Kas ir rensomware un kā to novērst un noņemt

ransomware noņemšana


Ransomware būtībā ir saistīta ar digitālo izspiešanu, ja ļaunprātīgā programmatūra glabā failus vai datorsistēmas ķīlnieku, līdz upuris samaksā nodevu. Ransomware ir populārs arvien vairāk kibernoziedznieku, iespējams, pateicoties tā ieviešanas vienkāršībai un augstajai ieguldījumu atdevei. Pievienojiet tam kriptovalūtas parādīšanos, kas uzbrucējiem ir atvieglojusi iespēju atbrīvoties no viņu noziegumiem. Kā norāda kiberdrošības un ransomware noņemšanas uzņēmuma Cytelligence Inc. izpilddirektors Daniels Toboks, “Ransomware patiešām ir noziedznieka izvēlēts ierocis. Viņi var mūs redzēt, bet mēs viņus neredzam. ”

Ransomware var maksāt privātpersonām, bet tas var būt īpaši kaitīgs uzņēmumiem. Tiek lēsts, ka kopējais zaudējums uzņēmumiem Amerikas Savienotajās Valstīs, ko izraisīja izpirkšanas programmatūra, 2017. gadā vien bija USD 5 miljardi. Zaudējumi var ietvert izmaksas, kas saistītas ar izpirkuma maksu, datu zaudēšanu, profesionālu pakalpojumu apmaksu, lai mēģinātu atgūt datus, dīkstāves uzbrukumu laikā, klientu zaudēšanu pēc uzbrukumiem un daudz ko citu.

Labākais veids, kā samazināt izpirkuma programmatūras draudus, ir novērst tās instalēšanu. Bet, ja jūs tomēr esat upuris, jums ir iespējas. Šajā rokasgrāmatā mēs izskaidrojam, kas ir izpirkšanas programmatūra un kā to novērst un noņemt. Mēs koncentrējamies uz praktiskām metodēm, kuras varat izmantot, lai uzsvērtu izņemšanu no izpirkuma maksājuma, ko mēs ļoti nevēlamies.

Kas ir rensomware un kā tas darbojas?

Daļa no baiļu novēršanas no izpirkuma programmatūras ietver izpratni par to, kā tā faktiski darbojas. Kā savulaik teica bijušais ANO ģenerālsekretārs Kofi Annans: “Zināšanas ir spēks. Informācija atbrīvo. ”

Ransomware ir līdzīgs dažiem citiem ļaunprātīgas programmatūras veidiem, ar nelielu izspiešanu. Ransomware ir kaitīgās programmatūras kategorija, taču pastāv arī dažādi izpirkuma programmatūras veidi. Tas iekļūst datorsistēmās tādā pašā veidā kā citi ļaunprātīgas programmatūras veidi. Piemēram, jūs varētu:

  • Lejupielādējiet to no ļaunprātīga e-pasta pielikuma vai saites
  • Ielieciet to datorā no USB zibatmiņas diska vai DVD diska
  • Lejupielādējiet to, apmeklējot bojātu vietni

Kad tas ir pieejams jūsu sistēmā, programma ransomware izslēdz atlasītas sistēmas funkcijas vai liedz piekļuvi failiem. Windows mašīnās tas parasti atspējo jūsu piekļuvi sākuma izvēlnei (tādā veidā jūs nevarat piekļūt pretvīrusu programmām vai mēģināt atgriezties drošajā režīmā).

Daudzu veidu izpirkuma programmatūras šifrēšana ir šifrēšana. Ransomware šifrē failus jūsu ierīcē, lai tos nevarētu atvērt bez paroles. Lai iegūtu paroli, uzbrucējam ir jāmaksā izpirkuma maksa.

Jebkuru failu var šifrēt ar rensomware, lai gan vairums ransomware nemēģinās šifrēt visu veidu failus. Pie kopīgiem mērķiem pieder attēlu faili, PDF faili un jebkura veida faili, ko izveidojis Microsoft Office (piemēram, Excel un Word faili). Parasti izmantotā programma ransomware ir meklēt failus uz kopējiem diskdziņiem un šifrēt visus vai lielāko daļu failu, ko tā tur atrod. Daži jaunāki ransomware šifrēšanas veidi ir pat veikuši arī tīkla koplietojamo failu šifrēšanu, kas ir bīstama attīstība jo īpaši uzņēmumiem.

