Virus chiffer: hvordan å kurere og dekryptere filene? Dekryptere filene etter en virus-chiffer

Seg som datavirus, trenger trusselen i dag ikke overraske noen. Men hvis tidligere de jobbet på systemet som en helhet, forårsaker svikt i ytelsen, i dag, med bruk av en slik variasjon, slik som encryptor virus trusler trengende handling bekymring over brukerdata. Han er kanskje enda mer av en trussel enn ødeleggende for Windows kjørbare programmer eller applets spyware.

Hva er et virus-koder?

Av seg selv, koden registrert i selvreproduserende virus, innebærer kryptering nesten alle brukerdata med spesielle kryptografiske algoritmer uten at det påvirker operativsystemfiler.

Første eksponering for viruset mange logikken var ikke helt klart. Alt ble klart bare når hackere å lage slike applets, begynte å kreve restaureringen av den primære strukturen av Money filer. Samtidig han trengt virus chiffer dekryptere filene på grunn av deres egenskaper ikke tillate det. For å gjøre dette trenger vi en spesiell dekoder, hvis du ønsker koden, passord eller algoritme som kreves for utvinning av det ønskede innholdet.

Prinsippet for penetrering inn i systemet og arbeidet av viruset kode

Vanligvis "fange" slike skitt på Internett er vanskelig. Den viktigste kilden til spredning av "smitte" er en e-post på det nivået som er installert på en bestemt dataterminal som Outlook programvare, Thunderbird, The Bat, etc. Det bør bemerkes samtidig: .. E-post webservere er ikke berørt, siden de har en høy grad av beskyttelse og tilgang Dersom brukeren er mulig, bortsett fra i høyde med sky lagring.

En annen ting - programmet på en datamaskin terminal. Det var da at feltet er så stort tiltak for virus som ikke kan tenkes. Men også her er det nødvendig å foreta en reservasjon: i de fleste tilfeller, er virus rettet mot store selskaper, med hvem du kan "rive av" penger for å gi dekryptering kode. Dette er forståelig, siden ikke bare på de lokale dataterminaler, men også på serverne til slike selskaper kan lagres er ikke noe som er helt konfidensiell, men filene er, så å si, i ett eksemplar, for ikke å bli ødelagt i alle fall. Og så dekryptere filene etter at et virus-chiffer blir ganske problematisk.

Selvfølgelig kan den vanlige brukeren bli utsatt for et slikt angrep, men i de fleste tilfeller er dette usannsynlig hvis du følger enkle retningslinjene for å åpne vedlegg fra ukjente typen utvidelser. Selv om e-postklient oppdager et vedlegg med filtypen .jpg som en standard bildefil, først er det nødvendig å kontrollere den vanlige anti-virus skanner installert på systemet.

Hvis du ikke gjør det, når du åpner ved å dobbeltklikke (standard metode) vil starte aktiveringskode, og vil begynne krypteringsprosessen, hvoretter den samme Breaking_Bad (-encryptor virus), ikke bare vil ikke bli slettet, men filene kan ikke gjenopprettes etter fjerning av trusselen.

De generelle effektene av gjennomtrengning av virus av denne typen

Som allerede nevnt, de fleste av virus av denne typen trenge inn i systemet via e-post. Vel, la oss si, i en stor organisasjon, en bestemt rekommandert brev kommer med innhold som "Vi har endret kontrakten, skanne vedlegg," eller "Du sendte fraktbrev for forsendelse av varer (en kopi der ute et sted)." Naturligvis, åpner intetanende ansatt en fil og ...

Alle brukerfiler på nivå av Office-dokumenter, multimedia, spesialiserte AutoCAD prosjekter eller enda noen overordnede data krypteres umiddelbart, og hvis dataterminal ligger i et lokalt nettverk, kan viruset overføres videre ved å kryptere data på andre maskiner (det er merkbar fra "bremsing" systemkrasj, eller programmer som kjører programmer).

På slutten av krypteringsprosessen av viruset tilsynelatende sender opprinnelige rapporten, etter som selskapet kan få en melding om at systemet har trengt slik og slik trussel, og at det bare kan dekryptere slik og slik organisasjon. Vanligvis gjelder dette viruset paycrypt@gmail.com. Så er det et krav om å betale for tjenester i å tyde forslaget om å sende flere filer til en e-postklient, er det ofte en humbug.

