„Doctor Web“ specialistai tiria naują išpirkos reikalaujantį Trojos arklį Trojos arklys. Encoder.12544, žiniasklaidoje vadinama Petya, Petya.A, ExPetya ir WannaCry-2. Remdamasis preliminaria kenkėjiškų programų analize, „Doctor Web“ pateikia rekomendacijas, kaip išvengti užsikrėtimo, nurodo, ką daryti, jei infekcija jau įvyko, ir atskleidžia techninės detalės išpuolių.
Išpirkos reikalaujantis kirminas, sukėlęs daug triukšmo Trojos arklys. Encoder.12544 kelia rimtą pavojų asmeniniams kompiuteriams, kuriuose veikia Microsoft Windows. Įvairūs šaltiniai tai vadina Trojos arklys, žinomo kaip Petya, modifikacija ( Trojos arklys.Išpirka.369), bet Trojos arklys. Encoder.12544 turi tik kai kuriuos panašumus su juo. Tai kenkėjiška programaįsiskverbė į daugelio vyriausybinių agentūrų, bankų ir komercinių organizacijų informacines sistemas, taip pat užkrėtė kelių šalių vartotojų kompiuterius.
Šiuo metu žinoma, kad Trojos arklys užkrečia kompiuterius naudodamas tą patį pažeidžiamumų rinkinį, kurį anksčiau naudojo užpuolikai, norėdami įsiskverbti į WannaCry Trojos arklys aukų kompiuterius. Masinis paskirstymas Trojos arklys. Encoder.12544 prasidėjo 2017 m. birželio 27 d. ryte. Kai paleidžiamas užpultame kompiuteryje, Trojos arklys ieško galimų vietinis tinklas Tada kompiuteris pradeda nuskaityti 445 ir 139 prievadus, naudodamas gautų IP adresų sąrašą. Trojos arklys. Encoder.12544 bando juos užkrėsti naudodamas gerai žinomą SMB protokolo pažeidžiamumą (MS17-10).
Trojos arklys turi 4 suglaudintus išteklius, iš kurių 2 yra 32 ir 64 bitų „Mimikatz“ programos versijos, skirtos slaptažodžiams perimti atvirose „Windows“ seansuose. Atsižvelgiant į OS bitumą, ji išpakuoja atitinkamą programos versiją, išsaugo ją laikinajame aplanke ir paleidžia. Naudojant Mimikatz įrankį, taip pat du kitus metodus Trojos arklys. Encoder.12544 gauna vietinių ir domeno vartotojų, įgaliotų užkrėstame kompiuteryje, sąrašą. Tada jis ieško rašymo tinklo aplankus, bando juos atidaryti naudodamas gautus kredencialus ir ten išsaugoti kopiją. Norėdami užkrėsti kompiuterius, prie kurių jam pavyko pasiekti, Trojos arklys. Encoder.12544 naudoja valdymo įrankį nuotolinis kompiuteris PsExec (jis taip pat saugomas Trojos arklys) arba standartinė konsolės programa, skirta iškviesti Wmic.exe objektus.
Koduotuvas valdo paleidimą iš naujo naudodamas failą, kurį išsaugo aplanke C:\Windows\. Šio failo pavadinimas sutampa su Trojos arklys be plėtinio. Kadangi šiuo metu užpuolikų platinamas kirmino pavyzdys pavadintas perfc.dat, failas, kuris neleidžia jam vėl paleisti, bus pavadintas C:\Windows\perfc. Tačiau kai tik užpuolikai pakeičia pradinį Trojos arklys pavadinimą, C:\Windows\ aplanke sukūrus failą pavadinimu perfc be plėtinio (kaip pataria kai kurios antivirusinės kompanijos), kompiuteris nebeapsaugos nuo užkrėtimo. Be to, Trojos arklys tikrina, ar nėra failo, tik tuo atveju, jei operacinėje sistemoje jis turi pakankamai privilegijų tai padaryti.
Paleidęs Trojos arklys sukonfigūruoja savo privilegijas, įkelia savo kopiją į atmintį ir perduoda jai valdymą. Tada koduotuvas perrašo savo disko failą nepageidaujamais duomenimis ir jį ištrina. Visų pirma Trojos arklys. Encoder.12544 sugadina C: disko VBR (tūrio įkrovos įrašą), pirmasis disko sektorius užpildomas šiukšlių duomenimis. Tada išpirkos reikalaujanti programa nukopijuoja pradinę įkrovos programą „Windows“ įrašasį kitą disko skyrių, prieš tai jį užšifravęs naudojant XOR algoritmą, ir vietoj jo įrašo savo. Tada ji sukuria užduotį iš naujo paleisti kompiuterį ir pradeda šifruoti visus failus su plėtiniais .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, aptikta vietiniuose fiziniuose diskuose. .hdd, .kdbx , .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi , .py, . pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, . vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.
Trojos arklys užšifruoja failus tik fiksuotuose kompiuterio diskuose. Šifravimas atliekamas naudojant AES-128-CBC algoritmus, kiekvienas diskas turi savo raktą (tai yra išskirtinis bruožas Trojos arklys, nepažymėjęs kitų tyrinėtojų). Šis raktas yra užšifruotas naudojant RSA-2048 algoritmą (kiti tyrėjai pranešė, kad naudoja 800 bitų raktą) ir išsaugomas šifruoto disko šakniniame aplanke faile, pavadintame README.TXT. Šifruoti failai negauna papildomo plėtinio.
Atlikus anksčiau sukurtą užduotį, kompiuteris persikrauna ir valdymas perkeliamas į Trojos įkrovos įrašą. Ji užkrėsto kompiuterio ekrane rodo tekstą, panašų į pranešimą standartinis naudingumas norėdami patikrinti CHDISK diskus.
