Kako saznati čime je datoteka šifrirana. Radne datoteke pretvorene u .xtbl: kroćenje ransomware virusa. Obavijest o šifriranju datoteka

“Oprostite što smetamo, ali... vaše su datoteke šifrirane. Da biste dobili ključ za dešifriranje, hitno prebacite određenu svotu novca u svoj novčanik... U protivnom će vaši podaci biti zauvijek uništeni. Imate 3 sata, vrijeme je prošlo.” I nije šala. Virus za šifriranje više je nego stvarna prijetnja.

Danas ćemo razgovarati o tome što je ransomware malware koji se proširio posljednjih godina, što učiniti ako se zarazi, kako izliječiti svoje računalo i je li to uopće moguće te kako se zaštititi od njih.

Šifriramo sve!

Ransomware virus (encryptor, cryptor) je posebna vrsta zlonamjernog ransomwarea čija se aktivnost sastoji od šifriranja korisničkih datoteka i zatim traženja otkupnine za alat za dešifriranje. Iznosi otkupnine počinju negdje od 200 dolara i dosežu desetke i stotine tisuća zelenih papirića.

Prije nekoliko godina radilo se samo na računalima Temeljen na sustavu Windows. Danas se njihov asortiman proširio na naizgled dobro zaštićene Linux, Mac i Android. Osim toga, raznolikost kriptora stalno raste - novi proizvodi pojavljuju se jedan za drugim, koji imaju nešto iznenaditi svijet. Dakle, nastao je “križanjem” klasičnog enkripcijskog Trojana i mrežnog crva (zloćudnog programa koji se širi mrežama bez aktivnog sudjelovanja korisnika).

Nakon WannaCryja pojavili su se ništa manje sofisticirani Petya i Bad Rabbit. A kako “posao šifriranja” svojim vlasnicima donosi dobre prihode, budite sigurni da nisu posljednji.

Sve više i više ransomwarea, osobito onih koji su objavljeni u posljednjih 3-5 godina, koristi strong kriptografski algoritmi, koji se ne može razbiti niti grubom silom niti drugim postojećim sredstvima. Jedini način za oporavak podataka je korištenje originalnog ključa, koji napadači nude za kupnju. Međutim, čak ni prijenos potrebnog iznosa njima ne jamči primitak ključa. Kriminalci se ne žure otkriti svoje tajne i izgubiti potencijalnu zaradu. I kakav im je smisao ispunjavati obećanja ako već imaju novac?

Putovi distribucije kriptirajućih virusa

Glavni način na koji zlonamjerni softver dospijeva na računala privatnih korisnika i organizacija je e-pošta, točnije datoteke i poveznice priložene e-pošti.

Primjer takvog pisma namijenjenog “korporativnim klijentima”:

• "Odmah otplatite dug po kreditu."
• “Tužba je predana sudu.”
• "Plati kaznu/pristojbu/porez."
• “Dodatna naknada za komunalne usluge.”
• "Oh, jesi li to ti na fotografiji?"
• “Lena me zamolila da ti hitno dam ovo” itd.

Slažem se, samo bi upućeni korisnik s takvim pismom postupao s oprezom. Većina će ljudi, bez oklijevanja, sama otvoriti privitak i pokrenuti maliciozni program. Usput, unatoč vapajima antivirusa.

Sljedeće se također aktivno koristi za distribuciju ransomwarea:

• Društvene mreže (slanje pošte s računa prijatelja i stranaca).
• Zlonamjerni i zaraženi web resursi.
• Banner oglašavanje.
• Slanje pošte putem glasnika s hakiranih računa.
• Vareznik stranice i distributeri keygena i cracka.
• Stranice za odrasle.
• Pohrane aplikacija i sadržaja.

Virusi za šifriranje često se prenose drugim zlonamjernim programima, posebice reklamnim demonstratorima i trojanskim konjima na stražnjim vratima. Potonji, koristeći ranjivosti u sustavu i softveru, pomažu kriminalcu da prođe daljinski pristup na zaraženi uređaj. Pokretanje kriptora u takvim slučajevima ne podudara se uvijek s potencijalno opasnim radnjama korisnika. Sve dok backdoor postoji u sustavu, napadač može prodrijeti u uređaj u bilo kojem trenutku i pokrenuti enkripciju.

Da bi se zarazila računala organizacija (uostalom, iz njih se može izvući više nego od kućnih korisnika), razvijaju se posebno sofisticirane metode. Na primjer, trojanac Petya prodro je u uređaje kroz modul za ažuriranje programa za porezno računovodstvo MEDoc.

Enkriptori s funkcijama mrežnih crva, kao što je već spomenuto, šire se mrežama, uključujući i Internet, putem ranjivosti protokola. I možete se njima zaraziti, a da ne učinite apsolutno ništa. Korisnici operacijskih sustava Windows koji se rijetko ažuriraju izloženi su najvećem riziku jer ažuriranja zatvaraju poznate rupe.

Neki malware, kao što je WannaCry, iskorištavaju 0-day ranjivosti, odnosno one kojih programeri sustava još nisu svjesni. Nažalost, nemoguće je u potpunosti odoljeti infekciji na ovaj način, ali vjerojatnost da ćete biti među žrtvama ne doseže ni 1%. Zašto? Da, jer zlonamjerni softver ne može zaraziti sve ranjive strojeve odjednom. I dok planira nove žrtve, programeri sustava uspijevaju objaviti spasonosno ažuriranje.

Kako se ransomware ponaša na zaraženom računalu

Proces enkripcije, u pravilu, počinje neprimjetno, a kada njegovi znakovi postanu očiti, prekasno je za spremanje podataka: do tada je zlonamjerni softver šifrirao sve do čega može doći. Ponekad korisnik može primijetiti kako datoteke u nekim otvorena mapa proširenje je promijenjeno.

Neopravdano pojavljivanje nove, a ponekad i druge ekstenzije na datotekama, nakon čega se one prestaju otvarati, apsolutno ukazuje na posljedice napada kriptora. Usput, obično je moguće identificirati zlonamjerni softver prema ekstenziji koju oštećeni objekti dobivaju.

Primjer toga što ekstenzije šifriranih datoteka mogu biti:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, itd.

Postoji puno opcija, a sutra će se pojaviti nove, pa nema smisla nabrajati ih sve. Da biste odredili vrstu infekcije, dovoljno je unijeti nekoliko ekstenzija u tražilicu.

Drugi simptomi koji neizravno ukazuju na početak šifriranja:

• Prozori naredbenog retka pojavljuju se na zaslonu na djelić sekunde. Najčešće je to normalna pojava prilikom instaliranja ažuriranja sustava i programa, ali bolje je ne ostavljati ga bez nadzora.
• UAC zahtijeva pokretanje nekog programa koji niste namjeravali otvoriti.
• Naglo ponovno pokretanje računala praćeno imitacijom rada uslužni program sustava provjera diska (druge varijante su moguće). Tijekom "provjere" događa se proces šifriranja.

Nakon što je zlonamjerna operacija uspješno dovršena, na ekranu se pojavljuje poruka sa zahtjevom za otkupninom i raznim prijetnjama.

Ransomware šifrira značajan dio korisničkih datoteka: fotografije, glazbu, video zapise, tekstualni dokumenti, arhive, pošta, baze podataka, datoteke s programskim ekstenzijama, itd. Ali oni ne diraju objekte operativnog sustava, jer napadačima nije potrebno da zaraženo računalo prestane raditi. Neki virusi zamjenjuju sami sebe zapisi o pokretanju diskovi i particije.

Nakon enkripcije, sve kopije u sjeni i točke oporavka obično se brišu iz sustava.

Kako izliječiti računalo od ransomwarea

Uklanjanje zlonamjernog softvera iz zaraženog sustava jednostavno je — gotovo svi antivirusni programi mogu se nositi s većinom njih bez poteškoća. Ali! Naivno je vjerovati da će rješavanje krivca riješiti problem: uklonite li virus ili ne, datoteke će i dalje ostati šifrirane. Osim toga, u nekim slučajevima to će komplicirati njihovo naknadno dešifriranje, ako je moguće.

Ispravan postupak prilikom pokretanja enkripcije

• Nakon što primijetite znakove enkripcije, Odmah isključite napajanje računala pritiskom i držanjem gumbaUključite 3-4 sekunde. Ovo će spasiti barem neke od datoteka.
• Stvorite na drugom računalu disk za pokretanje ili flash pogon s antivirusnim programom. Na primjer, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD itd.
• Pokrenite zaraženi stroj s ovog diska i skenirajte sustav. Uklonite sve pronađene viruse i držite ih u karanteni (u slučaju da su potrebni za dešifriranje). Tek nakon toga možete pokrenuti računalo s tvrdog diska.
• Pokušajte oporaviti šifrirane datoteke iz kopija u sjeni pomoću sistemskih alata ili pomoću treće strane.

