Inaendelea na maandamano yake ya kukandamiza kwenye Mtandao, ikiambukiza kompyuta na kusimba data muhimu. Jinsi ya kujikinga na ransomware, linda Windows kutoka kwa ransomware - je, viraka vimetolewa ili kusimbua na kuua faili?

Virusi mpya vya ukombozi 2017 Wanna Cry inaendelea kuambukiza PC za kampuni na za kibinafsi. U Uharibifu kutoka kwa shambulio la virusi ni jumla ya $ 1 bilioni. Katika wiki 2, virusi vya ukombozi viliambukiza angalau Kompyuta elfu 300, licha ya maonyo na hatua za usalama.

Virusi vya Ransomware 2017, ni nini?- kama sheria, unaweza "kuchukua" kwenye tovuti zinazoonekana kuwa zisizo na madhara, kwa mfano, seva za benki zilizo na ufikiaji wa mtumiaji. Mara moja kwenye gari ngumu ya mwathirika, ransomware "hutulia" kwenye folda ya mfumo System32. Kutoka hapo programu inazima mara moja antivirus na huenda kwenye "Autorun"" Baada ya kila kuwasha upya, ransomware inaendesha kwenye Usajili, akianza kazi yake chafu. Ransomware huanza kupakua nakala sawa za programu kama vile Ransom na Trojan. Pia mara nyingi hutokea kujirudia kwa ransomware. Utaratibu huu unaweza kuwa wa muda mfupi, au unaweza kuchukua wiki hadi mwathirika atambue kuwa kuna tatizo.

Ransomware mara nyingi hujificha kama picha za kawaida au faili za maandishi, lakini kiini ni sawa kila wakati - hii ni faili inayoweza kutekelezwa yenye kiendelezi .exe, .drv, .xvd; Mara nyingine - maktaba.dll. Mara nyingi, faili ina jina lisilo na hatia, kwa mfano " hati. daktari", au" picha.jpg", ambapo ugani umeandikwa kwa mikono, na aina ya faili ya kweli imefichwa.

Baada ya usimbaji fiche kukamilika, mtumiaji huona, badala ya faili zinazojulikana, seti ya herufi "nasibu" kwa jina na ndani, na kiendelezi kinabadilika kuwa kisichojulikana hapo awali - .NO_MORE_RANSOM, .xdata na wengine.

Virusi vya Wanna Cry ransomware 2017 - jinsi ya kujikinga. Ningependa kutambua mara moja kuwa Wanna Cry ni neno la pamoja kwa usimbaji fiche na virusi vya ukombozi, kwani hivi karibuni imeambukiza kompyuta mara nyingi. Kwa hiyo, tutazungumzia Jilinde dhidi ya programu ya ukombozi ya Ransom Ware, ambayo kuna nyingi zaidi: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Jinsi ya kulinda Windows kutoka kwa ransomware. – EternalBlue kupitia itifaki ya bandari ya SMB.

Kulinda Windows kutoka kwa ransomware 2017 - sheria za msingi:

• Sasisho la Windows, ubadilishaji wa wakati kwa OS iliyo na leseni (kumbuka: toleo la XP halijasasishwa)
• kusasisha hifadhidata za kuzuia virusi na ngome inapohitajika
• uangalifu mkubwa wakati wa kupakua faili zozote ("mihuri" nzuri inaweza kusababisha upotezaji wa data yote)
• Inahifadhi nakala muhimu kwa midia inayoweza kutolewa.

Virusi vya Ransomware 2017: jinsi ya disinfect na decrypt files.

Kutegemea programu ya antivirus, unaweza kusahau kuhusu decryptor kwa muda. Katika maabara Kaspersky, Dk. Mtandao, Avast! na antivirus zingine kwa sasa hakuna suluhisho la kutibu faili zilizoambukizwa lilipatikana. Kwa sasa, inawezekana kuondoa virusi kwa kutumia antivirus, lakini hakuna algorithms ya kurejesha kila kitu "kwa kawaida" bado.

Wengine hujaribu kutumia decryptors kama matumizi ya RectorDecryptor, lakini hii haitasaidia: algorithm ya kusimbua virusi vipya bado haijaundwa. Pia haijulikani kabisa jinsi virusi itakavyofanya ikiwa haitaondolewa baada ya kutumia programu hizo. Mara nyingi hii inaweza kusababisha kufutwa kwa faili zote - kama onyo kwa wale ambao hawataki kulipa washambuliaji, waandishi wa virusi.

Kwa sasa, njia bora zaidi ya kurejesha data iliyopotea ni kuwasiliana na usaidizi wa kiufundi. msaada kutoka kwa muuzaji wa programu ya antivirus unayotumia. Kwa kufanya hivyo, unapaswa kutuma barua au kutumia fomu ya maoni kwenye tovuti ya mtengenezaji. Hakikisha umeongeza faili iliyosimbwa kwa kiambatisho na, ikiwa inapatikana, nakala ya asili. Hii itasaidia waandaaji wa programu katika kuunda algorithm. Kwa bahati mbaya, kwa wengi, mashambulizi ya virusi huja kama mshangao kamili, na hakuna nakala zinazopatikana, ambayo inachanganya sana hali hiyo.

Njia za moyo za kutibu Windows kutoka kwa ransomware. Kwa bahati mbaya, wakati mwingine unapaswa kuamua kupangilia kabisa gari ngumu, ambayo inajumuisha mabadiliko kamili ya OS. Wengi watafikiria kurejesha mfumo, lakini hii sio chaguo - hata "kurudisha nyuma" kutaondoa virusi, lakini faili bado zitabaki kufichwa.

Ninaendelea sehemu ya sifa mbaya kwenye wavuti yangu na hadithi nyingine ambayo mimi mwenyewe nilikuwa mwathirika. Nitazungumzia kuhusu virusi vya ransomware Crusis (Dharma), ambayo ilisimba faili zote kwenye gari la mtandao na kuwapa ugani wa .combo. Alifanya kazi sio tu kwenye faili za kawaida, kama ilivyo mara nyingi, lakini pia kwenye faili za mtandao.

Usimbuaji uliohakikishwa wa faili baada ya virusi vya ukombozi - dr-shifro.ru. Maelezo ya kazi na mpango wa mwingiliano na mteja ni hapa chini katika makala yangu au kwenye tovuti katika sehemu ya "Utaratibu wa Kazi".

Utangulizi

Hadithi itakuwa ya mtu wa kwanza, kwa kuwa data na miundombinu ambayo nilisimamia iliathiriwa na encryptor. Ingawa inasikitisha kukiri hili, kwa kiasi fulani ninalaumiwa kwa kile kilichotokea, ingawa nimewajua waandishi wa maandishi kwa muda mrefu sana. Katika utetezi wangu, nitasema kwamba hakuna data iliyopotea, kila kitu kilirejeshwa haraka na kuchunguzwa bila kuchelewa. Lakini mambo ya kwanza kwanza.

Asubuhi ya boring ilianza na ukweli kwamba saa 9:15 msimamizi wa mfumo kutoka kwa tovuti moja ya mbali aliita na kusema kuwa kuna encryptor kwenye mtandao, data kwenye anatoa za mtandao ilikuwa tayari imefungwa. Baridi ilipitia ngozi yangu :) Alianza kuangalia chanzo cha maambukizi peke yake, na nikaanza kuangalia na yangu mwenyewe. Kwa kweli, mara moja nilikwenda kwa seva, nikakata anatoa za mtandao na nikaanza kuangalia logi ya ufikiaji wa data. Hifadhi za mtandao zimesanidiwa kuwa, lazima ziwashwe. Kutoka kwenye logi, mara moja niliona chanzo cha maambukizi, akaunti ya ransomware ilikuwa chini, na wakati wa kuanza kwa usimbaji fiche.

