Virus-encryptor: jak vyléčit a dešifrovat soubory? Dešifrovat soubory po kryptografickém viru
Sami o sobě viry jako počítačová hrozba dnes nikoho nepřekvapí. Pokud však dříve narušili systém jako celek, což způsobilo poruchy jeho provozuschopnosti, dnes s výskytem takové rozmanitosti jako šifrovacího systému virů se akce penetrační hrozby týkají více uživatelských dat. Představuje možná ještě větší hrozbu než destruktivní pro spustitelné aplikace systému Windows nebo špionážní applety.
Obsah
- Co je kryptografický virus?
- Zásada pronikání do systému a práce virového kódu
- Celkové důsledky proniknutí všech virů tohoto typu
- Škody způsobené kódem
- První narozený v rodině
- Nejnovější úpravy
- Xtbl virus
- Virus cbf
- Breaking_bad virus
- Virus [email protected]
- Virus-encryptor: jak vyléčit a dešifrovat soubory pomocí antivirového softwaru
- Možné způsoby ruční identifikace a vyřešení hrozby
- Kardinální metody
- Namísto následného slova
Co je kryptografický virus?
Samotný kód zapsaný v autokopy kopíruje šifrování téměř všech uživatelských dat pomocí speciálních kryptografických algoritmů, které neovlivňují systémové soubory operačního systému.
Nejprve logika vystavení viru mnohým nebyla zcela jasná. Vše se vyřešilo, pouze když hackeři, kteří vytvořili takové applety, začali požadovat peníze na obnovení původní struktury souborů. V tomto případě neumožňuje pronikání souborů šifrovacích souborů šifrovaných viry kvůli jeho vlastnostem. Chcete-li to provést, potřebujete speciální kód, pokud chcete, kód, heslo nebo algoritmus potřebný k obnovení obsahu, který hledáte.
Zásada pronikání do systému a práce virového kódu
Je pravidlem, že je velmi obtížné "vyzdvihnout" takovýto hukot na internetu. Hlavním zdrojem šíření „nákazy“, je e-mailem na úrovni nainstalován na určitém počítačovém terminálu, jako je program Outlook, Thunderbird, The Bat, atd Je třeba poznamenat najednou: .. E-mail webové servery nejsou ohroženy, protože mají vysoký stupeň ochrany a přístupu k uživatelským údajům je možné kromě toho, že na úrovni cloud storage.
Další věcí je aplikace na terminálu počítače. Zde je tedy pole působení virů tak široké, že je nemožné si představit. Je pravda, že zde také stojí za rezervaci: ve většině případů jsou viry zaměřeny na velké společnosti, ze kterých je možné "odtrhnout" peníze za poskytnutí kódu dešifrování. To je pochopitelné, protože nejen na terminálech místních počítačů, ale také na serverech takových firem lze uložit nejen to, co je úplně důvěrné informace, ale také soubory, tak řečeno, v jediné kopii, která v žádném případě nepodléhá zničení. A pak dešifrování souborů po kryptografickém viru je poměrně problematické.
Samozřejmě, obyčejný uživatel může podstoupit takový útok, ale ve většině případů je to nepravděpodobné, pokud si všimnete nejjednodušších doporučení pro otevírání příloh s rozšířeními neznámého typu. I když poštovní klient definuje přílohu s příponou .jpg jako standardní grafický soubor, musí být nejdříve zkontrolována pravidelným antivirový scanner, nainstalován v systému.
Pokud to neuděláte, když otevřete dvojklikem (standardní metoda) spustí aktivační kód a spustí proces šifrování, po kterém stejné Breaking_Bad (-encryptor virus), nejenže nebude smazán, ale soubory nelze obnovit po odstranění hrozby.
Celkové důsledky proniknutí všech virů tohoto typu
Jak již bylo řečeno, většina virů tohoto typu proniká do systému prostřednictvím e-mailu. No, řekněme dopis s obsahem jako "Změnili jsme smlouvu, prohlédli jsme si přílohu" nebo "Poslali jste nákladní list pro přepravu zboží (tam je kopie)" velké registrované organizaci. Samozřejmě, nic netušící zaměstnanec otevře soubor a ...
Všechny soubory uživatele na úrovni kancelářských dokumentů, multimediální, specializované aplikace AutoCAD projekty nebo dokonce nějaké zastřešující údaje okamžitě zašifrována, a je-li počítačový terminál se nachází v místní síti, může být virus dále přenášen pomocí šifrování dat na jiných strojích (je to patrné z "Brzdí" systém a zavěsí programy nebo běží aplikace v tuto chvíli).
Na konci šifrovacího procesu viru zřejmě vysílá původní zprávu, po které společnost může obdržet zprávu, že systém pronikl to a takovou hrozbu, a že to může dešifrovat pouze takovou a takovou organizaci. To se obvykle vztahuje na [email protected]. Dále přichází požadavek zaplatit za služby dešifrování s návrhem na odeslání několika souborů na e-mail klienta, který je nejčastěji fiktivní.
