Зашифровались файлы на компьютере что делать: Что делать если файлы на компьютере зашифровались?

Содержание

CryptXXX зашифровал файлы. Как их расшифровать?

Как с точки зрения пользователя компьютера выглядит стандартная картина заражения каким-нибудь трояном-шифровальщиком? Вы зашли на некий сайт и, сами того не ведая, установили оттуда какую-то программу. Некоторое время вроде бы ничего не происходит, а потом вдруг вылезает уведомление о том, что ваши файлы зашифрованы и надо платить выкуп. Вы проверяете — и действительно, у ваших файлов к имени добавилось зловещее расширение .crypt, и они больше не открываются.

Что это значит? Это значит, что вы заразились вымогателем-шифровальщиком, известным под названием CryptXXX. Кстати, на самом деле все еще хуже: он не только шифрует файлы, но еще и ворует данные и биткойны. Хорошая новость состоит в том, что у нас от него есть лекарство — бесплатная утилита-расшифровщик. А теперь обо всем немного подробнее.

Что за зверь такой CryptXXX

Если вы ищете инструкцию по расшифровке файлов, то можете пропустить эту часть текста — прокрутите страницу вниз, там вы найдете то, что вам нужно.

А здесь мы расскажем краткую историю происходящего.

15 апреля исследователи из Proofpoint обнаружили, что через эксплойт-кит Angler для Windows распространяется некий новый, ранее невиданный троянец-шифровальщик. Исследователи назвали его CryptXXX, хотя сами создатели никакого специального имени для своего детища не придумали — опознать данного вымогателя при заражении можно только по тому, что он добавляет .crypt к именам зашифрованных файлов.

Шифровальщик этот имеет несколько интересных особенностей. Во-первых, он запускает процедуру шифрования файлов на всех подключенных к компьютеру накопителях лишь через некоторое время после заражения. Его создатели предусмотрели эту задержку для того, чтобы было сложнее определить, какой именно сайт оказался заразным и принес на компьютер зловреда.

10 правил, которые помогут вам защитить свои файлы от заражения трояном-шифровальщиком: https://t.co/fTQ13YDoKp pic. twitter.com/OE5ik48iRo

— Kaspersky (@Kaspersky_ru) November 30, 2015

После того как троянец заканчивает с шифрованием, он создает три файла-инструкции: текстовый файл, картинку и веб-страницу HTML. Картинку он для наглядности ставит в качестве обоев рабочего стола, веб-страницу открывает в браузере, ну а текст оставляет, видимо, просто на всякий случай. Содержание всех инструкций более-менее одинаковое.

Они уведомляют пользователя о том, что его файлы зашифрованы с помощью достаточно стойкого алгоритма RSA4096, и требуют заплатить $500 в Bitcoin-эквиваленте за возвращение данных. Пройдя по ссылке в инструкции (и предварительно установив браузер Tor, если он не был установлен ранее), пользователь попадает на onion-сайт, содержащий более подробные инструкции и собственно форму для оплаты. И даже раздел с часто задаваемыми вопросами — все для клиентов!

Во-вторых, помимо шифрования файлов у CryptXXX обнаружилось еще несколько функций: он также крадет биткойны, сохраненные на жестких дисках, и другие данные, которые могут потенциально заинтересовать преступников.

Но у нас есть лекарство!

В последнее время часто бывает так, что для очередного нового троянца-шифровальщика не получается подобрать универсальный алгоритм расшифровки. В этом случае единственный способ вернуть файлы — это заплатить злоумышленникам выкуп. Мы это делать не рекомендуем, разве что в тех случаях, когда без этого совсем никак.

К счастью, CryptXXX — не тот случай, и у вирусных аналитиков «Лаборатории Касперского» получилось создать утилиту, которая помогает пользователям восстанавливать файлы, зашифрованные CryptXXX.

Внимание! Мы сделали дешифратор для бяки под именем #CryptXXX. Не дадим вымогателям шансов: https://t.co/pyDwXi9aEQ pic.twitter.com/pmBuaaxzPN

— Kaspersky (@Kaspersky_ru) April 25, 2016

Утилита RannohDecryptor изначально создавалась для расшифровки файлов, ставших пищей другого шифровальщика, Rannoh, но по мере появления новых троянцев она обрастала новой функциональностью. Теперь она позволяет устранить последствия деятельности CryptXXX.

Так что, если вы стали жертвой CryptXXX, не все потеряно. Для восстановления нам потребуется оригинальная, незашифрованная копия хотя бы одного из файлов, которые были зашифрованы вымогателем (если таких файлов у вас найдется больше — это только в плюс).

Дальше следует сделать вот что:

1. Скачайте с нашего сайта утилиту-расшифровщик и запустите ее.

2. Выберите в опциях типы дисков для сканирования. Галку «Удалять зашифрованные» ставить не стоит до тех пор, пока вы не будете на 100% уверены в том, что расшифрованные файлы нормально открываются.

3. Нажмите «Начать проверку», утилита запросит путь к зашифрованному файлу — укажите путь к зашифрованному файлу с расширением .crypt.

4. После этого утилита запросит путь к незашифрованному оригиналу того же файла — укажите его.

5. Затем утилита начнет поиск на дисках выбранных типов файлов с расширением .crypt и расшифрует все файлы, размер которых не превышает размер того файла, от которого у вас есть оригинал. Чем большего размера вам удастся найти оригинальный файл — тем больше файлов в итоге удастся расшифровать.

Будь готов!

Но лучше, конечно, не испытывать судьбу и не позволять CryptXXX проникнуть на ваш компьютер. Сейчас разработанная нашими вирусными аналитиками программа работает, однако злоумышленники достаточно быстро адаптируются к ситуации. Нередко они меняют код зловредов так, что расшифровать файлы с помощью утилиты становится невозможно. Например, так произошло с троянцем TeslaCrypt, для которого в свое время тоже была программа-дешифровщик, ставшая теперь практически бесполезной.

Почитайте вот про новую эпидемию трояна TeslaCrypt, который шифрует файлы на компьютере: https://t.co/TTj0SihZUZ pic.twitter.com/IOR4BLqywm

— Kaspersky (@Kaspersky_ru) December 17, 2015

К тому же не забывайте о том, что CryptXXX не только шифрует файлы, но и ворует данные, — не думаем, что вы с радостью захотите ими поделиться.

Чтобы избежать заражения, мы советуем следовать нескольким правилам безопасности:

1. Регулярно делайте резервные копии данных.

2. Не менее регулярно устанавливайте все важные обновления операционной системы и браузеров. Эксплойт-кит Angler, с помощью которого распространяется CryptXXX, использует уязвимости в программном обеспечении, чтобы получать права на скачивание и установку зловредов.

3. Установите хорошее защитное решение. Kaspersky Internet Security обеспечивает многослойную защиту от троянцев-шифровальщиков. А Kaspersky Total Security в дополнение к этому позволит автоматизировать создание бэкапов.

Подробнее о способах защиты от троянцев-шифровальщиков вы можете прочитать тут.

Обновление: похоже, злоумышленники тоже прочитали про наш декриптор и модифицировали CryptXXX таким образом, чтобы наша утилита не позволяла расшифровывать файлы. Однако специалисты из «Лаборатории Касперского» обновили утилиту, так что она способна справиться и с новой версией шифровальщика. Подробнее об этом можно прочитать тут.

Как удалить вирус зашифровывающий файлы и расшифровать файлы.

С какими только вирусами не приходилось сталкиваться, вот пример самых «интересных» — баннеры блокирующие экран (СМС вымогатели), вирус распространяющиеся по скайпу, и с каждым годом появляются все новые и новые… интереснее и интереснее. Наиболее популярный последнее время вирус (Trojan-Ransom.Win32.Rector), который шифрует все ваши файлы (*.mp3, *.doc, *.docx, *.iso, *.pdf, *.jpg, *.rar и т.д.). Проблема состоит в том, что расшифровать подобные файлы крайне сложно и долго, в зависимости от типа шифрования, расшифровка может затянуться на недели, месяцы и даже годы. На мой взгляд, этот вирус на данный момент, апогей по опасности среди остальных вирусов. Особенно он опасен для домашних компьютеров/ ноутбуков, поскольку большинство пользователей не делают резервную копию данных и при зашифровке файлов теряют все данные. Для организаций этот вирус меньше опасен, поскольку они делают резервные копии важных данных и в случае заражения, просто восстанавливают их, естественно после удаления вируса.

С этим вирусом я встречался несколько раз, опишу как это происходило и к чему приводило.

Первый раз с вирусом зашифровывающим файлы я познакомился в начале 2014 года. Со мной связался администратор с другого города и сообщил пренеприятнейшее известие — Все файлы, на файловом сервере зашифрованы! Заражение произошло элементарным способом- в бухгалтерию пришло письмо с вложение «Акт что-то там.pdf.exe» как вы понимаете они открыли этот EXE файл и процесс пошел… он зашифровал все личные файлы на компьютере и перешел на файловый сервер (он был подключен сетевым диском). Начали с администратором копать информацию в Интернете… на тот момент никакого решения не было… все писали, что такой вирус есть, как лечить его не известно, расшифровать файлы не удается, возможно поможет отправка файлов Касперскому, Dr Web или Nod32. Отправить им можно только, если пользуетесь их антивирусными программами (есть лицензии). Мы отправили файлы в Dr Web и Nod32, результатов — 0, уже не помню что говорили в Dr Web, а в Nod 32 вообще замолчали и никакого ответа от них я не дождался.
В общем все было печально и решения мы так и не нашли, часть файлов восстановили с бэкапа.

История вторая- буквально на днях (середина октября 2014) мне позвонили с организации с просьбой решить проблему с вирусом, как вы понимаете все файлы на компьютере были зашифрованы. Вот пример того как это выглядело.

Как вы можете заметить к каждому файлу было добавлено расширение *.AES256. В каждой папке был файл «Внимание_открой-меня.txt» в котором были контакты для связи.

При попытки открыть эти файлы открывалась программа с контактами для связи с авторами вируса для оплаты расшифровки. Само собой связаться с ними я не рекомендую, и платить за код тоже, поскольку вы их только поддержите финансово и не факт что получите ключ расшифровки.

Заражение произошло при установке программы скаченной с Интернета. Самое удивительное было, то, что когда они заметили, что файлы изменились (изменились иконки и расширение файлов) то ничего не предприняли и дальше продолжали работать, а тем временем шифровальщик продолжал шифровать все файлы.

Внимание!!! Если вы заметили шифрование файлов на компьютере (изменение иконок, изменение расширения) сразу же выключайте компьютер/ ноутбук, и уже с другого устройства ищите решение (с другого компьютера/ ноутбука, телефона, планшета) или обращайтесь к IT специалистам. Чем дольше ваш компьютер/ ноутбук будет включен, тем больше файлов он зашифрует.

В общем, я уже хотел отказаться от помощи им, но решил полазить в Интернете, может уже появилось решение для этой проблемы. В результате поисков прочитал массу информации о том, что расшифровке не поддается, что нужно отправлять файлы в антивирусные компании (Касперскому, Dr Web или Nod32) — спасибо был опыт.
Наткнулся на утилиту от Касперского -RectorDecryptor. И о чудо- файлы удалось расшифровать. Ну обо все по порядку…

Первым делом необходимо остановить работу шифровальщика. Не найдетесь на антивирусы, поскольку уставленный Dr Web ничего не нашел. Первым делом я зашел в автозагрузки и отключил все автозагрузки (кроме антивируса). Перезагрузил компьютер. Затем начал смотреть, что за файлы были в автозагрузки.

Как можете заметить в поле «Команда» указано где лежит файл, особое внимание требуется удалить приложениям без подписи (Производитель -Нет данных). В общем нашел и удалил зловреда и еще не понятные для меня файлы. После этого почистил временные папки и кэши браузеров, лучше всего для этих целей воспользоваться программой CCleaner.

Еще одни способ откатить систему до возникновения проблемы.

Далее приступил к расшифровке файлов, для этого скачал программу для расшифровки RectorDecryptor. Запустил и увидел довольно аскетичный интерфейс утилиты.

Нажал «Начать проверку», указал расширение, которое было у всех измененных файлов.

И указал зашифрованный файл. В более новых версия RectorDecryptor можно просто указывать зашифрованный файл. Нажмите кнопку «Открыть».

Тада-а-а-ам!!! Произошло чудо и файл был расшифрован.

После этого утилита автоматически проверяет все файлы компьютера + файлы на подключенном сетевом диске и расшифровывает их. Процесс расшифровки может затянуться на несколько часов (зависит от количества зашифрованных файлов и быстродействия вашего компьютера).