Maelezo ya virusi vya Crusis (Dharma) ransomware

Kisha uchunguzi ukaanza. Faili zilizosimbwa kwa njia fiche zimepokea kiendelezi .combo. Kulikuwa na wengi wao. Mwandishi wa maandishi alianza kufanya kazi jioni sana, takriban saa 11 jioni. Tulikuwa na bahati - nakala rudufu ya diski zilizoathiriwa ilikuwa imekamilika kwa wakati huu. Data haikupotea hata kidogo, kwani ilichelezwa mwishoni mwa siku ya kazi. Mara moja nilianza kurejesha kutoka kwa chelezo, ambayo iko kwenye seva tofauti bila ufikiaji wa SMB.

Mara moja, virusi viliweza kusimba takriban 400 GB ya data kwenye anatoa za mtandao. Ufutaji wa banal wa faili zote zilizosimbwa kwa njia fiche na kiendelezi cha mseto ulichukua muda mrefu. Mara ya kwanza nilitaka kufuta yote mara moja, lakini wakati tu kuhesabu faili hizi ilidumu kwa dakika 15, niligundua kuwa haikuwa na maana kwa wakati huu kwa wakati. Badala yake, nilianza kupakua data ya hivi karibuni, na nikasafisha diski za faili zilizosimbwa baada ya.

Nitakuambia ukweli rahisi mara moja. Kuwa na nakala zilizosasishwa, zinazotegemeka hufanya shida yoyote kutatuliwa. Siwezi hata kufikiria nini cha kufanya ikiwa hawapo au hawafai. Mimi hulipa kipaumbele maalum kwa chelezo. Ninazitunza, ninazithamini, na simpi mtu yeyote kuzifikia.

Baada ya kuzindua urejeshaji wa faili zilizosimbwa, nilipata wakati wa kuelewa hali hiyo kwa utulivu na kuangalia kwa karibu virusi vya usimbaji vya Crusis (Dharma). Mishangao na mshangao viliningoja hapa. Chanzo cha maambukizo kilikuwa mashine ya kawaida na Windows 7 na kutelekezwa rdp bandari kupitia njia mbadala. Bandari haikuwa ya kawaida - 33333. Nadhani ilikuwa kosa kuu kutumia bandari hiyo. Ingawa sio kiwango, ni maarufu sana. Kwa kweli, ni bora kutosambaza rdp hata kidogo, lakini katika kesi hii ilikuwa muhimu sana. Kwa njia, sasa, badala ya mashine hii ya kawaida, mashine ya kawaida iliyo na CentOS 7 pia inatumiwa; inaendesha chombo na xfce na kivinjari kwenye Docker. Kweli, mashine hii ya mtandaoni haina ufikiaji popote, pale tu inapohitajika.

Ni nini kinatisha kuhusu hadithi hii yote? Mashine pepe imesasishwa. Mwandishi wa maandishi alianza kufanya kazi mwishoni mwa Agosti. Haiwezekani kuamua hasa wakati mashine iliambukizwa. Virusi vilifuta vitu vingi kwenye mashine yenyewe. Masasisho ya mfumo huu yalisakinishwa Mei. Hiyo ni, haipaswi kuwa na mashimo yoyote ya zamani yaliyo wazi juu yake. Sasa sijui hata jinsi ya kuacha bandari ya rdp kupatikana kutoka kwa Mtandao. Kuna visa vingi sana ambapo hii inahitajika sana. Kwa mfano, seva ya terminal kwenye vifaa vya kukodi. Pia hutakodisha lango la VPN kwa kila seva.

Sasa hebu tupate karibu na uhakika na ransomware yenyewe. Kiolesura cha mtandao cha mashine ya kawaida kilizimwa, baada ya hapo nikaanza. Nilisalimiwa na ishara ya kawaida, ambayo tayari nilikuwa nimeiona mara nyingi kutoka kwa waandishi wengine wa maandishi.

Faili zako zote zimesimbwa kwa njia fiche! Faili zako zote zimesimbwa kwa njia fiche kwa sababu ya tatizo la usalama kwenye Kompyuta yako. Ikiwa unataka kuwarejesha, tuandikie barua pepe [barua pepe imelindwa] Andika kitambulisho hiki katika kichwa cha ujumbe wako 501BED27 Ikiwa hakuna jibu baada ya saa 24 tuandikie barua pepe hizi: [barua pepe imelindwa] Una kulipa kwa decryption katika Bitcoins. Bei inategemea jinsi unavyotuandikia kwa haraka. Baada ya malipo, tutakutumia zana ya kusimbua ambayo itasimbua faili zako zote. Usimbuaji bila malipo kama dhamana Kabla ya kulipa unaweza kututumia hadi faili 1 ili usimbuaji fiche bila malipo. Ukubwa wa jumla wa faili lazima uwe chini ya 1Mb (zisizohifadhiwa kwenye kumbukumbu), na faili zisiwe na taarifa muhimu. (hifadhidata, hifadhi rudufu, karatasi kubwa bora, n.k.) Jinsi ya kupata Bitcoins Njia rahisi zaidi ya kununua bitcoins ni tovuti ya LocalBitcoins. Unapaswa kujiandikisha, bofya "Nunua bitcoins", na uchague muuzaji kwa njia ya malipo na bei. https://localbitcoins.com/buy_bitcoins Pia unaweza kupata maeneo mengine ya kununua Bitcoins na mwongozo wa Kompyuta hapa: Makini! Usibadilishe jina la faili zilizosimbwa. Usijaribu kusimbua data yako kwa kutumia programu ya watu wengine, inaweza kusababisha upotezaji wa kudumu wa data. Usimbuaji wa faili zako kwa usaidizi wa wahusika wengine unaweza kusababisha bei kuongezeka (wanaongeza ada yao kwa yetu) au unaweza kuwa mwathirika wa kashfa.

Kulikuwa na faili 2 za maandishi kwenye eneo-kazi zilizopewa jina FAILI ZILIZOHIRIWA.TXT maudhui yafuatayo:

Data yako yote imetufungia Je, ungependa kurejesha? kuandika barua pepe [barua pepe imelindwa]

Inafurahisha kwamba ruhusa za saraka zimebadilika Eneo-kazi. Mtumiaji hakuwa na ruhusa za kuandika. Inavyoonekana, virusi vilifanya hivyo ili kuzuia mtumiaji kufuta kwa bahati mbaya habari kwenye faili za maandishi kutoka kwa desktop. Kulikuwa na saraka pale kwenye eneo-kazi troy, ambayo ilikuwa na virusi yenyewe - faili l20VHC_playload.exe.