Kamēr jūs neizdzēsīsit vīrusu no savas mašīnas (vai nemaksāsit prasīto izpirkuma maksu un neceriet, ka noziedznieks to no jums notīra), jums nebūs piekļuves šiem failiem. Daži ransomware pat pieprasīs, lai jūs samaksātu noteiktā laika posmā, pretējā gadījumā faili paliks bloķēti uz visiem laikiem, vai vīruss pilnībā izdzēsīs jūsu cieto disku.

Saistīts: Kā palaist Windows 7/8/10 drošajā režīmā

Kāpēc ransomware ir tik efektīva??

Neatkarīgi no tā, kādu metodi programma izmanto, lai iekļūtu jūsu sistēmā, ransomware ir paredzēta, lai paslēptu sevi, izliekoties par kaut ko tādu, kas nav, pat mainot failu nosaukumus vai ceļus, lai jūsu dators un pretvīrusu programmatūra aizmirstu aizdomīgus failus. Galvenā atšķirība starp izpirktās programmatūras un cita veida ļaunprātīgu programmatūru ir tāda, ka izpirkšanas programmas mērķis pārsniedz tikai ļaunumus vai personiskas informācijas slepenu zagšanu..

Ja kaut kas ir nepieciešams, ransomware darbojas vairāk kā vērša ķīniešu veikalā, kad tā ir efektīvi atradusi ceļu uz jūsu sistēmu. Atšķirībā no daudziem citiem vīrusiem, kas bieži tiek veidoti, izmantojot slepenu gan pirms, gan pēc iebrukšanas jūsu sistēmā, ransomware dizaineri vēlas, lai jūs zināt, ka programma ir tur.

Pēc programmas instalēšanas tā pilnībā pārņem jūsu sistēmu tādā veidā, ka jums būs jāpiespiež tai pievērst uzmanību. Tas ir ļoti atšķirīgs modus operandi, nekā tradicionāli ievēro vīrusu dizaineri, un šķiet, ka tas līdz šim ir visefektīvākais naudas pelnīšanas vīrusa dizains.

Ransomware darbojas caur bailēm, iebiedēšanu, kaunu un vainu. Kad programma ir tur, tā sāk negatīvu emocionālu manipulāciju kampaņu, lai jūs samaksātu izpirkuma maksu. Pārāk bieži šī baiļu taktika darbojas, īpaši attiecībā uz cilvēkiem, kuri neapzinās, ka maksāšanai ir alternatīvas.

Saskaņā ar Malwarebytes 2016. gada aptauju par lielajiem uzņēmumiem, kurus ietekmē izpirkuma programmatūra, 40 procenti cietušo samaksāja izpirkuma maksu, savukārt IBM mazo un vidējo uzņēmumu apsekojums tajā pašā gadā ziņoja par daudz augstāku likmi - 70 procentus..

Ransomware veidi

Ransomware darbojas jau kopš 80. gadiem, taču daudzos uzbrukumos mūsdienās tiek izmantota izpirkšanas programmatūra, kuras pamatā ir modernāks Cryptolocker Trojas zirgs. Failu šifrējoša izpirkuma programmatūra arvien biežāk tiek izmantota. Tomēr saskaņā ar Malwarebytes ir vairākas izpirkuma programmatūras kategorijas, ar kurām jūs joprojām varat saskarties:

Šifrējot izpirkuma programmatūru

Cryptolocker
Ja izpirkuma programmatūra atradīs ceļu uz jūsu mašīnu, tā, iespējams, būs šifrējoša. Ransomware šifrēšana ātri kļūst par visizplatītāko veidu, jo kibernoziedzniekiem, kas to izmanto, ir liela investīciju atdeve un cik grūti ir uzlauzt šifrēšanu vai noņemt ļaunprātīgu programmatūru.