Harm fra eksponering til koden

Hvis noen ennå ikke er forstått dekryptere filene etter en virus-chiffer - prosessen er ganske arbeidskrevende. Selv om du ikke "lead" til en ondsinnet krav og prøver å bruke de offisielle statsstrukturer på datakriminalitet og forebygging, som regel noe godt er oppnådd.

Hvis du sletter alle filene, utføre en systemgjenoppretting , og med kopiere de opprinnelige data fra flyttbare medier (selvfølgelig, hvis en kopi er tilgjengelig), er det fortsatt aktiveres når viruset alt vil bli kryptert igjen. Så spesielt bør ikke lure oss selv, jo mer så når du setter den samme pinne i USB-porten på brukeren vil ikke engang merke til hvordan viruset krypterer dataene på den. Deretter bare problemene vil ikke bli samlet.

Den førstefødte i familien

Nå ta hensyn til det første virus siffer. Slik Cure og dekryptere filene etter eksponering for kjørbar kode, har fangen i e-postvedlegg med et forslag dating på tidspunktet for hans utseende ingen trodde. Bevissthet om omfanget av katastrofen kom bare med tiden.

Viruset hadde et romantisk navn «Jeg elsker deg». Den intetanende brukeren åpner vedlegget i meldingen fra "eletronki" og fikk helt uspillbar mediefiler (grafikk, video og lyd). Da imidlertid slike handlinger ser mer ødeleggende (skade på brukeren mediebibliotek), og penger for dette ingen krevde.

De fleste nye versjoner

Som du kan se, har utviklingen av teknologi blitt ganske innbringende, spesielt når man tenker på at mange ledere av store organisasjoner kjører instant betal handlinger dekryptering, ikke tro at fordi du kan tape penger og informasjon.

Forresten, ikke se på alle disse "venstre" posisjoner på internett, sier de, "Jeg har betalt / betale den forespurte sum, de sendte meg koden, alt ble gjenopprettet." Tull! Alt dette er skrevet av utviklerne av viruset for å tiltrekke potensielle, jeg beklager, "suckers". Men av standarder for vanlige brukere, beløpet til å betale ganske alvorlig fra hundre til flere tusen eller titusener av euro eller dollar.

Nå ser på de nyeste typer virus av denne typen, som er spilt inn nylig. Alle av dem er nesten like og forholder seg ikke bare til kategorien av kryptografer, men også til den såkalte ransomware. I noen tilfeller er de mer korrekt (som paycrypt), synes å være å sende formelle virksomheten forslag eller rapporter, at noen bryr seg om sikkerheten på brukeren eller organisasjonen. Dette viruset chiffer meldingen bare kommer brukeren til feilen. Hvis man vil ta den minste effekt på betaling av alle - "skilsmisse" vil bli fullført.

virus XTBL

Relativt nylig dukket opp virus XTBL kan tilskrives den klassiske versjonen av chiffer. Som regel trenger det systemet via e-postmeldinger som inneholder vedlegg som filer med utvidelsen SCR, som er standard for Windows skjermsparer. Systemet og brukeren tror at alt er i orden, og aktivere visning eller lagre et vedlegg.

Dessverre fører dette til triste konsekvenser: filnavn blir konvertert til et sett med tegn, og til hoved utvidelsen er lagt .xtbl, hvoretter den ønskede e-postmelding kommer på muligheten for dekryptering etter utbetaling av det angitte beløpet (vanligvis 5000 rubler).

virus CBF

Denne typen virus tilhører også klassikerne i sjangeren. Det vises i systemet etter å ha åpnet en e-postvedlegg, og deretter endrer navnene på brukerens filer ved å tilsette ved slutten av ekspansjons som .nochance eller .Perfekt.

Uheldigvis tyde chiffer-virus for denne type analyse kode innholdet til og med ved trinnet for deres inntreden i systemet er ikke mulig, fordi etter fullføring av handlingene den produserer ødelegge seg selv. Likevel, som mange tror, en universell løsning som RectorDecryptor, hjelper ikke. Igjen brukeren å motta et brev med krav om betaling av det som er gitt i to dager.

virus Breaking_Bad

Denne type trussel arbeider langs de samme linjene, men endrer navn filene som standard, og legger til utvide .breaking_bad.