Što učiniti ako su datoteke već šifrirane

• Ne gubite nadu. Web-mjesta programera antivirusnih proizvoda sadrže besplatne uslužne programe za dešifriranje različiti tipovi malware. Konkretno, komunalije iz Avast I Kaspersky Lab.
• Nakon što ste odredili vrstu kodera, preuzmite odgovarajući uslužni program, svakako to učiniti kopije oštećene datoteke i pokušati ih dešifrirati. Ako uspije, dešifrirajte ostatak.

Ako datoteke nisu dekriptirane

Ako nijedan od uslužnih programa ne pomogne, vjerojatno ste patili od virusa za koji još nema lijeka.

Što možete učiniti u ovom slučaju:

• Ako koristite plaćeni antivirusni proizvod, kontaktirajte njegov tim za podršku. Pošaljite nekoliko kopija oštećenih datoteka u laboratorij i pričekajte odgovor. U prisutnosti tehnička izvedivost oni će vam pomoći.

Usput, Dr.Web je jedan od rijetkih laboratorija koji pomaže ne samo svojim korisnicima, već i svima pogođenima. Na ovoj stranici možete poslati zahtjev za dešifriranje datoteke.

• Ako se pokaže da su datoteke beznadno oštećene, ali su vam od velike vrijednosti, možete se samo nadati i čekati da će se jednog dana pronaći lijek za spas. Najbolje što možete učiniti je ostaviti sustav i datoteke onakvima kakvi jesu, odnosno potpuno onemogućene i nekorištene HDD. Brisanje zlonamjernih datoteka, ponovna instalacija operativnog sustava, pa čak i njegovo ažuriranje može vas lišiti i ova prilika, budući da se pri generiranju ključeva za šifriranje/dešifriranje često koriste jedinstveni sistemski identifikatori i kopije virusa.

Plaćanje otkupnine nije opcija, jer je vjerojatnost da ćete dobiti ključ blizu nule. I nema smisla financirati kriminalni biznis.

Kako se zaštititi od ove vrste zlonamjernog softvera

Ne bih želio ponavljati savjete koje je svaki od čitatelja čuo stotine puta. Da, instaliraj dobar antivirus, nemojte klikati na sumnjive poveznice i blablabla - ovo je važno. Međutim, kako je život pokazao, čarobna pilula koja će vam dati 100% jamstvo sigurnosti danas ne postoji.

Jedina učinkovita metoda zaštite od ransomwarea ove vrste je sigurnosna kopija podaci drugim fizičkim medijima, uključujući usluge u oblaku. Sigurnosna kopija, sigurnosna kopija, sigurnosna kopija...

Činjenica da je Internet pun virusa danas nikoga ne čudi. Mnogi korisnici situacije vezane uz njihov utjecaj na sustave ili osobne podatke doživljavaju, najblaže rečeno, zatvarajući oči, ali samo dok ransomware virus konkretno ne zavlada sustavom. Većina običnih korisnika ne zna kako dezinficirati i dešifrirati podatke pohranjene na tvrdom disku. Dakle, ovaj kontingent je "naveden" na zahtjeve koje postavljaju napadači. Ali da vidimo što se može učiniti ako se otkrije takva prijetnja ili spriječiti njen ulazak u sustav.

Što je ransomware virus?

Ova vrsta prijetnje koristi standardne i nestandardne algoritme za šifriranje datoteka koji potpuno mijenjaju njihov sadržaj i blokiraju pristup. Na primjer, bit će apsolutno nemoguće otvoriti šifriranu tekstualnu datoteku za čitanje ili uređivanje, kao i reproducirati multimedijski sadržaj (grafiku, video ili audio) nakon izlaganja virusu. Nisu dostupne čak ni standardne akcije kopiranja ili premještanja objekata.

Sam virusni softver je alat koji šifrira podatke na takav način da se mogu vratiti početno stanjeČak i nakon uklanjanja prijetnje iz sustava, to nije uvijek moguće. Tipično, takvi maliciozni programi stvaraju svoje kopije i talože se vrlo duboko u sustavu, tako da virus za šifriranje datoteka može biti potpuno nemoguće ukloniti. Deinstaliranjem glavnog programa ili brisanjem glavnog tijela virusa, korisnik se ne rješava prijetnje, a kamoli vraća šifrirane informacije.

Kako prijetnja ulazi u sustav?

U pravilu, prijetnje ove vrste uglavnom su usmjerene na velike komercijalne organizacije i mogu prodrijeti kroz računala poštari kada zaposlenik otvori navodno priloženi dokument u e-pošta, što je recimo dodatak nekakvom ugovoru o suradnji ili planu nabave proizvoda (komercijalne ponude s ulaganjima iz sumnjivih izvora prvi su put za virus).

Problem je u tome što se ransomware virus na računalu koje ima pristup lokalnoj mreži može prilagoditi tome, stvarajući vlastite kopije ne samo u mrežnom okruženju, već i na administratorskom terminalu, ako nema potrebna sredstva zaštite u obliku antivirusnog softvera, vatrozida ili vatrozida.

Ponekad takve prijetnje mogu prodrijeti u računalni sustavi obični korisnici koji, uglavnom, nisu od interesa za napadače. To se događa tijekom instalacije nekih programa preuzetih sa sumnjivih internetskih izvora. Mnogi korisnici ignoriraju upozorenja antivirusnog sustava pri pokretanju preuzimanja, a tijekom procesa instalacije ne obraćaju pažnju na ponude za instaliranje dodatnog softvera, panela ili dodataka preglednika, a zatim, kako kažu, grizu svoje laktovima.

Vrste virusa i malo povijesti

Općenito, prijetnje ove vrste, posebno najopasniji ransomware virus No_more_ransom, klasificiraju se ne samo kao alati za šifriranje podataka ili blokiranje pristupa njima. Zapravo, sve takve zloćudne aplikacije spadaju u kategoriju ransomwarea. Drugim riječima, napadači traže određeni mito za dešifriranje informacija, vjerujući da bez primarni program proizvoditi ovaj proces bit će nemoguće. Ovo je djelomično točno.

No, zagrebete li u povijest, primijetit ćete da je jedan od prvih virusa ove vrste, iako nije tražio novac, bio zloglasni applet I Love You koji je u potpunosti šifrirao multimedijske datoteke (uglavnom glazbene zapise) na korisničkim sustavima . Dešifriranje datoteka nakon virusa ransomwarea tada se pokazalo nemogućim. Sada se upravo protiv te prijetnje može elementarno boriti.

Ali razvoj samih virusa ili korištenih algoritama šifriranja ne miruje. Što ima od virusa - tu imate i XTBL, i CBF, i Breaking_Bad, i [e-mail zaštićen], i hrpa drugih sranja.

Metoda utjecaja na korisničke datoteke

I ako se donedavno većina napada izvodila pomoću RSA-1024 algoritama temeljenih na AES enkripciji s istom dubinom bita, isti No_more_ransom otkupninski virus sada je predstavljen u nekoliko interpretacija pomoću ključeva šifriranja temeljenih na tehnologijama RSA-2048, pa čak i RSA-3072.

Problemi dešifriranja korištenih algoritama

Nevolja je u tome moderni sustavi dešifriranje pred takvom opasnošću pokazalo se nemoćnim. Dešifriranje datoteka nakon ransomware virusa temeljenog na AES256 još uvijek je donekle podržano, ali s obzirom na veću bitnu dubinu ključa, gotovo svi programeri jednostavno sliježu ramenima. To su, usput, službeno potvrdili stručnjaci iz Kaspersky Laba i Eseta.

U najprimitivnijoj verziji, od korisnika koji kontaktira službu za podršku traži se da pošalje šifriranu datoteku i njezin izvornik za usporedbu i daljnje operacije za određivanje algoritma šifriranja i metoda oporavka. Ali, u pravilu, u većini slučajeva to ne daje rezultate. Ali virus za šifriranje može sam dešifrirati datoteke, vjeruje se, pod uvjetom da žrtva pristane na uvjete napadača i plati određeni iznos u novcu. Međutim, ovakva formulacija pitanja izaziva opravdane sumnje. I zato.

Encryptor virus: kako dezinficirati i dekriptirati datoteke i može li se to učiniti?

Navodno, nakon plaćanja, hakeri aktiviraju dešifriranje putem daljinskog pristupa svom virusu koji se nalazi u sustavu ili putem dodatnog appleta ako se tijelo virusa izbriše. Ovo izgleda više nego sumnjivo.

Također bih želio napomenuti da je internet pun lažnih objava u kojima se tvrdi da je traženi iznos uplaćen i da su podaci uspješno vraćeni. Sve je to laž! I stvarno - gdje je garancija da se nakon uplate virus enkripcije neće ponovno aktivirati u sustavu? Nije teško razumjeti psihologiju provalnika: plati jednom, plati opet. A ako govorimo o posebnim važna informacija kao što su specifični komercijalni, znanstveni ili vojni razvoji, vlasnici takvih informacija voljni su platiti koliko god žele kako bi osigurali da datoteke ostanu sigurne i zdrave.

