Вирус файлдарды шифрлеп, атын өзгертті. Вируспен шифрланған файлдарды қалай шифрлеу керек

Жақында зиянды компьютерлік бағдарламалардың жаңа буынынының белсенділігі байқалды. Олар өте ұзақ уақытқа (6 - 8 жыл бұрын) пайда болды, бірақ оларды жүзеге асыру қарқыны қазіргі уақытта ең жоғары деңгейге жетті. Вирус файлдарды шифрлағанын көре аласыз.

Белгілі болғандай, бұл қарапайым зиянды бағдарлама емес, мысалы компьютерді (көк экранның пайда болуына әкеліп соқтырады) бұғаттайды , бірақ, әдетте, бухгалтерлік деректерді зақымдауға бағытталған маңызды бағдарламалар. Олар қол жетімді барлық қолжетімді файлдарды, соның ішінде 1C есептік деректерін, docx, xlsx, jpg, doc, xls, pdf, zip сияқты шифрлайды.

Қаралып отырған вирустардың ерекше қауіпі

Сонымен қатар, белгілі бір пайдаланушының компьютеріне қосылған RSA-кілті пайдаланылады, сондықтан әмбебап деформатор ( децвет ) жоқ. Компьютерлердің біреуінде белсендірілген вирустар басқа жұмыс істемеуі мүмкін.

Сонымен қатар, бір жылдан астам уақыттан бері Интернетте дайын құрылысшылар (велосипедшілер) осындай қауіпті вирустарды дамытуға мүмкіндік беретін, тіпті мұндай хакерлерді (хакерлерді өздері деп есептейтін, бірақ программалауды үйренбейтін) мүмкіндік беретін қауіп.

Қазіргі уақытта күшті модификациялар пайда болды.

Зиянды бағдарламалық қамтамасыз етуді енгізу әдісі

Вирус, әдетте, компанияның есеп бөліміне мақсатты түрде жіберіледі. Біріншіден, кадрлар бөлімшелерінің электронды пошталары жинақталады, мысалы, hh.ru. Содан кейін біз хаттар жібереміз. Олар көбіне белгілі бір лауазымға түсу туралы өтінімді қамтиды. Осы хатқа имплантталған OLE нысаны (вируспен pdf файлы) бар нақты құжат болып табылатын жиынтықтамасы бар файл қосылады.

Бухгалтерлер осы құжатты бірден қайта бастаулар болған жағдайда, қайта жүктеуден кейін мынадай жағдайлар орын алды: вирус файлдарды қайта атады және шифрлайды, содан кейін өздігінен жойылады.

Мұндай хат, әдетте, тиісті түрде жазылады және қорап қорапшасынан жіберіледі (аты қолтаңбаға сәйкес келеді). Бос орын әрқашан компанияның профилактикалық қызметі негізінде сұралады, сондықтан күдік туындамайды.

Лицензияланбаған «Касперский» (антивирустық бағдарлама) немесе «Вирус Барлығы» (вирусқа қосымшаларды тестілеудің онлайн қызметі) компьютерді бұл жағдайда қорғай алмайды. Кейде кейбір антивирустық бағдарламалық жасақтама қосымшаның құрамында Gen: Variant.Zusy.71505 бар екенін тексереді.

Бұл вирустың инфекциясын болдырмау үшін қалай?

Әрбір алынған файлды тексеріңіз. Ерекше көңіл бөлінеді pdf форматындағы Vordovian құжаттар.

«Вирус жұқтырған» әріптердің нұсқалары

Олардың көпшілігі бар. Төменде вирус файлдарды шифрлау әдістерінің ең көп таралған нұсқалары берілген. Барлық жағдайларда электрондық поштаға келесі құжаттар жіберіледі:

1. Белгілі бір компанияға қатысты талап арызды қарастыру үдерісін бастау туралы хабарлама (хат сілтемеге басу арқылы деректерді тексеруді ұсынады).
2. Ресей Федерациясының Жоғарғы арбитраждық сотынан қарызды жинау туралы хат.
3. Сбербанктен бар қарызды ұлғайту туралы хабарлама.
4. Жол қозғалысы ережелерін бұзу туралы хабарлама.
5. Төлемді мерзімін кейінге қалдыруды көрсететін Топтама агенттігінен хат.

Файлды шифрлау туралы хабарландыру

Ол вирус C түбірлік қалтасынан инфекциядан кейін пайда болады. Кейде WHAT_DEL .txt, CONTACT.txt түріндегі файлдар бүлінген мәтіні бар барлық каталогтарда орналастырылады. Онда пайдаланушы сенімді шифрлауға төзімді алгоритмдер арқылы жүзеге асырылатын файлдарды шифрлау туралы хабардар. Сондай-ақ, оны үшінші тараптың утилиталарын пайдаланудың орынсыз екендігі туралы ескертіңіз, себебі бұл файлдарға соңғы зиян келтіруі мүмкін, бұл өз кезегінде кейінгі декодтаудың мүмкін еместігіне әкеледі.