В результате все зашифрованные файлы были успешно расшифрованы в туже директорию, где находились изначально.

Осталось удалить все файлы с расширение .AES256, это можно было сделать, поставив галочку «Удалять зашифрованные файлы после успешной расшифровки», если нажать «Изменить параметры проверки» в окне RectorDecryptor.

Но помните, что лучше эту галочку не ставить, поскольку в случае, не удачной расшифровки файлов они удаляться и для того, что бы их снова попытаться расшифровать придется для начала их восстановить.

 При попытки удалить все зашифрованные файлы с помощью стандартного поиска и удаления, я наткнулся на зависания и крайне медленную работу компьютера.

Поэтому для удаления лучше всего воспользоваться командной строкой, запустите ее и пропишите del  «<диск>:\*.<расширение зашифрованного файла>» /f /s. В моем случае  del «d:\*.AES256» /f /s.

Не забывайте удалить файлы «Внимание_открой-меня.txt», для этого в командной строке воспользуйтесь командой del  «<диск>:\*.<имя файла>» /f /s, например
del  «d:\Внимание_открой-меня.txt» /f /s

Таким образом, вирус был побежден и файлы восстановлены. Хочу предупредить, что данный способ поможет не всем, все дело в том, что Каперский в этой утилите собрал все известные ключи для расшифровки (из тех файлов, которые оправляли заразившиеся вирусом) и методом перебора подбирает ключи и расшифровывает. Т.е. если ваши файлы зашифрованы вирусом с еще не известным ключом, тогда этот способ не поможет… придется отправлять зараженные файлы антивирусным компаниям -Касперскому, Dr Web или Nod32 для их расшифровки.

Если вы знаете другие способы борьбы с вирусом, шифрующим файлы просьба поделиться ими в комментарии.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:


Вирус-шифровальщик. БОЛЬШАЯ статья / Хабр

В новости

«ОСТОРОЖНО. Вирус-шифровальщик Trojan.Encoder.225»

я уже подробно рассказывал об одном конкретном вирусе Trojan.Encoder.225, но, на тот момент, решения по расшифровке я так и не получил.

Но в последствии (спустя 3 с лишним недели после начала дэшифровки) ситуация изменилась в лучшую сторону. За этот период мною были успешно расшифрованы данные сразу после двух вирусов Trojan.Encoder.225 и Trojan.Encoder.263 на разных ПК.

Напомним: троянцы семейства Trojan.Encoder представляют собой вредоносные программы, шифрующие файлы на жестком диске компьютера и требующие деньги за их расшифровку. Зашифрованными могут оказаться файлы *.mp3, *.doc, *.docx, *.pdf, *.jpg, *.rar и так далее.
Со всем семейством этого вируса познакомиться лично не удалось, но, как показывает практика, метод заражения, лечения и расшифровки у всех примерно похожи:
1. жертва заражается через спам-письмо с вложением (реже инфекционным путем),
2. вирус распознается и удаляется (уже) почти любым антивирусом со свежими базами,
3. файлы расшифровываются путем подбора паролей-ключей к используемым видам шифрования.
Например, в Trojan.Encoder.225 используется шифрование RC4 (модифицированный) + DES, а в Trojan.Encoder.263 — BlowFish в CTR-режиме. Эти вирусы на данный момент расшифровываются на 99% исходя из личной практики.

Но не всё так гладко. Некоторые вирусы-шифровальщики требуют месяцы непрерывной дешифровки (Trojan.Encoder.102), а другие (Trojan.Encoder.283) и вовсе не поддаются корректной расшифровке даже для специалистов компании «Доктор Вэб», которая, собственно, играет ключевую роль в данной статье.

Теперь по порядку.

В начале августа 2013 года ко мне обратились клиенты с проблемой зашифрованных файлов вирусом Trojan. Encoder.225. Вирус, на тот момент, новый, никто ничего не знает, в интернете информации 2-3 тематических ссылки гугла. После продолжительных поисков на просторах интернета выясняется, что единственная (найденная) организация, которая занимается проблемой расшифровки файлов после этого вируса — это компания «Доктор Веб». А именно: дает рекомендации, помогает при обращении в тех.поддержку, разрабатывает собственные дешифровщики и т.д.

Негативное отступление.

И, пользуясь случаем, хочу отметить два жирнющих минуса «Лаборатории Касперского». Которые, при обращении в их тех.поддержку, отмахиваются «мы работаем над этим вопросом, о результатах уведомим по почте». И еще, минус в том — что ответа на запрос я так и не получил. Спустя 4 месяца. Ни«хрена» себе время реакции. А я тут стремлюсь к стандарту «не более одного часа с оформления заявки».
Стыдно, товарищ Евгений Касперский, генеральный директор «Лаборатории Касперского». А ведь у меня добрая половина всех компаний «сидит» на нем. Ну да ладно, лицензии кончаются в январе-марте 2014 года. Стоит ли говорить о том, буду ли я продлевать лицензию?;)

Представляю лица «спецов» из компаний «попроще», так сказать НЕгигантов антивирусной индустрии. Наверное вообще «забились в уголок» и «тихо плакали».
Хотя, что уж там, абсолютно все «лоханулись» по полной. Антивирус, в принципе, не должен был допустить попадание этого вируса на комп. Тем более учитывая современные технологии. А у «них», ГИГАНТОВ антиВИРУСНОЙ индустрии, якобы всё схвачено, «эврестический анализ», «система упреждения», «проактивная защита»…

ГДЕ ЭТИ ВСЕ СУПЕР-СИСТЕМЫ БЫЛИ, КОГДА РАБОТНИК ОТДЕЛА КАДРОВ ОТКРЫВАЛ «БЕЗОБИДНОЕ» ПИСЬМО С ТЕМОЙ «РЕЗЮМЕ»???
Что должен был подумать сотрудник?
Если ВЫ не можете нас защитить, то зачем ВЫ нам нужны вообще?

И всё бы хорошо было с «Доктор Вэб», да только чтобы получить помощь, надо, естественно, иметь лицензию на какой либо их программный продукт. При обращении в тех. поддержку (далее ТП) надо предоставить серийный номер Dr.Web и не забыть в строке «Категория запроса:» выбрать «запрос на лечение» или просто предоставить им зашифрованный файл в лабораторию. Сразу оговорюсь, что так называемые «журнальные ключи» Dr.Web, которые в интернете выкладываются пачками, не подходят, так как не подтверждают приобретение каких либо программных продуктов, и отсеиваются специалистами ТП на раз-два. Проще купить самую «дешманскую» лицензию. Потому как если вы взялись за расшифровку — вам эта лицензия окупится в «мулион» раз. Особенно если папка с фотками «Египет 2012» была в одном экземпляре…

Попытка №1

Итак, купив «лицензию на 2 ПК на год» за н-сумму денег, обратившись в ТП и предоставив некоторые файлы я получил ссылку на утилиту-дешифровщик te225decrypt.exe версии 1.3.0.0. В предвкушении успеха, запускаю утилиту (надо указать ей на один из зашифрованных *.doc файлов). Утилита начинает подбор, нещадно загружая на 90-100% старенький процессор E5300 DualCore, 2600 MHz (разгон до 3,46Ггц) /8192 MB DDR2-800, HDD 160Gb Western Digital.
Тут, параллельно со мной в работу включается коллега на ПК core i5 2500k (разгон до 4.5ghz) /16 ram 1600/ ssd intel (это для сравнения затраченного времени в конце статьи).
Спустя 6 суток у меня утилита отрапортовала об расшифровке 7277 файлов. Но счастье длилось не долго. Все файлы расшифровались «криво». То есть, например, документы microsoft office открываются, но с разными ошибками: «Приложением Word в документе *.docx обнаружено содержимое, которое не удалось прочитать» или «Не удается открыть файл *.docx из-за ошибок его содержимого». Файлы *.jpg тоже открываются либо с ошибкой, либо 95% изображения оказывается затертым черным или салатово-зелёным фоном. У файлов *.rar — «Неожиданный конец архива».
В общем полная неудача.

Попытка №2

Пишем в ТП о результатах. Просят предоставить пару файлов. Через сутки опять дают ссылку на утилиту te225decrypt.exe, но уже версии 1.3.2.0. Ну что ж, запускаем, альтернативы то все равно не было тогда. Проходит около 6 суток и утилита завершает свою работу ошибкой «Невозможно подобрать параметры шифрования». Итого 13 суток «коту под хвост».
Но мы не сдаемся, на счету важные документы нашего *бестолкового* клиента без элементарных бэкапов.

Попытка №3

Пишем в ТП о результатах. Просят предоставить пару файлов. И, как вы уже догадались, спустя сутки дают ссылку на всё ту же утилиту te225decrypt.exe, но уже версии 1.4.2.0. Ну что ж, запускаем, альтернативы то как не было, так и не появилось ни от Лаборатории Касперского, ни от ESET NOD32 ни от других производителей антивирусных решений. И вот, спустя 5 суток 3 часа 14 минут (123,5 часа) утилита сообщает о расшифровке файлов (у коллеги на core i5 расшифровка заняла всего 21 час 10 минут).
Ну, думаю, была-небыла. И о чудо: полный успех! Все файлы расшифрованы корректно. Всё открывается, закрывается, смотрится, редактируется и сохраняется исправно.

Все счастливы, THE END.

«А где же история про вирус Trojan. Encoder.263?», спросите вы. А на соседнем ПК, под столом… была. Там всё было проще: Пишем в ТП «Доктора Вэба», получаем утилиту te263decrypt.exe, запускаем, ждем 6,5 суток, вуаля! и всё готово.Подведя итог, могу привести несколько советов с форума «Доктор Вэб» в моей редакции:

Что необходимо сделать в случае заражения вирусом-шифровальщиком:
— прислать в вирусную лабораторию Dr. Web или в форму «Отправить подозрительный файл» зашифрованный doc-файл.
— Дожидаться ответа сотрудника Dr.Web и далее следовать его указаниям.

Что НЕ нужно делать:
— менять расширение у зашифрованных файлов; Иначе, при удачно подобранном ключе утилита просто не «увидит» файлов, которые надо расшифровать.
— использовать самостоятельно без консультации со специалистами любые программы для расшифровки/восстановления данных.

Внимание, имея свободный от других задач сервак, рпедлагаю свои безвозмездные услуги по расшифровке ВАШИХ данных. Сервак core i7-3770K c разгоном до *определенных частот*, 16ГБ ОЗУ и SSD Vertex 4.
Для всех активных пользователей «хабра» использование моих ресурсов будет БЕСПЛАТНА!!!

Пишите мне в личку или по иным контактам. Я на этом уже «собаку съел». Поэтому мне не лень на ночь поставить сервак на расшифровку.
Этот вирус — «бич» современности и брать «бабло» с однополчан — это не гуманно. Хотя, если кто-нибудь «бросит» пару баксов на мой счет яндекс.деньги 410011278501419 — я буду не против. Но это совсем не обязательно. Обращайтесь. Обрабатываю заявки в своё свободное время.

Новые сведенья!

Начиная с 08.12.2013 года началось распространение нового вируса из всё той же серии Trojan.Encoder под классификацией «Доктора Вэба» — Trojan.Encoder.263, но с шифрованием RSA. Данный вид на сегодняшнее число (20.12.2013г.) не поддается расшифровке, так как использует очень устойчивый метод шифрования.

Всем, кто пострадал от этого вируса рекомендую:
1. Используя встроенный поиск windows найти все файлы, содержащие расширение . perfect, скопировать их на внешний носитель.
2. Скопировать так же файл CONTACT.txt
3. Положить этот внешний носитель «на полочку».
4. Ждать появления утилиты-дешифратора.

Что НЕ надо делать:
Не надо связываться со злоумышленниками. Это глупо. В более чем 50% случаев после «оплаты» в, примерно, 5000р., вы не получите НИЧЕГО. Ни денег, ни дешефратора.
Справедливости ради стоит отметить, что в интернете есть те «счастливчики», которые за «бабло» получали свои файлы обратно путем дешифрования. Но, верить этим людям не стоит. Будь я вирусописателем, первое, чтоб я сделал — дак это распространил информацию типа «я заплатил и мне выслали дешифратор!!!».
За этими «счастливчиками» могут быть всё те же злоумышленники.

Что ж… пожелаем удачи остальным антивирусным компаниям в создании утилиты по дешифровке файлов после вирусов группы Trojan.Encoder.

Отдельная благодарность за проделанную работу по созданию утилит-дешифраторов товарищу v. martyanov`у с форума «Доктор Вэб».

Что такое программа-вымогатель или как защитить свой компьютер от WannaCry?