Jinsi virusi vya Crusis (Dharma) husimba faili kwa njia fiche

Baada ya kufikiria yote kwa utulivu na kusoma ujumbe kama huo kwenye mada ya ransomware kwenye Mtandao, nilijifunza kwamba nilikuwa nimeshika toleo la virusi maarufu vya Crusis (Dharma) ransomware. Kaspersky hugundua kama Trojan-Ransom.Win32.Crusis.to. Inaweka viendelezi tofauti kwenye faili, ikiwa ni pamoja na and.combo. Orodha yangu ya faili ilionekana kama hii:

• Vanino.docx.id-24EE2FBC..combo
• Petropavlovsk-Kamchatsky.docx.id-24EE2FBC..combo
• Khorol.docx.id-24EE2FBC..combo
• Yakutsk.docx.id-24EE2FBC..combo

Nitakuambia maelezo zaidi kuhusu jinsi programu ya ukombozi ilifanya kazi. Sikutaja jambo muhimu. Kompyuta hii ilikuwa kwenye kikoa. Faili zilisimbwa kwa njia fiche kutoka kwa mtumiaji wa kikoa!!! Hapa ndipo swali linatokea: virusi vilipata wapi? Sikuona maelezo kwenye kumbukumbu za kidhibiti cha kikoa na uteuzi wa nenosiri la mtumiaji. Hakukuwa na tani nyingi za kuingia zilizoshindwa. Labda aina fulani ya athari ilitumiwa, au sijui la kufikiria. Akaunti ilitumika ambayo haijawahi kuingia kwenye mfumo huu. Kulikuwa na idhini kupitia rdp kutoka kwa akaunti ya mtumiaji wa kikoa, na kisha usimbaji fiche. Pia hakukuwa na athari za mashambulizi ya nguvu kwa watumiaji na nywila kwenye mfumo wenyewe. Karibu mara moja nilikuwa na kuingia kwa kutumia akaunti ya kikoa cha rdp. Ilikuwa ni lazima kuchagua, kwa kiwango cha chini, si tu nenosiri, bali pia jina.

Kwa bahati mbaya, akaunti ilikuwa na nenosiri la 123456. Hii ndiyo akaunti pekee iliyo na nenosiri hilo ambayo ilikosa na wasimamizi wa ndani. Sababu ya kibinadamu. Huyu alikuwa meneja na kwa sababu fulani mfululizo mzima wa wasimamizi wa mfumo walijua kuhusu nenosiri hili, lakini hawakubadilisha. Ni wazi, hii ndiyo sababu ya kutumia akaunti hii mahususi. Lakini hata hivyo, utaratibu wa kupata hata nenosiri rahisi na jina la mtumiaji bado haijulikani.

Nilizima na kufuta mashine ya kawaida iliyoambukizwa na encryptor, baada ya kuchukua picha ya diski kwanza. Virusi yenyewe ilichukua picha kutoka kwake ili kutazama kazi yake. Hadithi zaidi itategemea kuendesha virusi kwenye mashine pepe.

Maelezo moja ndogo zaidi. Virusi vilichanganua mtandao wote wa ndani na wakati huo huo habari iliyosimbwa kwenye kompyuta hizo ambapo kulikuwa na folda zilizoshirikiwa na ufikiaji wa kila mtu. Hii ni mara ya kwanza kuona marekebisho kama haya ya encryptor. Hili ni jambo la kutisha kwa kweli. Virusi vile vinaweza tu kupooza kazi ya shirika zima. Wacha tuseme, kwa sababu fulani, ulikuwa na ufikiaji wa mtandao kwa chelezo zenyewe. Au walitumia aina fulani ya nenosiri dhaifu kwa akaunti. Inaweza kutokea kwamba kila kitu kitasimbwa - data na nakala zilizohifadhiwa. Kwa ujumla, sasa ninafikiria juu ya kuhifadhi nakala sio tu katika mazingira ya mtandao yaliyotengwa, lakini kwa ujumla kwenye vifaa vilivyozimwa ambavyo huanzishwa ili kufanya nakala rudufu.

Jinsi ya kutibu kompyuta yako na kuondoa Crusis (Dharma) ransomware

Katika kesi yangu, virusi vya Crusis (Dharma) ransomware haikufichwa hasa na kuiondoa haipaswi kusababisha matatizo yoyote. Kama nilivyosema, ilikuwa kwenye folda kwenye eneo-kazi langu. Kwa kuongezea, alijirekodi na ujumbe wa habari kwenye autorun.

Mwili wa virusi yenyewe ulirudiwa katika sehemu ya uzinduzi Anzisha kwa watumiaji wote na windows/system32. Sikuangalia kwa karibu zaidi kwa sababu sioni maana yake. Baada ya kuambukizwa na ransomware, ninapendekeza sana kuweka tena mfumo. Hii ndiyo njia pekee ya kuwa na uhakika wa kuondoa virusi. Hutawahi kuwa na uhakika kabisa kwamba virusi vimeondolewa, kwa vile vingeweza kutumia baadhi ya udhaifu ambao bado haujachapishwa na usiojulikana kuacha alamisho kwenye mfumo. Baada ya muda, kupitia rehani hii unaweza kupata virusi vipya na kila kitu kitarudia kwenye mduara.

Kwa hivyo ninapendekeza kwamba mara baada ya kugundua ransomware, usitende kompyuta yako, lakini usakinishe tena mfumo, uhifadhi data iliyobaki. Labda virusi haikuweza kusimba kila kitu. Mapendekezo haya yanatumika kwa wale ambao hawana nia ya kujaribu kurejesha faili. Ikiwa una chelezo za sasa, basi ingiza tu mfumo na urejeshe data.

Ikiwa huna chelezo na uko tayari kurejesha faili kwa gharama yoyote, basi tunajaribu kutogusa kompyuta kabisa. Kwanza kabisa, tenga tu kebo ya mtandao, pakua faili kadhaa zilizosimbwa na faili ya maandishi iliyo na habari safi flash drive, kisha uzima kompyuta. Kompyuta haiwezi tena kuwashwa. Ikiwa hauelewi maswala ya kompyuta hata kidogo, basi hautaweza kukabiliana na virusi mwenyewe, chini ya kufuta au kurejesha faili. Wasiliana na mtu anayejua. Ikiwa unafikiri kuwa unaweza kufanya kitu mwenyewe, basi soma.

Mahali pa kupakua decryptor ya Crusis (Dharma).

Ifuatayo ni ushauri wangu wa ulimwengu wote juu ya virusi vyote vya ukombozi. Kuna tovuti - https://www.nomoreransom.org Kinadharia inaweza kuwa na decryptor ya Crusis au Dharma, au taarifa nyingine kuhusu usimbuaji faili. Katika mazoezi yangu, hii haijawahi kutokea, lakini labda utapata bahati. Ni thamani ya kujaribu. Ili kufanya hivyo, kwenye ukurasa kuu tunakubali kwa kubofya NDIYO.

Ambatisha faili 2 na ubandike yaliyomo kwenye ujumbe wa habari wa programu ya uokoaji na ubofye Angalia.

Ikiwa una bahati, utapata habari fulani. Katika kesi yangu hakuna kitu kilichopatikana.

Decryptor zote zilizopo za ransomware zinakusanywa kwenye ukurasa tofauti - https://www.nomoreransom.org/ru/decryption-tools.html Kuwepo kwa orodha hii huturuhusu kutarajia kuwa bado kuna maana katika tovuti na huduma hii. Kaspersky ina huduma sawa - https://noransom.kaspersky.com/ru/ Unaweza kujaribu bahati yako huko.

Sidhani kama inafaa kutafuta decryptors popote pengine kupitia utafutaji wa Mtandao. Haiwezekani kwamba watapatikana. Uwezekano mkubwa zaidi itakuwa ni kashfa ya kawaida na programu taka, au virusi mpya.

