Virusni koder: kako izliječiti i dešifrirati datoteke? Dekriptiranje datoteka nakon kriptografskog virusa
Sami po sebi, virusi kao računalna prijetnjadanas nitko ne iznenađuje. Ali ako su ranije utjecali na cijeli sustav, uzrokujući neuspjeh u njegovoj operativnosti, danas, s pojavom takve vrste kao virus-encryptor, akcije prodorne prijetnje odnose se na više korisničkih podataka. Ona predstavlja, možda, čak i veću prijetnju od destruktivnih za izvršne aplikacije sustava Windows ili špijunskih aplikacija.
Što je kriptografski virus?
Sam po sebi, kod koji je napisan samo kopiranjemvirus, uključuje enkripciju gotovo svih korisničkih podataka posebnim kriptografskim algoritmima koji ne utječu na sistemske datoteke operacijskog sustava.
U početku, logika izloženosti virusa mnogima nije bilapotpuno razumljivo. Svi su bili izbrisani samo kada hakeri koji su stvorili takve aplikacije počeo tražiti novac za vraćanje početne strukture datoteka. U tom slučaju, prodorni virus-enkriptor dešifrira datoteke zbog svojih mogućnosti ne dopušta. Da biste to učinili, potreban vam je poseban dekoder, ako želite, kod, zaporku ili algoritam koji je potreban da biste vratili sadržaj koji tražite.
Načelo penetracije u sustav i rad virusnog koda
U pravilu, "pokupite" takav zalogajInternet je dovoljno teško. Glavni izvor širenja „zaraze” je e-mail na razini instaliran na određenom računalnom terminalu poput Outlook softvera, Thunderbird, Bat, itd Valja napomenuti odjednom: .. e web poslužitelji nisu pogođeni, jer imaju visok stupanj zaštite, i pristup podaci korisnik je moguće, osim na razini oblak za pohranu.
Druga stvar je aplikacija na računaluterminal. Ovdje, dakle, za djelovanje virusa, polje je tako široko da je nemoguće zamisliti. Istina, ovdje također vrijedi rezervirati: u većini slučajeva, virusi su usmjereni na velike tvrtke, od kojih je moguće "odrezati" novac za davanje dekriptiranja kod. To je razumljivo, jer ne samo lokalni računalni terminali, već i poslužitelji takvih tvrtki mogu pohraniti ne samo one potpuno povjerljive informacije, nego i datoteke, tako da kažem, u jednoj kopiji, koja u svakom slučaju ne podliježe uništenju. A zatim dešifriranje datoteka nakon kriptografskog virusa postaje vrlo problematično.
Naravno, obični korisnik možepodvrgnuti takvom napadu, ali u većini slučajeva to je malo vjerojatno ako slijedite najjednostavnije smjernice za otvaranje privitaka s proširenjima nepoznate vrste. Čak i ako klijent pošte definira privitak s nastavkom .jpg kao standardnu grafičku datoteku, najprije se mora provjeriti redovitim antivirusnim skenerom koji je instaliran u sustavu.
Ako to nije učinjeno, dvostruko ga otvaratestandardni kod će biti aktiviran, a proces enkripcije će započeti, nakon čega će isti Breaking_Bad (kriptografski virus) biti ne samo instinktivno, ali se datoteke ne mogu vratiti nakon uklanjanja prijetnje.
Sveukupne posljedice penetracije svih virusa ove vrste
Kao što je već spomenuto, većina virusa ovogatip prodrijeti kroz sustav putem e-maila. Pa recimo pismo sa sadržajem poput "Promijenili smo ugovor, skenirali u privitku" ili "Poslali ste putopis za otpreme robe (kopija tamo)" velikoj registriranoj organizaciji. Naravno, zaposlenik bez sumnje otvara dosje i ...
Sve korisničke datoteke na razini uredadokumenti, multimedija, specijalizirane AutoCAD projekti ili čak bilo dominantni podataka trenutno kodirati, a ako je računalni terminal se nalazi u lokalnoj mreži, virus može prenijeti dalje šifriranje podataka na drugim strojevima (vidljivo je iz „kočenja” pad sustava programa ili trenutno pokrenutih aplikacija).
Na kraju postupka šifriranja, sam virus,očito, šalje svojevrsno izvješće, nakon čega tvrtka može dobiti poruku da je takva i takva prijetnja prodrla u sustav i da je samo takva i takva organizacija može odgonetnuti. To se obično odnosi na virus [email protected]. Slijedi zahtjev za plaćanjem usluga dešifriranja s prijedlogom slanja nekoliko datoteka na e-poštu klijenta, što je najčešće fiktivno.