Что вам необходимо знать о программах-вымогателях, а также об WannaCry, как защитить ваш ПК или ноутбук и что делать, если вас коснулась эта проблема.

В пятницу, 12 мая и в минувшие выходные, сотни тысяч, а то и миллионы компьютеров подверглись атакам со стороны вредоносного ПО WannaCry, также известного как WCry, WannaDecryptOr и WannaCrypt. Это программа «вымогатель» запрещает вам получить доступ к своим файлам на зараженном компьютере, пока вы не заплатите выкуп.

От вируса пострадали компьютеры частных лиц, а также компаний в более чем 100 странах мира.


Это вредоносная программа, которая похожа на компьютерный вирус. Она предназначена для сканирования ваших жестких дисков и шифрования как можно большего количества файлов, так чтобы вы не смогли получить к ним доступ. При этом пользователю предлагается заплатить сумму — выкуп для того, чтобы вернуть файлы. Выкуп обычно производится через биткойны, так как это анонимно.


Иногда требуется ручное вмешательство, чтобы расшифровать ваши файлы после того, как вы заплатили. Но поскольку вы имеете дело с преступниками, то не стоит надеяться, что они будут делать то, что они обещают. Поэтому большинство экспертов рекомендуют не платить.

Как и многие вредоносные программы, его можно получить как вложение по электронной почте. Этот метод основан на том, что пользователи ПК открывают вложение или щелкают по ссылке в электронной почте, что приводит к запуску программы.

Люди часто открывают эти вложения или щелкают ссылкам лишь из любопытства, потому что отправитель — это кто-то в их адресной книге (конечно, с подставного адреса).

Затем WannaCry шифрует все файлы и документы на компьютере, так что пользователь больше не может их открыть.

После того, как файлы зашифровались, на экране компьютера отображается сообщение: «Ой, ваши файлы были зашифрованы!» и пользователю дается три дня для того, чтобы заплатить выкуп в размере 300 или 600 долларов (в зависимости от страны).

Если ваш компьютер работает под управлением ОС Windows 10, то он не был целью WannaCry согласно сообщению в блоге Microsoft.

Кроме того, современные компьютеры с Windows 10 были бы защищены от атаки в любом случае. Если вы включили автоматическое обновление (оно обычно включено по умолчанию) обновление безопасности в марте, то это защитило бы такие операционные системы как: Windows Vista, Windows 7 и Windows 8.1.

Поэтому больше всего атак пришлось на старые версии Windows, которые больше не поддерживаются, в том числе Windows XP и Windows 8.

Однако стоит отметить, что пользователи домашних ПК почти не подверглись воздействию WannaCry, так как вирус предназначался для компьютеров, работающих на корпоративном образе Windows, особенно, которые используют сетевую файловую систему SMB.

Microsoft выпустила патч безопасности для Windows XP и Windows 8 — очень необычный шаг для неподдерживаемых операционных систем, который вы можете скачать по ссылкам в блоге Microsoft.

Если у вас включено обновление Windows на других версиях (Windows 7, 8.1, 10), вы уже будете защищены от WannaCry и любых других атак, использующих ту же самую уязвимость.

Если вы не уверены насчет обновлений, откройте панель управления, который вы найдете в меню «Пуск». Перейдите в Центру обновления Windows, где сможете проверить, включено ли обновление или нет.

В настройках должна появиться кнопка «Проверить наличие обновлений», которую вы можете нажать, чтобы Windows начал искать и при необходимости устанавливать критические обновления на компьютер.

Резервное копирование!

Конечно, мы как всегда рекомендуем делать резервное копирование. У вас должно быть по крайней мере одна (если не две) копии тех файлов, которые вы не можете себе позволить потерять. Фотографии, домашние видео, финансовые документы и другие файлы, которые не могут быть заменены, должны регулярно копироваться.

Программы-вымогатели, да и люое другое вредоносное ПО довольно часто умно, им не составляет труда сканировать домашнюю сеть и заражать другие компьютеры или даже сетевые накопители (NAS-накопители), поэтому очень важно сделать резервную копию на внешнем жестком диске, который вы отключите и будете хранить где-нибудь в безопасности.

Не открывать вложения!

Вы, как пользователь ПК, часто являетесь слабым звеном в цепочке. Конечно, Windows и антивирусное ПО помогут защитить вас от атак вредоносного ПО, но вы также должны быть бдительны и быть крайне осторожными в отношении того, какие вложения электронной почты вы открываете и на какие ссылки кликаете.

Как правило, электронные письма от хакеров не будут содержать личных сообщений, а фразы будет настолько общим, что могут вызвать подозрения. В случае WannaCry, по крайней мере, некоторые из писем были с пометкой как важное письмо от банка о переводе денег.

В случае подозрительных писем необходимо, либо просто удалить сообщение, либо позвонить отправителю и убедиться, отправил ли он это электронное письмо.

Большинство современных антивирусов (но не все) уже содержат пакет «анти-вымогатель», который должен помочь защитить ваш ПК и ноутбук от WannaCry и других вредоносных ПО. Вот почему важно полагаться не только на собственную безопасность Windows, но и установить дополнительный уровень защиты — сторонний антивирус (Например, Касперский).


Во-первых, не платите деньги. Это только мотивирует преступников — получать деньги — это их конечная цель.

Некоторые эксперты по безопасности предсказывают, что в течение нескольких дней можно будет бесплатно «исправить» файлы и удалить вредоносное ПО.

Нет гарантии, что вы получите ваши файлы обратно, даже если вы заплатите.

Как решить проблему «Ой, ваши файлы зашифрованы» в 2021 году

Эндрю Сандерс

Хотя программы-вымогатели становятся все реже, они по-прежнему эффективно нацелены на предприятия и частных лиц. За последние несколько месяцев атаки программ-вымогателей обрушились на новостные организации во время рождественских праздников, заразили домашние компьютеры с помощью функции drive-by-downloads и заблокировали более 100 000 компьютеров в Китае.

Ransomware, возможно, не растет так быстро, как было (криптоджекинг обогнал вымогателей как самое быстрорастущее вредоносное ПО в 2019 году), но это все еще опасная вещь. Однако с учетом сказанного это может быть не так страшно, как кажется. Вот несколько способов удалить или уменьшить риск заражения программой-вымогателем:

Шаг первый: никогда не платите выкуп

Оплата выкупа — плохая идея. Прежде всего, вы понятия не имеете, кого вы поддерживаете — это могут быть террористы, организованные преступники или шпионы из иностранных правительств.Выплата выкупа кладет деньги в их казну, что определенно является серой зоной морали.

Кроме того, уплата выкупа может не вернуть вам ваши данные. Некоторые программы-вымогатели, такие как печально известная программа-вымогатель NotPetya, остановившая бизнес в 2017 году, предназначены для постоянного шифрования файлов. Любой, кто заплатил выкуп, навсегда потеряет и свои деньги, и свои данные.

Наконец, не все программы-вымогатели созданы преступными вдохновителями. Даже если вы получаете сообщение о том, что ваши данные зашифрованы, ничто не говорит о том, что ответственное вредоносное ПО гарантированно сделало это компетентно.Другими словами, есть шанс, что вы сможете полностью изменить шифрование, расшифровать данные и удалить вредоносное ПО из своей системы.

Шаг 2. Определите штамм программы-вымогателя

Определение штамма программы-вымогателя, заразившей ваш компьютер, — это первый шаг к пониманию того, можно ли восстановить ваши данные.

Первым ключом к определению вашей разновидности программы-вымогателя будет само письмо с требованием выкупа. Киберпреступники часто идентифицируют себя и подписывают свою программу-вымогатель определенным псевдонимом, связанным с типом вредоносного ПО, которое они используют.Точно так же они могут включать конкретный биткойн-адрес (цифровой кошелек, куда жертвы программ-вымогателей отправляют валюту), связанный с данным штаммом вредоносного ПО. Используя эти идентификаторы, быстрый поиск в Google на незараженном устройстве, вероятно, подскажет, с чем вы имеете дело.

Если это не сработает, возможно, пора применить более специализированный метод. Веб-сайт, управляемый группой исследователей безопасности, известной как Malware Hunter Team, может автоматически идентифицировать ваш штамм-вымогатель, если вы загрузите записку о выкупе и один из ваших зашифрованных файлов.Сервис, известный как VirusTotal, может делать то же самое.

Шаг третий: удалите программу-вымогатель, если возможно

После того, как вы определите штамм программы-вымогателя, у вас будет неплохой шанс ее расшифровать. Если вам повезет, программа-вымогатель, которую вы укажете, вообще не будет вымогателем. Вместо этого он просто примет форму всплывающего окна, которое блокирует ваш экран и пытается обмануть вас предупреждающим сообщением. Их легко удалить с помощью уже установленных на вашем компьютере программ защиты от вредоносных программ.

Если обнаруженная программа-вымогатель действительно заблокировала файлы на вашем компьютере, у вас могут быть проблемы. Один из вариантов — попытаться восстановить компьютер из резервной копии. К сожалению, некоторые семейства программ-вымогателей активно ищут и удаляют резервные копии, хранящиеся на вашем компьютере. Вот почему лучше всего найти службу резервного копирования, работающую через облако.

Если вы не можете найти резервную копию, но знаете название программы-вымогателя, которая влияет на вас, у вас может быть шанс.Исследователи безопасности изучали программы-вымогатели в течение многих лет, и некоторые из них разработали специальные инструменты и инструкции для расшифровки, которые позволят обратить заражение вашей системы. Служба под названием No More Ransom свяжет вас с конкретным дешифратором для данного семейства вредоносных программ вместе с инструкциями.

К сожалению, не с каждым семейством программ-вымогателей связано средство дешифрования. Если это так и нет возможности восстановления из резервной копии, возможно, вам придется согласиться с тем, что данные на вашем компьютере потеряны.

Шаг четвертый: создание проактивной защиты

Если вы только что обезвредили заражение программой-вымогателем или беспокоитесь о том, что можете стать целью, сейчас самое время найти безопасное антивирусное решение. Большинство основных антивирусных платформ теперь включают специализированные модули, предназначенные для борьбы с программами-вымогателями, чтобы ваш компьютер не стал жертвой атаки. Если вам интересно, просмотрите наш список 10 лучших антивирусных служб и найдите программу, которая вам подходит!

Описание программы-вымогателя

: как она работает и как ее удалить

Определение программы-вымогателя

Программа-вымогатель — это форма вредоносной программы , которая шифрует файлы жертвы.Затем злоумышленник требует от жертвы выкуп за восстановление доступа к данным после оплаты.

Пользователям показаны инструкции по оплате сбора за ключ дешифрования. Стоимость может варьироваться от нескольких сотен до тысяч долларов, выплачиваемых злоумышленникам в биткойнах.

Как работает программа-вымогатель

Программа-вымогатель может использовать несколько векторов для доступа к компьютеру. Одна из наиболее распространенных систем доставки — это фишинговый спам — вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому она должна доверять.После загрузки и открытия они могут захватить компьютер жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей предоставлять административный доступ. Некоторые другие, более агрессивные формы программ-вымогателей, такие как NotPetya, используют бреши в безопасности для заражения компьютеров без необходимости обманывать пользователей.

Есть несколько вещей, которые вредоносная программа может сделать после захвата компьютера жертвы, но, безусловно, наиболее распространенным действием является шифрование некоторых или всех файлов пользователя.Если вам нужны технические подробности, в Infosec Institute есть очень подробный взгляд на то, как несколько разновидностей программ-вымогателей шифруют файлы. Но самое важное, что нужно знать, это то, что в конце процесса файлы не могут быть расшифрованы без математического ключа, известного только злоумышленнику. Пользователь получает сообщение, объясняющее, что его файлы теперь недоступны и будут расшифрованы только в том случае, если жертва отправит злоумышленнику не отслеживаемый платеж в биткойнах.

В некоторых формах вредоносного ПО злоумышленник может заявить, что является правоохранительным органом, который выключает компьютер жертвы из-за наличия на нем порнографии или пиратского программного обеспечения и требует уплаты «штрафа», возможно, чтобы уменьшить количество жертв. скорее всего, сообщит о нападении властям.Но большинство нападений не обращают внимания на это отговорку. Существует также вариант, называемый leckware или doxware , в котором злоумышленник угрожает опубликовать конфиденциальные данные на жестком диске жертвы, если не будет уплачен выкуп. Но поскольку поиск и извлечение такой информации — очень сложная задача для злоумышленников, шифровальщики-вымогатели являются наиболее распространенным типом.

Кто является целью для программ-вымогателей?

Злоумышленники могут выбирать организации, на которые нацелены программы-вымогатели, несколькими способами.Иногда это вопрос возможностей: например, злоумышленники могут нацеливаться на университеты, потому что они, как правило, имеют меньшие группы безопасности и разрозненную базу пользователей, которая много обменивается файлами, что упрощает проникновение в их защиту.