Patys virusai kaip kompiuterio grėsmė šiandien nieko nestebina. Tačiau jei anksčiau jie paveikė visą sistemą, sukeldami jos veikimo sutrikimų, šiandien, atsiradus tokiai įvairovei kaip šifravimo virusas, prasiskverbiančios grėsmės veiksmai paveikia daugiau vartotojų duomenų. Tai, ko gero, kelia net didesnę grėsmę nei destruktyvi „Windows“ vykdomieji failai programos arba šnipinėjimo programėlės.
Kas yra išpirkos reikalaujantis virusas?
Pats kodas, parašytas savaime kopijuojančiame viruse, apima beveik visų vartotojo duomenų šifravimą specialiais kriptografiniais algoritmais, o tai neturi įtakos sistemos failai operacinė sistema.
Iš pradžių viruso poveikio logika daugeliui nebuvo visiškai aiški. Viskas paaiškėjo tik tada, kai tokias programėles sukūrę programišiai ėmė reikalauti pinigų, kad atkurtų pirminę failų struktūrą. Tuo pačiu metu pats užšifruotas virusas neleidžia iššifruoti failų dėl savo savybių. Norėdami tai padaryti, jums reikia specialaus iššifruotojo, jei norite, kodo, slaptažodžio ar algoritmo, reikalingo norimam turiniui atkurti.
Viruso kodo įsiskverbimo į sistemą ir veikimo principas
Paprastai tokias niekšybes internete „pasirinkti“ gana sunku. Pagrindinis „infekcijos“ plitimo šaltinis yra el. paštas programų, įdiegtų konkrečiame kompiuterio terminale, pavyzdžiui, „Outlook“, „Thunderbird“, lygiu. Šikšnosparnis Ir tt Iš karto atkreipkime dėmesį: tai netaikoma interneto pašto serveriams, nes jie turi gana aukštą apsaugos lygį, o prieiga prie vartotojo duomenų galima tik lygiu
Kitas dalykas yra programa kompiuterio terminale. Štai čia virusų veikimo laukas toks platus, kad neįmanoma įsivaizduoti. Tiesa, čia taip pat verta rezervuotis: dažniausiai virusai taikosi į dideles įmones, iš kurių gali „atplėšti“ pinigus už iššifravimo kodo suteikimą. Tai suprantama, nes ne tik vietiniuose kompiuterių terminaluose, bet ir tokių įmonių serveriuose failai gali būti saugomi, taip sakant, vienoje kopijoje, kurios jokiu būdu negalima sunaikinti. Ir tada failų iššifravimas po išpirkos reikalaujančio viruso tampa gana problematiškas.
Žinoma, paprastas vartotojas gali patirti tokią ataką, tačiau daugeliu atvejų tai mažai tikėtina, jei laikysitės paprasčiausių rekomendacijų, kaip atidaryti priedus su nežinomo tipo plėtiniais. Net jei pašto klientas standartiškai apibrėžia priedą su plėtiniu .jpg grafinis failas, pirmiausia turite jį patikrinti kaip standartiškai įdiegtą sistemoje.
Jei tai nepadaryta, atidarant dukart spustelėkite(standartinis metodas) prasidės kodo aktyvinimas ir prasidės šifravimo procesas, po kurio to paties Breaking_Bad (šifruotojo viruso) ne tik bus neįmanoma pašalinti, bet ir atkurti failų, pašalinus grėsmę .
Bendros visų šio tipo virusų įsiskverbimo pasekmės
Kaip jau minėta, dauguma tokio tipo virusų į sistemą patenka el. Tarkime, didelė organizacija į konkretų registruotą el. laišką gauna laišką, kurio turinys yra „Pakeitėme sutartį, pridėta nuskaityta kopija“ arba „Jums buvo išsiųsta prekių išsiuntimo sąskaita (kopija ten). Natūralu, kad nieko neįtariantis darbuotojas atidaro bylą ir...
Visi vartotojo failai biuro dokumentų, daugialypės terpės, specializuotų AutoCAD projektų ar bet kokių kitų archyvinių duomenų lygiu yra akimirksniu užšifruojami, o jei kompiuterio terminalas yra vietiniame tinkle, virusas gali būti perduodamas toliau, šifruojant duomenis kitose mašinose (tai tampa pastebimas iškart po sistemos „stabdymo“ ir programų ar veikiančių programų užšalimo šiuo metu programos).
Pasibaigus šifravimo procesui, pats virusas, matyt, atsiunčia savotišką pranešimą, po kurio įmonė gali gauti pranešimą, kad tokia ir tokia grėsmė įsiskverbė į sistemą, o ją iššifruoti gali tik tokia ir tokia organizacija. Paprastai tai susiję su virusu. [apsaugotas el. paštas]. Toliau atsiranda reikalavimas sumokėti už iššifravimo paslaugas su pasiūlymu išsiųsti kelis failus į kliento el. paštą, kuris dažniausiai yra fiktyvus.
Žala dėl kodo poveikio
Jei kas dar nesuprato: failų iššifravimas po išpirkos reikalaujančio viruso yra gana daug darbo reikalaujantis procesas. Net jei nepasiduodate užpuolikų reikalavimams ir bandote į kovą su kompiuteriniais nusikaltimais ir jų prevenciją įtraukti oficialias valdžios institucijas, dažniausiai nieko gero neišeina.
Jei ištrinsite visus failus, gaminsite ir net nukopijuosite originalius duomenis iš keičiamųjų laikmenų (žinoma, jei tokia kopija yra), suaktyvinus virusą, viskas vis tiek bus vėl užšifruota. Taigi nereikėtų per daug savęs apgaudinėti, juolab kad įdėjus tą pačią „flash drive“ į USB prievadą, vartotojas net nepastebės, kaip virusas užšifruos ir jame esančius duomenis. Tada jums nebus jokių problemų.