Prvi lijek za uklanjanje prijetnje

Ovo je priroda virusa za šifriranje. Kako dezinficirati i dekriptirati datoteke nakon izlaganja prijetnji? Nema šanse, ako nema dostupnih sredstava, koja također ne pomažu uvijek. Ali možete pokušati.

Pretpostavimo da se u sustavu pojavio ransomware virus. Kako izliječiti zaražene datoteke? Prvo, trebali biste izvršiti dubinsko skeniranje sustava bez korištenja S.M.A.R.T tehnologije, koja otkriva prijetnje samo kada su boot sektori i sistemske datoteke oštećeni.

Preporučljivo je ne koristiti postojeći standardni skener, koji je već propustio prijetnju, već koristiti prijenosne uslužne programe. Najbolja opcija bi bila dizanje s Kaspersky Rescue Diska, koji se može pokrenuti i prije pokretanja operativnog sustava.

Ali ovo je samo pola bitke, jer se na taj način možete riješiti samo samog virusa. Ali s dekoderom će biti teže. Ali o tome kasnije.

Postoji još jedna kategorija u koju spadaju ransomware virusi. O tome kako dešifrirati informacije raspravljat ćemo zasebno, ali za sada se zadržimo na činjenici da oni mogu postojati potpuno otvoreno u sustavu u obliku službenih instaliranih programa i aplikacije (bezobrazluk napadača nema granica jer se prijetnja niti ne pokušava prikriti).

U tom slučaju trebali biste koristiti odjeljak Programi i značajke, gdje se izvodi standardna deinstalacija. Međutim, morate obratiti pozornost na činjenicu da standardni deinstalacijski program za Windows sustave ne briše u potpunosti sve programske datoteke. Konkretno, virus za otkupninu može stvoriti vlastite mape u korijenskim direktorijima sustava (obično direktoriji Csrss, gdje je prisutna izvršna datoteka istog naziva csrss.exe). Odabrano je glavno mjesto Windows mape, System32 ili korisnički direktoriji (Korisnici na disku sustava).

Osim toga, otkupninski virus No_more_ransom upisuje vlastite ključeve u registar u obliku poveznice, naizgled na službeni sistemski servis Client Server Runtime Subsystem, što mnoge dovodi u zabludu, budući da bi ovaj servis trebao biti odgovoran za interakciju klijentskog i poslužiteljskog softvera. . Sam ključ nalazi se u mapi Run do koje se dolazi preko HKLM grane. Jasno je da će takve ključeve morati ručno brisati.

Da biste to olakšali, možete koristiti uslužne programe kao što je iObit Uninstaller, koji automatski traže zaostale datoteke i ključeve registra (ali samo ako je virus vidljiv na sustavu kao instalirana aplikacija). Ali ovo je najjednostavnija stvar koju možete učiniti.

Rješenja koja nude razvijači antivirusnog softvera

Vjeruje se da se dešifriranje ransomware virusa može izvesti pomoću posebne komunalije, iako ako imate tehnologije s ključem od 2048 ili 3072 bita, ne biste trebali računati na njih (osim toga, mnoge od njih brišu datoteke nakon dešifriranja, a zatim obnovljene datoteke nestaju zbog prisutnosti tijela virusa, koje nije prije izbrisan).

Ipak, možete pokušati. Od svih programa vrijedi istaknuti RectorDecryptor i ShadowExplorer. Vjeruje se da ništa bolje još nije stvoreno. Ali problem može biti i to što kada pokušate upotrijebiti dekriptor, nema jamstva da datoteke koje se izliječe neće biti izbrisane. To jest, ako se ne riješite virusa u početku, svaki pokušaj dešifriranja bit će osuđen na neuspjeh.

Osim brisanja šifriranih informacija, može doći i do kobnog ishoda - cijeli sustav neće raditi. Osim toga, moderni virus za šifriranje može utjecati ne samo na podatke pohranjene na tvrdom disku računala, već i na datoteke u pohrani u oblaku. Ali ne postoje rješenja za oporavak podataka. Osim toga, kako se pokazalo, mnoge usluge poduzimaju nedovoljno učinkovite mjere zaštite (isti OneDrive ugrađen u Windows 10, koji je izložen izravno iz operativnog sustava).

Radikalno rješenje problema

Kao što je već jasno, većina modernih metoda ne daje pozitivan rezultat kada je zaražen takvim virusima. Naravno, ako imate original oštećena datoteka, može se poslati na ispitivanje u antivirusni laboratorij. Istina, postoje vrlo ozbiljne sumnje da će prosječni korisnik izraditi sigurnosnu kopiju podataka, na koje, kada su pohranjeni na tvrdom disku, također može utjecati zlonamjerni kod. I da kako bi izbjegli probleme, korisnici kopiraju informacije na prijenosni medij, nema uopće pitanja.

Dakle, da bi se temeljno riješio problem, zaključak se nameće sam po sebi: potpuno oblikovanje tvrdi disk i sve logičke particije s izbrisanim podacima. Pa što učiniti? Morat ćete se žrtvovati ako ne želite da se virus ili njegova samospašena kopija ponovo aktiviraju u sustavu.

Da biste to učinili, ne biste trebali koristiti alate samih sustava Windows (to znači formatiranje virtualnih particija, jer kada pokušavate pristupiti sistemski disk bit će izdana zabrana). Bolje je pokrenuti sustav s optičkog medija kao što je LiveCD ili instalacijskih distribucija, poput onih koje su stvorene pomoću Alata za stvaranje medija za Windows 10.

Prije početka formatiranja, pod uvjetom da je virus uklonjen iz sustava, možete pokušati vratiti integritet komponenti sustava putem naredbeni redak(sfc /scannow), ali u smislu dešifriranja i otključavanja podataka to neće imati nikakvog učinka. Stoga je format c: jedini ispravan Moguće rješenje, htjeli vi to ili ne. To je jedini način da se u potpunosti riješite prijetnji ove vrste. Jao, nema drugog načina! Ravnomjerno liječenje standardnim sredstvima, koji nudi većina antivirusnih paketa, pokazuje se nemoćnim.

Umjesto pogovora

Što se tiče očitih zaključaka, možemo samo reći da danas ne postoji jedinstveno i univerzalno rješenje za otklanjanje posljedica ove vrste prijetnji (tužno, ali istinito - to je potvrdila većina programera i stručnjaka za antivirusni softver u području kriptografije).

Ostaje nejasno zašto je pojava algoritama temeljenih na 1024-, 2048- i 3072-bitnoj enkripciji prošla mimo onih koji su izravno uključeni u razvoj i implementaciju takvih tehnologija? Doista, danas se algoritam AES256 smatra najperspektivnijim i najsigurnijim. Obavijest! 256! Ovaj sustav, kako se pokazalo, nije dorastao modernim virusima. Što onda možemo reći o pokušajima dešifriranja njihovih ključeva?

Bilo kako bilo, izbjegavanje uvođenja prijetnje u sustav prilično je jednostavno. U samom jednostavna verzija Trebali biste provjeriti sve dolazne poruke s privicima Outlook programi, Thunderbird i drugi mail klijenti antivirus odmah nakon primitka i ni pod kojim uvjetima ne otvarajte privitke dok skeniranje ne završi. Također biste trebali pažljivo pročitati prijedloge za instaliranje dodatnog softvera prilikom instaliranja nekih programa (obično su napisani vrlo sitnim slovima ili maskirani kao standardni dodaci poput Flash ažuriranja Igrač ili nešto drugo). Bolje je ažurirati multimedijske komponente putem službenih web stranica. Ovo je jedini način da barem nekako spriječite takve prijetnje da prodru u vaš vlastiti sustav. Posljedice mogu biti potpuno nepredvidive, s obzirom da se virusi ovog tipa trenutno šire lokalnom mrežom. A za tvrtku takav razvoj događaja može rezultirati pravim krahom svih nastojanja.

Konačno, administrator sustava ne bi trebao sjediti besposlen. U takvoj situaciji bolje je isključiti alate za zaštitu softvera. Isti vatrozid (firewall) ne bi trebao biti softver, već "hardver" (naravno, s pratećim softverom na brodu). I, nije potrebno spominjati da ne biste trebali štedjeti ni pri kupnji antivirusnih paketa. Bolje je kupiti licencirani paket nego instalirati primitivne programe koji navodno pružaju zaštitu u stvarnom vremenu samo prema programeru.

A ako je prijetnja već prodrla u sustav, slijed radnji trebao bi uključivati ​​uklanjanje samog tijela virusa, a tek onda pokušaj dešifriranja oštećenih podataka. U idealnom slučaju, puni format (napomena, ne brzi s brisanjem tablice sadržaja, već potpuni, po mogućnosti s vraćanjem ili zamjenom postojećeg datotečnog sustava, sektora za pokretanje i zapisa).