С другой стороны, некоторые организации являются заманчивыми жертвами, потому что они с большей вероятностью заплатят выкуп быстро. Например, государственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим файлам. Юридические фирмы и другие организации, располагающие конфиденциальными данными, могут быть готовы платить за то, чтобы держать в секрете новости о взломе, и эти организации могут быть исключительно чувствительны к атакам с использованием утечек.

Но не думайте, что вы в безопасности, если не подходите под эти категории: как мы уже отметили, некоторые программы-вымогатели автоматически и без разбора распространяются по Интернету.

Как предотвратить заражение программами-вымогателями

Существует ряд защитных мер, которые вы можете предпринять, чтобы предотвратить заражение программами-вымогателями. Эти шаги, конечно, являются хорошими практиками безопасности в целом, поэтому их выполнение улучшает вашу защиту от всех видов атак:

  • Держите свою операционную систему в исправном состоянии и обновляйте , чтобы уменьшить количество уязвимостей, которые можно использовать.
  • Не устанавливайте программное обеспечение и не давайте ему административные привилегии , если вы точно не знаете, что это такое и что оно делает.
  • Установите антивирусное программное обеспечение , которое обнаруживает вредоносные программы, такие как программы-вымогатели, по мере их поступления, и , заносящее в белый список программное обеспечение , , которое в первую очередь предотвращает выполнение неавторизованных приложений.
  • И, конечно же, — резервное копирование файлов, — часто и автоматически! Это не остановит атаку вредоносного ПО, но может сделать ущерб, нанесенный одной, гораздо менее значительным.

Удаление программ-вымогателей

Если ваш компьютер был заражен программой-вымогателем, вам необходимо восстановить контроль над своей машиной. У Стива Рагана из CSO есть отличное видео, демонстрирующее, как это сделать на машине с Windows 10:

В видео есть все подробности, но важные шаги:

  • Перезагрузите Windows 10 в безопасный режим
  • Установить программу защиты от вредоносных программ
  • Просканируйте систему , чтобы найти программу-вымогатель
  • Восстановить компьютер в предыдущее состояние

Но вот важная вещь, о которой нужно помнить: хотя эти шаги могут удалить вредоносное ПО с вашего компьютера и восстановить его под вашим контролем, он не расшифрует ваши файлы. Их преобразование в нечитаемость уже произошло, и, если вредоносная программа хоть сколько-нибудь сложна, никому будет математически невозможно расшифровать их без доступа к ключу, который держит злоумышленник. Фактически, удалив вредоносное ПО, вы исключили возможность восстановления ваших файлов, заплатив злоумышленникам выкуп, который они запросили.

Факты и цифры о программах-вымогателях

Программы-вымогатели — это большой бизнес. В программах-вымогателях много денег, и с начала десятилетия рынок быстро рос.В 2017 году программы-вымогатели принесли убытки в размере 5 миллиардов долларов, как с точки зрения уплаченного выкупа, так и затрат, а также потери времени на восстановление после атак. Это в 15 раз больше, чем в 2015 году. В первом квартале 2018 года только одна программа-вымогатель, SamSam, собрала выкуп в размере 1 миллиона долларов.

Некоторые рынки особенно уязвимы для программ-вымогателей и выплаты выкупа. В больницах или других медицинских организациях произошло множество громких атак с использованием программ-вымогателей, которые представляют собой заманчивые цели: злоумышленники знают, что, когда жизни буквально на волоске, эти предприятия с большей вероятностью просто заплатят относительно небольшой выкуп, чтобы проблема исчезла. .По оценкам, 45 процентов атак программ-вымогателей нацелены на медицинские организации, и, наоборот, 85 процентов заражений вредоносным ПО в медицинских организациях являются программами-вымогателями. Еще одна соблазнительная индустрия? Сектор финансовых услуг, который, как классно заметил Уилли Саттон, является источником денег. По оценкам, 90% финансовых учреждений подверглись атаке программ-вымогателей в 2017 году.

Ваше антивирусное программное обеспечение не обязательно защитит вас. Ransomware постоянно пишется и настраивается разработчиками, поэтому его сигнатуры часто не улавливаются типичными антивирусными программами.Фактически, 75% компаний, ставших жертвами программ-вымогателей, использовали на зараженных машинах новейшую защиту конечных точек.

Программы-вымогатели не так распространены, как раньше. Если вы хотите хороших новостей, то вот что: количество атак программ-вымогателей после резкого роста в середине 10-х годов пошло на спад, хотя первоначальные цифры были достаточно высокими, чтобы они остались. Но в первом квартале 2017 года атаки программ-вымогателей составили 60 процентов полезной нагрузки вредоносных программ; сейчас он упал до 5 процентов.

Программы-вымогатели на спаде?

Что стоит за этим большим провалом? Во многом это экономическое решение, основанное на выбранной киберпреступником валюте: биткойне. Взыскание выкупа с жертвы всегда было удачным решением; они могут не решить платить, или, даже если они захотят, они могут быть недостаточно знакомы с биткойнами, чтобы понять, как на самом деле это сделать.

Как указывает Касперский, снижение количества программ-вымогателей сопровождалось ростом так называемого вредоносного ПО , добывающего криптовалюту , которое заражает компьютер жертвы и использует свои вычислительные мощности для создания (или мой, на языке криптовалют) биткойнов без владелец знает.Это удобный способ использования чужих ресурсов для получения биткойнов, который позволяет обойти большинство трудностей, связанных с получением выкупа, и он стал еще более привлекательным в качестве кибератаки, поскольку в конце 2017 года цена на биткойны резко выросла.

Это не так. означают, что угроза миновала. Существует два различных типа атакующих программ-вымогателей: «массовые» атаки, которые пытаются заражать компьютеры без разбора в чистом виде и включают в себя так называемые «программы-вымогатели как услугу», которые преступники могут арендовать; и целевые группы, ориентированные на особо уязвимые сегменты рынка и организации.Вам следует быть настороже, если вы относитесь к последней категории, независимо от того, прошел ли большой бум вымогателей.

В связи с падением цены на биткойны в течение 2018 года анализ затрат и выгод для злоумышленников может вернуться назад. В конечном счете, использование программ-вымогателей или вредоносных программ для майнинга криптовалют — это бизнес-решение для злоумышленников, — говорит Стив Гробман, технический директор McAfee. «Когда цены на криптовалюту падают, естественно видеть возврат [к программам-вымогателям]».

Стоит ли платить выкуп?

Если ваша система была заражена вредоносным ПО, и вы потеряли жизненно важные данные, которые вы не можете восстановление из резервной копии, стоит ли платить выкуп?

Если говорить теоретически, большинство правоохранительных органов призывают вас не платить злоумышленникам-вымогателям, исходя из логики, что это только побуждает хакеров создавать новые программы-вымогатели. Тем не менее, многие организации, которые сталкиваются с вредоносным ПО, быстро перестают думать о «большем благе» и начинают проводить анализ затрат и выгод, взвешивая цену выкупа и ценность зашифрованных данных. Согласно исследованию Trend Micro, в то время как 66 процентов компаний заявляют, что они никогда не будут платить выкуп из принципиальных соображений, на практике 65 процентов действительно платят выкуп, когда их ударили.

Злоумышленники-вымогатели поддерживают относительно низкие цены — обычно от 700 до 1300 долларов — сумму, которую компании обычно могут позволить себе заплатить в короткие сроки.Некоторые особо изощренные вредоносные программы обнаруживают страну, в которой работает зараженный компьютер, и корректируют размер выкупа в соответствии с экономикой этой страны, требуя большего от компаний из богатых стран и меньшего — от компаний из бедных регионов.

За быстрые действия часто предлагаются скидки, чтобы побудить жертв быстро заплатить, прежде чем слишком много думать об этом. Как правило, цена устанавливается так, чтобы она была достаточно высокой, чтобы оправдать затраты преступника, но достаточно низкой, чтобы она часто была дешевле, чем то, что жертва должна была бы заплатить за восстановление своего компьютера или восстановление потерянных данных.Имея это в виду, некоторые компании начинают встраивать потенциальную необходимость выплаты выкупа в свои планы безопасности: например, некоторые крупные британские компании, которые в противном случае не имеют отношения к криптовалюте, держат некоторое количество биткойнов в резерве специально для выплат выкупа.

Здесь нужно запомнить пару хитрых вещей, помня, что люди, с которыми вы имеете дело, конечно же, преступники. Во-первых, то, что выглядит как программа-вымогатель, могло вообще не зашифровать ваши данные; убедитесь, что вы не имеете дело с так называемыми «пугающими программами», прежде чем отправлять кому-либо деньги.Во-вторых, оплата злоумышленников не гарантирует, что вы вернете свои файлы. Иногда злоумышленники просто берут деньги и бегут, и, возможно, даже не встроили в вредоносную программу функции дешифрования. Но любое такое вредоносное ПО быстро приобретет репутацию и не принесет дохода, поэтому в большинстве случаев — по оценкам Гэри Сокрайдер, главного технолога по безопасности в Arbor Networks, от 65 до 70 процентов времени — мошенники проникают, и ваши данные восстанавливаются. .

Примеры программ-вымогателей

Хотя программы-вымогатели технически существуют с 90-х годов, они стали популярны только в последние пять лет или около того, в основном из-за доступности неотслеживаемых способов оплаты, таких как биткойны.Вот некоторые из худших злоумышленников:

  • CryptoLocker , атака 2013 года, запустила эпоху современных программ-вымогателей и заразила до 500 000 компьютеров на пике своего развития.
  • TeslaCrypt нацелился на игровые файлы и постоянно совершенствовался во время своего террора.
  • SimpleLocker была первой широко распространенной атакой программ-вымогателей, нацеленных на мобильные устройства
  • WannaCry автономно распространяется с компьютера на компьютер с помощью EternalBlue, эксплойта, разработанного АНБ, а затем украденного хакерами.
  • NotPetya также использовал EternalBlue и, возможно, был частью направленной Россией кибератаки против Украины.
  • Locky начал распространяться в 2016 году и был «похож по способу атаки на печально известное банковское программное обеспечение Dridex». Вариант Osiris распространялся посредством фишинговых кампаний.
  • Leatherlocker был впервые обнаружен в 2017 году в двух приложениях для Android: Booster & Cleaner и Wallpaper Blur HD. Вместо того, чтобы шифровать файлы, он блокирует главный экран, чтобы предотвратить доступ к данным.
  • Wysiwye, , также обнаруженный в 2017 году, сканирует Интернет на предмет открытых серверов протокола удаленного рабочего стола (RDP). Затем он пытается украсть учетные данные RDP для распространения по сети.
  • Cerber оказался очень эффективным, когда он впервые появился в 2016 году, собрав злоумышленникам 200 000 долларов в июле того же года. Он воспользовался уязвимостью Microsoft для заражения сетей.
  • BadRabbit распространился по медиа-компаниям в Восточной Европе и Азии в 2017 году.
  • SamSam существует с 2015 года и ориентирован в первую очередь на медицинские организации.
  • Ryuk впервые появился в 2018 году и используется в целевых атаках на уязвимые организации, такие как больницы. Его часто используют в сочетании с другими вредоносными программами, такими как TrickBot.
  • Maze — это относительно новая группа программ-вымогателей, известная тем, что раскрывает украденные данные общественности, если жертва не платит за их расшифровку.
  • RobbinHood — еще один вариант EternalBlue, который поставил город Балтимор, штат Мэриленд, на колени в 2019 году.
  • GandCrab может быть самой прибыльной программой-вымогателем. Его разработчики, которые продали программу киберпреступникам, по состоянию на июль 2019 года требуют выплат жертвам на сумму более 2 миллиардов долларов.
  • Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации. Это связано с GandCrab
  • Thanos — новейшая программа-вымогатель в этом списке, обнаруженная в январе 2020 года. Она продается как программа-вымогатель как услуга. Это первая программа, использующая технологию RIPlace, которая может обойти большинство методов защиты от программ-вымогателей.

Этот список станет еще длиннее. Следуйте приведенным здесь советам, чтобы защитить себя.

Видео по теме:

Copyright © 2020 IDG Communications, Inc.

Как открывать зашифрованные файлы | Малый бизнес

Дэвид Видмарк Обновлено 4 июня 2019 г.

Использование зашифрованных файлов и дисков обычно — это то, что вы можете делать, даже не задумываясь об этом. В большинстве случаев для доступа к данным достаточно просто войти в свой компьютер.Однако в некоторых случаях вам может потребоваться специальный USB-накопитель, вставленный в ваш компьютер, прежде чем вы войдете в систему. Конечно, если файлы или ключи шифрования потеряны или повреждены, войти в систему может быть сложнее.

