще яких-небудь архіважливих даних моментально зашифровуються, причому, якщо комп'ютерний термінал знаходиться в локальної мережі, Вірус може передаватися і далі, шифруючи дані на інших машинах (це стає помітним відразу по «гальмування» системи і зависання програм або запущених в даний момент додатків).

Після закінчення процес шифрування сам вірус, мабуть, відсилає своєрідний звіт, після чого компанії може прийти повідомлення про те, що в систему проникла така-то і така-то загроза, і що розшифрувати її може тільки така-то організація. Зазвичай це стосується вірусу [Email protected]Далі йде вимога сплатити послуги з дешифрування з пропозицією опублікувати декілька файлів на електронну пошту клієнта, найчастіше що є фіктивною.

Шкода від впливу коду

Якщо хто ще не зрозумів: розшифровка файлів після вірусу-шифрувальника - процес досить трудомісткий. Навіть якщо не «вестися» на вимоги зловмисників і спробувати задіяти офіційні державні структурипо боротьбі з комп'ютерними злочинами і їх запобіганню, зазвичай нічого путнього не виходить.

Якщо видалити всі файли, зробити і навіть скопіювати оригінальні дані з знімного носія (природно, якщо така копія є), все одно при активованому вірус все буде зашифровано заново. Так що особливо радіти не варто, тим більше що при вставці тієї ж флешки в USB-порт користувач навіть не помітить, як вірус зашифрує дані і на ній. Ось тоді точно проблем не оберешся.

Первісток в сімействі

Тепер звернемо увагу на перший вірус-шифрувальник. Як вилікувати і розшифрувати файли після впливу виконуваного коду, укладеного як вкладення електронної пошти з пропозицією знайомства, в момент його появи ніхто ще не думав. Усвідомлення масштабів лиха прийшло тільки з часом.

Той вірус мав романтичну назву «I Love You». Нічого не підозрюючи користувач відкривав вкладення в меседжі «елетронкі» і отримував повністю невідтворювані файли мультимедіа (графіка, відео і аудіо). Тоді, правда, такі дії виглядали більш деструктивними (нанесення шкоди призначеним для користувача медіа-бібліотекам), та й грошей за це ніхто не вимагав.

Найновіші модифікації

Як бачимо, еволюція технологій стала досить прибутковою справою, особливо якщо врахувати, що багато керівників великих організацій моментально біжать оплачувати дії по дешифрування, абсолютно не думаючи про те, що так можна позбутися і грошей, і інформації.

До речі сказати, не дивіться на всі ці «ліві» пости в Інтернеті, мовляв, "я оплатив / оплатила необхідну суму, мені прислали код, все відновилося". Нісенітниця! Все це пишуть самі розробники вірусу з метою залучення потенційних, вибачте, «лохів». Але ж, за мірками рядового користувача, суми для оплати досить серйозні: від сотні до декількох тисяч або десятків тисяч євро або доларів.

Тепер подивимося на нові типи вірусів такого типу, які були зафіксовані відносно недавно. Всі вони практично схожі і відносяться не тільки до категорії шифрувальників, але ще і до групи так званих вимагачів. У деяких випадках вони діють більш коректно (на кшталт paycrypt), начебто висилаючи офіційні ділові пропозиції або повідомлення про те, що хтось піклується про безпеку користувача або організації. Такий вірус-шифрувальник своїм повідомленням просто вводить користувача в оману. Якщо той зробить хоч найменше дію з оплати, все - «розлучення» буде по повній.

вірус XTBL

Відносно недавно з'явився можна віднести до класичного варіанту шифрувальника. Як правило, він проникає в систему через повідомлення електронної пошти, що містять вкладення у вигляді файлів з яке є стандартним для скрінсейвера Windows. Система і користувач думають, що все в порядку, і активують перегляд або збереження вкладення.

На жаль, це призводить до сумних наслідків: імена файлів перетворюються в набір символів, а до основного розширенню додається еще.xtbl, після чого на шуканий адресу пошти приходить повідомлення про можливість дешифрування після оплати зазначеної суми (зазвичай 5 тисяч рублів).

