V poslední době došlo k prudkému nárůstu aktivity nové generace škodlivých počítačových programů. Objevily se již poměrně dávno (před 6 - 8 lety), ale tempo jejich implementace dosáhlo svého maxima právě teď. Stále častěji se můžete setkat s tím, že virus zašifroval soubory.
Je již známo, že se nejedná pouze o primitivní malware, například (způsobující modrou obrazovku), ale o závažné programy zaměřené na poškození zpravidla účetních dat. Šifrují všechny dostupné soubory, které jsou v dosahu, včetně účetních dat 1C, docx, xlsx, jpg, doc, xls, pdf, zip.
Zvláštní nebezpečí dotyčných virů
Spočívá v tom, že v tomto případě je použit klíč RSA, který je vázán na konkrétní počítač uživatele, proto univerzální dešifrovač ( dešifrovač) chybí. Viry aktivované v jednom z počítačů nemusí fungovat v jiném.
Nebezpečí je také v tom, že již více než rok jsou na internetu umístěny hotové buildery (buildery), které umožňují i coolhackerům (osobám, které se považují za hackery, ale nestudují programování) takový virus vyvinout.
Nyní se objevily výkonnější modifikace.
Způsob zavedení těchto škodlivých programů
Virus je účelově zasílán zpravidla do účetního oddělení společnosti. Za prvé, e-maily personálních oddělení, účetních oddělení se shromažďují z databází, jako je například hh.ru. Dále se rozesílají dopisy. Nejčastěji obsahují požadavek ohledně přijetí na konkrétní pozici. K takovému dopisu se životopisem, uvnitř kterého je skutečný dokument s implantovaným OLE objektem (pdf soubor s virem).
V situacích, kdy účetní pracovníci okamžitě spustili tento dokument, se po restartu stalo následující: virus přejmenoval a zašifroval soubory a poté se sám zničil.
Tento druh dopisu je zpravidla dostatečně napsán a odeslán z jiné než spamové schránky (jméno odpovídá podpisu). Volné místo je vždy požadováno na základě hlavní činnosti společnosti, proto nevzniká podezření.
Ani licencovaný "Kaspersky" (antivirový program) ani "Virus Total" (online služba pro kontrolu příloh na viry) v tomto případě nemohou počítač zabezpečit. Občas některé antivirové programy při skenování uvádějí, že příloha obsahuje Gen:Variant.Zusy.71505.
Jak se vyhnout infekci tímto virem?
Každý přijatý soubor by měl být zkontrolován. Zvláštní pozornost je věnována dokumentům aplikace Word, které mají vložený soubor pdf.
Varianty "nakažených" písmen
Je jich dost. Níže jsou uvedeny nejběžnější možnosti, jak soubory zašifrované virem. Ve všech případech jsou následující dokumenty zasílány e-mailem:
- Oznámení o zahájení procesu projednávání žaloby na konkrétní společnost (v dopise je doporučeno zkontrolovat údaje kliknutím na uvedený odkaz).
- Dopis Nejvyššího rozhodčího soudu Ruské federace o vymáhání pohledávek.
- Zpráva od Sberbank ohledně nárůstu stávajícího dluhu.
- Upozornění na odstranění dopravních přestupků.
- Dopis od inkasní agentury s uvedením maximální možné odložené platby.
Upozornění na šifrování souborů
Po infekci se objeví v kořenové složce jednotky C. Někdy jsou soubory jako WHAT_DO.txt, CONTACT.txt umístěny ve všech adresářích s poškozeným textem. Tam je uživatel informován o šifrování svých souborů, které se provádí pomocí spolehlivých krypto-odolných algoritmů. A také je varován před neúčelností používání nástrojů třetích stran, protože to může vést k trvalému poškození souborů, což následně znemožní jejich pozdější dešifrování.
Upozornění doporučuje ponechat počítač ve stejném stavu. Udává dobu uložení poskytnutého klíče (obvykle 2 dny). Je specifikováno přesné datum, po kterém budou jakékoli odvolání ignorovány.
Na konci je uveden e-mail. Také říká, že uživatel musí poskytnout své ID a že kterákoli z následujících akcí může vést ke zničení klíče, konkrétně:
Jak dešifrovat soubory zašifrované virem?
Tento druh šifrování je velmi výkonný: soubor dostane příponu jako perfect, nochance atd. Je prostě nemožné hacknout, ale můžete zkusit propojit kryptoanalytiku a najít mezeru (v některých situacích vám pomůže Dr. WEB ).
Existuje další způsob, jak obnovit soubory zašifrované virem, ale není vhodný pro všechny viry, kromě toho budete muset spolu s tímto malwarem extrahovat původní exe, což po sebezničení není snadné.
Požadavek viru na zavedení speciálního kódu je bezvýznamná kontrola, protože soubor v tuto chvíli již má dešifrovací nástroj (kód, abych tak řekl, útočníci nebudou vyžadováni). Podstatou této metody je zadávat prázdné příkazy do infiltrovaného viru (právě tam, kde se porovnává zadaný kód). V důsledku toho začne škodlivý program sám dešifrovat soubory a tím je zcela obnoví.
Každý jednotlivý virus má svou vlastní speciální šifrovací funkci, což znamená, že spustitelný soubor třetí strany (exe soubor) nelze dešifrovat, nebo můžete zkusit vyzvednout výše uvedenou funkci, pro kterou musíte provést všechny akce na WinAPI.
soubory: co dělat?