Škody způsobené kódem
Pokud někdo nerozuměl: dešifrování souborů po kryptografickém viru je náročný proces. Dokonce ani v případě, že nebudete "sledovat" požadavky útočníků a nebudete se snažit používat oficiální státní struktury k boji s počítačovými zločiny a zabránit jim, není obvykle nic užitečného.
Pokud odstraníte všechny soubory, udělejte obnovení systému a dokonce i zkopírovat původní data z vyměnitelného média (samozřejmě, pokud existuje taková kopie), stále s aktivovaným virem bude všechno šifrováno znovu. Není tedy nutné se oklamat, zvláště když vkládáte stejnou jednotku flash do USB portu, uživatel si ani nevšimne, jak virus šifruje data na něm. Přesně tak nebudete mít problémy.
První narozený v rodině
Nyní věnujme pozornost prvnímu kryptografickému viru. Jak vyléčit a dešifrovat soubory po dopadu spustitelného kódu, přiloženého do přílohy e-mailu s nabídkou známého, v době jeho vzhledu nikdo nikdy nenapadlo. Znalost velikosti katastrofy přišla s časem.
Ten virus měl romantické jméno "Miluji tě". Nelikvidující uživatel otevřel přílohu e-mailu a přijal zcela neopakovatelné multimediální soubory (grafiku, video a zvuk). Takové akce však vypadaly destruktivněji (poškozovaly mediální knihovny uživatelů) a nikdo nepotřeboval peníze.
Nejnovější úpravy
Jak můžeme vidět, vývoj technologie se stal velmi výnosným obchodem, zvláště s ohledem na skutečnost, že řada vedoucích velkých organizací okamžitě zaplatila za dešifrovací akce, aniž by si myslela, že je možné ztratit peníze i informace.
Mimochodem, nedívejte se na všechny tyto "levé" příspěvky na internetu, říkají: "Zaplatil jsem / zaplatil požadovanou částku, dostal jsem kód, vše bylo obnoveno." Nezmysly! Všechno to napsali vývojáři viru, aby přilákali potenciální, líto, "výhonky". Ale podle pravidel běžného uživatele je částka za platbu poměrně vážná: od stovek do několika tisíc nebo desítek tisíc eur nebo dolarů.
Nyní se podíváme na nejnovější typy virů tohoto typu, které byly relativně nedávno nastaveny. Všechny jsou prakticky podobné a odkazují se nejen na kategorii kryptografů, ale také na skupinu tak zvaných extortionistů. V některých případech se jedná správněji (například paycrypt), zdánlivě vysílá oficiální obchodní návrhy nebo zprávy, že se někdo stará o bezpečnost uživatele nebo organizace. Takový šifrovací program viru s jeho zprávou pouze uvízne uživatele. Pokud podnikne i ty nejmenší akce za platbu, všechny - "rozvod" bude v plné výši.
XTBL Virus
Poměrně nedávno se objevila Virus XTBL lze přičíst klasické verzi kryptografa. Obvykle proniká systémem prostřednictvím e-mailových zpráv obsahujících přílohy ve formě souborů s příponou .scr, která je standardní pro spořič obrazovky Windows. Systém a uživatel si myslí, že je vše v pořádku a aktivuje prohlížení nebo ukládání přílohy.
Bohužel, toto vede k smutné následky: názvy souborů jsou převedeny na sadu znaků a na hlavní rozšíření je přidána .xtbl, po kterém se požadovaná e-mailová zpráva dorazí na možnost dešifrování po zaplacení určité částky (obvykle 5000 rublů).
Virus CBF
Tento typ viru patří do klasiky žánru. Zobrazuje se v systému po otevření příloh e-mailů a poté přejmenuje uživatelské soubory a přidá na konci rozšíření jako .nochance nebo .perfect.
Bohužel, dešifrování šifrovacího modulu tohoto typu pro analýzu obsahu kódu ani ve stádiu jeho vzhledu v systému není možné, protože po dokončení jeho činnosti provádí samo-likvidaci. Dokonce i tak, jak mnozí věří, univerzální nástroj, jako je RectorDecryptor, nepomůže. Uživatel opět obdrží dopis s žádostí o platbu, který je dán po dobu dvou dnů.
Breaking_Bad Virus
Tento typ hrozby funguje stejným způsobem, přesto přejmenuje soubory ve standardní verzi a přidává k příponu .breaking_bad.
Tato situace není omezena. Na rozdíl od předchozích virů lze vytvořit další rozšíření -. Heisenberg, takže není vždy možné nalézt všechny infikované soubory. Takže Breaking_Bad (virus-encryptor) je docela vážná hrozba. Mimochodem, existují případy, kdy dokonce i licencovaný balík Kaspersky Endpoint Security 10 postrádá tento typ hrozby.
Virus [email protected]
Zde je ještě jedna možná nejvážnější hrozba, která je zaměřena většinou na velké komerční organizace. Zpravidla se na nějaké oddělení objeví dopis, který se zdá, že obsahuje změny dohody o dodávce nebo dokonce nákladní list. Příloha může obsahovat běžný soubor .jpg (typ obrázku), ale častěji spustitelný skript .js (applet Java).