Pirmagimis šeimoje
Dabar atkreipkime dėmesį į pirmąjį šifravimo virusą. Kaip dezinfekuoti ir iššifruoti failus patyrus vykdomąjį kodą, esantį priede paštu su pažinties pasiūlymu, jo atsiradimo momentu dar niekas apie tai nebuvo pagalvojęs. Supratimas apie nelaimės mastą atsirado tik laikui bėgant.
Šis virusas turėjo romantišką pavadinimą „Aš tave myliu“. Nieko neįtariantis vartotojas atidarė el. laiško priedą ir gavo visiškai neleistinus daugialypės terpės failus (grafikos, vaizdo ir garso). Tačiau tuomet tokie veiksmai atrodė labiau destruktyvūs (kenkia vartotojų medijų bibliotekoms), ir pinigų už tai niekas nereikalavo.
Naujausios modifikacijos
Kaip matome, technologijų evoliucija tapo gana pelningu verslu, ypač turint omenyje, kad daugelis didelių organizacijų vadovų iškart bėga mokėti už pastangas iššifruoti, visiškai negalvodami, kad gali prarasti ir pinigus, ir informaciją.
Beje, nežiūrėkite į visus šiuos „neteisingus“ įrašus internete, kuriuose sakoma: „Sumokėjau / sumokėjau reikiamą sumą, man atsiuntė kodą, viskas buvo atstatyta“. Nesąmonė! Visa tai parašė patys viruso kūrėjai, norėdami pritraukti potencialius, atleiskite, „siurbėlius“. Tačiau, pagal paprasto vartotojo standartus, mokėtinos sumos yra gana rimtos: nuo šimtų iki kelių tūkstančių ar dešimčių tūkstančių eurų ar dolerių.
Dabar pažvelkime į naujausius šio tipo virusų tipus, kurie buvo užfiksuoti palyginti neseniai. Visi jie yra praktiškai panašūs ir priklauso ne tik šifruotojų kategorijai, bet ir vadinamųjų ransomware grupei. Kai kuriais atvejais jie elgiasi teisingiau (pavyzdžiui, paycrypt), atrodo, siunčia oficialius verslo pasiūlymus ar pranešimus, kad kažkam rūpi vartotojo ar organizacijos saugumas. Toks šifruojantis virusas tiesiog klaidina vartotoją savo žinute. Jei jis imsis net menkiausių veiksmų, kad sumokėtų, viskas - „skyrybos“ bus baigtos.
XTBL virusas
Ši palyginti nauja versija gali būti klasifikuojama kaip klasikinė išpirkos reikalaujančios programos versija. Paprastai jis patenka į sistemą per el. pašto pranešimus su failų priedais, kurie yra standartiniai „Windows“ ekrano užsklandoms. Sistema ir vartotojas mano, kad viskas gerai ir suaktyvina priedo peržiūrą arba išsaugojimą.
Deja, tai sukelia liūdnas pasekmes: failų pavadinimai paverčiami simbolių rinkiniu, o prie pagrindinio plėtinio pridedamas .xtbl, po kurio norimu elektroninio pašto adresu išsiunčiama žinutė apie galimybę iššifruoti sumokėjus nurodytą sumą. (paprastai 5 tūkst. rublių).
CBF virusas
Šis viruso tipas taip pat priklauso žanro klasikai. Jis pasirodo sistemoje atidarius el. pašto priedus, o tada pervadina vartotojo failus, pabaigoje pridedant plėtinį, pvz., .nochance arba .perfect.
Deja, iššifruoti tokio tipo išpirkos reikalaujančio viruso, kad būtų galima išanalizuoti kodo turinį net jo atsiradimo sistemoje stadijoje, neįmanoma, nes atlikęs veiksmus jis sunaikina save. Netgi tai, ko daugelis mano, yra universalus įrankis, kaip „RectorDecryptor“, nepadeda. Vėlgi, vartotojas gauna laišką, kuriame reikalaujama sumokėti, kuriam suteikiamos dvi dienos.
Breaking_Bad virusas
Šio tipo grėsmė veikia taip pat, bet pervadina failus standartine versija, prie plėtinio pridedant .breaking_bad.
Situacija tuo neapsiriboja. Skirtingai nuo ankstesnių virusų, šis gali sukurti kitą plėtinį – .Heisenberg, todėl ne visada pavyksta rasti visus užkrėstus failus. Taigi Breaking_Bad (išpirkos reikalaujantis virusas) yra gana rimta grėsmė. Beje, pasitaiko atvejų, kai net „Kaspersky Endpoint Security 10“ licencijos paketas praleidžia tokio tipo grėsmę.
Virusas [apsaugotas el. paštas]
Čia yra dar viena, bene rimčiausia grėsmė, kuri dažniausiai nukreipta į dideles komercines organizacijas. Paprastai kai kurie skyriai gauna laišką su tariamais tiekimo sutarties pakeitimais ar net tik sąskaita faktūra. Priede gali būti įprastas .jpg failas (pvz., vaizdas), bet dažniau – vykdomasis script.js (Java programėlė).
Kaip iššifruoti tokio tipo šifravimo virusą? Sprendžiant iš to, kad ten naudojamas kažkoks nežinomas RSA-1024 algoritmas, niekaip. Remdamiesi pavadinimu, galite manyti, kad tai 1024 bitų šifravimo sistema. Bet jei kas prisimena, šiandien 256 bitų AES yra laikoma pažangiausia.