Šifrējot izpirkuma programmatūru, tiks pilnībā šifrēti jūsu sistēmā esošie faili un liegta pieeja, līdz esat samaksājis izpirkuma maksu, parasti Bitcoin veidā. Dažas no šīm programmām ir arī jutīgas pret laiku un sāks izdzēst failus, līdz tiks samaksāta izpirkuma maksa, palielinot steidzamības apmaksu.

Par šāda veida izpirkšanas programmatūru Malwarebytes izlūkošanas daļas vadītājam Ādamam Kujava bija jāsaka: “Ir pārāk vēlu, kad esat inficējies. Spēle beigusies."

Tiešsaistes dublēšana var lieliski palīdzēt šifrētu failu atkopšanā. Lielākā daļa tiešsaistes dublēšanas pakalpojumu ietver versiju versijas, lai jūs varētu piekļūt iepriekšējām failu versijām, nevis šifrētajām

Scareware

ScarewareAvots: Sv. Scholastica koledža

Scareware ir ļaunprātīga programmatūra, kas mēģina pārliecināt, ka jums ir datorvīruss, kas nekavējoties jānoņem. Pēc tam jūs mēģināsit notīrīt vīrusu, iegādājoties aizdomīgu un parasti viltotu ļaunprogrammatūru vai vīrusa noņemšanas programmu. Scareware šajās dienās ir ļoti reti sastopams, taču daži no šiem vīrusiem joprojām pastāv savvaļā. Daudzi mērķa tālruņi.

Scareware šifrē failus, lai gan tas var mēģināt bloķēt piekļuvi dažām programmām (piemēram, vīrusu skeneriem un noņemšanas līdzekļiem). Tomēr no scareware ir visvieglāk atbrīvoties. Faktiski vairumā gadījumu scareware var noņemt, izmantojot standarta vīrusu noņemšanas programmas vai citas metodes, pat neieejot Drošais režīms (lai gan tas joprojām var būt vajadzīgs vai ieteicams).

Ekrāna skapītis (vai bloķēšanas ekrāna vīrusi)

ekrāna skapītis

Ekrāna skapīši uzstādīs brīdinājuma ekrānu, kas ierobežo jūsu iespējas piekļūt datora funkcijām un failiem. Tos var instalēt jūsu datorā vai pastāvēt tīmekļa pārlūkprogrammā. Parasti tie tiek piegādāti ar ziņojumu, kas apgalvo, ka viņi pārstāv tiesībaizsardzības organizāciju, un viņiem ir ziņojums, kurā teikts, ka, ja nekavējoties nemaksāt soda naudu, jūs saskarsies ar nopietnām tiesiskām sekām.

Varētu beigties bloķēšanas ekrāna vīrusa lejupielāde dažādos veidos, tostarp apmeklējot apdraudētas vietnes vai noklikšķinot uz un lejupielādējot inficētu failu, kas atrodas e-pastā. Instalējot tieši datorā, jums, iespējams, būs jāveic cieta atsāknēšana, lai gan var gadīties, ka jūs joprojām sagaidāt ar ekrāna bloķēšanas ziņojumu pat tad, kad operētājsistēma atkal tiek ielādēta..

Ekrāna bloķētāji mēdz bloķēt jūs no izvēlnes un citiem sistēmas iestatījumiem, taču tie pilnībā neatceļ piekļuvi jūsu failiem. Tas nozīmē, ka dažas no ļaunprātīgas programmatūras primārajām uzbrukuma metodēm neļauj jums viegli piekļūt vīrusu noņemšanas programmatūrai, un dažreiz pat var liegt jums restartēt datoru no lietotāja interfeisa..

