Šiuolaikinės technologijos leidžia įsilaužėliams nuolat tobulinti sukčiavimo būdus paprastų vartotojų atžvilgiu. Paprastai šiems tikslams naudojama virusų programinė įranga, kuri prasiskverbia į kompiuterį. Šifravimo virusai laikomi ypač pavojingais. Grėsmė slypi tame, kad virusas plinta labai greitai, šifruodamas failus (vartotojas tiesiog negali atidaryti jokio dokumento). O jei tai gana paprasta, tai duomenis iššifruoti daug sunkiau.
Ką daryti, jei virusas užšifravo failus kompiuteryje
Kiekvienas gali būti užpultas išpirkos reikalaujančių programų, net vartotojai, kurie turi galingą antivirusinę programinę įrangą, nėra apdrausti. Failų šifravimo trojos arklys yra pavaizduotas skirtingu kodu, kurio antivirusinė programa gali nepajėgti. Programišiams taip pavyksta atakuoti net dideles įmones, kurios nepasirūpino reikiama savo informacijos apsauga. Taigi, „pasirinkus“ išpirkos reikalaujančią programą internete, reikia imtis kelių priemonių.
Pagrindiniai užsikrėtimo požymiai – lėtas kompiuterio veikimas ir dokumentų pavadinimų pasikeitimas (tai matosi darbalaukyje).
- Iš naujo paleiskite kompiuterį, kad sustabdytumėte šifravimą. Kai įjungtas, nepatvirtinkite pradžios nežinomos programos.
- Paleiskite antivirusinę programą, jei jos neužpuolė išpirkos reikalaujančios programos.
- Kai kuriais atvejais šešėlinės kopijos padės atkurti informaciją. Norėdami juos rasti, atidarykite užšifruoto dokumento „Ypatybės“. Šis metodas veikia su užšifruotais „Vault“ plėtinio, kurio informacija yra portale, duomenimis.
- Atsisiųskite įrankį Naujausia versija kovoti su išpirkos reikalaujančiais virusais. Veiksmingiausius siūlo „Kaspersky Lab“.
Šifravimo virusai 2016 m.: pavyzdžiai
Kovojant su bet kokia viruso ataka, svarbu suprasti, kad kodas labai dažnai keičiasi, papildytas nauja antivirusine apsauga. Žinoma, apsaugos programoms reikia šiek tiek laiko, kol kūrėjas atnaujins duomenų bazes. Atrinkome pačius pavojingiausius pastarojo meto šifravimo virusus.
Išpirkos reikalaujanti programa „Ishtar“.
Ishtar yra išpirkos reikalaujanti programa, kuri išvilioja pinigus iš vartotojo. Virusas buvo pastebėtas 2016 metų rudenį, užkrėtęs daugybę vartotojų iš Rusijos ir daugelio kitų šalių kompiuterių. Jis platinamas naudojant platinimą el. paštu, kuriame yra pridedami dokumentai (diegėjai, dokumentai ir kt.). Duomenys, užkrėsti Ishtar ransomware, pavadinime gauna priešdėlį „ISHTAR“. Procesas sukuria bandomąjį dokumentą, kuriame nurodoma, kur eiti norint gauti slaptažodį. Užpuolikai už tai reikalauja nuo 3000 iki 15000 rublių.
Ishtar viruso pavojus yra tas, kad šiandien nėra iššifruotojo, kuris padėtų vartotojams. Antivirusinės programinės įrangos įmonėms reikia laiko iššifruoti visą kodą. Dabar svarbią informaciją (jei ji ypač svarbi) galite išskirti tik atskiroje laikmenoje, laukdami, kol bus išleista programa, galinti iššifruoti dokumentus. Rekomenduojama iš naujo įdiegti operacinę sistemą.
Neitrino
„Neitrino“ išpirkos reikalaujanti programa internete pasirodė 2015 m. Pagal atakos principą jis panašus į kitus šios kategorijos virusus. Pakeičia aplankų ir failų pavadinimus pridedant „Neitrino“ arba „Neutrino“. Virusą sunku iššifruoti – to imasi toli gražu ne visi antivirusinių kompanijų atstovai, remdamiesi labai sudėtingu kodu. Kai kuriems vartotojams gali padėti šešėlinės kopijos atkūrimas. Norėdami tai padaryti, dešiniuoju pelės mygtuku spustelėkite užšifruotą dokumentą, eikite į „Ypatybės“, skirtuką „Ankstesnės versijos“, spustelėkite „Atkurti“. Nebus nereikalinga naudotis nemokama „Kaspersky Lab“ programa.