Šifravimo virusas: kaip dezinfekuoti ir iššifruoti failus naudojant antivirusinę programinę įrangą
Iki šiol dar nerasta sprendimų, kaip iššifruoti tokio tipo grėsmes. Netgi tokie tos srities meistrai antivirusinė apsauga, kaip ir Kaspersky, dr. Web ir Eset negali rasti rakto, kaip išspręsti problemą, kai sistema užkrėsta šifruojančiu virusu. Kaip dezinfekuoti failus? Daugeliu atvejų siūloma siųsti užklausą į oficialią antivirusinio kūrėjo svetainę (beje, tik tuo atveju, jei sistemoje yra šio kūrėjo licencijuota programinė įranga).
Tokiu atveju turite pridėti kelis užšifruotus failus, taip pat jų „sveikus“ originalus, jei tokių yra. Apskritai, mažai žmonių išsaugo duomenų kopijas, todėl jų nebuvimo problema tik pablogina ir taip nemalonią situaciją.
Galimi būdai, kaip rankiniu būdu nustatyti ir pašalinti grėsmę
Taip, nuskaitymas su įprastomis antivirusinėmis programomis nustato grėsmes ir netgi pašalina jas iš sistemos. Bet ką daryti su informacija?
Kai kurie bando naudoti iššifravimo programas, tokias kaip jau minėta RectorDecryptor (RakhniDecryptor) programa. Iš karto atkreipkime dėmesį: tai nepadės. O Breaking_Bad viruso atveju jis gali tik pakenkti. Ir štai kodėl.
Faktas yra tas, kad žmonės, kurie kuria tokius virusus, stengiasi apsisaugoti ir patarti kitiems. Naudojant iššifravimo programas, virusas gali reaguoti taip, kad visa sistema „skraido“, ir visiškai sunaikina visus kietieji diskai arba loginiuose skaidiniuose. Tai, taip sakant, yra orientacinė pamoka, skirta ugdyti visus nenorinčius mokėti. Galime pasikliauti tik oficialiomis antivirusinėmis laboratorijomis.
Kardinaliniai metodai
Tačiau jei viskas tikrai blogai, teks paaukoti informaciją. Norėdami visiškai atsikratyti grėsmės, turite suformatuoti visą standųjį diską, įskaitant virtualius skaidinius, ir vėl įdiegti operacinę sistemą.
Deja, kitos išeities nėra. Net iki tam tikro išsaugoto atkūrimo taško nepadės. Virusas gali išnykti, bet failai išliks užšifruoti.
Vietoj pokalbio
Apibendrinant verta paminėti, kad situacija yra tokia: išpirkos reikalaujantis virusas įsiskverbia į sistemą, atlieka savo nešvarų darbą ir nėra išgydomas jokiomis žinomomis priemonėmis. Apsaugos nuo virusų įrankiai nebuvo pasirengę tokio tipo grėsmei. Savaime suprantama, kad virusą galima aptikti po poveikio arba jį pašalinti. Tačiau užšifruota informacija išliks negraži. Tad norisi tikėtis, kad geriausi antivirusinės programinės įrangos kūrimo įmonių protai vis tiek ras sprendimą, nors, sprendžiant pagal šifravimo algoritmus, tai padaryti bus labai sunku. Prisiminkite Enigma šifravimo mašiną, kurią Vokietijos karinis jūrų laivynas turėjo Antrojo pasaulinio karo metu. Geriausi kriptografai negalėjo išspręsti pranešimų iššifravimo algoritmo problemos, kol nepateko į įrenginį. Taip yra ir čia.
Saugumo priemonės
Reguliuotojas rekomenduoja bankams įsitikinti, kad jie atnaujino visos sistemos ir specialius programinė įranga, įdiegta ir atnaujinta antivirusinė programa. FinCert taip pat rekomenduoja segmentuoti kompiuterių tinklai finansines institucijas ir patikrinkite nustatymus ugniasienės— jie turėtų blokuoti jungtis su nereguliuojamais tinklo adresus. Taip pat rekomenduojama atlikti atsarginė kopija kritiškas informacines sistemas ir duomenų bazės.
Be to, reguliuotojas pataria banko darbuotojams nurodyti atkreipti dėmesį į įtartinus elektroninio pašto pranešimus ir nesilankyti abejotinos svetainėse.
Centrinio banko atstovas „Vedomosti“ sakė, kad nuo 2017 metų kovo iki rugpjūčio Centrinis bankas jau šešis kartus įspėjo bankus dėl išpirkos reikalaujančių programų.
Tuo pat metu bankai dar balandį buvo įspėti apie „WannaCry“ išpirkos reikalaujančio viruso pavojų. Gegužės 12 d., kai tapo žinoma, kad įsilaužėliai bandė užpulti daugybę organizacijų visame pasaulyje naudodami WannaCry virusas, FinCERT bankuose, po to pakartojo savo įspėjimą. Nukentėjusių bankų pavadinimai tame pranešime nebuvo atskleisti. Yra žinoma, kad virusas bandė, tačiau, finansų institucijos teigimu, įsilaužėliai į jų sistemas neįsiskverbė.
Nuo Petya ransomware viruso Rusijos bankininkystės sektorius. „Dėl atakų buvo užregistruoti pavieniai infekcijos atvejai“, – rašė FinCERT. Tarp žinomų bankų, nukentėjusių nuo išpuolio, yra „“. Bankas pranešė, kad jokie klientų ar operacijų duomenys nebuvo pažeisti.
„Vedomosti“ kalbinti bankų atstovai pastebi, kad Centrinio banko rekomendacijos yra reguliarios, o finansų institucijos jas įgyvendina.
Galima kibernetinė ataka
Kibernetinių grėsmių stebėjimo centro „Solar JSOC“ analitikas Aleksejus Pavlovas laikraščiui sakė, kad pastarosiomis dienomis įvairių pramonės šakų organizacijos, įskaitant bankus, sulaukė įspėjimų apie galimą išpirkos reikalaujančių programų veiklą, nors stebėjimo centras neturi informacijos apie pasiruošimas naujai įsilaužėlių atakai.