Jak dekódovat kryptografický virus tohoto typu? Soudě podle skutečnosti, že používá nějaký neznámý algoritmus RSA-1024, nějakým způsobem. Pokud začneme s názvem, můžeme předpokládat, že je to 1024-bit šifrovací systém. Ale pokud si někdo vzpomene, dnes je 256-bitový AES považován za nejdokonalejší.
Virus-encryptor: jak vyléčit a dešifrovat soubory pomocí antivirového softwaru
K dnešnímu dni nebyl tento typ řešení dosud nalezen. Dokonce i tito mistry v oblasti antivirové ochrany, jako je Kaspersky, Dr.Sc. Web a Eset, nemůže najít klíč k vyřešení problému, když virusový šifrovací systém zdědil systém. Jak léčit soubory? Ve většině případů se doporučuje odeslat požadavek na oficiální stránky vývojáře antiviru (mimochodem, pouze pokud je v systému licencovaný software tohoto vývojáře).
V takovém případě je třeba připojit několik šifrovaných souborů a také jejich "zdravé" originály, pokud existují. Obecně platí, že málo lidí uchovává kopie dat, takže problém jejich nepřítomnosti jen zhoršuje již tak nepříjemnou situaci.
Možné způsoby ruční identifikace a vyřešení hrozby
Ano, skenování běžnými antivirovými hrozbami určuje a dokonce je odebere ze systému. Ale co informace?
Někteří se pokusí použít dešifrovací programy, jako je již zmíněná utilita RectorDecryptor (RakhniDecryptor). Okamžité upozornění: to nepomůže. A v případě viru Breaking_Bad to může dělat jen velkou škodu. A to je důvod.
Faktem je, že lidé, kteří vytvářejí takové viry, se snaží chránit sebe a dávají pokyny ostatním. Při použití nástroje pro dešifrování viru může reagovat tak, že je systém „fly off“, s úplným zničením všech dat uložených na pevném disku nebo v logických oddílů. To je, tak řečeno, ukázková lekce pro edification všem, kteří nechtějí platit. Zůstává spoléhat pouze na oficiální antivirové laboratoře.
Kardinální metody
Nicméně, pokud jsou věci opravdu špatné, budete muset obětovat informace. Chcete-li se úplně zbavit hrozby, musíte formátovat celý pevný disk, včetně virtuálních diskových oddílů, a znovu nainstalovat "operační systém".
Bohužel neexistuje žádná jiná cesta. Dokonce i vrácení systému dokud určitý uložený bod obnovy nepomůže. Ten virus pravděpodobně zmizí, ale soubory zůstanou šifrované.
Namísto následného slova
Na závěr je třeba poznamenat, že situace je následující: kodér-Virus do systému, dělá svou špinavou práci, a nemůže být vyléčen jakýmkoliv známým způsobem. Antivirová ochrana nebyla pro tento typ hrozby připravena. Je samozřejmé, že je možné detekovat virus po jeho působení nebo jej smazat. Šifrované informace zůstanou neatraktivní. Takže doufám, že nejlepší mozky antivirových softwarových firem stále najít řešení, přestože v závislosti na šifrovací algoritmus, bude velmi obtížné. Připomeňme alespoň šifra stroje Enigma, který během druhé světové války bylo německé námořnictvo. Nejlepší cryptographers nemůže vyřešit problém algoritmu pro dešifrování zpráv, dokud sehnal zařízení ve svých rukou. Tady jsou věci tady.
Jak mohu zkontrolovat telefon na viry?
Rozpoznat a zničit: mpsigstub.exe - co to je?
NO_MORE_RANSOM - jak dešifrovat šifrované soubory?- Produktivní obnovení systému souborů Windows
Jak a jak zkontrolovat soubor virů?
Virus šifroval všechny soubory. Co dělat v této situaci?
XTBL (virus-encryptor): jak dešifrovat? Dekryptor souborů po viru s příponou XTBL
Co a jak odstranit: virus odstraní soubory EXE nebo blokuje přístup k programům
Encryptor [email protected]: jak dešifrovat
XTBL jak dešifrovat? XTBL virus-encryptor
Virus Cbf (kryptografický virus): dešifruje. Rozšíření .cbf
Hrozby typu "virus_exe.exe": co je s nimi a jak s nimi jednat?
Jaké jsou charakteristické rysy počítačového viru?
Při práci se soubory může dojít k infekci počítačovým virem?
Jaký druh viru je Win32.Malware-gen: jak se ho zbavit?
Content Push: jak zcela odstranit virus?
PresentationFontCache.exe - co to je? Popis procesu
Recycler: co je tento virus a jak ho odstranit?- Šifrování souborů
Wininit.exe - co to je? Virus nebo personální proces
C: Windows System32 Sdclt.exe - nedílnou součást systému Windows