Nyongeza muhimu. Ikiwa una toleo la leseni la antivirus iliyosakinishwa, hakikisha kuunda ombi kwa TP ya antivirus kwa usimbuaji wa faili. Wakati mwingine inasaidia sana. Nimeona hakiki za usimbuaji uliofanikiwa kwa usaidizi wa antivirus.

Jinsi ya kusimbua na kurejesha faili baada ya virusi vya Crusis (Dharma).

Nini cha kufanya wakati virusi vya Crusis (Dharma) vimeficha faili zako, hakuna njia iliyoelezwa hapo awali iliyosaidia, na unahitaji kurejesha faili? Utekelezaji wa kiufundi wa usimbaji fiche hauruhusu kufuta faili bila ufunguo au decryptor, ambayo mwandishi wa encryptor pekee anayo. Labda kuna njia nyingine ya kuipata, lakini sina habari hiyo. Tunaweza tu kujaribu kurejesha faili kwa kutumia mbinu zilizoboreshwa. Hizi ni pamoja na:

• Zana nakala za kivuli madirisha.
• Programu za kurejesha data zimefutwa

Kabla ya kudanganywa zaidi, ninapendekeza kutengeneza picha ya diski ya sekta kwa sekta. Hii itawawezesha kurekodi hali ya sasa na ikiwa hakuna kitu kinachofanya kazi, basi angalau unaweza kurudi kwenye hatua ya mwanzo na kujaribu kitu kingine. Ifuatayo, unahitaji kuondoa ransomware yenyewe kwa kutumia antivirus yoyote na seti ya hivi karibuni ya hifadhidata za antivirus. Nita fanya CureIt au Chombo cha Kuondoa Virusi vya Kaspersky. Unaweza kusakinisha antivirus nyingine yoyote katika hali ya majaribio. Hii inatosha kuondoa virusi.

Baada ya hayo, sisi huingia kwenye mfumo ulioambukizwa na angalia ikiwa tuna nakala za kivuli zilizowezeshwa. Zana hii inafanya kazi kwa chaguo-msingi katika Windows 7 na matoleo mapya zaidi, isipokuwa ukiizima wewe mwenyewe. Kuangalia, fungua mali ya kompyuta na uende kwenye sehemu ya ulinzi wa mfumo.

Ikiwa wakati wa maambukizi haukuthibitisha ombi la UAC la kufuta faili kwenye nakala za kivuli, basi data fulani inapaswa kubaki pale. Ili kurejesha faili kwa urahisi kutoka kwa nakala za kivuli, napendekeza kutumia programu ya bure kwa hili - ShadowExplorer. Pakua kumbukumbu, fungua programu na uikimbie.

Nakala ya hivi punde ya faili na mzizi wa hifadhi ya C itafunguliwa. Katika kona ya juu kushoto, unaweza kuchagua nakala mbadala ikiwa una kadhaa kati yazo. Angalia nakala tofauti kwa faili zinazohitajika. Linganisha kwa tarehe kwa toleo la hivi karibuni. Katika mfano wangu hapa chini, nilipata faili 2 kwenye eneo-kazi langu kutoka miezi mitatu iliyopita wakati zilihaririwa mwisho.

Niliweza kurejesha faili hizi. Ili kufanya hivyo, niliwachagua, kubofya kulia, kuchaguliwa Export na kutaja folda ambapo kuzirejesha.

Unaweza kurejesha folda mara moja kwa kutumia kanuni sawa. Ikiwa ulikuwa na nakala za kivuli zinazofanya kazi na haukuzifuta, una nafasi nzuri ya kurejesha faili zote, au karibu zote, zilizosimbwa na virusi. Labda baadhi yao yatakuwa toleo la zamani kuliko tungependa, lakini hata hivyo, ni bora kuliko chochote.

Ikiwa kwa sababu fulani huna nakala za kivuli za faili zako, nafasi yako pekee ya kupata angalau kitu kutoka kwa faili zilizosimbwa ni kuzirejesha kwa kutumia zana zilizofutwa za kurejesha faili. Ili kufanya hivyo, napendekeza kutumia programu ya bure ya Photorec.

Zindua programu na uchague diski ambayo utarejesha faili. Kuzindua toleo la picha la programu hutekeleza faili qphotorec_win.exe. Lazima uchague folda ambapo faili zilizopatikana zitawekwa. Ni bora ikiwa folda hii haipo kwenye kiendeshi sawa ambapo tunatafuta. Unganisha gari la flash au gari ngumu ya nje ili kufanya hivyo.

Mchakato wa utafutaji utachukua muda mrefu. Mwishoni utaona takwimu. Sasa unaweza kwenda kwenye folda iliyoainishwa hapo awali na uone kile kinachopatikana hapo. Kuna uwezekano mkubwa wa kuwa na faili nyingi na nyingi kati yao zitaharibiwa au zitakuwa aina fulani ya mfumo na faili zisizo na maana. Lakini hata hivyo, baadhi ya faili muhimu zinaweza kupatikana katika orodha hii. Hakuna dhamana hapa, unachopata ndicho utapata. Picha kawaida hurejeshwa bora.

Ikiwa matokeo hayakukidhi, basi kuna programu za kurejesha faili zilizofutwa. Ifuatayo ni orodha ya programu ambazo mimi hutumia kawaida ninapohitaji kurejesha idadi ya juu ya faili:

• R.saver
• Urejeshaji wa Faili ya Starus
• JPEG Recovery Pro
• Mtaalamu wa Urejeshaji Faili Amilifu

Programu hizi sio bure, kwa hivyo sitatoa viungo. Ikiwa unataka kweli, unaweza kuzipata mwenyewe kwenye mtandao.

Mchakato mzima wa kurejesha faili kwa kutumia programu zilizoorodheshwa unaonyeshwa kwa undani katika video mwishoni mwa kifungu.

Kaspersky, eset nod32 na wengine katika mapambano dhidi ya ukombozi wa Crusis (Dharma)

Kama kawaida, nilipitia mabaraza ya antivirus maarufu nikitafuta maelezo kuhusu programu ya uokoaji ambayo husakinisha kiendelezi cha .combo. Kuna mwelekeo wazi kuelekea kuenea kwa virusi. Maombi mengi huanza katikati ya Agosti. Sasa inaonekana hazionekani, lakini labda kwa muda, au ugani wa faili zilizosimbwa umebadilika tu.

Hapa kuna mfano wa ombi la kawaida kutoka kwa jukwaa la Kaspersky.

Pia kuna maoni kutoka kwa msimamizi hapa chini.

Jukwaa la EsetNod32 limefahamu kwa muda mrefu virusi vinavyosakinisha kiendelezi cha .combo. Kama ninavyoelewa, virusi sio vya kipekee na sio mpya, lakini ni tofauti ya mfululizo wa virusi vya Crusis (Dharma). Hapa kuna ombi la kawaida la kusimbua data:

Niligundua kuwa kuna hakiki nyingi kwenye jukwaa la Eset kwamba virusi viliingia kwenye seva kupitia rdp. Inaonekana kama hii ni tishio kali sana na huwezi kuondoka rdp bila kifuniko. Swali pekee linalojitokeza ni jinsi virusi huingia kupitia rdp? Inakisia nenosiri, inaunganishwa na mtumiaji anayejulikana na nenosiri, au kitu kingine.

