ویروس پرونده ها را رمزگذاری کرده و نام آنها را تغییر داد. نحوه رمزگشایی پرونده های رمزگذاری شده توسط ویروس

اخیراً ، فعالیت نسل جدیدی از برنامه های رایانه ای مخرب افزایش یافته است. آنها مدتها پیش (6 - 8 سال پیش) ظاهر شدند ، اما سرعت معرفی آنها در حال حاضر به حداکثر خود رسیده است. به طور فزاینده ای می توانید با این واقعیت روبرو شوید که ویروس فایل ها را رمزگذاری کرده است.

قبلاً مشخص شده است که این فقط یک بدافزار اولیه نیست ، به عنوان مثال (باعث ایجاد صفحه آبی می شود) ، بلکه برنامه های جدی است که به عنوان یک قاعده به داده های حسابداری آسیب می رساند. آنها تمام فایل های موجود را در دسترس قرار می دهند ، از جمله داده های حسابداری 1C ، docx ، xlsx ، jpg ، doc ، xls ، pdf ، zip.

خطر خاص ویروس های مورد بحث

این شامل این واقعیت است که در این مورد از کلید RSA استفاده می شود که به رایانه کاربر خاصی متصل است ، به همین دلیل رمزگشای جهانی ( رمزگشایی) غایب. ویروس های فعال شده در یکی از رایانه ها ممکن است در رایانه دیگر کار نکند.

خطر این است که بیش از یک سال است که برنامه های سازنده آماده ای در اینترنت قرار داده شده است و به kulkhackers اجازه می دهد این نوع ویروس را ایجاد کنند (افرادی که خود را هکر می دانند ، اما برنامه نویسی نمی خوانند).

در حال حاضر ، تغییرات قوی تر ظاهر شده است.

نحوه تزریق این بدافزار

این ویروس به طور معمول به بخش حسابداری شرکت ارسال می شود. ابتدا ، ایمیل بخشهای پرسنل ، بخشهای حسابداری از پایگاههای داده مانند ، به عنوان مثال ، hh.ru جمع آوری می شود. سپس نامه ها ارسال می شوند. آنها اغلب شامل درخواست پذیرش برای یک موقعیت خاص هستند. به چنین نامه ای با رزومه ، در داخل آن یک سند واقعی با یک شی OLE کاشته شده (فایل pdf با ویروس) وجود دارد.

در شرایطی که بخش حسابداری بلافاصله این سند را راه اندازی کرد ، موارد زیر پس از راه اندازی مجدد رخ داد: ویروس پرونده ها را تغییر نام داده و رمزگذاری کرده و سپس خود تخریب شده است.

این نوع نامه ها ، به عنوان یک قاعده ، به اندازه کافی از یک صندوق پستی غیر اسپم نوشته شده و ارسال می شود (نام مربوط به امضا است). خالی همیشه بر اساس فعالیت اصلی شرکت درخواست می شود ، بنابراین هیچ شبهه ای ایجاد نمی شود.

در این مورد نه "Kaspersky" (برنامه آنتی ویروس) مجاز ، و نه "Virus Total" (یک سرویس آنلاین برای بررسی پیوست ها برای ویروس ها) نمی توانند از رایانه محافظت کنند. گاهی اوقات ، برخی از برنامه های آنتی ویروس هنگام اسکن کردن ، اعلام می کنند که پیوست شامل Gen: Variant.Zusy.71505 است.

چگونه می توانم از ابتلا به این ویروس جلوگیری کنم؟

هر فایل دریافتی باید بررسی شود. توجه ویژه ای به اسناد Word که دارای فایلهای PDF هستند ، می شود.

انواع ایمیل های "آلوده"

تعداد زیادی از آن ها وجود دارد. رایج ترین گزینه ها برای نحوه فایل های رمزگذاری شده ویروس در زیر ارائه شده است. در همه موارد ، اسناد زیر از طریق ایمیل دریافت می شود:

  1. توجه به شروع روند رسیدگی به دعوی علیه یک شرکت خاص (این نامه پیشنهاد می کند که داده ها را با کلیک روی پیوند مشخص شده بررسی کنید).
  2. نامه دیوان عالی داوری فدراسیون روسیه در مورد وصول بدهی.
  3. پیامی از سوی Sberbank در مورد افزایش بدهی های موجود.
  4. اطلاع از رفع تخلفات راهنمایی و رانندگی
  5. نامه ای از آژانس جمع آوری که حداکثر تاخیر ممکن در پرداخت را نشان می دهد.

اعلان رمزگذاری فایل

پس از عفونت ، در پوشه اصلی درایو C ظاهر می شود. گاهی اوقات فایلهای نوع CHTO_DOE.txt ، CONTACT.txt در همه فهرستها با متن آسیب دیده قرار می گیرند. در آنجا ، کاربر از رمزگذاری پرونده های خود مطلع می شود ، که با استفاده از الگوریتم های رمزنگاری قابل اعتماد انجام می شود. و همچنین درباره عدم مصلحت استفاده از ابزارهای جانبی شخص ثالث هشدار داده می شود ، زیرا این می تواند منجر به آسیب دائمی به پرونده ها شود ، که به نوبه خود منجر به عدم امکان رمزگشایی بعدی آنها می شود.