Štetu od utjecaja koda
Ako netko nije razumio: dešifriranje datoteka nakon virus-šifra - proces je prilično intenzivan rad. Čak i ako ne „dovesti” do zlonamjernog zahtjevima i pokušati iskoristiti službene državne strukture na računalnom kriminalu i prevenciju, obično ništa dobro dobiva.
Ako izbrišete sve datoteke, vratite ihsustav, pa čak i kopirati izvorne podatke s prijenosnog medija (naravno, ako postoji takva kopija), sve zajedno s aktiviranim virusom sve će biti ponovno šifrirano. Stoga nije potrebno razmišljati, pogotovo kada umetnete isti bljesak voziti u USB priključak, korisnik neće ni primijetiti kako virus kriptira podatke na njemu. Tada nećete dobiti problema.
Prvo u obitelji
Sada obratimo pozornost na prvuŠifra-virus. Kako izliječiti i dešifrirati datoteke nakon utjecaja izvršne šifre, priložene u privitku e-pošte s ponudom poznanika, u vrijeme njenog pojavljivanja nitko nikad nije mislio. Svjesnost o veličini katastrofe samo je došlo s vremenom.
Taj virus imao je romantičan naziv "Volim"Vi ». Nezamisleni korisnik otvorio je privitak e-pošte i dobio potpuno ne reproducirajuće multimedijske datoteke (grafike, video i audio). Zatim su takve akcije bile destruktivnije (štete korisničkim medijskim knjižnicama), a nitko nije zahtijevao novac za to.
Najnovije izmjene
Kao što možemo vidjeti, evolucija tehnologije postala je dostapogotovo ako uzmemo u obzir da mnogi vođe velikih organizacija odmah bježe od platiti za dešifriranje akcija, potpuno ne misleći da je moguće izgubiti i novac i informacije.
Usput, nemojte gledati sve ove "lijevo"postove na internetu, kažu, "uplatio / uplatio traženu količinu, dobio kod, sve je obnovljeno". Gluposti! Sve to napisali su programeri virusa kako bi privukli potencijal, žao nam je, "sisati". No, po standardima redovnog korisnika, iznos za plaćanje je vrlo ozbiljan: od stotina do nekoliko tisuća ili desetaka tisuća eura ili dolara.
Sada pogledajte najnovije vrste virusa takvihtipa, koji su relativno nedavno popravljeni. Svi su praktički slični i ne odnose se samo na kategoriju kriptografa, već i na skupinu tzv. Ekortionista. U nekim slučajevima oni djeluju ispravnije (poput paycrypt), naizgled slanje službenih poslovnih prijedloga ili poruka koje netko brine o sigurnosti korisnika ili organizacije. Takav virus-enkriptor sa svojom porukom samo zavarava korisnika. Ako poduzme čak i najmanje radnje na plaćanju, sve - "razvod" će biti u punom iznosu.
XTBL virus
Relativno novi XTBL virus može bitipripisuje klasičnoj verziji kriptograma. Obično prodire u sustav putem poruka e-pošte koja sadrži privitke u obliku datoteka s ekstenzijom .scr, što je standardno za Windows screensaver. Sustav i korisnik misle da je sve u redu i aktivira pregled ili spremanje privitka.
Nažalost, to dovodi do tužnih posljedica: imena datoteka se pretvaraju u niz znakova, a na glavni produžetak dodaje .xtbl, nakon čega željeni e-mail poruka stigne na mogućnost dešifriranja nakon uplate određenog iznosa (obično 5000 rubalja).
CBF virus
Ova vrsta virusa također pripada klasicima žanra. Pojavljuje se u sustavu nakon otvaranja privitaka e-pošte, a zatim preimenuje korisničke datoteke, dodajući na kraju proširenje kao što su .nochance ili .perfect.
Nažalost, dešifriranje kriptografskog virusaOva vrsta analize sadržaja koda, čak i u trenutku njezina pojavljivanja u sustavu, nije moguća, budući da nakon obavljenih akcija provodi samoizlječenje. Čak i takvi, kao što mnogi vjeruju, univerzalni alat, kao što je RectorDecryptor, ne pomaže. Opet, korisnik prima pismo s zahtjevom za plaćanje, koji se daje dva dana.
Breaking_Bad virus
Ova vrsta prijetnje funkcionira na isti način, ali preimenuje datoteke u standardnu verziju, dodajući proširenje .breaking_bad.