Duomenų apie naują ataką „Kaspersky Lab“ taip pat nėra, sako sukčiavimo tyrimų ir analizės grupės vadovas Denisas Gorčakovas. Jis teigia, kad FinCERT laiškas yra susijęs su įspėjimu apie grėsmę energetikos sektoriuje: rugpjūčio 9-osios išvakarėse jie perspėjo, kad artimiausiu metu gali būti surengta nauja kibernetinė ataka.
Dėl įsilaužėlių atakos grėsmės energetikos įmonė paprašė savo filialų direktorių apriboti įmonių tinklo vartotojų prieigą prie interneto rugpjūčio 4–14 dienomis, taip pat įspėti darbuotojus neatidaryti priedų iš nežinomų siuntėjų. arba spustelėkite trečiųjų šalių nuorodas el.
Kompiuterinių atakų kredito ir finansų srityje stebėjimo ir reagavimo į juos centras (FinCERT) yra Centrinio banko struktūra, užsiimanti kibernetiniu saugumu. Sukurta 2015 m. Rusijos Saugumo Tarybos sprendimu. Bankai siunčia informaciją Centriniam bankui apie aptiktas kompiuterines atakas (kortelių sąskaitose, nuotolinių paslaugų teikimo sistemose, bankų svetainėse), po kurių specialistai šiuos duomenis analizuoja, nustato problemų priežastis ir analizės rezultatus siunčia rinkos dalyviams ir teisėsaugos institucijoms. .
Šiuolaikinės technologijos leidžia įsilaužėliams nuolat tobulinti sukčiavimo metodus, susijusius su paprasti vartotojai. Paprastai šiems tikslams naudojama virusinė programinė įranga, kuri prasiskverbia į kompiuterį. Šifravimo virusai laikomi ypač pavojingais. Grėsmė ta, kad virusas plinta labai greitai, šifruodamas failus (vartotojas tiesiog negalės atidaryti nei vieno dokumento). Ir jei tai gana paprasta, tada iššifruoti duomenis yra daug sunkiau.
Ką daryti, jei virusas užšifravo failus kompiuteryje
Kiekvienas gali būti užpultas išpirkos reikalaujančių programų, net ir vartotojai, turintys galingą antivirusinę programinę įrangą, nėra apsaugoti. Failus šifruojantys Trojos arklys yra įvairių kodų, kurie gali būti ne tik antivirusinės programos. Programišiai netgi sugeba panašiai atakuoti dideles įmones, kurios nepasirūpino reikiama savo informacijos apsauga. Taigi, pasiėmę išpirkos reikalaujančią programą internete, turite imtis keleto priemonių.
Pagrindiniai užsikrėtimo požymiai – lėtas kompiuterio veikimas ir dokumentų pavadinimų pasikeitimai (galima matyti darbalaukyje).
- Iš naujo paleiskite kompiuterį, kad sustabdytumėte šifravimą. Įjungdami nepatvirtinkite paleidimo nežinomos programos.
- Paleiskite antivirusinę programą, jei jos neužpuolė išpirkos reikalaujančios programos.
- Kai kuriais atvejais šešėlinės kopijos padės atkurti informaciją. Norėdami juos rasti, atidarykite užšifruoto dokumento „Ypatybės“. Šis metodas veikia su užšifruotais duomenimis iš „Vault“ plėtinio, apie kurį yra informacijos portale.
- Atsisiųskite įrankį naujausia versija kovoti su išpirkos reikalaujančiais virusais. Veiksmingiausius siūlo „Kaspersky Lab“.
Išpirkos reikalaujantys virusai 2016 m.: pavyzdžiai
Kovojant su bet kokia viruso ataka, svarbu suprasti, kad kodas labai dažnai keičiasi, papildomas nauja apsauga nuo antivirusinių. Žinoma, saugos programoms reikia šiek tiek laiko, kol kūrėjas atnaujins duomenų bazes. Atrinkome pačius pavojingiausius pastarojo meto šifravimo virusus.
Ishtar Ransomware
„Ishtar“ yra išpirkos reikalaujanti programa, kuri išvilioja pinigus iš vartotojo. Virusas buvo pastebėtas 2016 metų rudenį, užkrėtęs daugybę vartotojų iš Rusijos ir daugelio kitų šalių kompiuterių. Platinama el. paštu, kuriame yra pridedami dokumentai (montuotojai, dokumentai ir kt.). Duomenims, užkrėstiems Ishtar šifruokliu, jų pavadinime suteikiamas priešdėlis „ISHTAR“. Procesas sukuria bandomąjį dokumentą, kuriame nurodoma, kur kreiptis norint gauti slaptažodį. Užpuolikai už tai reikalauja nuo 3000 iki 15000 rublių.
Ishtar viruso pavojus yra tas, kad šiandien nėra iššifruotojo, kuris padėtų vartotojams. Antivirusinės programinės įrangos įmonėms reikia laiko iššifruoti visą kodą. Dabar galite tik izoliuoti svarbi informacija(jei jie yra ypač svarbūs) į atskirą laikmeną, laukiant, kol bus išleista programa, galinti iššifruoti dokumentus. Rekomenduojama iš naujo įdiegti operacinę sistemą.