Хабарламада компьютерді өзгеріссіз қалдыру ұсынылады. Берілген кілтті сақтау уақытын көрсетеді (әдетте 2 күн). Нақты мерзім белгіленеді, содан кейін емдеудің кез-келген түрін елемейді.

Ақыр соңында, электрондық пошта беріледі. Сондай-ақ, пайдаланушы өз идентификаторын көрсетуі керек және келесі әрекеттердің кез келгені кілтті жоюға әкелуі мүмкін екенін айтады, атап айтқанда:

• Қорлау;
• Толық төлемсіз мәліметтерді сұрау;
• Қауіп-қатерлер.

Вируспен шифрланған файлдарды қалай шифрлеу керек?

Мұндай шифрлау өте қуатты: файлға тамаша, кеңейтілген және т.б. сияқты кеңейтім тағайындалады. Бұзу мүмкін емес, бірақ сіз криптоаналистті қосып, бос орын таба аласыз (кейбір жағдайларда В.В.В. көмектеседі).

Вирус шифрланған файлдарды қалпына келтірудің тағы бір тәсілі бар, бірақ ол барлық вирустарға сәйкес келмейді, сондай-ақ өзін-өзі жоюдан кейін жасалмаған бұл зиянды бағдарламамен бірге түпнұсқа экземаны тартып алу қажет.

Арнайы кодты енгізу туралы вирустың сұрауы шағын тексеру болып табылады, себебі файлда сол кезде декодер бар (кодты қылмыскерлерден талап етілмейді). Бұл әдістің мәні бос командаларды еніп кеткен вирусқа (кіріс кодын салыстыру орнына) жазу болып табылады. Нәтижесінде, зиянды бағдарламаның өзі файлдарды шифрлауды бастайды және сол арқылы оларды толықтай қалпына келтіреді.

Әрбір жеке вирустың арнайы шифрлау функциясы бар, яғни ол сыртқы файлмен (exe форматындағы файл) шифрын алмайды немесе сіз WinAPI барлық әрекеттерді орындау үшін жоғарыда аталған функцияны таңдауға тырысуға болады.

Вирус файлдарды шифрлады: не істеу керек?

Шифрды шешу процедурасын орындау үшін сізге қажет:

1. Сақтық көшірме жасау ( бар файлдарды резервтік көшіру ). Шифрдың соңында бәрі өздігінен жойылады.
2. Компьютерде (вирус жұққан) осы зиянды бағдарламаны бастау керек, содан кейін кодты енгізу туралы сұрау бар терезе пайда болғанша күтіңіз.
3. Содан кейін Patcher.exe тіркелген мұрағат файлынан бастау керек.
4. Келесі қадам - вирустың технологиялық нөмірін енгізу, содан кейін Enter батырмасын басу керек.
5. Пайда болған пәрмендерді мәжбүрлеуді білдіретін «патчированный» хабары пайда болады.
6. Содан кейін, код енгізу өрісіне кез келген таңбаларды енгізіңіз, содан кейін «OK» түймешігін басыңыз.
7. Вирус файлдарды шифрлау процесін бастайды, соңында ол өзі жойылады.

Сұралған зиянды бағдарлама себебінен деректерді жоғалтуды қалай болдырмауға болады?

Вирус файлдарды шифрлаған жағдайда, шифрды шешуге уақыт кететінін білу керек. Маңыздысы, жоғарыда келтірілген зиянды бағдарламалық жасақтамада бұрын көрсетілген кеңейтілімі бар файлдардың үлкен саны пайда болған кезде, сіз компьютерді жылдам өшірсеңіз (электр сымын ажыратып, қуат сүзгісін өшіріңіз, ноутбуктің жағдайында батареяны алып тастасаңыз) файлдың бір бөлігін сақтауға мүмкіндік беретін қате бар .

Басқаша айтқанда, бастысы үнемі сақтық көшірме жасауға болады, бірақ компьютерге салынатын алынбалы медиаға емес, басқа қалтаға емес, өйткені бұл вирустың модификациясы осы жерлерге жетеді. Сақтық көшірмелерін басқа компьютерге, компьютерге бір уақытта қосылмаған қатты дискке және бұлтқа сақтау керек.

Белгісіз адамдардан (резюме, коносамент, РФ Жоғарғы арбитраж сотының шешімі немесе салық салу және т.б.) поштадан келген барлық құжаттарды күдікпен қарау керек. Оларды компьютеріңізде іске қоспаңыз (бұл үшін маңызды деректер жоқ нетбукту таңдауға болады).