Piniginė arba .piniginė.
Piniginės šifravimo virusas pasirodė 2016 m. pabaigoje. Užsikrėtimo proceso metu duomenų pavadinimą pakeičia į „Vardas..piniginė“ ar pan. Kaip ir dauguma išpirkos reikalaujančių virusų, jis patenka į sistemą per įsilaužėlių siunčiamus el. pašto priedus. Kadangi grėsmė pasirodė visai neseniai, antivirusinės programos to nepastebi. Po šifravimo sukuriamas dokumentas, kuriame sukčius nurodo bendravimui skirtą paštą. Šiuo metu antivirusinės programinės įrangos kūrėjai stengiasi iššifruoti išpirkos reikalaujančio viruso kodą. [apsaugotas el. paštas] Užpulti vartotojai gali tik palaukti. Jei duomenys svarbūs, rekomenduojama juos išsaugoti išoriniame diske, išvalant sistemą.
Mįslė
Šifravimo virusas „Enigma“ Rusijos vartotojų kompiuterius pradėjo užkrėsti 2016 metų balandžio pabaigoje. Jis naudoja AES-RSA šifravimo modelį, kuris šiandien yra daugelyje išpirkos reikalaujančių programų. Virusas į kompiuterį įsiskverbia naudodamas scenarijų, kurį pats vartotojas paleidžia atidarydamas failus iš įtartino el. Vis dar nėra universalių priemonių, kaip susidoroti su Enigma šifru. Vartotojai, turintys antivirusinės programos licenciją, gali paprašyti pagalbos oficialioje kūrėjo svetainėje. Taip pat buvo rasta nedidelė „spraga“ – „Windows UAC“. Jei vartotojas užsikrėtimo virusu metu pasirodžiusiame lange paspaudžia „Ne“, vėliau informaciją gali atkurti naudodamas šešėlines kopijas.
Granitas
Naujas ransomware virusas„Granit“ pasirodė internete 2016 m. rudenį. Infekcija įvyksta pagal tokį scenarijų: vartotojas paleidžia diegimo programą, kuri užkrečia ir užšifruoja visus duomenis kompiuteryje ir prijungtuose diskuose. Kovoti su virusu sunku. Norėdami jį pašalinti, galite naudoti specialias „Kaspersky“ programas, tačiau kodas dar nebuvo iššifruotas. Galbūt atsigavimas padės. ankstesnės versijos duomenis. Be to, didelę patirtį turintis specialistas gali iššifruoti, tačiau paslauga brangi.
Taisonas
Neseniai matytas. Tai jau gerai žinomos no_more_ransom ransomware plėtinys, apie kurį galite sužinoti mūsų svetainėje. Įsiskverbia į asmeninius kompiuterius El. paštas. Buvo užpulta daug įmonių kompiuterių. Virusas sukuria Tekstinis dokumentas su nurodymais atrakinti, siūlant sumokėti „išpirką“. Neseniai pasirodė Tyson išpirkos reikalaujanti programa, todėl atrakinimo rakto dar nėra. Vienintelis būdas atkurti informaciją yra grąžinti ankstesnes versijas, jei jų neištrynė virusas. Žinoma, galite rizikuoti pervesdami pinigus į užpuolikų nurodytą sąskaitą, tačiau garantijos, kad gausite slaptažodį, nėra.
Spora
2017 m. pradžioje nemažai vartotojų tapo naujosios „Spora“ išpirkos reikalaujančios programinės įrangos aukomis. Pagal veikimo principą jis nedaug skiriasi nuo savo kolegų, tačiau gali pasigirti profesionalesniu našumu: slaptažodžio gavimo instrukcijos yra geriau parašytos, svetainė atrodo gražiau. Sukūrė „Spora“ išpirkos reikalaujančią programinę įrangą C kalba, naudoja RSA ir AES derinį aukos duomenims užšifruoti. Paprastai buvo užpulti kompiuteriai, kuriuose aktyviai naudojama 1C apskaitos programa. Virusas, pasislėpęs po paprasta sąskaita faktūra .pdf formatu, verčia įmonės darbuotojus jį paleisti. Gydymo dar nerasta.