Neitrino
Neitrino šifruoklis internete pasirodė 2015 m. Atakos principas yra panašus į kitus panašios kategorijos virusus. Pakeičia aplankų ir failų pavadinimus pridedant „Neitrino“ arba „Neutrino“. Virusą sunku iššifruoti ne visi antivirusinių kompanijų atstovai, remdamiesi labai sudėtingu kodu. Kai kuriems vartotojams gali būti naudinga atkurti šešėlinę kopiją. Norėdami tai padaryti, spustelėkite dešiniuoju pelės mygtuku spustelėkite Užveskite pelės žymeklį ant užšifruoto dokumento, eikite į „Ypatybės“, „Ankstesnės versijos“ ir spustelėkite „Atkurti“. Nepakenktų naudoti nemokamas įrankis iš Kaspersky Lab.
Piniginė arba .piniginė.
Piniginės šifravimo virusas pasirodė 2016 metų pabaigoje. Užsikrėtimo proceso metu duomenų pavadinimas pakeičiamas į „Vardas..piniginė“ ar kažkas panašaus. Kaip ir dauguma išpirkos reikalaujančių virusų, jis patenka į sistemą per užpuolikų siunčiamų el. laiškų priedus. Kadangi grėsmė pasirodė visai neseniai, antivirusinės programos to nepastebi. Po šifravimo jis sukuria dokumentą, kuriame sukčius nurodo el. Šiuo metu antivirusinės programinės įrangos kūrėjai stengiasi iššifruoti išpirkos reikalaujančio viruso kodą. [apsaugotas el. paštas]. Vartotojai, kurie buvo užpulti, gali tik laukti. Jei duomenys svarbūs, rekomenduojama juos išsaugoti išorinė saugykla, valyti sistemą.
Mįslė
Išpirkos reikalaujantis virusas „Enigma“ Rusijos vartotojų kompiuterius pradėjo užkrėsti 2016 metų balandžio pabaigoje. Naudojamas AES-RSA šifravimo modelis, kuris šiandien randamas daugumoje išpirkos reikalaujančių virusų. Virusas prasiskverbia į kompiuterį naudodamas scenarijų, kurį vartotojas paleidžia atidarydamas failus iš įtartino el. Vis tiek ne universali priemonė kovoti su Enigma ransomware. Antivirusinę licenciją turintys vartotojai gali prašyti pagalbos oficialioje kūrėjo svetainėje. Taip pat buvo rasta nedidelė „spraga“ - „Windows UAC“. Jei vartotojas viruso užsikrėtimo proceso metu pasirodžiusiame lange spustelėja „Ne“, vėliau jis galės atkurti informaciją naudodamas šešėlines kopijas.
Granitas
2016 metų rudenį internete pasirodė naujas išpirkos reikalaujantis virusas Granit. Infekcija įvyksta pagal tokį scenarijų: vartotojas paleidžia diegimo programą, kuri užkrečia ir užšifruoja visus kompiuteryje esančius duomenis, taip pat prijungtus diskus. Kovoti su virusu sunku. Norėdami pašalinti, galite naudoti specialios komunalinės paslaugos iš Kaspersky, tačiau kodas dar nebuvo iššifruotas. Galbūt padės atkurti ankstesnes duomenų versijas. Be to, didelę patirtį turintis specialistas gali iššifruoti, tačiau paslauga brangi.
Taisonas
Pastebėtas neseniai. Tai jau žinomos ransomware no_more_ransom plėtinys, apie kurį galite sužinoti mūsų svetainėje. Asmeninius kompiuterius jis pasiekia iš el. Buvo užpulta daug įmonių kompiuterių. Virusas sukuria tekstinis dokumentas su instrukcijomis atrakinti, siūlant sumokėti „išpirką“. „Tyson“ išpirkos reikalaujanti programa pasirodė neseniai, todėl dar nėra atrakinimo rakto. Vienintelis būdas atkurti informaciją yra grąžinti ankstesnės versijos, jei jų neištrynė virusas. Žinoma, galite rizikuoti pervesdami pinigus į užpuolikų nurodytą sąskaitą, tačiau garantijos, kad gausite slaptažodį, nėra.
Spora
2017 metų pradžioje nemažai vartotojų tapo naujosios „Spora“ išpirkos programos aukomis. Savo veikimo principu jis nelabai skiriasi nuo kolegų, tačiau gali pasigirti profesionalesniu dizainu: slaptažodžio gavimo instrukcijos yra geriau parašytos, o svetainė atrodo gražiau. Išpirkos reikalaujantis virusas „Spora“ buvo sukurtas C kalba ir naudoja RSA ir AES derinį aukos duomenims užšifruoti. Paprastai buvo užpulti kompiuteriai, kurie buvo aktyviai naudojami. apskaitos programa 1C. Virusas, pasislėpęs po paprasta sąskaita faktūra .pdf formatu, verčia įmonės darbuotojus jį paleisti. Gydymas dar nerastas.
1C.Drop.1
Šis 1C šifravimo virusas pasirodė 2016 metų vasarą, sutrikdęs daugelio apskaitos skyrių darbą. Jis buvo sukurtas specialiai kompiuteriams, kuriuose naudojama 1C programinė įranga. Patekęs į kompiuterį per failą el. laiške, jis paragins savininką atnaujinti programą. Kad ir kokį mygtuką paspaustų vartotojas, virusas pradės šifruoti failus. Dr.Web specialistai dirba su iššifravimo įrankiais, tačiau sprendimo kol kas nerasta. Taip yra dėl sudėtingo kodo, kuris gali turėti keletą modifikacijų. Vienintelė apsauga nuo 1C.Drop.1 yra vartotojo budrumas ir reguliarus svarbių dokumentų archyvavimas.
da_vinci_kodas
Nauja išpirkos reikalaujanti programa neįprastu pavadinimu. Virusas pasirodė 2016 metų pavasarį. Jis skiriasi nuo savo pirmtakų patobulintu kodu ir stipriu šifravimo režimu. da_vinci_code užkrečia kompiuterį dėl vykdomosios programos (paprastai pridedamos prie paštu), kurį vartotojas paleidžia savarankiškai. Da Vinčio kodas nukopijuoja kūną į sistemos katalogą ir registrą, pateikdamas automatinis paleidimas adresu „Windows“ įjungimas. Kiekvienos aukos kompiuteriui priskiriamas unikalus ID (padeda gauti slaptažodį). Duomenų iššifruoti beveik neįmanoma. Galite mokėti pinigus užpuolikams, tačiau niekas negarantuoja, kad gausite slaptažodį.