вірус CBF

Даний тип вірусу теж відноситься до класики жанру. З'являється він в системі після відкриття вкладень електронної пошти, а потім перейменовує призначені для користувача файли, додаючи в кінці розширення вроде.nochance ілі.perfect.

На жаль, розшифровка вірусу-шифрувальника такого типу для аналізу вмісту коду навіть на стадії його появи в системі є неможливою, оскільки після завершення своїх дій він виробляє самоліквідацію. Навіть таке, як вважають багато хто, універсальний засіб, як RectorDecryptor, не допомагає. Знову ж користувачеві приходить лист з вимогою оплати, на що дається два дні.

вірус Breaking_Bad

Цей тип загроз працює за тією ж схемою, але перейменовує файли в стандартному варіанті, додаючи до расшіренію.breaking_bad.

Цим ситуація не обмежується. На відміну від попередніх вірусів, цей може створювати і ще одне розширення - .Heisenberg, так що знайти всі заражені файли не завжди можна. Так що Breaking_Bad (вірус-шифрувальник) є досить серйозною загрозою. До речі сказати, відомі випадки, коли навіть ліцензійний пакет Kaspersky Endpoint Security 10 пропускає загрозу цього типу.

вірус [Email protected]

Ось ще одна, мабуть, найсерйозніша загроза, яка спрямована здебільшого на великі комерційні організації. Як правило, в якийсь відділ приходить лист, що містить начебто зміни до договору про постачання, або навіть просто накладна. Вкладення може містити звичайний файл.jpg (типу зображення), але частіше - виконуваний скріпт.js (Java-аплет).

Як розшифрувати вірус-шифрувальник цього типу? Судячи з того, що там застосовується якийсь невідомий алгоритм RSA-1024, ніяк. Якщо виходити з назви, можна припустити, що це 1024-бітна система шифрування. Але, якщо хтось пам'ятає, сьогодні найдосконалішою вважається 256-бітна AES.

Вірус-шифрувальник: як вилікувати і розшифрувати файли за допомогою антивірусного ПО

На сьогоднішній день для розшифровки загроз такого типу рішень поки не знайдено. Навіть такі метри в області антивірусного захисту, як Kaspersky, Dr. Web і Eset, не можуть знайти ключ до вирішення проблеми, коли в системі наслідив вірус-шифрувальник. Як вилікувати файли? У більшості випадків пропонується відправити запит на офіційний сайт розробника антивірусу (до речі, тільки при наявності в системі ліцензійного ПЗ цього розробника).

При цьому потрібно прикріпити кілька зашифрованих файлів, а також їх "здорові" оригінали, якщо такі є. В цілому ж, за великим рахунком мало хто зберігає копії даних, так що проблема їх відсутності лише погіршує і без того неприємну ситуацію.

Можливі способи ідентифікації та усунення загрози вручну

Так, сканування звичайними антивірусами загрози визначає і навіть видаляє їх з системи. Але що робити з інформацією?

Деякі намагаються використовувати програми-дешифратори на кшталт згаданої вже утиліти RectorDecryptor (RakhniDecryptor). Відзначимо відразу: це не допоможе. А у випадку з вірусом Breaking_Bad так і зовсім може тільки нашкодити. І ось чому.

Справа в тому, що люди, що створюють такі віруси, намагаються убезпечити себе і дати настанову іншим. При використанні утиліт для дешифрування вірус може відреагувати таким чином, що вся система «злетить», причому з повним знищенням всіх даних, що зберігаються на жорстких дисках або в логічних розділах. Це, так би мовити, показовий урок для науки всім тим, хто не хоче платити. Залишається сподіватися тільки на офіційні антивірусні лабораторії.

кардинальні методи

Втім, якщо вже справи зовсім кепські, доведеться інформацією пожертвувати. Щоб повністю позбавитися від загрози, потрібно відформатувати весь вінчестер, включаючи віртуальні розділи, після чого встановити «операційну» заново.