1C.Lašas.1
Šis šifravimo virusas, skirtas 1C, pasirodė 2016 metų vasarą, sutrikdydamas daugelio apskaitos skyrių darbą. Sukurta specialiai kompiuteriams, kurie naudoja programinė įranga 1C. Į kompiuterį patekęs el. laiške esantis failas paragins savininką atnaujinti programą. Kad ir kurį mygtuką paspaustų vartotojas, virusas pradės šifruoti failus. Dr.Web specialistai dirba su iššifravimo įrankiais, tačiau kol kas sprendimo nerasta. Taip yra dėl sudėtingo kodo, kuris gali būti kelių modifikacijų. Vienintelė apsauga nuo 1C.Drop.1 yra vartotojų budrumas ir reguliarus svarbių dokumentų archyvavimas.
da_vinci_kodas
Nauja išpirkos reikalaujanti programa neįprastu pavadinimu. Virusas pasirodė 2016 metų pavasarį. Nuo savo pirmtakų jis skiriasi patobulintu kodu ir stipriu šifravimo režimu. da_vinci_code užkrečia kompiuterį dėl vykdomosios programos (paprastai pridedamos prie paštu), kurį vartotojas paleidžia savarankiškai. Da Vinci koderis (da Vinci kodas) nukopijuoja turinį į sistemos katalogą ir registrą, užtikrindamas automatinį paleidimą, kai „Windows“ įjungimas. Kiekvienos aukos kompiuteriui priskiriamas unikalus ID (padeda gauti slaptažodį). Duomenų iššifruoti beveik neįmanoma. Galite mokėti pinigus užpuolikams, tačiau niekas negarantuoja, kad gausite slaptažodį.
[apsaugotas el. paštas] / [apsaugotas el. paštas]
Du el. pašto adresai, kurie 2016 m. dažnai buvo lydimi išpirkos reikalaujančių programų. Jie padeda susieti auką su užpuoliku. Adresai buvo pridedami prie įvairių tipų virusų: da_vinci_code, no_more_ransom ir pan. Labai nerekomenduojama susisiekti, taip pat pervesti pinigus sukčiams. Daugeliu atvejų vartotojai lieka be slaptažodžių. Taigi, parodydami, kad užpuolikai veikia išpirkos reikalaujančios programos, generuoja pajamas.
Breaking Bad
Pasirodė 2015 metų pradžioje, tačiau aktyviai išplito tik po metų. Užkrėtimo principas yra identiškas kitų išpirkos reikalaujančių programų: failo įdiegimas iš el. pašto, duomenų šifravimas. Įprasti antivirusai dažniausiai nepastebi Breaking Bad viruso. Kai kurie kodai negali apeiti Windows UAC, todėl vartotojas vis tiek gali atkurti ankstesnes dokumentų versijas. Dekoderio dar nepristatė jokia antivirusinę programinę įrangą kurianti įmonė.
XTBL
Labai paplitusi išpirkos reikalaujanti programa, kuri sukėlė problemų daugeliui vartotojų. Patekęs į kompiuterį, virusas per kelias minutes pakeičia failo plėtinį į .xtbl. Sukuriamas dokumentas, kuriame užpuolikas prievartauja grynųjų pinigų. Kai kurie XTBL viruso variantai negali sunaikinti sistemos atkūrimo failų, o tai leidžia grąžinti svarbius dokumentus. Patį virusą gali pašalinti daugelis programų, tačiau labai sunku iššifruoti dokumentus. Jei turite licencijuotą antivirusinę programą, pasinaudokite technine pagalba, pridėdami užkrėstų duomenų pavyzdžius.
Kukaracha
Kukaracha šifras buvo pastebėtas 2016 metų gruodį. Virusas įdomiu pavadinimu slepia vartotojo failus naudodamas RSA-2048 algoritmą, kuris yra labai atsparus. Kaspersky antivirusinė programa pažymėjo jį Trojan-Ransom.Win32.Scatter.lb. Kukaracha galima pašalinti iš kompiuterio, kad nebūtų užkrėsti kiti dokumentai. Tačiau užkrėstų šiandien beveik neįmanoma iššifruoti (labai galingas algoritmas).