[apsaugotas el. paštas] / [apsaugotas el. paštas]
Du el. pašto adresai, kuriuos 2016 m. dažnai lydėjo išpirkos reikalaujantys virusai. Jie padeda susieti auką su užpuoliku. Prisegti buvo daugumos adresai skirtingų tipų virusai: da_vinci_code, no_more_ransom ir pan. Labai rekomenduojama nesikreipti ir nepervesti pinigų su sukčiais. Daugeliu atvejų vartotojai lieka be slaptažodžių. Taigi, parodydami, kad užpuolikų išpirkos reikalaujančios programos veikia ir generuoja pajamas.
Breaking Bad
Jis pasirodė 2015 metų pradžioje, tačiau aktyviai išplito tik po metų. Užkrėtimo principas identiškas kitų šifruotojų: failo įdiegimas iš el. pašto, duomenų šifravimas. Įprastos antivirusinės programos, kaip taisyklė, nepastebi „Breaking Bad“ viruso. Kai kurie kodai negali apeiti „Windows“ UAC, todėl vartotojas turi galimybę atkurti ankstesnes dokumentų versijas. Nė viena antivirusinę programinę įrangą kurianti įmonė dar nepateikė iššifravimo priemonės.
XTBL
Labai paplitusi išpirkos reikalaujanti programa, kuri sukėlė problemų daugeliui vartotojų. Patekęs į kompiuterį, virusas per kelias minutes pakeičia failo plėtinį į .xtbl. Sukuriamas dokumentas, kuriame užpuolikas prievartauja grynųjų pinigų. Kai kurios veislės XTBL virusas negali sunaikinti failų, kad atkurtų sistemą, o tai leidžia grąžinti svarbius dokumentus. Patį virusą gali pašalinti daugelis programų, tačiau iššifruoti dokumentus labai sunku. Jei esate licencijuotos antivirusinės programos savininkas, pasinaudokite technine pagalba, pridėdami užkrėstų duomenų pavyzdžius.
Kukaracha
„Cucaracha“ išpirkos reikalaujanti programa buvo aptikta 2016 m. gruodžio mėn. Įdomaus pavadinimo virusas slepia vartotojo failus naudodamas RSA-2048 algoritmą, kuris yra labai atsparus. „Kaspersky“ antivirusinė programa jį pažymėjo kaip Trojan-Ransom.Win32.Scatter.lb. Kukaracha galima pašalinti iš kompiuterio, kad nebūtų užkrėsti kiti dokumentai. Tačiau užkrėstų šiandien beveik neįmanoma iššifruoti (labai galingas algoritmas).
Kaip veikia išpirkos reikalaujantis virusas?
Yra daugybė išpirkos reikalaujančių programų, tačiau jos visos veikia panašiu principu.
- Pataikymas asmeninis kompiuteris. Paprastai prie el. laiško pridėto failo dėka. Diegimą inicijuoja pats vartotojas, atidaręs dokumentą.
- Failų infekcija. Beveik visų tipų failai yra užšifruoti (priklausomai nuo viruso). Sukuriamas tekstinis dokumentas, kuriame yra kontaktai, skirti bendrauti su užpuolikais.
- Visi. Vartotojas negali pasiekti jokio dokumento.
Kontrolės agentai iš populiarių laboratorijų
Plačiai paplitęs išpirkos reikalaujančių programų, kurios pripažintos pavojingiausia grėsme vartotojų duomenims, naudojimas tapo postūmiu daugeliui antivirusinių laboratorijų. Kiekviena populiari įmonė teikia savo vartotojams programas, padedančias kovoti su išpirkos programomis. Be to, daugelis jų padeda iššifruoti dokumentus ir apsaugoti sistemą.
Kaspersky ir ransomware virusai
Viena garsiausių antivirusinių laboratorijų Rusijoje ir pasaulyje šiandien siūlo efektyviausias priemones kovai su išpirkos reikalaujančiais virusais. Pirmoji kliūtis ransomware virusui bus Kaspersky Endpoint Security 10 su naujausiais atnaujinimais. Antivirusinė programa tiesiog neleis grėsmei patekti į jūsų kompiuterį (nors gali ir nesustabdyti naujų versijų). Norėdami iššifruoti informaciją, kūrėjas pateikia keletą nemokamų paslaugų: XoristDecryptor, RakhniDecryptor ir Ransomware Decryptor. Jie padeda surasti virusą ir pasirinkti slaptažodį.
Dr. Internetas ir išpirkos reikalaujančios programos
Ši laboratorija rekomenduoja juos naudoti antivirusinė programa, pagrindinė savybė kuri tapo failo atsargine kopija. Saugykla su dokumentų kopijomis taip pat apsaugota nuo neteisėtos įsibrovėlių prieigos. Licencijuoto produkto savininkai dr. Interneto paslauga, skirta paprašyti pagalbos techninė pagalba. Tiesa, net ir patyrę specialistai ne visada gali atsispirti tokiai grėsmei.
ESET Nod 32 ir išpirkos reikalaujančios programos
Ši įmonė taip pat neliko nuošalyje, suteikdama savo vartotojams gerą apsaugą nuo virusų įsiskverbimo į kompiuterį. Be to, laboratorija neseniai išleido nemokamą programą su naujausiomis duomenų bazėmis – Eset Crysis Decryptor. Kūrėjai teigia, kad tai padės kovoti net su naujausiomis išpirkos programomis.