Prvi ransomware trojanci iz obitelji Trojan.Encoder pojavili su se 2006.-2007. Od siječnja 2009. broj njihovih sorti porastao je za otprilike 1900%! Trenutno je Trojan.Encoder jedna od najopasnijih prijetnji za korisnike, koja ima nekoliko tisuća modifikacija. Od travnja 2013. do ožujka 2015. virusni laboratorij Doctor Weba primio je 8.553 zahtjeva za dešifriranje datoteka zahvaćenih Trojancima kodera.
Virusi za šifriranje gotovo su osvojili prvo mjesto u zahtjevima na forumima sigurnost informacija. Svaki dan u prosjeku 40 zahtjeva za dešifriranjem zaprime samo djelatnici virusnog laboratorija Doctor Web od zaraženih korisnika različite vrste ransomware trojanci ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, trezor i tako dalje). Glavni znakovi takvih infekcija su promjene ekstenzija korisničkih datoteka, kao što su glazbene datoteke, slikovnih datoteka, dokumenata itd., kada ih pokušate otvoriti, pojavljuje se poruka od napadača koji zahtijeva plaćanje za dobivanje dekriptora. Također je moguće promijeniti pozadinsku sliku radne površine, izgled tekstualnih dokumenata i prozora s odgovarajućim porukama o enkripciji, kršenju ugovori o licenciranju i tako dalje. Enkripcijski trojanci posebno su opasni za komercijalne tvrtke, budući da izgubljeni podaci iz baza podataka i dokumenata plaćanja mogu blokirati rad tvrtke na neodređeno vrijeme, što dovodi do gubitka dobiti.

Trojanci iz obitelji Trojan.Encoder koriste desetke različitih algoritama za šifriranje korisničkih datoteka. Na primjer, da biste pronašli ključeve za dešifriranje datoteka šifriranih pomoću Trojan.Encoder.741 metodom grube sile, trebat će vam:
107902838054224993544152335601 godina

Dešifriranje datoteka oštećenih Trojancem moguće je u najviše 10% slučajeva. To znači da je većina korisničkih podataka zauvijek izgubljena.

Danas ransomware zahtijeva do 1500 bitcoina.

Čak i ako platite otkupninu napadaču, neće vam dati nikakvo jamstvo za oporavak podataka.

Dolazi do neobičnosti - zabilježen je slučaj kada, unatoč plaćenoj otkupnini, kriminalci nisu uspjeli dešifrirati datoteke kriptirane pomoću Trojan.Encodera koji su sami izradili, te su pogođenog korisnika poslali po pomoć... službi tehničke podrške antivirusnog programa društvo!

Kako dolazi do infekcije?

• Putem privitaka e-pošte; Koristeći društveni inženjering, napadači prisiljavaju korisnika da otvori priloženu datoteku.
• Korištenje Zbot infekcija prerušenih u PDF privitke.
• Putem paketa za iskorištavanje koji se nalaze na hakiranim web stranicama koji iskorištavaju ranjivosti na računalu za instaliranje infekcije.
• Preko trojanaca koji nude preuzimanje playera potrebnog za gledanje online videa. To se obično događa na porno stranicama.
• Preko RDP-a, koristeći pogađanje lozinke i ranjivosti u ovom protokolu.
• Korištenje zaraženih keygena, cracka i uslužnih programa za aktivaciju.

Kada koristite pogađanje RDP lozinke, napadač sam dolazi pod hakiranim računom, sam ga gasi ili preuzima antivirusni proizvod i pokreće se samšifriranje.

Sve dok se ne prestanete plašiti pisama s naslovima “Dug”, “Kazneni postupak” i sl., napadači će iskorištavati Vašu naivnost.

Razmislite... Naučite sami i naučite druge najjednostavnijim osnovama sigurnosti!

• Nikada ne otvarajte privitke iz e-poruka primljenih od nepoznatih primatelja, koliko god zaglavlje bilo zastrašujuće. Ako je privitak stigao kao arhiva, potrudite se jednostavno pregledati sadržaj arhive. A ako postoji izvršna datoteka (ekstenzija .exe, .com, .bat, .cmd, .scr), onda je to 99.(9)% zamka za vas.
• Ako se još uvijek nečega bojite, nemojte biti lijeni da saznate istinu email adresa organizacija u čije ime vam je pismo stiglo. To nije tako teško saznati u našem informacijskom dobu.
• Čak i ako se ispostavi da je adresa pošiljatelja točna, nemojte biti lijeni provjeriti telefonom je li takvo pismo poslano. Adresa pošiljatelja može se lako lažirati pomoću anonimnih SMTP poslužitelja.
• Ako pošiljatelj kaže Sberbank ili Ruska pošta, to ne znači ništa. Uobičajena pisma bi idealno trebala biti potpisana elektroničkim potpisom. Pažljivo provjerite datoteke priložene takvim porukama e-pošte prije nego ih otvorite.
• Redovito izrađujte sigurnosne kopije informacija na zasebnim medijima.
• Zaboravite na korištenje jednostavnih zaporki koje je lako pogoditi i u koje je lako ući lokalna mreža organizacije pod vašim podacima. Za RDP pristup koristite certifikate, VPN pristup ili autentifikaciju u dva faktora.
• Nikada nemojte raditi s administratorskim pravima, obratite pozornost na poruke UACčak i ako imaju "Plava boja" potpisanu prijavu, nemojte kliknuti "Da", ako niste pokrenuli instalacije ili ažuriranja.
• Redovito instalirajte sigurnosna ažuriranja ne samo za operativni sustav, već i za aplikacijske programe.
• Instalirati lozinka za postavke antivirusnog programa, razlikuje se od lozinke račun, omogućite opciju samoobrane

Citirajmo preporuke Dr.Weba i Kaspersky Laba:

• odmah isključite računalo kako biste zaustavili trojanca, tipka Reset na vašem računalu može spasiti značajan dio podataka;
• Stranica za komentare: Unatoč činjenici da takvu preporuku daju poznati laboratoriji, u nekim će slučajevima njezina provedba zakomplicirati dešifriranje, budući da ključ može biti pohranjen u RAM memorija a nakon ponovnog pokretanja sustava bit će ga nemoguće vratiti. Kako biste zaustavili daljnju enkripciju, možete zamrznuti izvršenje procesa ransomwarea pomoću Process Explorera ili za daljnje preporuke.

Spoiler: Fusnota

Nijedan koder nije sposoban trenutno šifrirati sve podatke, tako da dok šifriranje nije dovršeno, neki dio ostaje netaknut. I što je više vremena prošlo od početka enkripcije, manje je netaknutih podataka ostalo. Budući da je naš zadatak spasiti ih što više, moramo zaustaviti rad enkodera. Možete, u principu, početi analizirati popis procesa, tražiti gdje je trojanac u njima, pokušati ga prekinuti... Ali, vjerujte mi, iskopčavanje strujnog kabela je puno brže! Uredan završetak Windows rad je dobra alternativa, ali može potrajati neko vrijeme ili se Trojanac može umiješati u njegove radnje. Dakle, moj izbor je povući uže. Bez sumnje, ovaj korak ima svoje nedostatke: mogućnost oštećenja datotečnog sustava i nemogućnost daljnjeg snimanja RAM dumpa. Oštećena sustav datoteka Za nepripremljenu osobu, problem je ozbiljniji od kodera. Barem datoteke ostaju nakon enkodera, ali oštećenje particijske tablice onemogućit će pokretanje OS-a. S druge strane, kompetentan stručnjak za oporavak podataka će popraviti istu particijsku tablicu bez ikakvih problema, ali koder možda jednostavno neće imati vremena doći do mnogih datoteka.

Za pokretanje kaznenog postupka protiv napadača, tijelima za provođenje zakona potreban je proceduralni razlog - vaša izjava o kaznenom djelu. Uzorak prijave

Budite spremni da će vam računalo biti oduzeto na neko vrijeme radi pregleda.

Ako odbiju prihvatiti vašu prijavu, primite pismenu odbijenicu i podnesite žalbu višoj policijskoj instanci (načelniku policije u vašem gradu ili regiji).