Kaip veikia išpirkos reikalaujančios programos
Yra daugybė išpirkos reikalaujančių programų, tačiau jos visos veikia panašiu principu.
- Pataikyk Asmeninis kompiuteris. Kaip taisyklė, dėka pridėto failo prie el. Diegimą inicijuoja pats vartotojas, atidaręs dokumentą.
- Failų infekcija. Beveik visų tipų failai yra užšifruoti (priklausomai nuo viruso). Sukuriamas tekstinis dokumentas, kuriame yra kontaktai, skirti bendrauti su įsibrovėliais.
- Visi. Vartotojas negali pasiekti jokio dokumento.
Priemonės iš populiarių laboratorijų
Plačiai paplitęs išpirkos reikalaujančių programų naudojimas, kuris yra pripažintas pavojingiausia grėsme vartotojų duomenims, tapo postūmiu daugeliui antivirusinių laboratorijų. Kiekviena populiari įmonė teikia savo vartotojams programas, padedančias kovoti su išpirkos reikalaujančiomis programomis. Be to, daugelis jų padeda iššifruoti sistemos saugomus dokumentus.
Kaspersky ir šifravimo virusai
Viena garsiausių antivirusinių laboratorijų Rusijoje ir pasaulyje šiandien siūlo efektyviausias priemones kovai su išpirkos reikalaujančiais virusais. Pirmoji kliūtis ransomware virusui bus Kaspersky Endpoint Security 10 su Naujausi Atnaujinimai. Antivirusinė programa tiesiog neleis grėsmei patekti į kompiuterį (tačiau naujos versijos gali ir nesustoti). Norėdami iššifruoti informaciją, kūrėjas vienu metu pateikia keletą nemokamų paslaugų: XoristDecryptor, RakhniDecryptor ir Ransomware Decryptor. Jie padeda surasti virusą ir pasiimti slaptažodį.
Dr. Internetas ir išpirkos reikalaujančios programos
Ši laboratorija rekomenduoja juos naudoti antivirusinė programa, Pagrindinis bruožas kuri buvo failo atsarginė kopija. Saugykla su dokumentų kopijomis taip pat apsaugota nuo neteisėtos įsibrovėlių prieigos. Licencijuoto produkto savininkai dr. Internete, galima susisiekti su technine pagalba, kad gautumėte pagalbos. Tiesa, tokiai grėsmei ne visada atsispiria net patyrę specialistai.
ESET Nod 32 ir išpirkos reikalaujančios programos
Ši įmonė taip pat neliko nuošalyje, suteikdama savo vartotojams gerą apsaugą nuo virusų patekimo į kompiuterį. Be to, laboratorija neseniai išleido nemokamą priemonę su naujausiomis duomenų bazėmis – Eset Crysis Decryptor. Kūrėjai teigia, kad tai padės kovoti net su naujausiomis išpirkos reikalaujančiomis programomis.
Šifruojamos išpirkos programos pastaruoju metu tapo viena iš pagrindinių grėsmių ir kasdien sužinome apie naujas atakas, naujus išpirkos reikalaujančius virusus ar jų versijas ir, deja, apie aukas, iš kurių kibernetiniai nusikaltėliai reikalauja išpirkos, kad atgautų prieigą prie užšifruotų duomenų. Todėl „Kaspersky Lab“ įtraukė specialų kovos su kenkėjiškomis programomis priemonių posistemį „Kaspersky Cryptomalware Countermeasures Subsystem“ į savo naujausių produktų „System Watcher“ komponentą. Dėl unikalių technologijų rinkinio, Latvijoje ir visame pasaulyje tarp naujausių Kaspersky produktų vartotojų kas teisingai panaudojo produktų teikiamas galimybes, šifravimo išpirkos programinės įrangos atakų aukų praktiškai nėra! Ir tai nėra magija ar sąmokslas, kaip kartais sako net ekspertai, matydami, kaip, skirtingai nei kitų antivirusinių programų vartotojai, Kaspersky produktų gerbėjai lieka nenukentėję nuo šifruojančių išpirkos reikalaujančių virusų atakų. Tai tiesiog „Kaspersky Lab“ kūrėjų išrastos ir įdiegtos technologijos!
Kokie produktai apima „System Watcher“ ir „Kaspersky Cryptomalware Countermeasures“ posistemį?