K provedení postupu dešifrování budete potřebovat:
Jak se vyhnout ztrátě dat kvůli dotyčnému malwaru?
Stojí za to vědět, že v situaci, kdy virus zašifroval soubory, bude chvíli trvat, než je dešifruje. Důležitým bodem je, že ve výše uvedeném malwaru je chyba, která umožňuje uložit některé soubory, pokud rychle vypnete počítač (vytáhněte zástrčku ze zásuvky, vypněte přepěťovou ochranu, vyjměte baterii z pouzdra notebooku), jakmile se objeví velké množství souborů s dříve zadanou příponou .
Ještě jednou je třeba zdůraznit, že hlavní je neustále vytvářet zálohy, ale ne do jiné složky, ne na vyměnitelná média vložená do počítače, protože tato modifikace viru se do těchto míst dostane. Zálohy se vyplatí ukládat na jiný počítač, na pevný disk, který není trvale připojen k počítači, a do cloudu.
Měli byste být podezřelí ke všem dokumentům, které přicházejí poštou od neznámých osob (ve formě životopisu, faktury, usnesení Nejvyššího rozhodčího soudu Ruské federace nebo daně atd.). Nemusíte je spouštět na svém počítači (pro tyto účely si můžete vybrat netbook, který neobsahuje důležitá data).
Škodlivý program * [e-mail chráněný]: způsoby, jak odstranit
V situaci, kdy výše uvedený virus zašifroval soubory cbf, doc, jpg atd., existují pouze tři scénáře vývoje události:
- Nejjednodušší způsob, jak se toho zbavit, je smazat všechny infikované soubory (to je přijatelné, pokud nejsou data zvláště důležitá).
- Jděte do laboratoře antivirového programu, například Dr. WEB. Nezapomeňte odeslat několik infikovaných souborů vývojářům spolu s dešifrovacím klíčem umístěným v počítači jako KEY.PRIVATE.
- Nejnákladnější způsob. Zahrnuje zaplacení částky požadované hackery za dešifrování infikovaných souborů. Cena této služby se zpravidla pohybuje v rozmezí 200 - 500 USD. To je přijatelné v situaci, kdy virus zašifroval soubory velké společnosti, ve které denně dochází k významnému toku informací, a tento škodlivý program může během několika sekund způsobit obrovské škody. V tomto ohledu je platba nejrychlejší možností pro obnovu infikovaných souborů.
Někdy se jako účinná ukáže další možnost. V případě, že virus zašifroval soubory ( [e-mail chráněný] _com nebo jiný malware) může pomoci před několika dny.
Program pro dešifrování RectorDecryptor
Pokud má virus zašifrované soubory jpg, doc, cbf atd., pak může pomoci speciální program. Chcete-li to provést, musíte nejprve přejít do spuštění a zakázat vše kromě antiviru. Dále je třeba restartovat počítač. Zobrazit všechny soubory, zvýraznit podezřelé. Pole s názvem "Příkaz" označuje umístění konkrétního souboru (pozor je třeba věnovat aplikacím, které nemají podpis: výrobce - žádná data).
Všechny podezřelé soubory musí být smazány, poté budete muset vyčistit mezipaměti prohlížeče, dočasné složky (k tomu je vhodný CCleaner).
Chcete-li spustit dešifrování, musíte si stáhnout výše uvedený program. Poté jej spusťte a klikněte na tlačítko "Zahájit kontrolu" a zadejte upravené soubory a jejich příponu. V moderních verzích tohoto programu můžete pouze určit samotný infikovaný soubor a kliknout na tlačítko "Otevřít". Poté budou soubory dešifrovány.
Následně obslužný program automaticky zkontroluje všechna data počítače včetně souborů umístěných na připojeném síťovém disku a dešifruje je. Tento proces obnovy může trvat několik hodin (v závislosti na množství práce a rychlosti vašeho počítače).
V důsledku toho budou všechny poškozené soubory dešifrovány do stejného adresáře, kde byly původně umístěny. Na závěr zbývá pouze smazat všechny existující soubory s podezřelou příponou, u čehož můžete zaškrtnout políčko „Po úspěšném dešifrování smazat zašifrované soubory“ kliknutím na tlačítko „Změnit nastavení kontroly“. Je však lepší jej neinstalovat, protože v případě neúspěšného dešifrování souborů může dojít k jejich smazání a následně je bude nutné nejprve obnovit.
Pokud tedy virus zašifroval soubory doc, cbf, jpg atd., neměli byste spěchat s platbou za kód. Možná to nebude potřebovat.
Nuance mazání zašifrovaných souborů
Při pokusu o odstranění všech poškozených souborů pomocí standardního vyhledávání a následném odstranění může počítač zamrznout a zpomalit se. V tomto ohledu se pro tento postup vyplatí použít speciální. Po jeho spuštění musíte zadat následující: del "<диск>:\*.<расширение зараженного файла>»/f/s.
Ujistěte se, že jste smazali soubory jako "Read-me.txt", pro které byste měli ve stejném příkazovém řádku zadat: del "<диск>:\*.<имя файла>»/f/s.
Lze tedy poznamenat, že pokud virus přejmenoval a zašifroval soubory, neměli byste okamžitě utrácet peníze za nákup klíče od vetřelců, měli byste se nejprve pokusit problém vyřešit sami. Je lepší investovat do nákupu speciálního programu na dešifrování poškozených souborů.
Nakonec je vhodné připomenout, že tento článek se zabýval otázkou, jak dešifrovat soubory zašifrované virem.