Denne situasjonen er ikke begrenset. I motsetning til tidligere virus, kan dette føre til, og en annen ekspansjon - .Heisenberg, så for å finne alle infiserte filer er ikke alltid mulig. Så Breaking_Bad (-encryptor virus) er en alvorlig nok trussel. Forresten, det er tilfeller hvor selv den lisenspakken Kaspersky Endpoint Security 10 passerer denne type trussel.

virus paycrypt@gmail.com

Her er en annen, kanskje den mest alvorlige trusselen som er rettet hovedsakelig til store bedrifter. Som regel i noen avdeling epost kommer som inneholder tilsynelatende endringer i kontrakten for levering av, eller bare en regning. Vedlegg kan inneholde en normal fil .jpg (bildetype), men oftere - en kjørbar script JS (Java-applet).

Hvordan å tyde viruset koder av denne typen? Dømme etter det faktum at det brukes noen ukjent algoritme RSA-1024, gjorde. Hvis vi starter fra navnet, kan det antas at dette er en 1024-bits kryptering system. Men hvis noen husker i dag, regnes som den mest avanserte 256-bit AES.

Virus chiffer: hvordan å kurere og dekryptere filer ved hjelp av antivirusprogramvare

Til dags dato, for å dekryptere trusler om denne type løsninger har ennå ikke blitt funnet. Selv mestere innen anti-virus beskyttelse som Kaspersky, Dr. Web og Eset, kan ikke finne nøkkelen til å løse problemet, når systemet arver viruset koder. Hvordan kurere filer? I de fleste tilfeller, er invitert til å sende en henvendelse til den offisielle nettsiden til antivirus utbygger (forresten, bare når systemet av lisensiert programvare som utbygger).

Derfor er det nødvendig å legge ved flere krypterte filer, samt deres "sunne" originalene, hvis noen. Generelt, i det store og noen lagrer kopier av dine data, slik at problemet med deres mang bare forverrer situasjonen upartisk.

Mulige metoder for identifisering og fjerning av trusler manuelt

Ja, oppdager vanlige antivirus scanning en trussel og med fjerne dem fra systemet. Men hva de skal gjøre med informasjonen?

Noen prøver å bruke dekryptering program som allerede nevnt RectorDecryptor utility (RakhniDecryptor). Vi merker med en gang: det hjelper ikke. Og i tilfelle av et virus og ikke Breaking_Bad kan bare skade. Her er grunnen.

Faktum er at mennesker som skaper disse virusene prøver å beskytte seg selv og gi opplæring til andre. Ved bruk av verktøy for å tyde virus kan reagere slik at systemet er "fly off", med en fullstendig ødeleggelse av alle data som er lagret på harddisken eller logiske partisjoner. Det vil si, en demonstrasjon leksjon for oppbyggelse for alle dem som ikke ønsker å betale. Bare håpe for antiviral offisielle laboratorium.

radikale metoder

Men hvis det betyr noe i det hele tatt dårlig, er det nødvendig å ofre informasjonen. Å helt bli kvitt den trusselen, må du formatere hele harddisken, inkludert virtuelle partisjoner, og deretter sette den "operativsystemer" igjen.

Dessverre er det ikke noe alternativ. Selv rulle tilbake systemet til en viss lagret gjenopprettingspunkter vil ikke hjelpe. Viruset kan være, og vil forsvinne, men filene vil forbli kryptert.

i stedet for en epilog

I konklusjonen, er det verdt å merke seg at situasjonen er som følger: coder-viruset kommer inn i systemet, gjør sitt skitne arbeid og kan ikke kureres ved hjelp av kjente midler. Antivirale midler var ikke klar for denne type trussel. Det sier seg selv at oppdage virus etter eksponering eller slette kan være. Men kryptert informasjon vil forbli i et uheldig lys. Så jeg håper at de beste hodene av antivirus programvare selskapene fortsatt finne en løsning, selv om, i henhold til krypteringsalgoritme, for å gjøre vil være svært vanskelig. Recall minst chiffer maskin Enigma, som under andre verdenskrig var den tyske marinen. Beste kryptografer ikke kunne løse problemet med algoritmen for å dekryptere meldinger før fikk tak i enheten i deres hender. Dette er tilfellet her.