Konkrečios apsaugos nuo išpirkos programinės įrangos technologijos yra įtrauktos į dabartines toliau nurodytų produktų versijas Operacinė sistema„Windows“ arba jų „Windows“ komponentas.
Smulkaus verslo produktai:
Įmonės saugos produktai:
* Visi produktai Galimas 30 dienų nemokamas visų funkcijų bandomasis laikotarpis su vietine technine pagalba. Taip pat išbandyti ir įdiegti.
Kaip veikia „System Watcher“ ir „Kaspersky Cryptomalware Countermeasures“ posistemis?
Kaspersky Lab kasdien apdoroja vidutiniškai 315 000 naujų kenkėjiškų programų pavyzdžių. Esant tokiam dideliam naujų kenkėjiškų programų antplūdžiui, labai dažnai antivirusinės įmonės apsaugo vartotojus nuo kenkėjiškų programų atakų, apie kurias jos dar nežino. Analogiškai su realiu pasauliu, tai būtų tas pats, kas nustatyti nusikaltėlio tapatybę prieš gaunant jo pirštų atspaudus, nuotrauką ir kitus duomenis. Kaip tai padaryti? Stebėti ir analizuoti elgesį. Būtent tai komponentas, vadinamas System Watcher (Activity Monitoring), kuris yra integruotas į naujausius Kaspersky Lab produktus, nuolat stebi kompiuterio sistemą ir tai daro.
„System Watcher“ stebi sistemoje vykstančius procesus ir aptinka kenkėjiškus veiksmus naudodamas „Behavior Stream Signatures“ (BSS) parašus ir taip leidžia pagal jų elgesį atpažinti ir sustabdyti visiškai naujas ir nežinomas kenkėjiškas programas. Bet tai dar ne viskas. Kol paaiškės, kad kuri nors programa yra kenkėjiška, ji gali turėti laiko ką nors padaryti. Todėl dar viena „System Watcher“ savybė yra galimybė atšaukti atliktus sistemos pakeitimus kenkėjiška programa.
Siekdami atšaukti naujosios šifruojančios kenkėjiškos programos pakeitimus, „Kaspersky Lab“ specialistai prie „System Watcher“ komponento pridėjo „Kaspersky Cryptomalware Countermeasures“ posistemį, kuris sukuria atsargines kopijas failus, jei juos atidaro įtartina programa, ir vėliau, jei reikia, atkuria juos iš išsaugotų kopijų. Taigi, net jei šifruojantis virusas yra naujas, tai yra, antivirusas neturi savo „pirštų atspaudų“, o jo neidentifikuoja kiti mechanizmai, „System Watcher“ jį aptinka pagal savo elgesį ir, naudodamasi jau minėtu posistemiu, grąžina kompiuterį. sistemos būseną, kuri buvo prieš ataką kenkėjiška programa.
Kaip atpažinti nežinomą šifruojančią kenkėjišką programą pagal jos elgesį, sustabdyti jos veikimą ir atšaukti jos atliktus pakeitimus (šifruotų failų pakeitimą nešifruotomis kopijomis), galite pamatyti toliau pateiktame demonstraciniame vaizdo įraše.
Čia būtina paaiškinti, kad kiekvienam konkrečiam vartotojui situacijos, kai reikia naudoti „Kaspersky Cryptomalware Countermeasures“ posistemį, gali pasitaikyti itin retai, nes informacija apie kiekvieną incidentą su nežinoma kenkėjiška programa į debesį patenka per sekundės dalis. kaspersky saugumas Tinklas ir kiti Kaspersky sprendimų vartotojai nuo šiol jau yra apsaugoti nauja grėsmė ankstyvo aptikimo sistema. Tai reiškia, kad bet koks tolesnis bandymas užkrėsti „Kaspersky“ vartotojų kompiuterius bus blokuojamas ankstyvu parašu. Būtent tokių unikalių mechanizmų veikimas paaiškina faktą, kad Latvijoje aukų tarp naujausių Kaspersky produktų vartotojų praktiškai nebuvo, nes ji veikia kaip pasaulinė imuninė sistema visiems 400 milijonų Kaspersky vartotojų visame pasaulyje!
Papildomos informacijos apie System Watcher ir Kaspersky Cryptomalware Countermeasures Subsystem anglų kalba rasite PDF dokumentuose:
Ką dar reikia žinoti apie „System Watcher“ ir „Kaspersky Cryptomalware Countermeasures“ posistemį?