• Ni u kojem slučaju ne pokušavajte ponovno instalirati operativni sustav;
• nemojte brisati nikakve datoteke ili poruke e-pošte na svom računalu;
• nemojte pokretati nikakve "čistače" privremenih datoteka i registra;
• Ne biste trebali skenirati i tretirati svoje računalo antivirusnim programima i antivirusnim programima, a posebno antivirusnim LiveCD-ima, kao posljednje sredstvo, možete premjestiti zaražene datoteke u antivirusnu karantenu;

Spoiler: Fusnota

Za dešifriranje može biti od najveće važnosti neupadljiva datoteka od 40 bajta u privremenom direktoriju ili nerazumljivi prečac na radnoj površini. Vjerojatno ne znate hoće li biti važni za dešifriranje ili ne, pa je bolje ništa ne dirati. Čišćenje registra općenito je sumnjiv postupak, a neki enkoderi tamo ostavljaju tragove rada koji su važni za dekodiranje. Antivirusi, naravno, mogu pronaći tijelo trojanca kodera. A mogu ga i izbrisati jednom zauvijek, ali što će onda ostati za analizu? Kako ćemo razumjeti kako i čime su datoteke šifrirane? Stoga je bolje ostaviti životinju na disku. Još jedna važna točka: ne znam ni za jedan proizvod za čišćenje sustava koji uzima u obzir mogućnost rada enkodera i zadržava sve tragove njegovog rada. I, najvjerojatnije, takva sredstva se neće pojaviti. Ponovna instalacija sustava definitivno će uništiti sve tragove trojanca, osim šifriranih datoteka.

• ne pokušavajte oporaviti šifrirane datoteke on one's own;

Spoiler: Fusnota

Ako iza sebe imate nekoliko godina pisanja programa, stvarno razumijete što su RC4, AES, RSA i koje su razlike između njih, znate što je Hiew i što znači 0xDEADC0DE, možete pokušati. Ne preporučujem ga drugima. Recimo da ste pronašli neku čudesnu metodu za dešifriranje datoteka i čak ste uspjeli dešifrirati jednu datoteku. Ovo nije jamstvo da će tehnika raditi na svim vašim datotekama. Štoviše, to nije jamstvo da ovom metodom nećete još više oštetiti datoteke. Čak iu našem radu postoje neugodni trenuci kada se otkriju ozbiljne pogreške u kodu za dešifriranje, ali u tisućama slučajeva do ove točke kod je radio kako treba.

Sada kada je jasno što učiniti, a što ne, možete početi dešifrirati. U teoriji, dešifriranje je gotovo uvijek moguće. To je ako znate sve podatke potrebne za to ili imate neograničenu količinu novca, vremena i procesorskih jezgri. U praksi se nešto može dešifrirati gotovo odmah. Nešto će čekati na red nekoliko mjeseci ili čak godina. U nekim slučajevima ne morate se čak ni baviti time: nitko neće iznajmiti superračunalo besplatno na 5 godina. Loše je i to što se naizgled jednostavan slučaj nakon detaljnog ispitivanja pokaže iznimno složenim. Na vama je da odlučite kome ćete se obratiti.

• obratite se antivirusnom laboratoriju tvrtke koja ima odjel analitičara virusa koji se bave ovim problemom;
• Priložite trojanski šifriranu datoteku ulaznici (i, ako je moguće, njezinu nešifriranu kopiju);
• pričekajte odgovor analitičara virusa. Zbog velikog broja zahtjeva, ovo može potrajati neko vrijeme.

Kako oporaviti datoteke?

Adrese s obrascima za slanje šifriranih datoteka:

• Dr.Web (Zahtjevi za besplatno dešifriranje prihvaćaju se samo od korisnika sveobuhvatnog Drweb antivirusa)
• Kaspersky Lab (Zahtjevi za besplatno dešifriranje prihvaćaju se samo od korisnika Kaspersky Lab komercijalnih proizvoda)
• ESET, LLC ( Zahtjevi za besplatno dešifriranje prihvaćaju se samo od korisnika komercijalnih proizvoda ESET-a)
• Projekt No More Ransom (izbor razbijača šifri)
• Šifratori - iznuđivači (izbor dešifratora)
• ID Ransomware (izbor dekriptora)

Mi Apsolutno ne preporučamo sami vratite datoteke, jer ako to učinite nestručno, možete izgubiti sve informacije, a da ništa ne vratite!!! Osim toga, oporavak datoteka šifriranih određenim vrstama trojanaca to je jednostavno nemoguće zbog snage mehanizma šifriranja.

Pomoćni programi za oporavak izbrisane datoteke :
Neke vrste trojanaca za šifriranje stvaraju kopiju šifrirane datoteke, šifriraju je i brišu izvornu datoteku. U tom slučaju možete koristiti jedan od uslužnih programa za oporavak datoteke (preporučljivo je koristiti prijenosne verzije programa, preuzete i snimljene). na flash disku na drugom računalu):

• R.štediša
• Recuva
• JPEG Ripper - uslužni program za oporavak oštećenih slika
• JPGscan opis)
• PhotoRec - uslužni program za vraćanje oštećenih slika (opis)

Metoda rješavanja problema s nekim verzijama Lockdir

Mape šifrirane nekim verzijama Lockdir-a mogu se otvoriti pomoću programa za arhiviranje 7-zip

Nakon uspješnog oporavka podataka trebate provjeriti ima li u sustavu zlonamjernog softvera; trebali biste pokrenuti i stvoriti temu koja opisuje problem u odjeljku

Oporavak šifriranih datoteka pomoću operativnog sustava.

Kako biste vratili datoteke pomoću operativnog sustava, morate omogućiti zaštitu sustava prije nego što ransomware trojanac uđe na vaše računalo. Većina ransomware trojanaca pokušat će izbrisati sve kopije u sjeni na vašem računalu, ali ponekad to neće biti moguće (ako nemate administrativne ovlasti i instaliran Windows ažuriranja), a možete koristiti kopije u sjeni za oporavak oštećenih datoteka.

Zapamtite da naredba za brisanje kopija u sjeni:

Kodirati:

Vssadmin izbrišite sjene

radi samo s administratorskim pravima, tako da nakon uključivanja zaštite morate raditi samo kao korisnik s ograničenim pravima i pažljivo paziti na sva UAC upozorenja o pokušaju eskalacije prava.

Spojler: Kako omogućiti zaštitu sustava?

Kako vratiti prethodne verzije datoteka nakon što su oštećene?

Bilješka:

Vraćanje iz svojstava datoteke ili mape pomoću kartice " Prethodne verzije" dostupno samo u izdanjima sustava Windows 7 ne nižim od "Professional". Kućna izdanja sustava Windows 7 i sva izdanja novijih operativnih sustava Windows imaju zaobilazno rješenje (ispod spojlera).

Spojler

Drugi način - ovo je korištenje uslužnog programa ShadowExplorer(možete preuzeti i instalacijski program i prijenosnu verziju uslužnog programa).

Pokrenite program
Odaberite pogon i datum za koji želite vratiti datoteke

Odaberite datoteku ili mapu za oporavak i desnom tipkom miša kliknite na nju
Odaberite stavku izbornika Izvoz i odredite put do mape u koju želite vratiti datoteke iz kopije u sjeni.

Načini zaštite od ransomware trojanaca

Nažalost, metode zaštite od ransomware trojanaca za obični korisnici prilično su složeni, budući da su postavke sigurnosne politike ili HIPS potrebne za dopuštanje pristupa datotekama samo određenim aplikacijama i ne pružaju 100% zaštitu u slučajevima kada je trojanac uveden u adresni prostor provjerene aplikacije. Stoga jedini na pristupačan način zaštita je sigurnosno kopiranje korisničkih datoteka na prijenosni medij. Štoviše, ako je takav medij vanjski tvrdi disk ili flash pogon, ti bi mediji trebali biti povezani s računalom samo tijekom trajanja sigurnosne kopije, a ostatak vremena isključiti. Za veću sigurnost, sigurnosna kopija se može izvesti pokretanjem s LiveCD. Sigurnosne kopije također se mogu izvršiti na tzv. pohrana u oblaku " koje pružaju neke tvrtke.

postavke antivirusni programi kako bi se smanjila vjerojatnost zaraze enkripcijskim trojancima.

Odnosi se na sve proizvode:

Potrebno je uključiti modul samoobrane i postaviti složenu lozinku za postavke antivirusa!!!

PAŽNJA! Društvo ESET upozorava da U zadnje vrijeme zabilježena je povećana aktivnost i rizik od infekcije korporativna mreža malware, čije su posljedice:

1) Šifriranje povjerljivih informacija i datoteka, uključujući baze podataka 1C, dokumenti, slike. Vrsta kriptiranih datoteka ovisi o specifičnoj modifikaciji kriptora. Proces šifriranja provodi se prema složeni algoritmi i u svakom slučaju, šifriranje se odvija prema određenom obrascu. Stoga je šifrirane podatke teško vratiti.

2) U nekim slučajevima, nakon izvođenja zlonamjernih radnji, kriptor se automatski uklanja s računala, što komplicira postupak odabira dekriptora.

Nakon izvođenja zlonamjernih radnji, na ekranu zaraženog računala pojavljuje se prozor s informacijama “ Vaše datoteke su šifrirane", kao i zahtjeve za ransomware koji moraju biti ispunjeni da bi se dobio dekriptor.