Ta situacija nije ograničena. Za razliku od ranijih virusa, ovo može stvoriti još jedno proširenje -. Heisenberg, tako da nije uvijek moguće pronaći sve zaražene datoteke. Tako je Breaking_Bad (virus-encryptor) prilično ozbiljna prijetnja. Usput, postoje slučajevi kada čak i licencirani paket Kaspersky Endpoint Security 10 propušta ovu vrstu prijetnje.
Virus [email protected]
Evo još jedne, možda najozbiljnije prijetnje,što je uglavnom usmjereno na velike komercijalne organizacije. U pravilu, pismo dolazi u neki odjel, koji čini se da sadrži izmjene u ugovoru o nabavi, ili čak teretnica. Privitak može sadržavati regularnu .jpg datoteku (vrstu slike), ali češće izvršnu .js skriptu (Java applet).
Kako dešifrirati virus enkripcije ove vrste? Sudeći po činjenici da se koristi neki nepoznati algoritam RSA-1024, ni na koji način. Ako počnemo od naziva, možemo pretpostaviti da je to 1024-bitni sustav za enkripciju. Ali, ako se itko sjeća, danas 256-bitni AES smatra se najuzvišenijima.
Virus šifriranja: kako izliječiti i dešifrirati datoteke pomoću protuvirusnog softvera
Do danas, dešifrirati prijetnje takvimaNijedna vrsta rješenja još nije pronađena. Čak i takvi majstori u području antivirusne zaštite kao što su Kaspersky, Dr. Web i Eset ne mogu pronaći ključ za rješavanje problema kada je virus šifriranja naslijedio iz sustava. Kako izliječiti datoteke? U većini slučajeva predlaže se slanje zahtjeva službenim stranicama antivirusnog programera (usput, samo ako je licencirani softver ovog razvojnog programera u sustavu).
U tom slučaju morate priložiti nekoliko šifriranihdatoteke, kao i njihove "zdrave" originale, ako ih ima. Općenito, vrlo malo ljudi čuva kopije podataka, tako da problem njihova odsutnosti samo pogoršava već neugodnu situaciju.
Mogući načini ručnog identificiranja i uklanjanja prijetnje
Da, skeniranje s uobičajenim prijetnjama za zaštitu od virusa prepoznaje ih, čak ih i briše iz sustava. Ali što učiniti s informacijama?
Neki pokušavaju koristitiprogrami dekoderi poput već spomenutog programa RectorDecryptor (RakhniDecryptor). Odmah nas upozoravamo: to ne pomaže. A u slučaju Breaking_Bad virusa, to može učiniti samo štetu. I evo zašto.
Činjenica je da ljudi stvaraju takve virusepokušavajući se zaštititi i uputiti druge. Kada koristite programe za dešifriranje, virus može reagirati na takav način da će cijeli sustav "odletjeti" i potpuno uništiti sve podatke pohranjene na tvrdom disku ili u logičkim particionima. To je, na primjer, indikativna lekcija za izgradnju svih onih koji ne žele platiti. Potrebno se nadati samo službenim protuvirusnim laboratorijima.
Kardinalne metode
Međutim, ako su stvari loše, moratedonirajte informacije. Da biste se potpuno riješili prijetnje, morate formatirati cijeli tvrdi disk, uključujući virtualne particije, a zatim ponovo instalirati "OS".
Na žalost, nema drugog načina izlaska. Čak ni povlačenje sustava na određenu spremljenu točku vraćanja neće vam pomoći. Virus može nestati, ali datoteke će ostati šifrirane.
Umjesto nadopuna
Zaključno, valja istaknuti da je situacija sljedeća: virusni enkriptor prodire u sustav, radi svoj prljavi rad i ne tretira se na bilo koji poznati način. Antivirusna zaštita nije bila spremna za ovu vrstu prijetnje. Svakako je moguće otkriti ili ukloniti virus nakon izlaganja. No šifrirane informacije ostat će u neugodnom obliku. Zato se nadam da će najbolji umovi tvrtki za razvoj antivirusnog softvera i dalje pronaći rješenje, iako, prema algoritmima šifriranja, to će biti vrlo teško. Sjetite se barem Enigma šifriranje, koji je tijekom Drugog svjetskog rata bio u njemačkoj floti. Najbolji kriptografi nisu mogli riješiti problem algoritma za dešifriranje poruka sve dok nisu stigli do uređaja. Dakle, ovdje je.