Существует три способа шифрования данных на ПК с Windows: с помощью шифрованной файловой системы Windows (EFS), BitLocker Windows или с помощью стороннего программного обеспечения. Доступ к файлам будет зависеть от того, какой метод был использован для их шифрования.

Как открывать зашифрованные файлы ИСПОЛЬЗОВАНИЕ EFS

EFS поставляется с выпусками Windows 10 Pro, Enterprise и Education.С помощью EFS вы можете зашифровать отдельные файлы или папки. Зашифрованные файлы не имеют специального расширения, но у них есть значок блокировки, отображаемый на значке.

Чтобы разблокировать эти файлы, все, что вам нужно сделать, это войти в свой компьютер, используя свой пароль. Если кто-то еще войдет в ваш компьютер, файлы не будут открыты. Ключи шифрования EFS хранятся на вашем компьютере и также зашифрованы. Кто-то с ноу-хау может в конечном итоге разблокировать эти ключи и получить доступ к зашифрованным файлам.

Как открывать диски, зашифрованные с помощью Bitlocker

Bitlocker также доступен в выпусках Windows 10 Pro, Enterprise и Education. Bitlocker шифрует весь диск. Большинство компьютеров, использующих Bitlocker, имеют специальный чип, встроенный в материнскую плату, который называется Trusted Platform Module или TPM. Этот чип хранит части ключей шифрования, и если он обнаружит, что кто-то пытается получить несанкционированный доступ к компьютеру, он заблокирует их.

Метод разблокировки диска для доступа к его файлам зависит от того, как был настроен Bitlocker. В некоторых случаях вам просто нужно ввести пароль для доступа к диску. В других случаях вам нужно будет вставить предварительно настроенный USB-накопитель перед включением компьютера. Если USB-накопитель не подключен к компьютеру, вы будете заблокированы.

Как расшифровать EFS без сертификата

Иногда файлы и ключи шифрования могут быть повреждены, например, из-за отказа жесткого диска. Также возможно потерять доступ к зашифрованному файлу из-за того, что вы переместили файлы или обновили свой компьютер.

Если вы использовали EFS или стороннее программное обеспечение для шифрования файла, вы можете разблокировать его, используя его свойства файла. Щелкните файл правой кнопкой мыши в проводнике, выберите Advanced и снимите флажок Encrypt Contents to Secure Data . Если это не сработает, обратитесь к поставщику программного обеспечения.

Добавление пользователей в список разрешений EFS для зашифрованного файла

Разработчики программного обеспечения или сетевые инженеры со знанием языка C ++ могут добавлять дополнительных пользователей в список разрешений для зашифрованного файла. У Microsoft есть образец кода, который добавит новое поле восстановления данных в зашифрованный файл с помощью функции AddUsersToEncryptedFile . Чтобы это работало, новый пользователь должен иметь доступ к файлу раньше, например, тот, кто владел файлом или вносил в него изменения в прошлом.

Как получить доступ к зашифрованным файлам из программ-вымогателей

Программы-вымогатели продолжают представлять серьезную угрозу для предприятий, потребителей и местных органов власти. Если ваш компьютер или компьютерная сеть подверглись атаке, есть большая вероятность, что вы никогда больше не сможете получить к ним доступ.Однако есть инструменты от известных компаний, которые могут расшифровать некоторые или все ваши файлы. Успех использования этих инструментов будет зависеть от того, какая версия вредоносного ПО использовалась для атаки на ваши системы.

Конечно, лучшая защита от программ-вымогателей — это соблюдение правил безопасности:

  1. Регулярно создавайте резервные копии самых важных файлов и храните их в автономном режиме (без подключения к компьютеру или сети) или храните их в облачном хранилище.
  2. Всегда устанавливайте критические обновления и исправления для своей операционной системы и программного обеспечения.
  3. Используйте надежное антивирусное и антивирусное программное обеспечение и поддерживайте его в актуальном состоянии.
  4. Не открывайте вложения к электронным письмам и не переходите по ссылкам, если вы не уверены в их содержании.

Что такое программы-вымогатели? Как это работает и как удалить

Что такое программа-вымогатель?

Ransomware — это подмножество вредоносных программ, в которых данные на компьютере жертвы блокируются — обычно с помощью шифрования — и требуется оплата до того, как выкупленные данные будут расшифрованы и доступ будет возвращен жертве.Мотив атак программ-вымогателей обычно носит денежный характер, и, в отличие от других типов атак, жертва обычно уведомляется о том, что произошел эксплойт, и получает инструкции о том, как восстановиться после атаки. Платежи часто требуются в виртуальной валюте, например в биткойнах, поэтому личность киберпреступника неизвестна.

Вредоносные программы-вымогатели могут распространяться через вредоносные вложения в сообщениях электронной почты или в зараженных вредоносных программных приложениях, на зараженных внешних запоминающих устройствах и на взломанных веб-сайтах.В атаках также использовался протокол удаленного рабочего стола и другие подходы, которые не полагаются на какие-либо формы взаимодействия с пользователем.

Как работают атаки программ-вымогателей? Наборы программ-вымогателей

в глубокой сети позволяют киберпреступникам приобретать и использовать программные инструменты для создания программ-вымогателей с определенными возможностями. Затем они могут сгенерировать это вредоносное ПО для собственного распространения с уплатой выкупа на свои биткойн-счета. Как и в случае с большей частью остального мира информационных технологий, теперь для тех, у кого мало или совсем нет технической подготовки, есть возможность заказать недорогую программу-вымогатель как услугу (RaaS) и запускать атаки с минимальными усилиями.

Один из наиболее распространенных методов доставки атак программ-вымогателей — это фишинговые сообщения электронной почты. Вложение, которому жертва считает, что она может доверять, добавляется к электронному письму в виде ссылки. Как только жертва нажимает на эту ссылку, вредоносная программа в файле начинает загрузку.

Другие, более агрессивные формы программ-вымогателей используют бреши в безопасности для заражения системы, поэтому им не нужно полагаться на обман пользователей. Вредоносная программа также может распространяться через сообщения чата, съемные USB-накопители или плагины для браузера.

Как только вредоносная программа попадает в систему, она начинает шифрование данных жертвы. Затем он добавит расширение к файлам, что сделает их недоступными. После этого файлы не могут быть расшифрованы без ключа, известного только злоумышленнику. Затем программа-вымогатель отобразит сообщение для жертвы, объясняя, что файлы недоступны и могут быть доступны снова только после уплаты выкупа злоумышленникам — обычно в форме биткойнов.

Типы программ-вымогателей

Злоумышленники могут использовать один из нескольких способов вымогательства цифровой валюты у своих жертв:

  • Scareware. Эта вредоносная программа выдает себя за программное обеспечение безопасности или службу технической поддержки. Жертвы программ-вымогателей могут получать всплывающие уведомления о том, что в их системе обнаружено вредоносное ПО. Программное обеспечение безопасности, которым пользователь не владеет, не будет иметь доступа к этой информации. Отсутствие ответа ни к чему не приведет, кроме как приведет к появлению новых всплывающих окон.
  • Шкафчики для экрана. Также известные как шкафчики , это тип вымогателя, предназначенный для полной блокировки доступа пользователей к их компьютерам. После запуска компьютера жертва может увидеть нечто похожее на официальную правительственную печать, что заставляет ее думать, что они являются объектом официального расследования. После сообщения о том, что на компьютере обнаружено нелицензионное программное обеспечение или незаконный веб-контент, жертва получает инструкции о том, как оплатить штраф в электронном виде. Однако официальные правительственные организации этого не сделали; вместо этого они будут проходить через надлежащие юридические каналы и процедуры.
  • Шифрование программ-вымогателей. Также известные как атаки по кражи данных , они предоставляют злоумышленнику доступ к данным жертвы, зашифровывают их и запрашивают плату за разблокировку файлов. Как только это произойдет, нет никакой гарантии, что жертва получит доступ к своим данным обратно, даже если она договорится об этом. Злоумышленник также может шифровать файлы на зараженных устройствах и зарабатывать деньги, продавая продукт, который обещает помочь жертве разблокировать файлы и предотвратить будущие атаки вредоносных программ.
  • Doxware . С помощью этого вредоносного ПО злоумышленник может пригрозить опубликовать данные жертвы в Интернете, если жертва не заплатит выкуп.
  • Программа-вымогатель с основной загрузочной записью. При этом шифруется весь жесткий диск, а не только личные файлы пользователя, что делает невозможным доступ к операционной системе.
  • Мобильный вымогатель. Эта программа-вымогатель поражает мобильные устройства. Злоумышленник может использовать мобильные программы-вымогатели, чтобы украсть данные с телефона или заблокировать его, а также потребовать выкуп, чтобы вернуть данные или разблокировать устройство.

В то время как ранние экземпляры этих атак иногда просто блокировали доступ к веб-браузеру или рабочему столу Windows — и делали это способами, которые часто можно было довольно легко перепроектировать и повторно открыть — с тех пор хакеры создали версии программ-вымогателей, которые используют надежные , шифрование с открытым ключом для запрета доступа к файлам на компьютере.

Блокировщики экрана и программы-вымогатели для шифрования — два основных типа программ-вымогателей. Знание разницы между ними поможет организации определить, что делать дальше в случае заражения.

Как описано выше, программы блокировки экрана полностью блокируют доступ пользователей к их компьютерам до тех пор, пока не будет произведена оплата. Блокировщики экрана запрещают пользователю доступ к пораженной системе и файлам; однако данные не зашифрованы. В системах Windows шкафчик экрана также блокирует доступ к системным компонентам, таким как диспетчер задач Windows и редактор реестра. Экран заблокирован, пока не будет произведена оплата. Обычно жертве дают инструкции, как заплатить. Блокировщики экрана также пытаются обманом заставить пользователя заплатить, выдавая себя за официальную правительственную организацию.

Шифрование программ-вымогателей — одна из самых эффективных форм программ-вымогателей на сегодняшний день. Как упоминалось выше, злоумышленник получает доступ к данным жертвы и шифрует их, запрашивая плату за разблокировку файлов. Злоумышленники используют сложные алгоритмы шифрования для шифрования всех данных, хранящихся на устройстве. Обычно в пораженной системе оставляется примечание с информацией о том, как получить зашифрованные данные после оплаты. По сравнению с блокировщиками экрана, шифрование программ-вымогателей подвергает данные жертвы более непосредственной опасности, и нет никакой гарантии, что данные вернутся жертве после переговоров.

В обоих случаях жертва может получить всплывающее сообщение или электронное письмо с предупреждением о выкупе о том, что, если требуемая сумма не будет выплачена к определенной дате, закрытый ключ, необходимый для разблокировки устройства или дешифрования файлов, будет уничтожен.

Кто является целью программ-вымогателей? Цели программы-вымогателя

могут варьироваться от одного человека, малого и среднего бизнеса (SMB) или организации на уровне предприятия до целого города.

Государственные учреждения особенно уязвимы для программ-вымогателей, поскольку им не хватает кибербезопасности для адекватной защиты от них. То же самое и с малым и средним бизнесом. Помимо нестандартной кибербезопасности, у государственных учреждений есть незаменимые данные, которые могут нанести им вред, если станут недоступны. Это увеличивает вероятность их оплаты.

Статистика программ-вымогателей

Один из способов, которым мошенничество с программами-вымогателями может вырасти до таких разрушительных масштабов, — это отсутствие отчетности. В 2018 году сайт safeatlast.co, предлагающий пользователям рейтинги, обзоры и статистику по различным системам безопасности, обнаружил, что менее четверти малых и средних предприятий сообщают о своих атаках с использованием программ-вымогателей.Это, скорее всего, связано с низкой вероятностью того, что они вернут свои деньги.

Однако отсутствие отчетов не означает, что атаки программ-вымогателей — редкость, особенно среди малых предприятий. По оценкам Symantec, небольшие организации с числом сотрудников от 1 до 250 имеют самый высокий уровень целевых вредоносных писем среди всех демографических групп: одно из 323 электронных писем является вредоносным.

Согласно одному анализу safeatlast.co, в 2019 году компания каждые 14 секунд подвергалась атакам программ-вымогателей.Ожидается, что к 2021 году этот интервал сократится до каждых 11 секунд. Частично это может быть связано с растущим распространением устройств Интернета вещей (IoT), которые, по данным Symantec, подвергаются в среднем 5200 атакам в месяц.