Mahali pa kwenda kwa usimbaji fiche uliohakikishwa

Nilitokea kukutana na kampuni moja ambayo kwa hakika inasimbua data baada ya kazi ya virusi mbalimbali vya usimbuaji, ikiwa ni pamoja na Crusis (Dharma). Anwani yao ni http://www.dr-shifro.ru. Malipo tu baada ya kusimbua na uthibitishaji wako. Hapa kuna mpango wa takriban wa kazi:

1. Mtaalamu wa kampuni anakuja ofisini au nyumbani kwako na kusaini makubaliano na wewe, ambayo huweka gharama ya kazi.
2. Inazindua decryptor kwenye kompyuta yako na kusimbua baadhi ya faili.
3. Unahakikisha kwamba faili zote zimefunguliwa, saini cheti cha kukubalika kwa kazi iliyokamilishwa, na kupokea decryptor.
4. Unasimbua faili zako na ukamilishe hati zilizosalia.

Huna hatari yoyote. Malipo tu baada ya maonyesho ya uendeshaji wa dekoda. Tafadhali andika hakiki kuhusu uzoefu wako na kampuni hii.

Njia za ulinzi dhidi ya virusi vya ransomware

Sitaorodhesha mambo dhahiri juu ya kuzindua programu zisizojulikana kutoka kwa Mtandao na kufungua viambatisho kwa barua. Kila mtu anajua hili sasa. Kwa kuongeza, niliandika juu ya hili mara nyingi katika makala zangu katika sehemu ya kuhusu. Nitazingatia nakala rudufu. Lazima zisiwepo tu, lakini hazipatikani kutoka nje. Ikiwa hii ni aina fulani ya gari la mtandao, basi akaunti tofauti yenye nenosiri kali lazima iwe na upatikanaji wake.

Ikiwa unahifadhi faili za kibinafsi kwenye gari la flash au gari la nje, usiwaweke mara kwa mara kushikamana na mfumo. Baada ya kuunda nakala za chelezo, futa vifaa kutoka kwa kompyuta. Ninaona chelezo bora kwenye kifaa tofauti, ambacho kimewashwa tu kufanya nakala rudufu, na kisha kutengwa na mtandao tena kwa kukata kebo ya mtandao au kuzima kazi tu.

Hifadhi nakala lazima ziwe za ziada. Hii ni muhimu ili kuepusha hali ambapo msimbaji alisimba data zote bila wewe kutambua. Hifadhi nakala ilifanywa, ambayo ilibadilisha faili za zamani na mpya, lakini zilizosimbwa tayari. Kama matokeo, unayo kumbukumbu, lakini haina maana. Unahitaji kuwa na kina cha kumbukumbu cha angalau siku kadhaa. Nadhani katika siku zijazo kutakuwa na, ikiwa bado hawajaonekana, ransomware ambayo itaficha kimya sehemu ya data na kusubiri kwa muda bila kujifunua. Hii itafanywa kwa matarajio kwamba faili zilizosimbwa zitaishia kwenye kumbukumbu na huko, baada ya muda, kubadilisha faili halisi.

Huu utakuwa wakati mgumu kwa sekta ya ushirika. Tayari nimetoa mfano hapo juu kutoka kwa jukwaa la eset, ambapo anatoa za mtandao zilizo na TB 20 za data zilisimbwa. Sasa fikiria kuwa una kiendeshi cha mtandao kama hicho, lakini ni 500G tu ya data iliyosimbwa kwenye saraka ambazo hazipatikani kila wakati. Wiki chache hupita, hakuna mtu anayegundua faili zilizosimbwa, kwa sababu ziko kwenye saraka za kumbukumbu na hazifanyiwi kazi nazo kila wakati. Lakini mwisho wa kipindi cha kuripoti, data inahitajika. Wanaenda huko na kuona kwamba kila kitu kimesimbwa. Wanaenda kwenye kumbukumbu, na hapo kina cha uhifadhi ni, tuseme, siku 7. Na hiyo ndiyo yote, data imekwenda.

Hii inahitaji mbinu tofauti, makini kwa kumbukumbu. Unahitaji programu na rasilimali kwa uhifadhi wa data wa muda mrefu.

Video kuhusu usimbuaji wa faili na urejeshaji

Hapa kuna mfano wa marekebisho sawa ya virusi, lakini video inafaa kabisa kwa combo.

Virusi wenyewe kama tishio la kompyuta hazishangazi mtu yeyote leo. Lakini ikiwa hapo awali waliathiri mfumo kwa ujumla, na kusababisha usumbufu katika utendaji wake, leo, na ujio wa aina mbalimbali kama vile virusi vya encryptor, vitendo vya tishio la kupenya huathiri data zaidi ya mtumiaji. Inaleta tishio kubwa zaidi kuliko programu zinazoweza kutekelezeka zinazoharibu programu za Windows au spyware.

Virusi vya ukombozi ni nini?

Nambari yenyewe, iliyoandikwa katika virusi vya kujiiga, inahusisha kuficha karibu data zote za mtumiaji na algorithms maalum ya cryptographic, bila kuathiri faili za mfumo wa mfumo wa uendeshaji.

Mwanzoni, mantiki ya athari za virusi haikuwa wazi kabisa kwa wengi. Kila kitu kilionekana wazi tu wakati watapeli ambao waliunda applets kama hizo walianza kudai pesa ili kurejesha muundo wa faili asili. Wakati huo huo, virusi iliyosimbwa yenyewe haikuruhusu kufuta faili kwa sababu ya sifa zake. Ili kufanya hivyo, unahitaji decryptor maalum, ikiwa ungependa, msimbo, nenosiri au algorithm inayohitajika kurejesha maudhui yaliyohitajika.

Kanuni ya kupenya ndani ya mfumo na uendeshaji wa kanuni ya virusi

Kama sheria, ni ngumu sana "kuchukua" ujinga kama huo kwenye mtandao. Chanzo kikuu cha kuenea kwa "maambukizi" ni barua pepe katika kiwango cha programu zilizowekwa kwenye terminal maalum ya kompyuta, kama vile Outlook, Thunderbird, The Bat, nk. Hebu tukumbuke mara moja: hii haitumiki kwa seva za barua za mtandao, kwa kuwa wana kiwango cha juu cha ulinzi, na ufikiaji wa data ya mtumiaji unawezekana tu kwa kiwango

Kitu kingine ni maombi kwenye terminal ya kompyuta. Hii ndio ambapo shamba la hatua ya virusi ni pana sana kwamba haiwezekani kufikiria. Kweli, inafaa pia kuweka nafasi hapa: mara nyingi, virusi hulenga makampuni makubwa ambayo wanaweza "kunyakua" pesa kwa kutoa msimbo wa usimbuaji. Hii inaeleweka, kwa sababu sio tu kwenye vituo vya kompyuta vya ndani, lakini pia kwenye seva za makampuni hayo, faili zinaweza kuhifadhiwa, kwa kusema, katika nakala moja, ambayo haiwezi kuharibiwa kwa hali yoyote. Na kisha kufuta faili baada ya virusi vya ransomware inakuwa shida kabisa.

Kwa kweli, mtumiaji wa kawaida anaweza kuwa chini ya shambulio kama hilo, lakini katika hali nyingi hii haiwezekani ikiwa unafuata mapendekezo rahisi zaidi ya kufungua viambatisho na viendelezi vya aina isiyojulikana. Hata kama mteja wa barua pepe atagundua kiambatisho kilicho na kiendelezi cha .jpg kama faili ya kawaida ya picha, lazima kwanza iangaliwe kama kawaida iliyosakinishwa kwenye mfumo.