Sistemos stebėtojas ir kartu su ja automatiškai Kaspersky Cryptomalware Countermeasures posistemis pagal gamintojo pradinius nustatymus yra įjungtas pagal numatytuosius nustatymus. Įdiegus gaminius, vartotojui nereikia atlikti jokių papildomų veiksmų, kad galėtų naudotis aukščiau aprašytomis technologijomis.
Ypač reikėtų pažymėti, kad „System Watcher“ nėra įtraukta į „Kaspersky Anti-Virus for Windows Workstation 6.0“ (išleista 2007 m.), kuri vis dar kartais naudojama. Šio produkto naudotojai raginami naudotis nemokamu atnaujinimu į daugiau naujas Kaspersky Endpoint Security for Windows. Teisiniai vartotojai gali atsisiųsti ir įdiegti naujausios versijos produktų nemokamai, pavyzdžiui, iš šios svetainės skilties „ “.
Kaspersky Anti-Ransomware Tool for Business skirtas apsaugoti Windows kompiuterius nuo išpirkos reikalaujančių programų.
Yra Trojos arklių klasė, skirta išvilioti pinigus iš aukų. Jie vadinami taip – ransomware (angliškai ransomware). Šiai klasei taip pat priklauso pastaraisiais metais plačiai paplitę kriptografai.
Iš šių programų kylančios grėsmės yra skirtos blokuoti kompiuterio darbą arba užšifruoti diske saugomus duomenis, blokuoti prieigą prie tam tikrų failų. Po to užpuolikai reikalauja sumokėti už tokios programos atliktų pakeitimų atšaukimą svetimame kompiuteryje. Tai sukelia rimtų nuostolių, daugiausia įmonių aplinkoje.
Nemokama Kaspersky Anti-Ransomware programa yra suderinama su kitomis antivirusinėmis programomis ir gali būti papildoma apsauga nuo Trojos arklių ir išpirkos reikalaujančių programų. O norint, kad jūsų kompiuteris būtų visiškai saugus, verta – tai nemokama programa.
Naujosios Kaspersky antivirusinės ypatybės:
- Laisvas
- Aptinka išpirkos reikalaujančias programas aukščiausios kokybės verslo sprendimų lygiu.
- Naudojamos technologijos antivirusinė apsauga: failų antivirusinė ir veiklos monitorius
- Suderinamas su trečiųjų šalių antivirusinėmis programomis
- Palaiko įprastas operacines sistemas: nuo Windows 7 iki 10 (įskaitant jubiliejinį naujinimą)
- Aptikimo ataskaitos administratoriui siunčiamos el. paštu
Apribojimai
„Kaspersky“ programa „Anti-Ransomware Tool“ naudoja skirtingus metodus grėsmėms aptikti, kad apsaugotų kompiuterius. Antivirusinė programa atpažįsta kenkėjiškas programas, analizuodama informaciją, esančią antivirusinėse duomenų bazėse. Siekiant aptikti būdingą išpirkos reikalaujančių programų elgesį, šis įrankis naudoja dvi novatoriškas technologijas: „Activity Monitoring“ ir „Kaspersky Security Network“.
„Kaspersky Security Network“ leidžia greitai reaguoti į nežinomas grėsmes, o „Activity Monitor“ gali blokuoti pavojingus sistemos pakeitimus ir juos atšaukti.
Naudotojai, dalyvaujantys „Kaspersky Security Network“ veikloje, leidžia „Kaspersky Lab“ greitai rinkti duomenis apie naujus grėsmių šaltinius ir kurti sprendimus, kaip juos neutralizuoti. „Kaspersky Security Network“ yra debesų tinklas, kuriame dalyvavimas apima statistikos, kurią ši antivirusinė programa renka kiekviename kompiuteryje, kuriame ji veikia, siuntimą.
Kai aptinkama grėsmė, „Anti-Ransomware“ įrankis ją automatiškai blokuoja ir įtraukia į užblokuotų programų sąrašą (sąsajoje vadinamos „Blocked Applications“). Tačiau prieš užblokuodama išpirkos reikalaujanti programa gali atlikti kai kuriuos veiksmus operacinėje sistemoje (pavyzdžiui, pakeisti failus arba sukurti naujus, arba atlikti pakeitimus registre). Siekdama atšaukti visus kenkėjiškos programos veiksmus, „Anti-Ransomware“ saugo visų programų veiklos istoriją.