На жаль, іншого виходу немає. Навіть до певної збереженої точки відновлення не допоможе. Вірус, може бути, і зникне, але файли так і залишаться зашифрованими.

замість післямови

На закінчення варто відзначити, що ситуація така: вірус-шифрувальник проникає в систему, робить свою чорну справу і не лікується ніякими відомими способами. Антивірусні засоби захисту виявилися не готові до такого типу загроз. Само собою зрозуміло, що виявити вірус після його впливу або видалити можна. Але зашифрована інформація так і залишиться в непривабливому вигляді. Так що хочеться сподіватися, що кращі уми компаній-розробників антивірусного ПО все-таки знайдуть рішення, хоча, судячи з алгоритмами шифрування, зробити буде дуже непросто. Згадати хоча б шифрувальну машину Enigma, яка за часів Другої світової війни була у німецького флоту. Кращі криптографи не могли вирішити проблему алгоритму для дешифрування повідомлень, поки не придбали пристрій в свої руки. Так йдуть справи і тут.

«Лабораторія Касперського» про шифрувальником "WannaCry"

Фахівці «Лабораторії Касперського» проаналізували інформацію про заражених програмою-шифрувальником, що отримала назву "WannaCry", з якій 12 травня зіткнулися компанії по всьому світу

Фахівці «Лабораторії Касперського» проаналізували інформацію про заражених програмою-шифрувальником, що отримала назву "WannaCry", з якій 12 травня зіткнулися компанії по всьому світу. Як показав аналіз, атака відбувалася через відому мережеву вразливість Microsoft Security Bulletin MS17-010. Потім на заражену систему встановлювався руткит, використовуючи який зловмисники запускали програму-шифрувальник.

Всі рішення «Лабораторії Касперського» детектируют даний шкідливе ПО, які використовувалися в цій атаці, наступними вердиктами:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (для детектування даного зловреда компонент «Моніторинг Системи» повинен бути включений)

За розшифровку даних зловмисники вимагають заплатити викуп у розмірі 600 доларів США в криптовалюта Bitcoin. На даний момент «Лабораторія Касперського» зафіксувала близько 45 000 спроб атак в 74 країнах по всьому світу. Найбільше число спроб заражень спостерігається в Росії.

У разі якщо Ваші файли виявилися зашифровані, категорично не можна використовувати пропоновані в мережі Інтернет або отримані в електронних листах кошти розшифровки. Файли зашифровані крипостійкість алгоритмом і не можуть бути розшифровані, а утиліти, завантажені вами, можуть завдати ще більшої шкоди як вашого комп'ютера, так і комп'ютерів у всій організації, оскільки потенційно є шкідливими і націлені на нову хвилю епідемії.

Якщо ви виявили, що ваш комп'ютер піддався зараженню, слід вимкнути його і звернутися до відділу інформаційної безпекидля отримання подальших інструкцій.

  • встановитиофіційний патч відMicrosoft , Який закриває використовувану в атаці вразливість (зокрема вже доступні оновлення для версійWindowsXPіWindows2003);
  • Переконатися, що включені захисні рішення на всіх вузлах мережі;
  • Якщо використовується захисне рішення «Лабораторії Касперського», переконатися, що його версія включає в себе компонент «Моніторинг Системи» і він включений;
  • Запустити завдання сканування критичних областей в захисному рішенні «Лабораторії Касперського», щоб виявити можливе зараження якомога раніше (в іншому випадку детектування відбудеться автоматично протягом 24 годин);
  • Після детектування Trojan.Win64.EquationDrug.gen, зробити перезавантаження системи;
  • У подальшим для попередження подібних інцидентів використовувати сервіси інформування про загрози, щоб своєчасно отримувати дані про найбільш небезпечних націлених атаках і можливих заражених.

Більш детальну інформацію про атаки "WannaCry" можна знайти в звіті «Лабораторії Касперського»