2) Koristite antivirusna rješenja s ugrađenim modulom vatrozida ( ESET NOD32 Pametna sigurnost ) kako bi se smanjila vjerojatnost da napadač iskoristi ranjivost u RDPčak i ako potrebna ažuriranja operativnog sustava nisu dostupna. Preporuča se omogućiti naprednu heuristiku za pokretanje izvršnih datoteka (Dodatne postavke(F5) - Računalo - Zaštita od virusa i spywarea programi – Zaštita u stvarnom vremenu - Dodatne postavke. Osim, Provjerite je li ESET Live Grid omogućen(Napredne postavke (F5) - Uslužni programi - ESET Live Grid).

3) Uključeno poslužitelj pošte treba zabraniti primanje i prijenos izvršnih datoteka *.exe, i *.js, budući da napadači često šalju šifratore kao privitke elektronička pošta s fiktivnim podacima o naplati duga, informacijama o tome i drugim sličnim sadržajem, koji korisnika može navesti da otvori zlonamjerni privitak iz elektroničke pošte od napadača i time pokrene kriptor.

4) Onemogućite pokrenute makronaredbe u svim aplikacijama uključenim u Microsoft Office, ili sličan softver trećih strana. Makronaredbe mogu sadržavati naredbu za preuzimanje i izvršavanje zlonamjernog koda koji se izvršava kada normalno gledate dokument (na primjer, otvaranje dokumenta pod nazivom " Obavijest o naplati duga.doc"iz pisma kibernetičkih kriminalaca može dovesti do infekcije sustava čak i ako poslužitelj nije dopustio prolaz zlonamjernom privitku s izvršnom datotekom kriptora, pod uvjetom da u postavkama niste onemogućili izvršavanje makronaredbi uredski programi).

5) Vježbajte redovito Sigurnosna kopija(backup) važne informacije pohranjene na vašem računalu. Počevši od OS-a Windows Vista dio operativni sustavi Windows uključuje zaštitu sustava na svim pogonima, koja stvara sigurnosnu kopiju datoteka i mapa kada napravite sigurnosnu kopiju ili stvorite točku vraćanja sustava. Prema zadanim postavkama, ova je usluga omogućena samo za sistemska particija. Preporuča se omogućiti ovu značajku za sve odjeljke.

Što učiniti ako je do infekcije već došlo?

Ako ste postali žrtva kriminalaca i vaše su datoteke šifrirane, nemojte žuriti prebaciti novac na njihov račun kako biste odabrali dekriptor. Pod uvjetom da ste naš klijent, kontaktirajte tehničku podršku, možda ćemo moći odabrati dekoder za vaš slučaj ili je takav dekoder već dostupan. Da biste to učinili, trebate dodati uzorak šifratora i druge sumnjive datoteke, ako postoje, u arhivu i poslati nam tu arhivu koristeći . Također uključite nekoliko uzoraka šifriranih datoteka u arhivu. U komentarima navedite okolnosti pod kojima je došlo do zaraze, kao i svoje podatke o licenci i email za kontakt Za Povratne informacije.

Možete pokušati vratiti izvornu, nekriptiranu verziju datoteka iz kopija u sjeni, pod uvjetom da ovu funkciju je omogućen i ako kopije u sjeni nisu oštećene virusom šifratora. Više o ovome:

Za dobivanje dodatne informacije kontakt .

Nastavljam notorni dio na svojoj web stranici s još jednom pričom u kojoj sam i sam bio žrtva. Govorit ću o ransomware virusu Crusis (Dharma), koji je kriptirao sve datoteke na mrežnom disku i dao im nastavak .combo. Nije radio samo na lokalnim datotekama, kao što je to najčešće slučaj, već i na mrežnim datotekama.

Zajamčeno dešifriranje datoteka nakon ransomware virusa - dr-shifro.ru. Pojedinosti o radu i shemi interakcije s kupcem nalaze se u nastavku u mom članku ili na web stranici u odjeljku "Postupak rada".

Uvod

Priča će biti u prvom licu, budući da su podaci i infrastruktura kojom sam upravljao bili pogođeni kriptorom. Koliko god je tužno to priznati, ja sam dijelom kriv za ono što se dogodilo, iako poznajem kriptografe jako dugo. U svoju obranu reći ću da nije došlo do gubitka podataka, sve je brzo vraćeno i istraženo bez odlaganja. Ali prvo o svemu.

Dosadno jutro započelo je činjenicom da je u 9:15 nazvao administrator sustava s jedne udaljene stranice i rekao da na mreži postoji kriptor, podaci na mrežnim pogonima već su kriptirani. Prošla mi jeza po koži :) Počeo je sam provjeravati izvor zaraze, a ja sam sa svojima. Naravno, odmah sam otišao do poslužitelja, odspojio mrežne pogone i počeo gledati zapisnik pristupa podacima. Mrežni pogoni su konfigurirani na, moraju biti omogućeni. Iz dnevnika sam odmah vidio izvor zaraze, račun pod kojim je ransomware pokrenut i vrijeme početka enkripcije.

Opis Crusis (Dharma) ransomware virusa

Tada je krenula istraga. Šifrirane datoteke dobile su proširenje .kombo. Bilo ih je puno. Kriptograf je počeo raditi kasno navečer, otprilike oko 23 sata. Imao sam sreće - sigurnosna kopija zahvaćenih diskova u to je vrijeme bila upravo dovršena. Podaci se uopće nisu izgubili, budući da im je na kraju radnog dana napravljena sigurnosna kopija. Odmah sam krenuo s vraćanjem iz sigurnosne kopije koja je na zasebnom serveru bez SMB pristupa.

Virus je preko noći uspio kriptirati približno 400 GB podataka na mrežnim diskovima. Banalno brisanje svih šifriranih datoteka s combo ekstenzijom trajalo je dugo. Prvo sam ih htio sve odjednom obrisati, ali kada je samo brojanje ovih datoteka trajalo 15 minuta, shvatio sam da je beskorisno ovaj trenutak vrijeme. Umjesto toga, počeo sam preuzimati najnovije podatke i nakon toga očistio diskove od šifriranih datoteka.

Odmah ću vam reći jednostavnu istinu. Ažurirane, pouzdane sigurnosne kopije čine svaki problem rješivim. Ne mogu ni zamisliti što učiniti ako ih nema ili nisu relevantni. Sigurnosnim kopijama uvijek posvećujem posebnu pozornost. Brinem se o njima, njegujem ih i nikome ne dam pristup njima.

Nakon što sam pokrenuo oporavak šifriranih datoteka, imao sam vremena mirno razumjeti situaciju i pobliže pogledati virus šifriranja Crusis (Dharma). Ovdje su me čekala iznenađenja i iznenađenja. Izvor infekcije bio je virtualni stroj s Windows 7 s napuštenim rdp priključak preko rezervnog kanala. Port nije bio standardan - 33333. Mislim da je bila glavna greška koristiti takav port. Iako nije standardan, vrlo je popularan. Naravno, bolje je uopće ne prosljeđivati ​​rdp, ali u ovom slučaju je bilo stvarno potrebno. Usput, sada se umjesto ovog virtualnog stroja koristi i virtualni stroj s CentOS 7; on pokreće kontejner s xfce i preglednikom u Dockeru. Pa ovaj virtualni stroj nema pristup nigdje, samo tamo gdje treba.

Što je strašno u cijeloj ovoj priči? Virtualni stroj je ažuriran. Krajem kolovoza počeo je s radom kriptograf. Nemoguće je točno odrediti kada je stroj zaražen. Virus je izbrisao puno stvari u samom virtualnom stroju. Ažuriranja ovog sustava instalirana su u svibnju. Odnosno, na njemu ne bi trebalo biti starih otvorenih rupa. Sada čak i ne znam kako ostaviti rdp priključak dostupnim s interneta. Previše je slučajeva u kojima je to stvarno potrebno. Na primjer, terminalski poslužitelj na unajmljenom hardveru. Nećete također iznajmiti VPN gateway za svaki poslužitelj.

Priđimo sada bliže stvari i samom ransomwareu. Virtualni stroj ga je onemogućio mrežno sučelje, nakon toga sam ga pokrenuo. Dočekao me standardni znak, koji sam već mnogo puta vidio od drugih kriptografa.

