Virusni koder: kako izliječiti i dešifrirati datoteke? Dekriptiranje datoteka nakon kriptografskog virusa
Sami po sebi, virusi kao računalna prijetnja danas ne iznenađuju nikoga. Ali ako ranije su radili na sustavu u cjelini, što uzrokuje kvarove u svojoj izvedbi, danas, s dolaskom takve sorte, kao što su Encryptor virus prijetnji prodiru akcijskog zabrinutost zbog korisničkih podataka. Ona predstavlja, možda, čak i veću prijetnju od destruktivnih za izvršne aplikacije sustava Windows ili špijunskih aplikacija.
sadržaj
- Što je kriptografski virus?
- Načelo penetracije u sustav i rad virusnog koda
- Sveukupne posljedice penetracije svih virusa ove vrste
- Štetu od utjecaja koda
- Prvo u obitelji
- Najnovije izmjene
- Xtbl virus
- Cbf virus
- Breaking_bad virus
- Virus [email protected]
- Virusni koder: kako izliječiti i dešifrirati datoteke pomoću protuvirusnog softvera
- Mogući načini ručnog prepoznavanja i rješavanja prijetnje
- Kardinalne metode
- Umjesto nadopuna
Što je kriptografski virus?
Sam po sebi, kod koji je napisan u virusu koji samo za kopiranje podrazumijeva šifriranje gotovo svih korisničkih podataka posebnim kriptografskim algoritmima koji ne utječu na sistemske datoteke operacijskog sustava.
U početku, logika izloženosti virusa mnogima nije bila posve jasna. Svi su bili izbrisani samo kada hakeri koji su stvorili takve aplikacije počeo tražiti novac za vraćanje početne strukture datoteka. U tom slučaju, prodorni virus-enkriptor dešifrira datoteke zbog svojih mogućnosti ne dopušta. Da biste to učinili, potreban vam je poseban dekoder, ako želite, kod, zaporku ili algoritam koji je potreban da biste vratili sadržaj koji tražite.
Načelo penetracije u sustav i rad virusnog koda
U pravilu, prilično je teško "podići" takav napad na Internet. Glavni izvor širenja „zaraze” je e-mail na razini instaliran na određenom računalnom terminalu poput Outlook softvera, Thunderbird, Bat, itd Valja napomenuti odjednom: .. e web poslužitelji nisu pogođeni, jer imaju visok stupanj zaštite, i pristup do korisničkih podataka moguće je osim na razini pohranu oblaka.
Još jedna stvar je aplikacija na računalnom terminalu. Ovdje, dakle, za djelovanje virusa, polje je tako široko da je nemoguće zamisliti. Istina, ovdje također vrijedi rezervirati: u većini slučajeva, virusi su usmjereni na velike tvrtke, od kojih je moguće "odrezati" novac za davanje dekriptiranja kod. To je razumljivo jer se ne samo na računalima lokalnih računala nego i na poslužiteljima takvih tvrtki može pohraniti ne samo ono što je potpuno povjerljive informacije, ali i datoteke, tako da kažem, u jednoj kopiji, koja u svakom slučaju ne podliježe uništenju. A zatim dešifriranje datoteka nakon kriptografskog virusa postaje vrlo problematično.
Naravno, obični korisnik može proći takav napad, ali u većini slučajeva to je malo vjerojatno ako se primijetimo najjednostavnije preporuke za otvaranje privitaka s proširenjima nepoznate vrste. Čak i ako klijent e-pošte definira privitak s nastavkom .jpg kao standardnu grafičku datoteku, prvo ga mora provjeravati redovnim antivirusni skener, instaliran u sustav.
Ako ne, kada otvorite dvostrukim klikom (standardna metoda) počet će aktivacijski kod, te će započeti proces enkripcije, nakon čega isti Breaking_Bad (-encryptor virus), ne samo da neće biti izbrisan, ali datoteke ne mogu se vratiti nakon uklanjanja prijetnje.