Зиянды бағдарлама * .paycrypt @ gmail.com: түзету әдісі

Жоғарыда көрсетілген вирус cbf, doc, jpg, және т.б. файлдарын шифрлаған жағдайда, оқиғаның дамуы үшін тек үш нұсқасы бар:

1. Оны жоюдың ең оңай жолы барлық вирус жұққан файлдарды жою болып табылады (бұл деректер әсіресе маңызды болмаса).
2. Антивирустық бағдарлама зертханасына өтіңіз, мысалы, Dr. WEB. Компьютерде KEY.PRIVATE болып табылатын шифрлау кілті бірге әзірлеушілерге бірнеше вирус жұққан файлдарды жіберіңіз.
3. Ең қымбат тәсіл. Бұл вирус жұққан файлдарды шифрлау үшін хакерлердің сұраған сомасын төлеуді қамтиды. Әдетте бұл қызметтің бағасы 200-ден 500 АҚШ долларына дейін. Бұл вирус ірі компаниялардың файлдарын шифрлаған жағдайда, ол күн сайын ақпараттың айтарлықтай көлемі ағып кетеді және бұл зиянды бағдарлама бірнеше секундта үлкен зиян келтіруі мүмкін. Осыған байланысты төлем - вирус жұқтырған файлдарды қалпына келтірудің ең жылдам нұсқасы.

Кейде қосымша опция да тиімді. Вирус файлдарды (paycrypt @ gmail_com немесе басқа зиянды бағдарлама) шифрлаған жағдайда, жүйені бірнеше күн бұрын кері айдауға болады.

РекторДекрипторын декодтау бағдарламасы

Егер вирус jpg, doc, cbf және т.б. файлдарды шифрласа, онда арнайы бағдарлама көмектесе алады. Мұны істеу үшін алдымен стартқа кіріп, антивирустықтан басқа барлық нәрселерді өшіру керек. Содан кейін компьютерді қайта бастауыңыз керек. Барлық файлдарды қарап, күдікті бөлектеңіз. «Команда» деп аталатын өріс белгілі бір файлдың орналасқан жерін көрсетеді (назарын қолтаңбасы жоқ өтініштерге назар аудару қажет: өндіруші - деректер жоқ).

Барлық күдікті файлдарды жою керек, содан кейін шолғыш кэштерін, уақытша қалталарды (CCleaner бұл үшін жарамды) тазалау қажет.

Шифрлауды бастау үшін жоғарыда көрсетілген бағдарламаны жүктеу қажет. Содан кейін оны бастаңыз және өзгерген файлдарды және олардың кеңейтілуін көрсететін «Сканерлеуді бастау» түймешігін басыңыз. Осы бағдарламаның қазіргі нұсқаларында сіз тек вирус жұққан файлды көрсете аласыз және «Ашу» түймесін басыңыз. Содан кейін файлдар шифры болады.

Кейінірек, утилита компьютердің барлық деректерін, соның ішінде тіркелген желі дискідегі файлдарды тексереді және оларды шифрлайды. Бұл қалпына келтіру процесі бірнеше сағатты қажет етуі мүмкін (жұмыс көлеміне және компьютердің жылдамдығына байланысты).

Нәтижесінде бүлінген барлық файлдар бастапқыда орналасқан директорияға шифрленеді. Соңында, «Сканерлеу параметрлерін өзгерту» түймешігін басу арқылы «Шифрды табысты аяқтағаннан кейін шифрланған файлдарды жою» сұрауын тексеру үшін күдікті кеңейтумен барлық файлдарды жою қажет болады. Дегенмен, оны қоюдың қажеті жоқ, өйткені файлдарды сәтсіз түрде шифрлау мүмкін болмаса, олар жойылуы мүмкін, содан кейін оларды қалпына келтіру керек.

Мәселен, егер вирус doc, cbf, jpg, және т.б. файлдарын шифрласа, кодты төлеуге шаппаңыз. Мүмкін, ол оған мұқтаж емес.

Шифрланған файлдарды жоюдың болмауы

Егер стандартты іздеу арқылы барлық бүлінген файлдарды жоюға тырыссаңыз, содан кейін компьютер өшіп, баяулауы мүмкін. Осыған байланысты осы рәсім үшін арнайы пәрмен жолын пайдалану керек . Оны іске қосқаннан кейін келесі әрекеттерді енгізуіңіз керек: del «: \ *. <Вирус жұққан файлдың кеңейтілуі> / f / s.

Сіз осындай файлдарды «Read-me.txt» ретінде жоюыңыз керек, ол үшін сол пәрмен жолында көрсетіңіз: del «: \ *. <Файл аты> / f / s.

Осылайша, егер вирус файлдарды қайта атады және шифрласа, онда шабуылдаушылардан кілт сатып алу үшін дереу ақша жұмсаудың қажеті жоқ, алдымен мәселені өзіңіз анықтауға тырысыңыз. Зиянды файлдарды шифрлеуге арналған арнайы бағдарламаны сатып алуға жұмсаған дұрыс.

Ақырында, осы мақалада вирустың шифрланған файлдарын шифрлау туралы мәселе қарастырылды.