Sve vaše datoteke su šifrirane! Sve vaše datoteke su šifrirane zbog sigurnosnog problema s vašim računalom. Ako ih želite obnoviti, pišite nam na e-mail [e-mail zaštićen] Napišite ovaj ID u naslov vaše poruke 501BED27 U slučaju da nema odgovora u roku od 24 sata pišite nam na ove e-mailove: [e-mail zaštićen] Morate platiti dešifriranje u bitcoinima. Cijena ovisi o tome koliko brzo nam pišete. Nakon uplate poslat ćemo vam alat za dešifriranje koji će dekriptirati sve vaše datoteke. Besplatno dešifriranje kao jamstvo Prije plaćanja možete nam poslati do 1 datoteke za besplatno dešifriranje. Ukupna veličina datoteka mora biti manja od 1Mb (nije arhivirano), a datoteke ne smiju sadržavati vrijedne informacije. (baze podataka, sigurnosne kopije, velike excel tablice itd.) Kako doći do bitcoina Najlakši način za kupnju bitcoina je stranica LocalBitcoins. Morate se registrirati, kliknuti "Kupi bitcoine", te odabrati prodavatelja po načinu plaćanja i cijeni. https://localbitcoins.com/buy_bitcoins Također možete pronaći druga mjesta za kupnju Bitcoina i vodič za početnike ovdje: Pažnja! Nemojte preimenovati šifrirane datoteke. Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može uzrokovati trajni gubitak podataka. Dešifriranje vaših datoteka uz pomoć trećih strana može uzrokovati povećanje cijene (oni dodaju svoju naknadu našoj) ili možete postati žrtva prijevare.

Na radnoj površini nalazile su se 2 tekstualne datoteke pod nazivom DATOTEKE ŠIFRIRANE.TXT sljedeći sadržaj:

Svi vaši podaci su nam zaključani. Želite li se vratiti? napiši e-mail [e-mail zaštićen]

Zanimljivo je da su se promijenile dozvole imenika Radna površina. Korisnik nije imao dopuštenje za pisanje. Očigledno je virus to učinio kako bi spriječio korisnika da slučajno izbriše informacije u tekstualnim datotekama s radne površine. Na radnoj površini nalazio se imenik Troja, koji je sadržavao sam virus - datoteku l20VHC_playload.exe.

Kako ransomware virus Crusis (Dharma) šifrira datoteke

Nakon što sam mirno sve shvatio i pročitao slične poruke na temu ransomwarea na internetu, saznao sam da sam uhvatio verziju poznatog Crusis (Dharma) ransomware virusa. Kaspersky to detektira kao Trojan-Ransom.Win32.Crusis.to. On stavlja različite ekstenzije u datoteke, uključujući .combo. Moj popis datoteka izgledao je otprilike ovako:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Reći ću vam još neke detalje o tome kako je ransomware radio. Nisam spomenuo važnu stvar. Ovo računalo bio u domeni. Datoteke su šifrirane od korisnika domene!!! Tu se postavlja pitanje odakle virus? Nisam vidio informacije o zapisnicima kontrolera domene i odabiru korisničke lozinke. Nije bilo puno neuspjelih prijava. Ili je iskorištena neka vrsta ranjivosti ili ne znam što da mislim. Korišteni račun na koji se nikad nije prijavio ovaj sustav. Došlo je do autorizacije putem rdp-a s domenskog korisničkog računa, a potom i kodiranja. Na samom sustavu također nije bilo tragova brute-force napada na korisnike i lozinke. Gotovo odmah sam se prijavio koristeći račun domene rdp. Trebalo je odabrati, barem, ne samo lozinku, već i ime.

Nažalost, račun je imao lozinku 123456. Ovo je bio jedini račun s tom lozinkom koji je promakao lokalnim administratorima. Ljudski faktor. Bio je to vođa i iz nekog razloga cijeli niz administratori sustava znao za ovu lozinku, ali je nije promijenio. Očito je to razlog za korištenje ovog konkretnog računa. Ali ipak, mehanizam za dobivanje čak i takav jednostavna lozinka i korisničko ime.

Zaražen ransomwareom virtualni stroj Isključio sam ga i izbrisao nakon snimanja slike diska. Virus je sam izvadio sliku iz njega kako bi pogledao njegov rad. Daljnja priča temeljit će se na pokretanju virusa u virtualnom računalu.

Još jedan mali detalj. Virus je skenirao cijelu lokalnu mrežu i istovremeno šifrirao podatke na onim računalima gdje su postojale neke zajedničke mape s pristupom svima. Ovo je prvi put da sam vidio takvu modifikaciju šifratora. Ovo je stvarno zastrašujuća stvar. Takav virus može jednostavno paralizirati rad cijele organizacije. Recimo da ste iz nekog razloga imali mrežni pristup samim sigurnosnim kopijama. Ili su koristili neku vrstu slabe lozinke za račun. Može se dogoditi da sve bude šifrirano - i podaci i arhivirane kopije. Općenito, sada razmišljam o pohranjivanju sigurnosnih kopija ne samo u izoliranom mrežnom okruženju, već općenito na isključenoj opremi koja se pokreće samo radi izrade sigurnosne kopije.

Kako liječiti svoje računalo i ukloniti Crusis (Dharma) ransomware

U mom slučaju, ransomware virus Crusis (Dharma) nije bio posebno skriven i njegovo uklanjanje ne bi trebalo predstavljati probleme. Kao što sam rekao, bio je u mapi na mojoj radnoj površini. Osim toga, snimio je sebe i Obavijest za automatsko pokretanje.

Tijelo samog virusa duplicirano je u odjeljku za pokretanje Pokretanje za sve korisnike i windows/sustav32. Nisam pažljivije gledao jer ne vidim smisao u tome. Nakon što ste zaraženi ransomwareom, toplo preporučujem ponovnu instalaciju sustava. To je jedini način da budete sigurni da ćete ukloniti virus. Nikada nećete biti potpuno sigurni da je virus uklonjen, jer je mogao koristiti neke još neobjavljene i nepoznate ranjivosti da ostavi oznaku u sustavu. Nakon nekog vremena, kroz ovu hipoteku možete dobiti nešto novi virus i sve će se ponavljati u krug.

Stoga preporučam da odmah nakon otkrivanja ransomwarea ne liječite svoje računalo, već ponovno instalirate sustav, sačuvavši preostale podatke. Možda virus nije uspio sve šifrirati. Ove se preporuke odnose na one koji ne namjeravaju pokušati oporaviti datoteke. Ako imate trenutne sigurnosne kopije, jednostavno ponovno instalirajte sustav i vratite podatke.

Ako nemate sigurnosne kopije i spremni ste vratiti datoteke pod svaku cijenu, pokušavamo uopće ne dirati računalo. Prije svega, jednostavno odspojite mrežni kabel, preuzmite nekoliko šifriranih datoteka i tekstualnu datoteku s informacijama čist flash pogon, zatim isključite računalo. Računalo se više ne može uključiti. Ako se uopće ne razumijete u računalne stvari, tada se nećete moći sami nositi s virusom, a još manje dekriptirati ili vratiti datoteke. Obratite se nekome tko zna. Ako mislite da možete nešto učiniti sami, onda čitajte dalje.

Gdje preuzeti dekriptor Crusis (Dharma).

Ono što slijedi je moj univerzalni savjet o svim ransomware virusima. Postoji web stranica - https://www.nomoreransom.org Teoretski bi mogla sadržavati dekriptor za Crusis ili Dharmu, ili neke druge informacije o dekriptiranju datoteka. U mojoj praksi to se nikada prije nije dogodilo, ali možda vam se posreći. Vrijedi pokušati. Da biste to učinili na početna stranica slažete se klikom DA.

Priložite 2 datoteke i zalijepite sadržaj informacijske poruke ransomwarea i kliknite Ček.

Ako budete imali sreće, dobit ćete neke informacije. U mom slučaju ništa nije pronađeno.

Svi postojeći dešifratori za ransomware prikupljeni su na zasebnoj stranici - https://www.nomoreransom.org/ru/decryption-tools.html Postojanje ovog popisa omogućuje nam da očekujemo da još uvijek ima smisla u ovoj stranici i usluzi. Kaspersky ima sličnu uslugu - https://noransom.kaspersky.com/ru/ Tamo možete okušati sreću.

Mislim da se ne isplati tražiti dešifratore bilo gdje drugdje putem internetske pretrage. Malo je vjerojatno da će se pronaći. Najvjerojatnije će to biti ili obična prijevara s neželjenim softverom u najboljem slučaju ili novi virus.

Važan dodatak. Ako imate instaliranu licenciranu verziju antivirusnog programa, svakako napravite zahtjev antivirusnom TP-u za dešifriranje datoteke. Ponekad stvarno pomaže. Vidio sam recenzije uspješnog dešifriranja pomoću antivirusne podrške.

Kako dešifrirati i oporaviti datoteke nakon virusa Crusis (Dharma).