Sveukupne posljedice penetracije svih virusa ove vrste
Kao što je već spomenuto, većina virusa ove vrste prodiru u sustav putem e-maila. Pa, recimo, u velikoj organizaciji, određeni preporučenom poštom pismo stigne sa sadržajem kao što su: „Mi smo promijenili ugovor, skenirati privitak” ili „Poslao si tovarni list za otpremu robe (kopiju tu negdje).” Naravno, bezazlen zaposlenik otvara datoteku i ...
Sve korisničke datoteke na razini uredske dokumente, multimedija, specijalizirana za AutoCAD projekti ili čak bilo dominantni podataka trenutno kodirati, a ako je računalni terminal se nalazi u lokalnoj mreži, virus može prenijeti dalje šifriranje podataka na drugim strojevima (to je vidljivo iz "Kočenje" sustava i objesiti programe ili pokrenuti aplikacije u ovom trenutku).
Na kraju procesa šifriranja virusa očito šalje originalni izvještaj, nakon čega je tvrtka može primiti poruku da sustav je prodrla takvu-i-takvu prijetnju, te da se samo može dešifrirati tu i takvu organizaciju. To se obično odnosi na [email protected]. Zatim tu je uvjet da plati za usluge u dešifriranju prijedlog za slanje više datoteka na e-mail klijent, često je prijevara.
Štetu od utjecaja koda
Ako netko nije razumio: dešifriranje datoteka nakon kriptografskog virusa je naporan proces. Čak i ako ne "slijedite" zahtjeve napadača i pokušate koristiti službene državne strukture za borbu protiv računalnih zločina i spriječiti ih, obično ništa vrijedi.
Ako izbrišete sve datoteke, napravite oporavak sustava i čak kopirati izvorne podatke s prijenosnog medija (naravno, ako postoji takva kopija), još uvijek s aktiviranim virusom sve će biti ponovno šifrirana. Stoga nije potrebno razmišljati, pogotovo kada umetnete isti bljesak voziti u USB priključak, korisnik neće ni primijetiti kako virus kriptira podatke na njemu. Tada nećete dobiti problema.
Prvo u obitelji
Sada ćemo obratiti pažnju na prvi kriptografski virus. Kako izliječiti i dešifrirati datoteke nakon utjecaja izvršne šifre, priložene u privitku e-pošte s ponudom poznanika, u vrijeme njenog pojavljivanja nitko nikad nije mislio. Svjesnost o veličini katastrofe samo je došlo s vremenom.
Taj virus imao je romantičan naziv "Volim te". Nezamisleni korisnik otvorio je privitak e-pošte i dobio potpuno ne reproducirajuće multimedijske datoteke (grafike, video i audio). Zatim su takve akcije bile destruktivnije (štete korisničkim medijskim knjižnicama), a nitko nije zahtijevao novac za to.
Najnovije izmjene
Kao što možete vidjeti, evolucija tehnologije postalo je vrlo koristan, pogotovo kad uzmete u obzir da mnogi menadžeri velikih organizacija radi trenutne akcije platiti dešifriranje, ne misleći da jer možete izgubiti novac i informacije.
Usput, nemojte gledati sve ove "lijeve" postove na internetu, kažu, "uplatio / uplatio potrebnu količinu, primio kod, sve je obnovljeno". Gluposti! Sve to napisali su programeri virusa kako bi privukli potencijal, žao nam je, "sisati". No, po standardima redovnog korisnika, iznos za plaćanje je vrlo ozbiljan: od stotina do nekoliko tisuća ili desetaka tisuća eura ili dolara.
Pogledajmo sada najnovije vrste virusa ove vrste, koji su relativno nedavno postavljeni. Svi su praktički slični i ne odnose se samo na kategoriju kriptografa, već i na skupinu tzv. Ekortionista. U nekim slučajevima oni djeluju ispravnije (poput paycrypt), naizgled slanje službenih poslovnih prijedloga ili poruka koje netko brine o sigurnosti korisnika ili organizacije. Takav virus-enkriptor sa svojom porukom samo zavarava korisnika. Ako poduzme čak i najmanje radnje na plaćanju, sve - "razvod" će biti u punom iznosu.