Ikiwa hii haijafanywa, unapoifungua kwa kubofya mara mbili (njia ya kawaida), uanzishaji wa msimbo utaanza na mchakato wa usimbuaji utaanza, baada ya hapo Breaking_Bad sawa (virusi vya encryptor) haitawezekana tu kuondoa, lakini pia faili hazitaweza kurejeshwa baada ya tishio kuondolewa.

Matokeo ya jumla ya kupenya kwa virusi vyote vya aina hii

Kama ilivyoelezwa tayari, virusi vingi vya aina hii huingia kwenye mfumo kupitia barua pepe. Hebu tuseme shirika kubwa linapokea barua kwa barua pepe mahususi iliyosajiliwa iliyo na maudhui kama vile "Tumebadilisha mkataba, nakala iliyochanganuliwa imeambatishwa" au "Umetumiwa ankara ya kusafirisha bidhaa (nakala hapo)." Kwa kawaida, mfanyakazi asiye na wasiwasi hufungua faili na ...

Faili zote za mtumiaji katika kiwango cha hati za ofisi, multimedia, miradi maalum ya AutoCAD au data nyingine yoyote ya kumbukumbu husimbwa mara moja, na ikiwa terminal ya kompyuta iko kwenye mtandao wa ndani, virusi vinaweza kupitishwa zaidi, kwa kusimba data kwenye mashine nyingine (hii inaonekana mara baada ya "kuvunja" mfumo na kufungia kwa programu au programu zinazoendesha sasa).

Mwishoni mwa mchakato wa usimbuaji, virusi yenyewe inaonekana hutuma aina ya ripoti, baada ya hapo kampuni inaweza kupokea ujumbe kwamba tishio kama hilo na kama hilo limeingia kwenye mfumo, na kwamba ni shirika kama hilo na kama hilo linaweza kuifuta. Kawaida hii inahusisha virusi. [barua pepe imelindwa]. Inayofuata inakuja hitaji la kulipia huduma za usimbuaji na ofa ya kutuma faili kadhaa kwa barua pepe ya mteja, ambayo mara nyingi ni ya uwongo.

Hudhuru kutokana na kufichuliwa kwa msimbo

Ikiwa mtu bado hajaelewa: kusimbua faili baada ya virusi vya ukombozi ni mchakato unaohitaji nguvu kazi. Hata ikiwa hautakubali madai ya washambuliaji na kujaribu kuhusisha mashirika rasmi ya serikali katika kupambana na kuzuia uhalifu wa kompyuta, kwa kawaida hakuna kitu kizuri kinachotokea.

Ikiwa utafuta faili zote, kuzalisha na hata kunakili data ya awali kutoka kwa vyombo vya habari vinavyoweza kutolewa (bila shaka, ikiwa kuna nakala hiyo), kila kitu bado kitasimbwa tena ikiwa virusi imeanzishwa. Kwa hivyo hupaswi kujidanganya sana, hasa tangu unapoingiza gari la flash sawa kwenye bandari ya USB, mtumiaji hata hata kutambua jinsi virusi itaficha data juu yake pia. Kisha hutakuwa na matatizo yoyote.

Mzaliwa wa kwanza katika familia

Sasa hebu tuelekeze mawazo yetu kwa virusi vya kwanza vya usimbuaji. Wakati wa kuonekana kwake, hakuna mtu ambaye alikuwa amefikiria jinsi ya kuponya na kusimbua faili baada ya kufichuliwa na msimbo unaoweza kutekelezeka ulio katika kiambatisho cha barua pepe na ofa ya kuchumbiana. Ufahamu wa ukubwa wa maafa ulikuja tu kwa wakati.

Virusi hivyo vilikuwa na jina la kimapenzi "I Love You". Mtumiaji asiye na wasiwasi alifungua kiambatisho katika ujumbe wa barua pepe na kupokea faili za multimedia zisizoweza kucheza kabisa (picha, video na sauti). Wakati huo, hata hivyo, vitendo kama hivyo vilionekana kuharibu zaidi (madhara kwa maktaba ya media ya watumiaji), na hakuna mtu aliyedai pesa kwa hilo.

Marekebisho mapya zaidi

Kama tunavyoona, mageuzi ya teknolojia imekuwa biashara yenye faida kubwa, haswa ikizingatiwa kuwa wasimamizi wengi wa mashirika makubwa hukimbia mara moja kulipia juhudi za usimbuaji, bila kufikiria hata kidogo kwamba wanaweza kupoteza pesa na habari.

Kwa njia, usiangalie machapisho haya yote "ya makosa" kwenye mtandao, ukisema, "Nililipa / kulipa kiasi kinachohitajika, walinituma msimbo, kila kitu kilirejeshwa." Upuuzi! Haya yote yameandikwa na watengenezaji wa virusi wenyewe ili kuvutia uwezo, samahani, "wanyonyaji." Lakini, kwa viwango vya mtumiaji wa kawaida, kiasi cha kulipa ni kikubwa sana: kutoka mamia hadi elfu kadhaa au makumi ya maelfu ya euro au dola.

Sasa hebu tuangalie aina mpya zaidi za virusi za aina hii, ambazo zilirekodi hivi karibuni. Zote zinafanana kivitendo na sio tu katika kitengo cha waandikishaji, lakini pia kwa kikundi cha kinachojulikana kama ransomware. Katika baadhi ya matukio, wanatenda kwa usahihi zaidi (kama paycrypt), wanaonekana kutuma ofa rasmi za biashara au ujumbe kwamba kuna mtu anajali usalama wa mtumiaji au shirika. Virusi vile vya usimbaji fiche hupotosha mtumiaji na ujumbe wake. Ikiwa atachukua hata hatua ndogo ya kulipa, ndivyo hivyo - "talaka" itakamilika.

Virusi vya XTBL

Hili la hivi majuzi linaweza kuainishwa kama toleo la kawaida la ransomware. Kwa kawaida, huingia kwenye mfumo kupitia ujumbe wa barua pepe ulio na viambatisho vya faili, ambayo ni ya kawaida kwa skrini za Windows. Mfumo na mtumiaji wanafikiri kila kitu kiko sawa na kuwezesha kutazama au kuhifadhi kiambatisho.

Kwa bahati mbaya, hii inasababisha matokeo ya kusikitisha: majina ya faili yanabadilishwa kuwa seti ya wahusika, na .xtbl huongezwa kwa ugani kuu, baada ya hapo ujumbe unatumwa kwa anwani ya barua pepe inayotakiwa kuhusu uwezekano wa kufuta baada ya kulipa kiasi maalum. (kawaida rubles elfu 5).

Virusi vya CBF

Aina hii ya virusi pia ni ya classics ya aina. Inaonekana kwenye mfumo baada ya kufungua viambatisho vya barua pepe, na kisha kubadilisha faili za mtumiaji, na kuongeza kiendelezi kama vile .nochance au .perfect mwishoni.

Kwa bahati mbaya, kufuta virusi vya ukombozi wa aina hii ili kuchambua yaliyomo kwenye msimbo hata katika hatua ya kuonekana kwake kwenye mfumo hauwezekani, kwani baada ya kukamilisha vitendo vyake hujiharibu. Hata kile ambacho wengi wanaamini ni zana ya ulimwengu wote kama RectorDecryptor haisaidii. Tena, mtumiaji anapokea barua inayodai malipo, ambayo siku mbili hupewa.