Što učiniti kada je virus Crusis (Dharma) šifrirao vaše datoteke, niti jedna od prethodno opisanih metoda nije pomogla, a stvarno morate vratiti datoteke? Tehnička izvedba enkripcije ne dopušta dešifriranje datoteka bez ključa ili dekriptora, koji ima samo autor šifratora. Možda postoji neki drugi način da se to dobije, ali ja nemam tu informaciju. Možemo samo pokušati oporaviti datoteke pomoću improviziranih metoda. To uključuje:

• Alat kopije u sjeni prozori.
• Programi za oporavak izbrisanih podataka

Prije daljnjih manipulacija, preporučujem izradu slike diska sektor po sektor. To će vam omogućiti snimanje Trenutna država a ako ništa ne uspije, onda se barem možete vratiti na početnu točku i pokušati nešto drugo. Zatim trebate ukloniti sam ransomware pomoću bilo kojeg antivirusnog programa s najnovijim skupom antivirusne baze podataka. Hoću CureIt ili Kaspersky Alat za uklanjanje virusa. Možete instalirati bilo koji drugi antivirusni program u probnom načinu rada. Ovo je dovoljno za uklanjanje virusa.

Nakon toga se dižemo u zaraženi sustav i provjeravamo jesu li nam omogućene shadow kopije. Ovaj alat radi prema zadanim postavkama u sustavu Windows 7 i novijim, osim ako ga ručno ne onemogućite. Za provjeru otvorite svojstva računala i idite na odjeljak zaštite sustava.

Ako tijekom infekcije niste potvrdili zahtjev UAC-a za brisanje datoteka u kopijama u sjeni, tada bi neki podaci tamo trebali ostati. Za jednostavno vraćanje datoteka iz kopija u sjeni, predlažem korištenje besplatan program za tu svrhu - ShadowExplorer. Preuzmite arhivu, raspakirajte program i pokrenite ga.

Najnovija kopija datoteka i korijen pogona C otvorit će se s lijeve strane gornji kut može birati sigurnosna kopija, ako ih imate nekoliko. Provjerite dostupnost različitih primjeraka potrebne datoteke. Usporedite po datumima, gdje više Najnovija verzija. U mom primjeru u nastavku pronašao sam 2 datoteke na radnoj površini od prije tri mjeseca kada su zadnji put uređivane.

Uspio sam oporaviti ove datoteke. Da bih to učinio, odabrao sam ih, kliknuo desnom tipkom miša, odabrao Izvoz i odredio mapu u koju ću ih vratiti.

Možete odmah vratiti mape koristeći isti princip. Ako su vam kopije u sjeni radile, a niste ih izbrisali, imate dobre šanse za oporavak svih ili gotovo svih datoteka šifriranih virusom. Možda će nekih od njih biti više stara verzija, nego što bismo željeli, ali svejedno, bolje je nego ništa.

Ako iz nekog razloga nemate kopije u sjeni svojih datoteka, vaša jedina prilika da dobijete barem nešto od šifriranih datoteka je da ih vratite pomoću alata za oporavak izbrisanih datoteka. Da biste to učinili, predlažem korištenje besplatnog programa Photorec.

Pokrenite program i odaberite disk na koji ćete vratiti datoteke. Pokretanje grafičke verzije programa izvršava datoteku qphotorec_win.exe. Morate odabrati mapu u koju će biti smještene pronađene datoteke. Bolje je da se ova mapa ne nalazi na istom pogonu na kojem pretražujemo. Da biste to učinili, spojite flash pogon ili vanjski tvrdi disk.

Proces traženja trajat će dugo. Na kraju ćete vidjeti statistiku. Sada možete otići u prethodno navedenu mapu i vidjeti što se tamo nalazi. Najvjerojatnije će biti puno datoteka i većina će biti ili oštećena ili će biti nekakav sustav i beskorisne datoteke. Ali ipak, na ovom popisu možete pronaći neke korisne datoteke. Ovdje nema garancija; ono što pronađete to ćete i pronaći. Slike se obično najbolje restauriraju.

Ako vas rezultat ne zadovolji, postoje i programi za oporavak izbrisanih datoteka. Dolje je popis programa koje obično koristim kada trebam oporaviti najveći broj datoteka:

• R.štediša
• Starus oporavak datoteke
• JPEG Recovery Pro
• Active File Recovery Professional

Ovi programi nisu besplatni, stoga neću davati poveznice. Ako baš želite, možete ih sami pronaći na internetu.

Cijeli proces oporavka datoteka pomoću navedenih programa detaljno je prikazan u videu na samom kraju članka.

Kaspersky, eset nod32 i drugi u borbi protiv ransomwarea Crusis (Dharma)

Kao i obično, prošao sam kroz forume popularnih antivirusnih programa u potrazi za informacijama o ransomwareu koji instalira ekstenziju .combo. Postoji jasan trend širenja virusa. Puno zahtjeva počinje od sredine kolovoza. Sada se čini da nisu vidljivi, ali možda privremeno, ili se ekstenzija šifriranih datoteka jednostavno promijenila.

Evo primjera tipičnog zahtjeva s Kaspersky foruma.

Dolje je i komentar moderatora.

Forum EsetNod32 već je odavno upoznat s virusom koji instalira ekstenziju .combo. Koliko sam shvatio, virus nije jedinstven i nije nov, već je varijacija odavno poznate serije virusa Crusis (Dharma). Evo tipičnog zahtjeva za dešifriranje podataka:

Primijetio sam da na forumu Eset ima mnogo recenzija da je virus prodro u poslužitelj putem rdp-a. Čini se da je ovo stvarno jaka prijetnja i ne možete ostaviti rdp bez pokrića. Jedino pitanje koje se postavlja je kako virus ulazi preko rdp-a? Pogađa lozinku, povezuje se s poznatim korisnikom i lozinkom ili nešto treće.

Gdje ići za zajamčeno dešifriranje

Slučajno sam susreo jednu tvrtku koja zapravo dekriptira podatke nakon rada raznih enkripcijskih virusa, uključujući Crusis (Dharma). Njihova adresa je http://www.dr-shifro.ru. Plaćanje samo nakon dešifriranja i vaše verifikacije. Evo približne sheme rada:

1. Specijalist tvrtke dolazi u vaš ured ili dom i s vama potpisuje ugovor u kojem se utvrđuje trošak posla.
2. Pokreće dekriptor na vašem računalu i dekriptira neke datoteke.
3. Provjerite jesu li sve datoteke otvorene, potpišete potvrdu o obavljenom poslu i primite dekriptor.
4. Dešifrirate svoje datoteke i dovršavate preostale dokumente.

Ništa ne riskirate. Plaćanje tek nakon demonstracije rada dekodera. Napišite recenziju o svom iskustvu s ovom tvrtkom.

Metode zaštite od ransomware virusa

Neću nabrajati očite stvari o pokretanju nepoznatih programa s interneta i otvaranju privitaka u pošti. Sada to svi znaju. Osim toga, o tome sam mnogo puta pisao u svojim člancima u odjeljku o. Obratit ću pozornost na sigurnosne kopije. Oni ne samo da moraju postojati, već moraju biti nedostupni izvana. Ako je ovo neka vrsta mrežni pogon, tada poseban račun s jakom lozinkom mora imati pristup tome.

Ako napravite sigurnosnu kopiju osobnih datoteka na flash pogon ili vanjski disk, nemojte ih držati stalno spojene na sustav. Nakon stvaranja arhivske kopije, odspojite uređaje s računala. Idealan backup vidim na zasebnom uređaju, koji se uključuje samo da bi napravio backup, a zatim se ponovno fizički odspoji s mreže isključivanjem mrežnog kabela ili jednostavno gašenjem rada.

Sigurnosne kopije moraju biti inkrementalne. To je potrebno kako bi se izbjegla situacija da kriptor šifrira sve podatke, a da vi to ne primijetite. Izvršeno je sigurnosno kopiranje, čime su stare datoteke zamijenjene novima, ali već šifriranima. Kao rezultat, imate arhivu, ali nema nikakve koristi. Morate imati dubinu arhive od najmanje nekoliko dana. Mislim da će u budućnosti postojati, ako se već nisu pojavili, ransomware koji će tiho šifrirati dio podataka i čekati neko vrijeme a da se ne otkriju. To će biti učinjeno u očekivanju da će šifrirane datoteke završiti u arhivama i tamo, s vremenom, zamijeniti prave datoteke.

Ovo će biti teško vrijeme za korporativni sektor. Već sam gore naveo primjer s eset foruma, gdje su mrežni diskovi s 20 TB podataka bili šifrirani. Sada zamislite da imate takav mrežni pogon, ali samo 500G podataka je šifrirano u direktorijima kojima se ne pristupa stalno. Prođe nekoliko tjedana, nitko ne primjećuje šifrirane datoteke, jer su pohranjene u arhivskim direktorijima i s njima se ne radi stalno. Ali na kraju izvještajnog razdoblja potrebni su podaci. Odlaze tamo i vide da je sve šifrirano. Odu u arhivu, a tamo je dubina skladištenja recimo 7 dana. I to je sve, podaci su nestali.

To zahtijeva poseban, pažljiv pristup arhivima. Moram softver i resurse za dugoročnu pohranu podataka.

Video o dešifriranju i oporavku datoteka

Evo primjera slične modifikacije virusa, ali video je potpuno relevantan za combo.