По оценкам

Safeatlast.co в 2018 году, 77% предприятий, подвергшихся атаке программ-вымогателей, использовали новейшие технологии защиты конечных точек. Это доказывает, что использования и правильного обслуживания программного обеспечения средней защиты конечных точек недостаточно для защиты от новейших программ-вымогателей.

Программа-вымогатель

потенциально является проблемой № 1 для предприятий, поскольку она способна связать огромные суммы денег и может быстро распространяться и развиваться, выходя за рамки стандартной защиты. Кроме того, по данным safeatlast.co, сами выкупы трудно отследить: около 95% всей прибыли обменивается с использованием криптовалютной платформы.

Дополнительные статистические данные о программах-вымогателях показывают тревожное влияние программ-вымогателей на бизнес в 2019 году.

Как вымогатели влияют на бизнес?

Атака с использованием программ-вымогателей может иметь разрушительные последствия для бизнеса.Согласно сайту safeatlast.co, за последний год программы-вымогатели обошлись компаниям более чем в 8 миллиардов долларов, и более половины всех атак вредоносных программ были атаками программ-вымогателей. Некоторые эффекты включают следующее:

  • потеря бизнес-данных;
  • простой в результате взлома инфраструктуры;
  • потеря производительности в результате простоя;
  • потеря потенциальной выручки;
  • дорогостоящих усилий по восстановлению, которые потенциально перевешивают сам выкуп;
  • долгосрочных повреждений данных и инфраструктуры данных;
  • нанесение ущерба прежней репутации бизнеса как надежного; и
  • потеря клиентов и, в худшем случае, возможность причинения личного вреда, если бизнес имеет дело с общественными услугами, такими как здравоохранение.

Как предотвратить атаки программ-вымогателей?

Для защиты от угроз программ-вымогателей и других видов кибеэкстракции эксперты по безопасности призывают пользователей сделать следующее:

  • Регулярно выполняйте резервное копирование вычислительных устройств.
  • Провести инвентаризацию всех активов.
  • Обновите программное обеспечение, включая антивирусное программное обеспечение.
  • Попросите конечных пользователей не переходить по ссылкам в сообщениях электронной почты или открывать вложения к сообщениям от незнакомцев.
  • Избегайте уплаты выкупа.
  • Избегайте разглашения личной информации.
  • Не используйте неизвестные USB-накопители.
  • Используйте только известные источники загрузки.
  • Настройте параметры защиты от спама.
  • Следите за сетью на предмет подозрительной активности.
  • Используйте сегментированную сеть.
  • Настройте программное обеспечение безопасности для сканирования сжатых и заархивированных файлов.
  • Отключить Интернет после обнаружения подозрительного процесса на компьютере.

Хотя атаки программ-вымогателей практически невозможно остановить, отдельные лица и организации могут принимать важные меры по защите данных, чтобы гарантировать минимальный ущерб и максимально быстрое восстановление.Стратегии включают следующее:

  • Разделите системы аутентификации и домены.
  • Поддерживайте в актуальном состоянии моментальные снимки хранилища за пределами основного пула хранения.
  • Установить жесткие ограничения на то, кто может получать доступ к данным и когда разрешен доступ.

Стоит ли платить выкуп?

Большинство правоохранительных органов рекомендуют не платить злоумышленникам-вымогателям, мотивируя это тем, что они будут только приглашать хакеров для совершения новых атак с использованием программ-вымогателей.Однако, когда организация сталкивается с возможностью восстановления в течение нескольких недель или более, мысль об упущенной прибыли может начать оседать, и организация может начать рассматривать цену выкупа по сравнению со стоимостью зашифрованных данных. По данным Trend Micro, в то время как 66% компаний заявляют, что не будут платить выкуп, около 65% все же платят выкуп, когда сталкиваются с таким решением. Злоумышленники устанавливают цену таким образом, чтобы она окупалась, но достаточно низкой, чтобы целевой организации было дешевле заплатить злоумышленникам, а не восстанавливать зашифрованные данные.

Несмотря на то, что было бы понятно, почему некоторые организации захотят заплатить выкуп, это все же не рекомендуется по ряду причин:

  • Преступники по-прежнему занимаются. По-прежнему нет гарантии, что злоумышленники выполнят свое слово и расшифруют данные. Бюллетень Kaspersky Security Bulletin за 2016 год утверждал, что 20% предприятий, которые решили заплатить требуемый от них выкуп, не получили свои файлы обратно.
  • Потенциально опасное ПО. Сообщение с требованием выкупа можно было использовать без доступа к данным организации.
  • Неверный ключ дешифрования или тот, который практически не работает. После уплаты выкупа дешифратор, который получает организация, может сработать только для того, чтобы преступники заявили, что выполнили то, что обещали.
  • Возможность повторного требования выкупа . Киберпреступники теперь будут знать, что целевая организация уже платила выкуп.

Как удалить программу-вымогатель

Нет гарантии, что жертвы смогут остановить атаку программы-вымогателя и восстановить свои данные; однако есть методы, которые могут работать в некоторых случаях. Например, жертвы могут остановить и перезагрузить свою систему в безопасном режиме, установить программу защиты от вредоносных программ, просканировать компьютер и вернуть компьютер в предыдущее незараженное состояние.

Жертвы также могли восстановить свою систему из файлов резервных копий, хранящихся на отдельном диске. Если они находятся в облаке, жертвы могут переформатировать свой диск и восстановить данные из предыдущей резервной копии.

Пользователи

Windows, в частности, могут использовать Восстановление системы, которое представляет собой функцию, которая откатывает устройства Windows и их системные файлы до определенного отмеченного момента времени — в данном случае до того, как компьютер был заражен. Чтобы это сработало, необходимо заранее включить восстановление системы, чтобы оно могло отметить место во времени, в которое компьютер должен вернуться. Windows включает восстановление системы по умолчанию.

Для получения общих пошаговых инструкций по выявлению и удалению программ-вымогателей выполните следующие рекомендации:

  1. Создайте резервную копию системы и сделайте резервную копию всех важных или неотъемлемых файлов.Если организация не может восстановить свои файлы, она сможет выполнить восстановление из резервной копии.
  2. Убедитесь, что программное обеспечение для оптимизации или очистки системы не удаляет инфекцию или другие необходимые файлы вымогателей. Файлы должны быть сначала изолированы и идентифицированы.
  3. Поместить вредоносное ПО в карантин с помощью антивирусного ПО. Также убедитесь, что злоумышленники не создали бэкдор, который может позволить им получить доступ к той же системе позже.
  4. Определите тип программы-вымогателя и какой именно метод шифрования использовался.Декриптор и средства восстановления программ-вымогателей могут помочь определить тип программы-вымогателя.
  5. После идентификации для расшифровки файлов можно использовать инструменты восстановления программ-вымогателей. Из-за различных и постоянно развивающихся методов программ-вымогателей нет абсолютной гарантии, что этот инструмент сможет помочь.

Средства восстановления программ-вымогателей включают такие продукты, как McAfee Ransomware Recover и Trend Micro Ransomware File Decryptor.

Мобильный вымогатель

Mobile ransomware — это вредоносная программа, которая удерживает в заложниках данные жертвы и поражает мобильные устройства, обычно смартфоны.Мобильные программы-вымогатели работают по той же схеме, что и другие типы программ-вымогателей, когда злоумышленник блокирует доступ пользователя к данным на своем устройстве до тех пор, пока он не произведет платеж злоумышленнику. После загрузки вредоносного ПО на зараженное устройство появляется сообщение с требованием оплаты перед разблокировкой устройства. Если выкуп уплачен, отправляется код для разблокировки устройства или расшифровки его данных.

Как правило, мобильные программы-вымогатели скрываются как законные приложения в сторонних магазинах приложений. Хакеры обычно выбирают популярные приложения для имитации, ожидая, пока ничего не подозревающий пользователь загрузит их, а вместе с ними и вредоносное ПО.Пользователи смартфонов также могут заразиться мобильными программами-вымогателями, посетив веб-сайты или щелкнув ссылку, которая появляется в электронном письме или текстовом сообщении.

Советы, как не стать жертвой мобильных программ-вымогателей, включают следующее:

  • Не загружайте приложения из сторонних магазинов приложений. Придерживайтесь Apple App Store и Google Play Store.
  • Своевременно обновляйте мобильные устройства и мобильные приложения.
  • Не предоставляйте права администратора приложениям, если им не доверяете.
  • Не нажимайте на ссылки, которые появляются в спам-письмах или текстовых сообщениях из неизвестных источников.

Пользователи мобильных устройств также должны иметь резервную копию своих данных в другом месте на случай заражения их устройства. В худшем случае это, по крайней мере, гарантирует, что данные на устройстве не будут потеряны навсегда.

Известные программы-вымогатели: CryptoLocker и WannaCry

Возможно, первым примером широко распространенной атаки с использованием шифрования с открытым ключом был CryptoLocker, троянский конь, который был активен в Интернете с сентября 2013 года по май 2014 года.Вредоносная программа требовала оплаты либо биткойнами, либо предоплаченным ваучером, и эксперты в целом полагали, что использованная криптография Ривест-Шамир-Адлеман (RSA) при правильной реализации была по существу неприступной. Однако в мае 2014 года охранная фирма получила доступ к командно-административному серверу, участвовавшему в атаке, и восстановила использованные ключи шифрования. Онлайн-инструмент, позволяющий бесплатно восстанавливать ключи, эффективно защищал от атаки.

В мае 2017 года в результате атаки под названием WannaCry было зашифровано более четверти миллиона систем по всему миру.Вредоносная программа использует асимметричное шифрование, поэтому нельзя разумно ожидать, что жертва восстановит закрытый и нераспределенный ключ, необходимый для расшифровки выкупленных файлов.

Платежи были запрошены в биткойнах, что означает, что получателя выкупа установить не удалось. Кроме того, транзакции были видны, и, таким образом, можно было подсчитать общие выплаты выкупа. В течение недели, когда WannaCry был наиболее опасным, было переведено около 100000 долларов в биткойнах, но нет сообщений о том, что данные были расшифрованы после оплаты.

Влияние WannaCry было заметно в некоторых случаях. Например, Национальная служба здравоохранения Великобритании сильно пострадала и была вынуждена отключить службы во время атаки. Опубликованные отчеты предполагают, что ущерб, нанесенный тысячам пострадавших компаний, превысит 1 миллиард долларов.

Возможно, вымогатель

IoT не отстает. Два исследователя, Эндрю Тирни и Кен Манро, продемонстрировали вредоносное ПО, которое атаковало, блокировало и требовало выкуп в 1 биткойн за общедоступный интеллектуальный термостат на хакерской конференции Def Con в 2016 году.

Как работает программа-вымогатель WannaCry

Другие примеры программ-вымогателей

11 декабря 2021 года Ultimate Kronos Group (UKG) подверглась атаке с использованием программ-вымогателей, отключившей системы. Эта атака затронула системы начисления заработной платы ряда клиентов. В результате многим клиентам пришлось прибегать к оформлению бумажных чеков для сотрудников. Среди пострадавших клиентов — город Спрингфилд, штат Массачусетс, Управление транспорта Нью-Йорка и город Кливленд, штат Огайо.

UKG — поставщик систем управления персоналом, известный своими системами расчета заработной платы и рабочего времени. Атака затронула частное облако Kronos, в котором размещены UKG Workforce Central, UKG Telestaff, Healthcare Extensions и Banking Scheduling Solutions.

7 мая 2021 года колониальный нефтепровод в США был закрыт после того, как программа-вымогатель заразила системы его материнской компании. Атака была направлена ​​злоумышленником, известным как DarkSide. Несмотря на то, что ни одна из критически важных систем управления производством не пострадала, Colonial Pipeline по-прежнему объявила, что временно прекращает работу, чтобы предотвратить распространение программы-вымогателя.Остановка крупнейшего в США трубопровода протяженностью 5500 миль привела к нехватке газа в некоторых частях страны.

Позже The Wall Street Journal сообщила, что генеральный директор Colonial Pipeline Джозеф Блаунт санкционировал выплату выкупа в размере 4,4 миллиона долларов. Решение было принято потому, что в то время руководители не были уверены, насколько серьезно кибератака повредила их системы, а также сколько времени потребуется, чтобы снова запустить трубопровод.

Инцидент привел к остановке одного из основных нефтепроводов страны и вызвал обеспокоенность Белого дома и Федерального бюро расследований по поводу последствий для безопасности и проблем с инфраструктурой из-за остановки на несколько дней.

В декабре 2019 года город Пенсакола, штат Флорида, также стал жертвой атаки программы-вымогателя. Это повлияло на обслуживание клиентов и онлайн-оплату счетов для ряда департаментов города, включая Pensacola Energy и Pensacola Sanitation Services.