Kuvunja_virusi mbaya

Aina hii ya tishio hufanya kazi kwa njia ile ile, lakini hubadilisha jina faili katika toleo la kawaida, na kuongeza .breaking_bad kwenye kiendelezi.

Hali sio tu kwa hii. Tofauti na virusi vya awali, hii inaweza kuunda ugani mwingine - .Heisenberg, hivyo si mara zote inawezekana kupata faili zote zilizoambukizwa. Kwa hivyo Breaking_Bad (virusi vya ukombozi) ni tishio kubwa sana. Kwa njia, kuna matukio ambapo hata mfuko wa leseni ya Kaspersky Endpoint Security 10 hukosa aina hii ya tishio.

Virusi [barua pepe imelindwa]

Hapa kuna lingine, labda tishio kubwa zaidi, ambalo linalenga zaidi mashirika makubwa ya kibiashara. Kama sheria, idara fulani hupokea barua iliyo na mabadiliko yanayoonekana kwa makubaliano ya usambazaji, au hata ankara tu. Kiambatisho kinaweza kuwa na faili ya kawaida ya .jpg (kama vile picha), lakini mara nyingi zaidi - script.js inayoweza kutekelezwa (Java applet).

Jinsi ya kusimbua aina hii ya virusi vya usimbuaji? Kwa kuzingatia ukweli kwamba baadhi ya algorithm isiyojulikana ya RSA-1024 inatumiwa huko, hakuna njia. Kulingana na jina, unaweza kudhani kuwa hii ni mfumo wa usimbuaji wa 1024-bit. Lakini, ikiwa mtu yeyote anakumbuka, leo 256-bit AES inachukuliwa kuwa ya juu zaidi.

Virusi vya Encryptor: jinsi ya kuua na kufuta faili kwa kutumia programu ya antivirus

Hadi sasa, bado hakuna suluhu zilizopatikana ili kufafanua vitisho vya aina hii. Hata mabwana kama hao katika uwanja wa ulinzi wa antivirus kama Kaspersky, Dk. Web na Eset haziwezi kupata ufunguo wa kutatua tatizo wakati mfumo umeambukizwa na virusi vya usimbaji fiche. Jinsi ya disinfect files? Mara nyingi, inashauriwa kutuma ombi kwenye tovuti rasmi ya msanidi wa antivirus (kwa njia, tu ikiwa mfumo una programu yenye leseni kutoka kwa msanidi huyu).

Katika kesi hii, unahitaji kushikamana na faili kadhaa zilizosimbwa, pamoja na asili zao "zenye afya", ikiwa zipo. Kwa ujumla, kwa kiasi kikubwa, watu wachache huhifadhi nakala za data, hivyo tatizo la kutokuwepo kwao huongeza tu hali mbaya tayari.

Njia zinazowezekana za kutambua na kuondoa tishio kwa mikono

Ndiyo, skanning na programu za kawaida za antivirus hutambua vitisho na hata huwaondoa kwenye mfumo. Lakini nini cha kufanya na habari?

Wengine hujaribu kutumia programu za usimbuaji kama vile huduma iliyotajwa tayari ya RectorDecryptor (RakhniDecryptor). Wacha tuangalie mara moja: hii haitasaidia. Na katika kesi ya virusi vya Breaking_Bad, vinaweza tu kudhuru. Na ndiyo maana.

Ukweli ni kwamba watu wanaounda virusi hivyo wanajaribu kujilinda na kutoa mwongozo kwa wengine. Wakati wa kutumia huduma za usimbuaji, virusi vinaweza kuguswa kwa njia ambayo mfumo wote unaanguka, na uharibifu kamili wa data zote zilizohifadhiwa kwenye anatoa ngumu au sehemu za mantiki. Hili, kwa kusema, ni somo elekezi kwa ajili ya kuwajenga wale wote ambao hawataki kulipa. Tunaweza tu kutegemea maabara rasmi ya antivirus.

Mbinu za kardinali

Walakini, ikiwa mambo ni mbaya sana, itabidi utoe habari. Ili kuondokana kabisa na tishio, unahitaji kuunda diski nzima, ikiwa ni pamoja na partitions virtual, na kisha kufunga mfumo wa uendeshaji tena.

Kwa bahati mbaya, hakuna njia nyingine ya kutoka. Hata hadi sehemu fulani ya kurejesha iliyohifadhiwa haitasaidia. Virusi vinaweza kutoweka, lakini faili zitabaki zikiwa zimesimbwa.

Badala ya neno la baadaye

Kwa kumalizia, ni muhimu kuzingatia kwamba hali ni hii: virusi vya ransomware huingia kwenye mfumo, hufanya kazi yake chafu na haiponywi na njia yoyote inayojulikana. Vyombo vya ulinzi dhidi ya virusi havikuwa tayari kwa aina hii ya tishio. Inakwenda bila kusema kwamba inawezekana kuchunguza virusi baada ya kufidhiliwa au kuiondoa. Lakini habari iliyosimbwa itabaki kuwa mbaya. Kwa hiyo ningependa kutumaini kwamba mawazo bora ya makampuni ya maendeleo ya programu ya antivirus bado yatapata suluhisho, ingawa, kwa kuzingatia algorithms ya encryption, itakuwa vigumu sana kufanya. Kumbuka tu mashine ya usimbuaji wa Enigma ambayo Jeshi la Wanamaji la Ujerumani lilikuwa nalo wakati wa Vita vya Kidunia vya pili. Waandishi bora wa kriptografia hawakuweza kutatua tatizo la algoriti ya kusimbua ujumbe hadi walipoweka mikono yao kwenye kifaa. Hivi ndivyo mambo yalivyo hapa pia.

Encryptors (cryptolockers) inamaanisha familia ya programu mbaya ambazo, kwa kutumia algorithms mbalimbali za usimbuaji, huzuia ufikiaji wa mtumiaji kwa faili kwenye kompyuta (inayojulikana, kwa mfano, cbf, chipdale, just, foxmail inbox com, watnik91 aol com, nk).

Kwa kawaida, virusi husimba kwa njia fiche aina maarufu za faili za mtumiaji: hati, lahajedwali, hifadhidata za 1C, safu zozote za data, picha, n.k. Usimbuaji wa faili hutolewa kwa pesa - waundaji wanahitaji kiasi fulani kuhamishwa, kwa kawaida katika bitcoins. Na ikiwa shirika halijachukua hatua zinazofaa ili kuhakikisha usalama wa taarifa muhimu, kuhamisha kiasi kinachohitajika kwa washambuliaji inaweza kuwa njia pekee ya kurejesha utendaji wa kampuni.

Katika hali nyingi, virusi huenea kupitia barua pepe, na kujifanya barua za kawaida kabisa: arifa kutoka kwa ofisi ya ushuru, vitendo na mikataba, habari kuhusu ununuzi, nk. Kwa kupakua na kufungua faili kama hiyo, mtumiaji, bila kujua, anaendesha nambari mbaya. . Virusi husimba faili zinazohitajika kwa mlolongo, na pia hufuta nakala asili kwa kutumia njia za uharibifu zilizohakikishwa (ili mtumiaji asiweze kurejesha faili zilizofutwa hivi karibuni kwa kutumia zana maalum).