توصیه می شود رایانه را در اعلان بدون تغییر بگذارید. این زمان ذخیره سازی کلید ارائه شده را نشان می دهد (به عنوان یک قاعده ، 2 روز است). تاریخ دقیق تعیین شده است ، پس از آن هر گونه تجدید نظر نادیده گرفته می شود.

در پایان ، یک ایمیل ارائه می شود. همچنین می گوید که کاربر باید شناسه خود را ارائه دهد و هر یک از اقدامات زیر می تواند منجر به حذف کلید شود ، یعنی:

چگونه فایل های رمزگذاری شده توسط ویروس را رمزگشایی کنیم؟

این نوع رمزگذاری بسیار قدرتمند است: فایل دارای یک پسوند به عنوان کامل ، بدون درد و غیره است. شکستن آن به سادگی غیرممکن است ، اما می توانید سعی کنید رمزنگاران را متصل کرده و دریچه ای پیدا کنید (در برخی موارد ، دکتر WEB به شما کمک می کند )

1 راه دیگر برای بازیابی فایل های رمزگذاری شده توسط یک ویروس وجود دارد ، اما برای همه ویروس ها کار نمی کند ، علاوه بر این ، شما باید exe اصلی را به همراه این برنامه مخرب بیرون بکشید ، که انجام آن پس از تخریب آسان نیست.

درخواست ویروس در مورد معرفی یک کد ویژه یک بررسی ناچیز است ، زیرا پرونده قبلاً رمزگشایی کرده است (کد ، به اصطلاح ، از مزاحمان مورد نیاز نخواهد بود). ماهیت این روش نوشتن دستورات خالی به ویروس نفوذ شده (در محل مقایسه کد وارد شده) است. در نتیجه ، برنامه مخرب خود شروع به رمزگشایی فایل ها می کند و در نتیجه آنها را به طور کامل بازیابی می کند.

هر ویروس دارای عملکرد رمزگذاری مخصوص به خود است ، به این معنی که یک فایل اجرایی شخص ثالث (فایل فرمت exe) را نمی توان رمزگشایی کرد ، یا می توانید سعی کنید عملکرد فوق را انتخاب کنید ، که برای انجام آن باید همه اقدامات را در WinAPI انجام دهید.

پرونده ها: چه باید کرد؟

برای انجام روش رمزگشایی ، شما نیاز دارید:

چگونه می توان از از دست رفتن اطلاعات به دلیل بدافزار موردنظر جلوگیری کرد؟

شایان ذکر است که در شرایطی که ویروس پرونده ها را رمزگذاری کرده است ، رمزگشایی آنها به زمان نیاز دارد. نکته مهم این است که خطایی در بدافزار مذکور وجود دارد که به شما امکان می دهد در صورت خاموش کردن سریع کامپیوتر برخی از فایل ها را ذخیره کنید (دوشاخه را وصل کنید ، محافظ برق را خاموش کنید ، در صورت لپ تاپ باتری را بردارید) به محض ظاهر شدن تعداد زیادی فایل با پسوند مشخص شده قبلی ...

یک بار دیگر ، باید تأکید کرد که نکته اصلی این است که دائماً یک نسخه پشتیبان تهیه کنید ، اما نه در پوشه دیگری ، نه در یک رسانه قابل جابجایی که در رایانه قرار داده شده است ، زیرا این اصلاح ویروس به این مکانها نیز می رسد. ارزش ذخیره نسخه پشتیبان تهیه در رایانه دیگر ، روی هارد دیسک که به طور دائمی به کامپیوتر متصل نیست ، و در ابر.

شخص باید با شک و تردید به تمام اسنادی که از طرف افراد ناشناس به ایمیل ارسال می شود (در قالب رزومه ، فاکتور ، قطعنامه های دیوان عالی داوری فدراسیون روسیه یا مقامات مالیاتی و غیره) برخورد کند. نیازی نیست آنها را روی رایانه خود اجرا کنید (برای این منظور می توانید یک نت بوک را انتخاب کنید که حاوی اطلاعات مهم نیست).