Jau antradienį ji pradėjo blokuoti Rusijos išteklių kompiuterius, užkrėsdama juos per populiarias svetaines, įskaitant žiniasklaidos priemones. Nukentėjo „Interfax“, kuri sugebėjo atsigauti tik po paros, taip pat „Fontanka.ru“. Visi ženklai rodo, kad tai yra tikslinė ataka prieš įmonių tinklus, „Kaspersky Lab“ sakė „Rossiyskaya Gazeta“. Jie pažymėjo, kad dauguma išpuolio aukų yra Rusijoje, tačiau panašių išpuolių buvo pastebėta Ukrainoje, Turkijoje ir Vokietijoje.
Šifruotojui nepavyko pasiekti finansinių organizacijų išteklių ar sutrikdyti jų darbą, pranešė Rusijos banko Kredito ir finansų sferos kompiuterių atakų stebėjimo ir reagavimo centras (FinCERT). Anksčiau žiniasklaida skelbė, kad virusas bando nuversti bankus iš 20 geriausių. Rusijos bankas patvirtino, kad buvo išpuolių, tačiau nerado jokių išteklių sukompromitavimo įrodymų. FinCERT išsiuntė bankams rekomendacijas dėl viruso identifikavimo ir kovos su juo būdų, išsiųstų paštu.
Sėkminga ataka privestų prie banko operatyvinės veiklos sustabdymo, o klientų finansiniams duomenims nepakenktų išpirkos reikalaujantis virusas, RG aiškino „InfoWatch“ viceprezidentas ir „Attack Killer“ generalinis direktorius Rustemas Khairetdinovas.
BadRabbit virusas veikia per vaizdo įrašų žiūrovus
Rusijos bankas perspėja, kad įsilaužėliai ir toliau platins kenkėjiškas programas, įskaitant skirtas slaptai užšifruoti failus. „Paprastai užpuolikai siunčia elektroninio pašto laišką su įterptu virusu, apgaulės būdu ar piktnaudžiaudami pasitikėjimu, jie skatina vartotoją atidaryti kenkėjišką failą, o po to kenkėjiška programa suaktyvinama“, – nurodė Centrinis bankas.
Tačiau ekspertai teigia, kad „Bad Bunny“ veikia įmantriau – paleidžia gana nekaltai atrodančias programas, skirtas vaizdo įrašams žiūrėti. Neatsitiktinai „BadRabbit“ nešiojo žiniasklaidos ištekliai, kuriuose visada yra vaizdo įrašų. Vartotojų prašoma paleisti netikrą diegimo programą, kad ją peržiūrėtų Adobe Flash. Panaši schema buvo aptikta gegužę – populiarių vaizdo grotuvų pažeidžiamumas leido kibernetiniams nusikaltėliams nuotoliniu būdu įsilaužti į vartotojų kompiuterius.
Bad Rabbit kūrėjai priėmė šią idėją. Viruso mechanizmas yra paprastas – „Bad Rabbit“ neleidžia pasiekti visų duomenų, kurie yra užkrėstame kompiuteryje.
Užpuolikai reikalauja 0,05 bitkoino (283 USD arba 15 700 rublių pagal dabartinį kursą). Tačiau tikimybė, kad sumokėjus pinigus failai bus iššifruoti, ekspertų teigimu, labai maža. Kol kas nežinoma, ar iš principo įmanoma iššifruoti „Bad Bunny“ užkrėstus failus – ar sumokėjus išpirką, ar naudojant kokį nors kenkėjiškos programos šifravimo mechanizmo trūkumą. Birželį per panašaus „WannaCry“ viruso ataką, kurioje buvo panaudoti „darknete“ įsigytų kibernetinių ginklų elementai, patys programišiai nežinojo, kaip iššifruoti duomenis, nors pinigų reikalavo būtent už tai.
Piratai reikalauja 15 tūkstančių rublių bitkoinų, tačiau mažai šansų, kad tai padės – nežinoma, ar iš esmės įmanoma atkurti „BadRabbit“ paveiktus failus.
Mūsų realybė yra tokia, kad užpuolikai išmoko sukelti pasaulio paniką, pažymi Rustemas Khairetdinovas. Vėl pasirodys šifravimo virusai, kurie skirsis tik pavadinimu, technologija ir užkrėtimo būdu.
Tuo tarpu Rusijos bankas nerimauja dėl to, kad emitentų informacijos atskleidimo viešoji paslauga „Interfax“ nepasiekiama, ir pareiškė, kad ketina ieškoti mechanizmų, kurie sumažintų panašių incidentų tikimybę ateityje.
Turite sukurti failą C:\Windows\infpub.dat ir suteikti jam tik skaitymo teises. Po to, net ir užkrėsti, failai nebus užšifruoti, patarė Group-IB.
Nedelsdami izoliuokite kompiuterius, domenų adresus ir IP adresus, nurodytus group-ib.ru/blog/badrabbit tinklaraštyje, jei tokių yra, taip pat įsitikinkite, kad jie yra atnaujinami ir nuoseklūs atsargines kopijas pagrindiniai tinklo mazgai. Atnaujinti operacinės sistemos ir apsaugos sistemos. Nustatymai grupės politika išjungti slaptažodžių saugojimą LSA Dump in atvira forma. Pakeiskite visus slaptažodžius į sudėtingus, kad išvengtumėte žodyno atakų. Suteikite vartotojams iššokančiųjų langų blokavimo priemonę.
Jei ekrane matote tokį vaizdą, jokiu būdu neturėtumėte sutikti su atnaujinimu. Nuotrauka: vesti.ru