Ransomware ya kisasa

Ransomware na virusi vingine vinavyozuia mtumiaji kufikia data sio tatizo jipya katika usalama wa habari. Matoleo ya kwanza yalionekana nyuma katika miaka ya 90, lakini walitumia "dhaifu" (algorithms isiyo na msimamo, saizi ndogo ya ufunguo) au usimbuaji wa ulinganifu (faili kutoka kwa idadi kubwa ya wahasiriwa zilisimbwa kwa ufunguo mmoja; iliwezekana pia kupata ufunguo. kwa kusoma msimbo wa virusi ), au hata walikuja na kanuni zao wenyewe. Nakala za kisasa hazina ubaya kama huo; washambuliaji hutumia usimbuaji wa mseto: kwa kutumia algorithms ya ulinganifu, yaliyomo kwenye faili yamesimbwa kwa kasi ya juu sana, na ufunguo wa usimbuaji umesimbwa kwa algorithm ya asymmetric. Hii ina maana kwamba ili kusimbua faili unahitaji ufunguo unaomilikiwa na mvamizi pekee; hauwezi kupatikana katika msimbo wa chanzo wa programu. Kwa mfano, CryptoLocker hutumia algoriti ya RSA yenye urefu wa ufunguo wa biti 2048 pamoja na algoriti ya ulinganifu ya AES yenye urefu muhimu wa biti 256. Algorithms hizi kwa sasa zinatambuliwa kama sugu ya crypto.

Kompyuta imeambukizwa na virusi. Nini cha kufanya?

Inafaa kukumbuka kuwa ingawa virusi vya ukombozi hutumia algoriti za kisasa za usimbaji fiche, hazina uwezo wa kusimba faili zote mara moja kwenye kompyuta. Usimbaji fiche hutokea sequentially, kasi inategemea ukubwa wa faili zilizosimbwa. Kwa hiyo, ikiwa unapata wakati wa kufanya kazi kwamba faili zako za kawaida na programu hazifungui tena kwa usahihi, unapaswa kuacha mara moja kufanya kazi kwenye kompyuta na kuizima. Kwa njia hii unaweza kulinda baadhi ya faili kutoka kwa usimbaji fiche.

Mara baada ya kukutana na tatizo, jambo la kwanza unahitaji kufanya ni kuondokana na virusi yenyewe. Hatutakaa juu ya hili kwa undani; inatosha kujaribu kuponya kompyuta yako kwa kutumia programu za kuzuia virusi au kuondoa virusi kwa mikono. Inastahili kuzingatia kwamba virusi mara nyingi hujiharibu baada ya algorithm ya usimbuaji kukamilika, na hivyo kufanya kuwa ngumu kusimbua faili bila kugeukia washambuliaji kwa usaidizi. Katika kesi hii, programu ya antivirus haiwezi kugundua chochote.

Swali kuu ni jinsi ya kurejesha data iliyosimbwa? Kwa bahati mbaya, kurejesha faili baada ya virusi vya ukombozi ni karibu haiwezekani. Kwa uchache, hakuna mtu atakayehakikisha urejesho kamili wa data katika tukio la maambukizi ya mafanikio. Watengenezaji wengi wa antivirus hutoa msaada wao katika kufuta faili. Ili kufanya hivyo, unahitaji kutuma faili iliyosimbwa na maelezo ya ziada (faili yenye anwani za washambuliaji, ufunguo wa umma) kupitia fomu maalum zilizowekwa kwenye tovuti za wazalishaji. Kuna uwezekano mdogo kwamba njia ya kupambana na virusi fulani imepatikana na faili zako zitasimbwa kwa ufanisi.

Jaribu kutumia huduma za kurejesha faili zilizofutwa. Inawezekana kwamba virusi haikutumia njia za uharibifu zilizohakikishiwa na faili zingine zinaweza kurejeshwa (hii inaweza kufanya kazi haswa na faili kubwa, kwa mfano na faili za makumi kadhaa ya gigabytes). Pia kuna nafasi ya kurejesha faili kutoka kwa nakala za kivuli. Unapotumia vipengele vya Kurejesha Mfumo, Windows huunda vijipicha ("vijipicha") ambavyo vinaweza kuwa na data ya faili wakati eneo la kurejesha lilipoundwa.

Ikiwa data yako ilisimbwa kwa njia fiche katika huduma za wingu, wasiliana na usaidizi wa kiufundi au usome uwezo wa huduma unayotumia: mara nyingi, huduma hutoa kazi ya "kurudisha" kwa matoleo ya awali ya faili, ili ziweze kurejeshwa.

Kile ambacho hatupendekezi sana kufanya ni kufuata mwongozo wa programu ya uokoaji na kulipia usimbaji fiche. Kulikuwa na matukio wakati watu walitoa pesa na hawakupokea funguo. Hakuna mtu anayehakikishia kwamba washambuliaji, baada ya kupokea pesa, watatuma ufunguo wa usimbuaji na utaweza kurejesha faili.

Jinsi ya kujikinga na virusi vya ransomware. Hatua za kuzuia

Ni rahisi kuzuia matokeo hatari kuliko kuyarekebisha:

• Tumia zana za kuaminika za antivirus na usasishe mara kwa mara hifadhidata za antivirus. Inaonekana ni ndogo, lakini hii itapunguza kwa kiasi kikubwa uwezekano wa virusi kujiingiza kwenye kompyuta yako.
• Weka nakala rudufu za data yako.

Hii inafanywa vyema kwa kutumia zana maalum za kuhifadhi nakala. Wengi wa cryptolockers wanaweza kusimba nakala rudufu, pia, kwa hivyo ni busara kuhifadhi nakala rudufu kwenye kompyuta zingine (kwa mfano, kwenye seva) au kwenye media iliyotengwa.

Weka kikomo haki za kubadilisha faili katika folda za chelezo, ukiruhusu maandishi ya ziada pekee. Kando na matokeo ya programu ya uokoaji, mifumo ya chelezo hupunguza vitisho vingine vingi vinavyohusiana na upotezaji wa data. Kuenea kwa virusi kwa mara nyingine tena kunaonyesha umuhimu na umuhimu wa kutumia mifumo hiyo. Kurejesha data ni rahisi zaidi kuliko kusimbua!

• Weka kikomo mazingira ya programu katika kikoa.

Njia nyingine nzuri ya kukabiliana na hali hii ni kuzuia uzinduzi wa aina fulani za faili zinazoweza kuwa hatari, kwa mfano, na viendelezi .js, .cmd, .bat, .vba, .ps1, n.k. Hili linaweza kufanywa kwa kutumia zana ya AppLocker (katika Matoleo ya biashara) au sera za SRP katikati mwa kikoa. Kuna miongozo ya kina kabisa mtandaoni ya jinsi ya kufanya hivyo. Mara nyingi, mtumiaji hatahitaji kutumia faili za hati zilizoorodheshwa hapo juu, na programu ya ukombozi itakuwa na nafasi ndogo ya kupenya kwa mafanikio.

• Kuwa mwangalifu.

Kuzingatia ni mojawapo ya njia bora zaidi za kuzuia tishio. Kuwa na shaka kwa kila barua unayopokea kutoka kwa watu wasiojulikana. Usikimbilie kufungua viambatisho vyote; ikiwa una shaka, ni bora kuwasiliana na msimamizi na swali.

Alexander Vlasov, mhandisi mkuu wa idara ya utekelezaji wa mifumo ya usalama wa habari katika SKB Kontur