برنامه مخرب * [ایمیل محافظت شده]: نحوه حذف

در شرایطی که ویروس فوق فایلهای cbf ، doc ، jpg و غیره را رمزگذاری کرده است ، تنها سه گزینه برای توسعه رویداد وجود دارد:

  1. ساده ترین راه برای از بین بردن آن حذف تمام فایل های آلوده است (این قابل قبول است ، مگر اینکه داده ها بسیار مهم باشند).
  2. به آزمایشگاه برنامه ضد ویروس بروید ، برای مثال ، دکتر. وب ارسال چندین فایل آلوده به توسعه دهندگان به همراه کلید رمزگشایی ، که روی رایانه به عنوان KEY.PRIVATE قرار دارد ، الزامی است.
  3. گران ترین راه. این شامل پرداخت مبلغی است که هکرها برای رمزگشایی فایل های آلوده درخواست کرده اند. به عنوان یک قاعده ، هزینه این سرویس در محدوده 200 - 500 دلار آمریکا است. این در شرایطی قابل قبول است که ویروسی پرونده های یک شرکت بزرگ را که در آن جریان روزانه اطلاعات قابل توجهی جریان دارد ، رمزگذاری کرده باشد و این برنامه مخرب می تواند در عرض چند ثانیه آسیب عظیمی ایجاد کند. بنابراین ، پرداخت سریع ترین راه برای بازیابی فایل های آلوده است.

گاهی اوقات یک گزینه اضافی نیز مثر است. در صورتی که ویروس فایل ها را رمزگذاری کند ( [ایمیل محافظت شده] _com یا سایر بدافزارها) ممکن است چند روز پیش به شما کمک کند.

برنامه رمزگشایی RectorDecryptor

اگر ویروس فایل های jpg ، doc ، cbf و غیره را رمزگذاری کرده باشد ، یک برنامه ویژه می تواند به شما کمک کند. برای انجام این کار ، ابتدا باید به راه اندازی بروید و همه چیز را غیر از آنتی ویروس غیرفعال کنید. در مرحله بعد ، باید کامپیوتر خود را راه اندازی مجدد کنید. مشاهده همه پرونده ها ، موارد مشکوک را برجسته کنید. فیلدی با عنوان "Command" محل یک فایل خاص را نشان می دهد (باید به برنامه هایی که امضا ندارند توجه شود: تولید کننده - بدون داده).

همه پرونده های مشکوک باید حذف شوند ، پس از آن باید حافظه پنهان مرورگر ، پوشه های موقت را تمیز کنید (CCleaner برای این کار مناسب است).

برای شروع رمزگشایی ، باید برنامه فوق را بارگیری کنید. سپس آن را اجرا کرده و روی دکمه "شروع اسکن" کلیک کنید و فایل های اصلاح شده و پسوند آنها را نشان دهید. در نسخه های مدرن این برنامه ، فقط می توانید خود فایل آلوده را مشخص کرده و روی دکمه "باز" ​​کلیک کنید. سپس فایل ها رمزگشایی می شوند.

متعاقباً ، این ابزار به طور خودکار تمام داده های رایانه ، از جمله پرونده های واقع در درایو شبکه نقشه برداری را بررسی می کند و آنها را رمزگشایی می کند. این فرآیند بازیابی می تواند چندین ساعت طول بکشد (بسته به میزان کار و سرعت کامپیوتر).

در نتیجه ، تمام فایل های آسیب دیده در همان فهرست اصلی که در ابتدا قرار داشتند رمزگشایی می شوند. در پایان ، تنها چیزی که باقی می ماند این است که همه پرونده های موجود با پسوند مشکوک را حذف کنید ، برای این کار می توانید با کلیک روی دکمه "تغییر تنظیمات اسکن" کادر "حذف پرونده های رمزگذاری شده پس از رمزگشایی موفق" را علامت بزنید. با این حال ، بهتر است آن را نصب نکنید ، زیرا در صورت رمزگشایی ناموفق پرونده ها ، می توان آنها را حذف کرد ، و بعداً ابتدا باید آنها را بازیابی کنید.

بنابراین ، اگر ویروس فایل های doc ، cbf ، jpg و غیره را رمزگذاری کرده است ، نباید در پرداخت هزینه کد عجله کنید. شاید به او نیازی نباشد.

تفاوت های ظریف حذف فایل های رمزگذاری شده

وقتی سعی می کنید تمام فایل های آسیب دیده را از طریق یک جستجوی استاندارد و حذف بعدی حذف کنید ، ممکن است رایانه شما یخ زده و کند شود. در این رابطه ، برای این روش ، ارزش استفاده از روش خاصی را دارد. پس از شروع آن ، باید موارد زیر را وارد کنید: del «<диск>:\*.<расширение зараженного файла>" / F / s

حذف فایل هایی مانند "Read-me.txt" ، که برای آنها در همان خط فرمان باید مشخص کنید: del "<диск>:\*.<имя файла>" / F / s

بنابراین ، می توان توجه داشت که اگر ویروس نام فایل ها را تغییر نام داده و رمزگذاری کرده است ، نباید بلافاصله برای خرید کلید از مجرمان سایبری پول خرج کنید ، ابتدا باید خودتان مشکل را بیابید. بهتر است برای خرید یک برنامه ویژه برای رمزگشایی پرونده های خراب سرمایه گذاری کنید.

در نهایت ، شایان ذکر است که این مقاله در مورد نحوه رمزگشایی پرونده های رمزگذاری شده توسط یک ویروس بحث کرد.