В 2018 году вирус-вымогатель SamSam использовал атаку методом перебора для подбора слабых паролей, охраняющих важную инфраструктуру в Атланте. Приложения, которые жители использовали для оплаты счетов и доступа к судебной информации, были закрыты, что вызвало серьезные разногласия в инфраструктуре города.Результатом стали неисчислимые объемы скомпрометированных данных и миллионы долларов затрат на восстановление.

История программ-вымогателей

Первое задокументированное появление программы-вымогателя можно проследить до вируса троянского коня СПИДа в 1989 году. Троян СПИД был создан биологом, прошедшим обучение в Гарварде по имени Джозеф Попп, который распространил 20 000 зараженных дискет с надписью «Информация о СПИДе — вводная дискета». исследователям синдрома приобретенного иммунодефицита на международной конференции Всемирной организации здравоохранения по СПИДу.Участники, решившие вставить дискету, столкнулись с вирусом, который блокировал файлы пользователя на диске компьютера, делая их персональный компьютер (ПК) непригодным для использования. Чтобы разблокировать свои файлы, пользователи были вынуждены отправить 189 долларов на почтовый ящик, принадлежащий PC Cyborg Corp. В конце концов, пользователи смогли обойти вирус и расшифровать свои файлы, потому что вирус использовал легко решаемые инструменты симметричной криптографии.

Помимо вируса Поппа 1989 года, программы-вымогатели были относительно редки до середины 2000-х годов, когда злоумышленники использовали более изощренное шифрование для вымогательства у своих жертв.Например, вымогатель Archievus использовал асимметричное шифрование RSA. Reveton, вирус с 2012 года, обвинил зараженную систему в использовании для незаконной деятельности и использовал веб-камеру системы, чтобы имитировать съемку пользователя, используя тактику запугивания, чтобы получить выкуп в размере 200 долларов.

Сегодня вектор атаки программ-вымогателей распространился на приложения, используемые в IoT и мобильных устройствах, а вирусы включают более сложное шифрование. Частично это связано с наличием готовых к использованию наборов программ-вымогателей — RaaS — доступных в темной сети, в которых используется шифрование в результате сотрудничества между сообществами разработчиков программ-вымогателей в темной сети.В настоящее время программы-вымогатели гораздо лучше ориентируются на более крупные организации, чем на отдельных лиц, что означает, что на карту поставлены экспоненциально большие суммы денег. Со времен Джозефа Поппа программа-вымогатель превратилась из незначительной неприятности в серьезную угрозу.

Будущие тенденции программ-вымогателей

Наиболее значительная тенденция, которую следует ожидать от программ-вымогателей в ближайшие годы, — это увеличение числа атак на коммунальные предприятия и общественную инфраструктуру, поскольку они являются критически важными организациями с доступом к большим суммам денег и часто используют старую или устаревшую технологию кибербезопасности.По мере того как технологии вымогателей продолжают развиваться, технологическая разница между злоумышленниками и общедоступными целями может еще больше увеличиться. В этих целевых государственных секторах, особенно в здравоохранении, в ближайшие годы атаки могут оказаться более дорогостоящими, чем когда-либо прежде.

Прогнозы

также указывают на растущее внимание к малым предприятиям, использующим устаревшее программное обеспечение безопасности. По мере роста количества бизнес-устройств IoT малые предприятия больше не могут думать, что они слишком малы, чтобы их можно было атаковать.Вектор атаки растет в геометрической прогрессии, а методы защиты — нет. По этой же причине предполагается, что домашние устройства будут все более вероятными целями.

Рост использования мобильных устройств также увеличивает использование атак социальной инженерии, которые открывают дверь для атак программ-вымогателей. Методы атак социальной инженерии, такие как фишинг, травля, услуга за услугу, претекст и совмещение, основываются на манипулировании психологией человека.

Одно исследование IBM показало, что пользователи в три раза чаще реагируют на фишинговую атаку на мобильное устройство, чем на настольный компьютер, отчасти потому, что именно здесь пользователи, скорее всего, первыми увидят сообщение.

Verizon также опубликовал исследование, в котором говорится, что успех социальной инженерии на мобильных устройствах вероятен, потому что экраны меньшего размера ограничивают объем отображаемой подробной информации. Мобильные устройства компенсируют это меньшими уведомлениями и возможностью быстрого ответа на сообщения и открывать ссылки, что делает реагирование более эффективным, но также ускоряет процесс стать жертвой фишинг-атаки.

Еще одна тенденция — рост кражи или распространения кода.Например, было обнаружено, что в крупных кампаниях по вымогательству Ryuk и Hermes использовался похожий код. Официальные лица сначала предположили, что оба варианта вымогателей исходят от одной и той же группы вымогателей, но позже обнаружили, что большая часть кода Рюка была просто скопирована с Hermes. Фактически, Рюк происходил из отдельной, не связанной между собой группы злоумышленников из другой страны.

Программы-вымогатели становятся все более серьезной угрозой, поскольку 56% организаций были нацелены на в 2020 году, по данным CrowdStrike.Сегодня как никогда важно защищаться от программ-вымогателей и предотвращать атаки.

«Все ваши файлы зашифрованы» Удаление вируса (+ методы дешифрования)

Все ваши файлы зашифрованы

«Все ваши файлы были зашифрованы» — это вирус-вымогатель, который лишает веб-пользователей доступа к файлам, которые они хранят на компьютере. «Все ваши файлы были зашифрованы» для этого путем сканирования жесткого диска компьютера на наличие списка файлов и последующего шифрования всех файлов.

Вирус «Все ваши файлы были зашифрованы» зашифрует ваши файлы.

Если нам нужно определить, какая категория вирусов представляет собой наиболее опасный тип вредоносного ПО, мы определенно можем сказать, что это программы-вымогатели. Точный представитель программ, требующих выкупа, которые мы описываем здесь в нашей статье, называется «Все ваши файлы зашифрованы». Обычно этот вирус проникает на ваш компьютер, не выдавая никаких признаков этого и не требуя ни вашего ведома, ни вашего незнания.После этого программа-вымогатель начинает кодировать файлы, которые она считает наиболее важными для вас. Затем вам сообщают, что требуется уплата выкупа, через уведомление, которое появляется на вашем экране. Для получения более подробной информации перейдите к параграфам ниже. В целом, если судить об этом программном обеспечении по его названию, программы-вымогатели — это программы, способные нанести определенный вред вашей машине; а затем потребовать выкуп, чтобы обратить вспять его ужасный эффект. Существующие программы, требующие выкупа, можно разделить на несколько подтипов, которые мы объясним ниже.

Подкатегории программ-вымогателей:

Известны следующие подтипы программ, требующих выкупа:

  • Подкатегория шифрования файлов: Эта группа ответственна за наибольшее количество заражений. «Все ваши файлы были зашифрованы», Nbes, Adame являются членами именно этого типа программ-вымогателей. Такой вирус может внедриться в ваш компьютер (с помощью вируса «троянский конь» или автоматически после загрузки зараженной веб-страницы).После этого он сканирует все ваши жесткие диски на предмет наиболее часто изменяемых данных. Затем такая программа готова продолжить процесс шифрования. После завершения процесса вы обычно получаете огромное предупреждение, состоящее из некоторых дополнительных предупреждений и всей информации о платеже, которая может вам понадобиться.
  • Подкатегория кодирования экрана: Эти вирусы также могут поражать ПК и ноутбуки, как и тип шифрования файлов. Разница в том, что кодирования файлов по сути не происходит.Просто ваш рабочий стол становится недоступным из-за отображения очень большого всплывающего окна с предупреждением. На самом деле вас просят заплатить выкуп, чтобы избавиться от этого надоедливого уведомления и снова получить доступ к своим значкам.
  • Подкатегория мобильных выкупов: Эти вирусы могут поражать только мобильные устройства и действовать аналогично ранее описанной группе — вредоносным программам с блокировкой экрана. Еще раз, как и следовало ожидать, весь дисплей вашего мобильного устройства покрыт очень большим уведомлением, и вам придется заплатить выкуп, чтобы снова использовать свое устройство.
  • Вирусы-вымогатели, используемые против хакеров: Некоторые агентства, занимающиеся борьбой с киберпреступностью, могут внедрять вирусы-вымогатели в устройства преступников, чтобы заставить их заплатить за свои проступки. Например, такой вирус может заразить компьютер хакера, и киберпреступник должен будет заплатить штраф властям или не сможет причинить больше вреда, используя свой компьютер.

Как вы могли поймать вирус «Все ваши файлы были зашифрованы»

Это правда, что существует множество различных способов распространения такого вредоносного ПО.Ниже мы перечислим только самые обычные:

  • процесс Malvertising: эти опасные вирусы могут распространяться через поддельную рекламу. Например, если вы нажмете на такое всплывающее окно, вы можете сразу же заразиться.
  • Спам — Программа-вымогатель может распространяться вместе с трояном, внутри сообщения электронной почты или соответствующих вложений. Сразу после того, как вы загрузите и откроете зараженное вложение; или загрузите такое письмо, вы могли бы автоматически поймать вирус внутри них.
  • внутри всевозможных зараженных веб-страниц, таких как торрент-файлы, условно-бесплатные программы, видео- и аудио-файлы.

Как бороться с этой угрозой

Ни одно решение не может гарантировать как успешное удаление, так и полное восстановление зашифрованных файлов. Независимо от того, что вы решите сделать, это будет опасно для ваших зашифрованных данных. По этой причине мы советуем не платить сразу после обнаружения загрязнения. Попробуйте сначала найти другие методы и использовать все возможные решения, имеющиеся в вашем распоряжении.Вы можете проконсультироваться с человеком, имеющим опыт решения подобных проблем. Кроме того, вы можете купить специализированное программное обеспечение для расшифровки заблокированных данных. Кроме того, вы можете просто следовать инструкциям в руководстве по удалению ниже, разработанном нашими профессионалами специально для борьбы с вирусом «Все ваши файлы были зашифрованы». Однако имейте в виду, что этого может быть недостаточно для сохранения ваших данных. Единственный шаг, который позволяет успешно справиться с программами-вымогателями, — это регулярное резервное копирование файлов, которые вы очень цените, на отдельном диске.Если вы будете делать это ежедневно, никакие вирусы не смогут вас напугать, так как у вас будет доступ к копиям всех ваших файлов и каталогов.

РЕЗЮМЕ:

Удаление вируса «Все ваши файлы зашифрованы»

Вы имеете дело с вирусом-вымогателем, который может восстановить себя, если вы не удалите его основные файлы. Мы отправляем вас на другую страницу с регулярно обновляемым руководством по удалению. Он содержит подробные инструкции о том, как:
1.Найдите и сканируйте вредоносные процессы в диспетчере задач.
2. Определите в панели управления все программы, установленные вместе с вредоносным ПО, и способы их удаления. Search Marquis — это известный угонщик, на который устанавливается множество вредоносных программ.
3. Как расшифровать и восстановить ваши зашифрованные файлы (если это в настоящий момент возможно).
Вы можете найти руководство по удалению здесь.

Статья: Что такое … Шифровальщики | F-Secure

Использование тактики шока и страха

В отличие от других угроз, шифровальщики не являются скрытыми или скрытыми.Вместо этого он явно отображает зловещие сообщения, чтобы привлечь к себе внимание, и явно использует шок и страх, чтобы заставить вас заплатить выкуп.

Некоторые так называемые крипто-вымогатели вообще не выполняют шифрование, а просто используют такую ​​угрозу для вымогательства денег. Однако в большинстве случаев угроза действительно осуществляется.

Обнаружение крипто-вымогателей

Есть два распространенных способа столкнуться с шифровальщиками:

  • Через файлы или ссылки, доставленные через электронную почту, мгновенные сообщения или другие сети
  • Загружено на ваше устройство другими угрозами, такими как троянские программы-загрузчики или наборы эксплойтов
Поставляется в виде файлов

Пользователи чаще всего контактируют с программами-вымогателями через файлы или ссылки, которые распространяются в сообщениях электронной почты:

  • Сообщение электронной почты содержит ссылки на «документы», сохраненные в Интернете.Фактически, документы представляют собой исполняемые программы (сама программа-шифровальщик)
  • К письмам прикреплены файлы, которые загружают на устройство шифровальщик. Распространенные форматы файлов, используемые для доставки программ-вымогателей, включают:
    • Документ Microsoft Word (имя файла заканчивается на .doc или .docx)
    • Документ Microsoft XSL (.xsl или .xslx)
    • XML-документ (.xml или .xslx)
    • Заархивированная папка, содержащая файл JavaScript (файл .zip, содержащий файл.js файл)
    • Несколько расширений файлов (например, <СЧЕТ № 132435> .PDF.js)
Обманывать получателей

Само по себе получение письма не вызывает заражения; прикрепленный или связанный файл все равно нужно будет загрузить или открыть.