„Kaspersky Anti-Ransomware“ talpina kenkėjiškų programų sukurtus failus į savo saugyklą. Iš ten juos gali atkurti „Kaspersky Lab“ darbuotojai. Jei reikia atkurti failus iš saugyklos, patarimų galite gauti kūrėjo forume.
Jei kompiuteryje pasirodo tekstinis pranešimas, kad failai yra užšifruoti, neskubėkite panikuoti. Kokie yra failų šifravimo simptomai? Įprastas plėtinys pakeičiamas į *.vault, *.xtbl, * [apsaugotas el. paštas] _XO101 ir kt. Failų atidaryti negalima – reikalingas raktas, kurį galima įsigyti išsiuntus laišką žinutėje nurodytu adresu.
Iš kur gavai užšifruotus failus?
Kompiuteris užfiksavo virusą, kuris blokavo prieigą prie informacijos. Dažnai antivirusinės programos jas praleidžia, nes ši programa dažniausiai yra pagrįsta kai kuriais nekenksmingais nemokamas įrankisšifravimas. Patį virusą pašalinsite pakankamai greitai, tačiau iššifruojant informaciją gali kilti rimtų problemų.
Kaspersky Lab, Dr.Web ir kitų žinomų antivirusinės programinės įrangos kūrimo įmonių techninė pagalba, reaguodama į vartotojų prašymus iššifruoti duomenis, praneša, kad to padaryti per protingą laiką neįmanoma. Yra keletas programų, kurios gali paimti kodą, tačiau jos gali veikti tik su anksčiau ištirtais virusais. Jei susiduriate su nauja modifikacija, tikimybė atkurti prieigą prie informacijos yra labai maža.
Kaip išpirkos reikalaujantis virusas patenka į kompiuterį?
90% atvejų vartotojai patys aktyvuoja virusą kompiuteryje atidarant nežinomus el. Po to elektroniniu paštu atkeliauja žinutė su provokuojančia tema – „Kvietimas į teismą“, „Paskolos skola“, „Mokesčių inspekcijos pranešimas“ ir kt. Netikro el. laiško viduje yra priedas, kurį atsisiuntus išpirkos reikalaujanti programa patenka į kompiuterį ir palaipsniui pradeda blokuoti prieigą prie failų.
Šifravimas nevyksta akimirksniu, todėl vartotojai turi laiko pašalinti virusą prieš užšifruojant visą informaciją. Kenkėjišką scenarijų galite sunaikinti naudodami valymo priemones Dr.Web CureIt, Kaspersky interneto apsauga ir „Malwarebytes Antimalware“.
Failų atkūrimo būdai
Jei kompiuteryje buvo įjungta sistemos apsauga, net ir po ransomware viruso veikimo yra tikimybė atkurti failus į normalią būseną naudojant šešėlines failų kopijas. „Ransomware“ dažniausiai bando juos pašalinti, tačiau kartais to padaryti nepavyksta dėl administratoriaus teisių trūkumo.
Ankstesnės versijos atkūrimas:
Norint išlaikyti ankstesnes versijas, turi būti įjungta sistemos apsauga.
Svarbu: sistemos apsauga turi būti įjungta prieš pasirodant išpirkos programai, po to ji nebepadės.
- Atidarykite „Computer“ ypatybes.
- Kairėje esančiame meniu pasirinkite „Sistemos apsauga“.
- Pažymėkite diską C ir spustelėkite „Konfigūruoti“.
- Pasirinkite atkurti nustatymus ir ankstesnes failų versijas. Taikykite pakeitimus spustelėdami Gerai.
Jei šių priemonių ėmėtės prieš pasirodant virusui, šifruojančiam failus, tada išvalę kompiuterį nuo kenkėjiško kodo turėsite gerą galimybę atkurti informaciją.
Naudojant specialias komunalines paslaugas
Kaspersky Lab parengė keletą paslaugų, kurios padės jums atidaryti užšifruotus failus pašalinus virusą. Pirmasis iššifravimo įrankis, kurį verta išbandyti, yra „Kaspersky RectorDecryptor“.
- Atsisiųskite programą iš oficialios „Kaspersky Lab“ svetainės.