XTBL virus
Prošlo je relativno nedavno XTBL virus može se pripisati klasičnoj inačici kriptograma. Obično prodire u sustav putem poruka e-pošte koja sadrži privitke u obliku datoteka s ekstenzijom .scr, što je standardno za Windows screensaver. Sustav i korisnik misle da je sve u redu i aktivira pregled ili spremanje privitka.
Nažalost, to dovodi do žalosnih posljedica: imena datoteka se pretvaraju u niz znakova, a na glavni produžetak dodaje .xtbl, nakon čega željeni e-mail poruka stigne na mogućnost dešifriranja nakon uplate određenog iznosa (obično 5000 rubalja).
CBF virus
Ova vrsta virusa također pripada klasicima žanra. Pojavljuje se u sustavu nakon otvaranja privitaka e-pošte, a zatim preimenuje korisničke datoteke, dodajući na kraju proširenje kao što su .nochance ili .perfect.
Nažalost, dešifriranja šifra-virus za ovu vrstu analize kod sadržaja, čak u fazi njegovog pojavljivanja u sustavu nije moguće, jer je nakon završetka akcije proizvodi samouništenja. Čak i takvi, kao što mnogi vjeruju, univerzalni alat, kao što je RectorDecryptor, ne pomaže. Opet, korisnik prima pismo s zahtjevom za plaćanje, koji se daje dva dana.
Breaking_Bad virus
Ova vrsta prijetnje funkcionira na isti način, ali preimenuje datoteke u standardnu verziju, dodajući proširenje .breaking_bad.
Ta situacija nije ograničena. Za razliku od ranijih virusa, ovo može stvoriti još jedno proširenje -. Heisenberg, tako da nije uvijek moguće pronaći sve zaražene datoteke. Tako je Breaking_Bad (virus-encryptor) prilično ozbiljna prijetnja. Usput, postoje slučajevi kada čak i licencirani paket Kaspersky Endpoint Security 10 propušta ovu vrstu prijetnje.
Virus [email protected]
Ovo je još jedna, možda najozbiljnija prijetnja, koja je uglavnom usmjerena na velike komercijalne organizacije. U pravilu, pismo dolazi u neki odjel, koji čini se da sadrži izmjene u ugovoru o nabavi, ili čak teretnica. Privitak može sadržavati regularnu .jpg datoteku (vrstu slike), ali češće izvršnu .js skriptu (Java applet).
Kako dekodirati kriptografski virus ove vrste? Sudeći po činjenici da se na bilo koji način koristi neki nepoznati algoritam RSA-1024. Ako počnemo s imenom, možemo pretpostaviti da je to 1024 bita sustav šifriranja. No, ako se netko prisjeti, danas 256-bitni AES smatra se najuzvišenijima.
Virusni koder: kako izliječiti i dešifrirati datoteke pomoću protuvirusnog softvera
Do sada, dešifrirati prijetnje, ova vrsta rješenja još nije pronađena. Čak i takvi majstori u području antivirusne zaštite, kao što je Kaspersky, dr.Sc. Web i Eset ne mogu pronaći ključ za rješavanje problema kada je virusni enkriptor naslijedio sustav. Kako izliječiti datoteke? U većini slučajeva, su pozvani da pošalju upit na službenim stranicama antivirusni developer (usput, samo kad je sustav licenciranog softvera koji je programer).
U tom slučaju morate priložiti nekoliko šifriranih datoteka, kao i njihove "zdrave" izvornike, ako ih ima. Općenito, u velikoj mjeri, malo ljudi čuva kopije podataka, tako da problem njihova odsutnosti samo pogoršava već neugodnu situaciju.
Mogući načini ručnog prepoznavanja i rješavanja prijetnje
Da, skeniranje konvencionalnim antivirusnim prijetnjama određuje i čak ih uklanja iz sustava. Ali što je s informacijama?
Neki pokušavaju koristiti programe za dešifriranje poput već spomenutog programa RectorDecryptor (RakhniDecryptor). Zabilježite odmah: ovo ne pomaže. A u slučaju Breaking_Bad virusa, to može samo učiniti mnogo štete. I to je razlog zašto.