Злоумышленники часто создают электронные сообщения, используя уловки социальной инженерии, чтобы побудить получателей открыть ссылки или прикрепленные файлы. Например, они используют название и брендинг законных компаний, интригующие или юридически звучащие тексты.

Открытие вложений

Если открытый файл является файлом JavaScript, он попытается загрузить и установить саму программу-шифровальщик с удаленного веб-сайта или сервера.

Если прикрепленный файл является документом Microsoft Word или Excel, вредоносный код внедряется в файл как макрос. Даже если пользователь действительно откроет этот файл, макрос может быть запущен только при наличии одного из следующих условий:

  • Макросы уже включены в Word или Excel
  • Обманом заставили пользователя включить макросы

Макросы по умолчанию отключены в Microsoft Office.Если они включены при открытии файла, код макроса запускается немедленно.

Если макросы не включены, в файле будет отображаться уведомление с просьбой включить их. Если пользователь нажимает «Включить содержимое», макросы включаются, и встроенный код запускается немедленно.

Спам, используемый для распространения крипто-вымогателя CTB-Locker
(источник: F-Secure Weblog)

Уведомление в Word с просьбой включить макросы

Доставляется комплектами эксплойтов

Crypto-ransomware также может быть доставлен с помощью наборов эксплойтов, которые представляют собой наборы инструментов, которые злоумышленники размещают на веб-сайтах.В настоящее время существует множество наборов эксплойтов для распространения программ-вымогателей, таких как Angler, Neutrino и Nuclear.

Эти комплекты проверяют устройство каждого посетителя веб-сайта на наличие недостатков или уязвимостей, которые оно может использовать. Если уязвимость обнаружена и использована, комплект эксплойтов может немедленно загрузить и запустить на устройстве шифровальщик-вымогатель.

Шифрование файлов и требование выкупа

Когда программа-шифровальщик загружается и запускается на устройстве, она ищет и шифрует целевые файлы.

Некоторые программы-вымогатели, такие как старые варианты TeslaCrypt, шифруют только определенные типы файлов. Другие менее разборчивы и будут шифровать многие типы файлов (например, Cryptolocker). Существует также одно известное семейство, Petya, которое шифрует основную загрузочную запись (MBR), специальный раздел жесткого диска компьютера, который запускается первым и запускает (загружает) его операционную систему, позволяя запускать все другие программы.

После завершения шифрования программа-шифровальщик отобразит сообщение с требованием выкупа.Сумма будет варьироваться в зависимости от конкретной программы-вымогателя, и оплата часто осуществляется только в биткойнах или аналогичной цифровой криптовалюте. Также предоставляются конкретные инструкции.

В некоторых случаях злоумышленники оказывали дополнительное давление на жертв с целью выплаты выкупа, разрешая лишь ограниченный период времени для удовлетворения требования. По истечении установленного времени ключ дешифрования может быть удален или требование выкупа может быть увеличено.

F-Secure Weblog: уведомление о выкупе, отображаемое программой-вымогателем CTB-Locker.

Последствия

Если затронутые файлы содержат ценные данные, их шифрование означает потерю доступа к этой информации. Если данные критически важны для бизнеса — например, данные о пациентах в больнице или данные о заработной плате в финансовой фирме, — потеря доступа может повлиять на всю компанию.

Если затронутые файлы используются операционной системой устройства, их шифрование может помешать нормальной работе устройства. Если устройство критично для операций компании — например, сервер, медицинское оборудование в больнице или система управления производством — влияние на бизнес может быть значительным.

В последние годы было зарегистрировано несколько случаев распространения программ-вымогателей по всем сетям компании, которые фактически нарушали или даже останавливали нормальный бизнес до тех пор, пока зараженные машины не будут очищены и данные не будут восстановлены.

Платить или не платить?

Ransomware работает в предположении, что пользователю будет достаточно неудобств, если он потеряет доступ к файлам, за которые они готовы заплатить требуемую сумму.

Исследователи безопасности и правоохранительные органы в целом настоятельно рекомендуют жертвам воздерживаться от выплаты выкупа.Однако в некоторых случаях заражение шифровальщиками было настолько разрушительным, что затронутые организации и пользователи решили заплатить выкуп, чтобы восстановить доступ к данным или устройству.

Ответить и восстановить

Если произойдет худшее и шифровальщик заразит ваше устройство, вы можете предпринять несколько шагов, чтобы сдержать повреждение:

  • НЕМЕДЛЕННО отключите затронутое устройство или устройства от локальной сети и / или Интернета. Это предотвратит распространение инфекции на другие подключенные устройства.
  • Сканируйте все подключенные устройства и / или облачное хранилище на наличие подобных недостатков и дополнительных угроз. Следует проверять не только другие подключенные устройства и носители данных на предмет заражения той же угрозой, но и любые другие угрозы, которые могли быть установлены на стороне.
  • Если возможно, укажите конкретную программу-вымогатель, виновную в этом. Знание конкретной семьи, вовлеченной в этот процесс, упрощает поиск в Интернете информации о вариантах исправления.Сайт проекта ID-Ransomware может помочь вам идентифицировать программу-вымогатель.

Убедившись, что заражение локализовано, вы можете попытаться удалить инфекцию, восстановить устройство и данные, сохраненные на нем.

Восстановление файлов, зашифрованных с помощью крипто-вымогателя, технически чрезвычайно сложно; в большинстве случаев проще очистить устройство и переустановить операционную систему, а затем восстановить поврежденные данные из чистой резервной копии.

Для восстановления можно выполнить следующие действия:

  • По возможности отформатируйте и переустановите устройство. Обычно это наиболее удобный способ удалить заражение вымогателем. В небольшом количестве случаев существуют инструменты удаления, доступные для определенных семейств программ-вымогателей (см. Инструменты удаления , относящиеся к семейству ниже), которые вы можете рассмотреть в качестве альтернативы.
  • Восстановить данные из чистых резервных копий . Если доступны и чистые, зашифрованные данные можно восстановить путем восстановления из файлов резервных копий.В случаях, когда расшифровка невозможна, это метод, рекомендованный правоохранительными органами и экспертами по безопасности, чтобы не платить операторам, ответственным за шифровальщики.
  • Переоцените безопасность любого установленного программного обеспечения. Во избежание повторения убедитесь, что все установленное программное обеспечение (включая операционную систему) обновлено до последних обновлений безопасности.
  • Сообщите о происшествии в соответствующие местные правоохранительные органы. Каждая страна обрабатывает случаи электронных преступлений по-разному, но в целом большинство национальных правоохранительных органов призывают пострадавших лиц или компании сообщать об инцидентах и ​​избегать уплаты любого требуемого выкупа.
Инструменты для снятия, специфичные для семейства

Для некоторых семейств крипто-вымогателей исследователи безопасности смогли получить ключи дешифрования с серверов злоумышленников и использовать их для создания специальных инструментов удаления, которые могут восстанавливать содержимое файлов, зашифрованных с помощью этих ключей.

Обратите внимание, однако, что эти инструменты обычно требуют определенного уровня технических знаний для использования. Они также эффективны только для этих конкретных семейств программ-вымогателей или даже только для угроз, которые распространялись в рамках определенных кампаний.

No More Ransom

Для получения дополнительной информации об этих инструментах посетите сайт No More Ransom! Сайт проекта. Эта инициатива Национального отдела по борьбе с преступлениями в сфере высоких технологий полиции Нидерландов, Европейского центра киберпреступности Европола и исследователей безопасности направлена ​​на то, чтобы помочь жертвам получить свои зашифрованные данные без необходимости платить преступникам, ответственным за угрозу.

Предотвращение

Как индивидуальный пользователь, вы можете принять ряд простых мер предосторожности, чтобы не стать жертвой крипто-вымогателей:

  • Регулярно создавайте резервные копии всех необходимых файлов и храните их в месте, не подключенном к компьютеру или сети. Это означает, что даже если ваш компьютер поврежден, у вас всегда есть доступные резервные копии.
  • Примените все критические и важные исправления безопасности для всех установленных операционных систем и приложений.Это предотвращает сценарии, в которых вектор атаки — это не просто вложения файлов электронной почты, а атаки с использованием уязвимостей.
  • Включите все функции безопасности вашего антивирусного решения и поддерживайте его в актуальном состоянии с помощью новейших баз данных сигнатур.
  • Не открывайте электронные письма, отправленные неизвестным отправителем, особенно если они содержат вложение или ссылку.
  • Включите «Показывать скрытые файлы, папки и диски» и отключите «Скрывать расширения известных типов файлов». Это поможет вам обнаружить файлы с несколькими расширениями.
  • Убедитесь, что в Microsoft Office в параметрах «Параметры макроса» установлено значение «Отключить макросы с уведомлением». Это заблокирует автоматический запуск макросов при открытии файла документа.
  • В Office 2016 можно изменить параметры, чтобы запретить выполнение макросов в документах, поступающих из Интернета. Эта новая функция была добавлена ​​в ответ на возрождение вредоносных программ макросов. Дополнительная информация и инструкции доступны по адресу: https://blogs.technet.microsoft.com/mmpc/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/

Что такое вирус Cryptolocker?

Cryptolocker — это вредоносная программа, получившая известность в последние годы. Это троянский конь, который заражает ваш компьютер, а затем ищет файлы для шифрования. Это включает в себя все, что есть на ваших жестких дисках и всех подключенных носителях, например, USB-накопители или любые общие сетевые диски. Кроме того, вредоносное ПО ищет файлы и папки, которые вы храните в облаке.Только компьютеры, работающие под управлением версии Windows, восприимчивы к Cryptolocker; Троянец не нацелен на Mac. После заражения вашего компьютера или ноутбука файлы «блокируются» с помощью так называемого асимметричного шифрования. Этот метод использует два «ключа»: открытый и закрытый. Хакеры шифруют ваши данные с помощью открытого ключа, но расшифровать их можно только с помощью уникального закрытого ключа, который они хранят. Вирус Cryptolocker будет отображать экраны с предупреждениями, указывающими на то, что ваши данные будут уничтожены, если вы не заплатите выкуп за получение закрытого ключа.

Распространенные методы заражения и риски

Самый распространенный способ заражения — электронные письма с неизвестными вложениями. Хотя вложения часто кажутся знакомыми типами файлов, такими как * .doc или * .pdf, на самом деле они содержат двойное расширение — скрытый исполняемый файл (* .exe). После открытия вложение создает окно и активирует загрузчик, который заражает ваш компьютер. Поскольку программа является трояном, она не может самовоспроизводиться, то есть ее необходимо загрузить, чтобы заразить ваш компьютер.Помимо вредоносных вложений в сообщения электронной почты, это вредоносное ПО может также поступать с веб-сайтов, предлагающих загрузить подключаемый модуль или видеоплеер. Как правило, вы не увидите ничего плохого в своем компьютере, пока все файлы не будут зашифрованы. Затем появится предупреждение о том, что вы инфицированы, и таймер обратного отсчета, пока все ваши данные не будут уничтожены. Многие антивирусные программы могут удалить этого троянца, но не могут расшифровать ваши данные. В некоторых случаях пользователи повторно устанавливали троян после удаления, чтобы заплатить выкуп и разблокировать свои данные.

Защита от этой программы-вымогателя начинается с безопасного использования Интернета — не открывайте вложения с неизвестных адресов электронной почты, даже если они утверждают, что они из вашего банка или на рабочем месте, и не загружайте файлы с незнакомого веб-сайта. Если вы считаете, что можете быть заражены, запустите полное сканирование системы с помощью надежной антивирусной программы. Возможно, вы сможете разблокировать ваши файлы, если вы регулярно используете восстановление системы Windows для создания точек восстановления, но в некоторых случаях вам может потребоваться пойти еще глубже и использовать утилиту Rescue Disk.Здесь создается образ диска утилиты Rescue, который копируется на DVD или USB-накопитель. Затем вам нужно будет загрузить компьютер с этого внешнего носителя, который вылечит машину. Опять же, нет никакой гарантии полного восстановления данных.

Cryptolocker может нанести серьезный ущерб персональным и служебным компьютерам. Всегда создавая физически отдельные резервные копии важных файлов, регулярно выполняя антивирусное сканирование и избегая неизвестных вложений электронной почты, вы можете минимизировать вероятность заражения.

Другие полезные материалы и ссылки, связанные с Cryptolocker Virus

Cryptolocker Virus Definition

Kaspersky

Cryptolocker — это вредоносная угроза, получившая известность в последние годы.

Leave a comment