- Tada paleiskite programą ir spustelėkite „Pradėti nuskaitymą“. Nurodykite bet kurio užšifruoto failo kelią.
Jei kenkėjiška programa nepakeitė failų plėtinio, norėdami juos iššifruoti, turite juos surinkti į atskirą aplanką. Jei programa yra RectorDecryptor, atsisiųskite dar dvi programas iš oficialios Kaspersky svetainės – XoristDecryptor ir RakhniDecryptor. 
Naujausia „Kaspersky Lab“ programa vadinama „Ransomware Decryptor“. Tai padeda iššifruoti failus po CoinVault viruso, kuris dar nėra labai paplitęs RuNet, tačiau netrukus gali pakeisti kitus Trojos arklys.
Jei sistema yra užkrėsta kenkėjiška programa iš Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Win32.Crybola, Trojan-Ransom.Win32.Cryakl „Trojan-Ransom“ šeimos. Win32.CryptXXX, visi failai kompiuteryje bus užšifruoti taip:
- Kai Trojan-Ransom.Win32.Rannoh yra užkrėstas, pavadinimai ir plėtiniai pasikeis pagal užrakinimo šabloną.<оригинальное_имя>.<4 произвольных буквы>.
- Kai Trojan-Ransom.Win32.Cryakl yra užkrėstas, failų turinio pabaigoje pridedamas ženklas (CRYPTENDBLACKDC).
- Kai Trojan-Ransom.Win32.AutoIt yra užkrėstas, plėtinys keičiasi pagal šabloną<оригинальное_имя>@<почтовый_домен>_.<набор_символов>.
Pavyzdžiui, [apsaugotas el. paštas] _.RZWDTDIC. - Kai Trojan-Ransom.Win32.CryptXXX yra užkrėstas, plėtinys keičiasi pagal šablonus<оригинальное_имя>.crypt,<оригинальное_имя>.kriptas ir<оригинальное_имя>.cryp1.
„RannohDecryptor“ programa skirta iššifruoti failus užkrėtus Trojan-Ransom.Win32.Polyglot, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.AutoIt, Trojan-Ransom.Win32.Fury, Trojan-Ransom.Crybola32. , Trojan- Ransom.Win32.Cryakl arba Trojan-Ransom.Win32.CryptXXX 1, 2 ir 3 versijos.
Kaip išgydyti sistemą
Norėdami išgydyti užkrėstą sistemą:
- Atsisiųskite RannohDecryptor.zip failą.
- Užkrėstame kompiuteryje paleiskite failą RannohDecryptor.exe.
- Pagrindiniame lange spustelėkite Pradėti tikrinimą.
- Nurodykite kelią į užšifruotą ir nešifruotą failą.
Jei failas užšifruotas naudojant Trojan-Ransom.Win32.CryptXXX, nurodykite didžiausius failus. Iššifruoti bus galima tik vienodo ar mažesnio dydžio failams. - Palaukite, kol baigsis šifruotų failų paieška ir iššifravimas.
- Jei reikia, iš naujo paleiskite kompiuterį.
- po užrakinimo -<оригинальное_имя>.<4 произвольных буквы>Norėdami ištrinti sėkmingo iššifravimo tipo užšifruotų failų kopijas, pasirinkite .
Jei failą užšifravo Trojan-Ransom.Win32.Cryakl, programa išsaugos failą senoje vietoje su plėtiniu .decryptedKLR.original_extension. Jei pasirinkote Ištrinkite užšifruotus failus po sėkmingo iššifravimo, iššifruotą failą programa išsaugos pradiniu pavadinimu.
- Pagal numatytuosius nustatymus programa išveda operacijos ataskaitą į šaknį sistemos diskas(diskas, kuriame įdiegta OS).
Ataskaitos pavadinimas yra toks: UtilityName.Version_Date_Time_log.txt
Pavyzdžiui, C:\RannohDecryptor.1.1.0.0_02.05.2012_15.31.43_log.txt
Sistemoje, užkrėstoje Trojan-Ransom.Win32.CryptXXX, programa nuskaito ribotą skaičių failų formatų. Kai vartotojas pasirenka failą, paveiktą CryptXXX v2, rakto atkūrimas gali užtrukti ilgai. Tokiu atveju paslaugų programa rodo įspėjimą.