Činjenica je da ljudi koji stvaraju takve viruse, pokušavaju se zaštititi i dati upute drugima. Kada koristite programe za dešifriranje, virus može odgovoriti na takav način da cijeli sustav "leti" i potpuno uništava sve podatke pohranjene na tvrdom disku ili u logičkim particija. To je, tako da kažem, demonstracijska lekcija za izgrađivanje svima onima koji ne žele platiti. Ostaje se samo oslanjati na službene antivirusne laboratorije.
Kardinalne metode
Međutim, ako su stvari loše, morat ćete žrtvovati informacije. Da biste se potpuno riješili prijetnje, morate formatirati cijeli tvrdi disk, uključujući virtualne particije, a zatim ponovo instalirati "operativni sustav".
Na žalost, nema drugog načina izlaska. Čak i uklanjanje sustava dok određena spremljena točka oporavka ne pomaže. Možda će virus nestati, ali datoteke će ostati šifrirane.
Umjesto nadopuna
Zaključno treba napomenuti da je situacija sljedeća: virusni enkriptor prodire u sustav, radi svoj crni rad i ne liječi se niti jednim poznatim metodama. Antivirusna zaštita nije bila spremna za ovu vrstu prijetnje. Svakako je moguće otkriti virus nakon njegovog djelovanja ili je izbrisati. No, šifrirane informacije ostat će neprivlačne. Zato se nadam da će najbolji umovi antivirusnih softverskih tvrtki pronaći rješenje, iako će suditi algoritmima šifriranja, to će biti vrlo teško. Sjetite se barem Enigma šifriranje, koji je bio u njemačkoj mornarici tijekom Drugog svjetskog rata. Najbolji kriptografi nisu mogli riješiti problem algoritma za dešifriranje poruka sve dok nisu dobili uređaj u svoje ruke. Tako su stvari ovdje.
Prepoznajte i uništite: mpsigstub.exe - što je ovo?
Dostupno je važno ažuriranje: Kako onemogućiti? Je li to virus ili ne?
NO_MORE_RANSOM - kako dešifrirati šifrirane datoteke?
Što je to - roboot64.exe? Metode opisa i brisanja datoteka
XTBL (virus-enkriptor): kako dešifrirati? Dekriptor datoteka nakon virusa s ekstenzijom XTBL
Što i kako ukloniti: virus briše EXE datoteke ili blokira pristup programima
Encryptor [email protected]: kako dešifrirati
XTBL kako dešifrirati? XTBL virus-enkriptor
Cbf (kriptografski virus): dešifriranje. Prostor .cbf
Prijetnje tipa `virus_exe.exe`: što je to i kako se nositi s njima?
Resident virusi: što je i kako ih uništiti. Računalni virusi
Koje su razlike u računalnom virusu?
Može doći do infekcije s računalnim virusom tijekom rada s datotekama?
Ssfk.exe - Koji je ovaj virus? Kako mogu izbrisati?
Polimorfni virusi - što je to i kako se nositi s njima?
Kako ukloniti Anyprotect u cijelosti?
Kakav je virus Win32.Malware-gen: kako se riješiti?
Recikliranje: što je taj virus i kako ga ukloniti?
Tmp - što je to? Tmp: opis procesa
Wininit.exe - što je ovo? Virus ili proces osoblja
Što nije u redu s vašim računalom ili Klasifikacija virusa
Dostupno je važno ažuriranje: Kako onemogućiti? Je li to virus ili ne?
NO_MORE_RANSOM - kako dešifrirati šifrirane datoteke?
Što je to - roboot64.exe? Metode opisa i brisanja datoteka
XTBL (virus-enkriptor): kako dešifrirati? Dekriptor datoteka nakon virusa s ekstenzijom XTBL
Što i kako ukloniti: virus briše EXE datoteke ili blokira pristup programima
Encryptor 
XTBL kako dešifrirati? XTBL virus-enkriptor
Cbf (kriptografski virus): dešifriranje. Prostor .cbf
Prijetnje tipa `virus_exe.exe`: što je to i kako se nositi s njima?
Resident virusi: što je i kako ih uništiti. Računalni virusi