Ekrāna skapīši ir vēl viens labs iemesls, kāpēc tiešsaistes dublēšana ir ārkārtīgi svarīga. Kamēr ekrāna bloķētājs jūsu failus šifrēs un neizdzēsīs, jūs, iespējams, būsit spiests veikt sistēmas atjaunošanu. Sistēmas atjaunošana, iespējams, neizdzēsīs jūsu svarīgos failus, taču tā tos atgriezīs iepriekšējā stāvoklī. Atkarībā no atjaunotajiem stāvokļiem tas joprojām var izraisīt daudz zaudētu datu vai progresu. Regulāras tiešsaistes rezerves kopijas palīdzēs novērst datu zaudēšanu, ko negarantē sistēmas atjaunošana, it īpaši, ja vīruss jūsu sistēmā slēpjas daudz ilgāk, nekā jūs sapratāt.

Kā novērst izpirkuma programmatūru

Ar ransomware šifrētu failu atšifrēšana ir neticami sarežģīta. Mūsdienās lielākajā daļā rensomware tiks izmantotas AES vai RSA šifrēšanas metodes, kuras abas var būt neticami grūti uzlauzt. Raugoties perspektīvā, ASV valdība klasificētiem dokumentiem izmanto arī AES šifrēšanas standartus. Informācija par to, kā izveidot šāda veida šifrēšanu, ir plaši zināma, tāpat kā grūtības to uzlauzt. Līdz brīdim, kad kāds realizēs sapni par kvantu skaitļošanu, AES plaisāšana ar brutālu spēku ir faktiski neiespējama.

Šādā gadījumā labākā metode cīņai ar izpirkuma programmatūru nekad neļauj tai iekļūt jūsu sistēmā. Aizsardzību var panākt, apdzēšot vājās vietas un mainot uzvedību, kas parasti ļauj ransomware iekļūt jūsu sistēmā. Šeit ir daži labākie paņēmieni, kas jāievēro, lai novērstu izpirkuma programmatūru:

  • Ieguldiet drošā datu dublēšanā. To ir grūti novērtēt par zemu. Datu dublēšana ir vienīgā labākā lieta, ko varat darīt. Pat ja jūs saņemat uzpirktu programmatūru, efektīva un konsekventa datu dublēšana nozīmē, ka jūsu dati būs droši, neatkarīgi no tā, kāda veida izpirkuma programmatūra jums uzbrūk.
  • Ieguldiet efektīvā pretvīrusu programmatūrā. Šajā gadījumā jūs nevēlaties tikai ļaunprātīgu programmatūru vai vīrusu tīrītājus, bet gan programmatūru, kas aktīvi uzraudzīs un brīdinās par draudiem, tostarp tīmekļa pārlūkprogrammās. Tādā veidā jūs saņemsit paziņojumus par aizdomīgām saitēm vai arī tiksit novirzīts prom no ļaunprātīgām vietnēm, kurās, iespējams, atrodas ransomware.
  • Nekad neklikšķiniet uz aizdomīgām e-pasta saitēm. Lielākā daļa izpirkuma programmatūras izplatās pa e-pastu. Kad jums ir paradums nekad nenoklikšķināt uz aizdomīgām saitēm, jūs ievērojami pazemināt risku lejupielādēt ransomware un citus vīrusus..
  • Aizsargājiet ar tīklu savienotus datorus. Daži ransomware darbojas, aktīvi skenējot tīklus un piekļūstot visiem savienotajiem datoriem, kas ļauj attāli piekļūt. Pārliecinieties, vai visiem tīkla datoriem ir atspējota attālā pieeja, vai arī izmantojiet spēcīgas aizsardzības metodes, lai izvairītos no vieglas piekļuves.
  • Atjauniniet programmatūru. Windows un citu operētājsistēmu un lietojumprogrammu atjauninājumi bieži novērš zināmās drošības ievainojamības. Laicīga atjaunināšana var palīdzēt samazināt uzņēmības pret ļaunprātīgu programmatūru, ieskaitot izpirkuma programmatūru, risku.

Ko darīt, ja noķerat ransomware vidējas šifrēšanas laikā

Šifrēšana ir resursietilpīgs process, kas patērē daudz skaitļošanas jaudas. Ja jums veicas, jūs, iespējams, varēsit noķert ransomware vidējas šifrēšanas laikā. Tas pievērš īpašu uzmanību un zina, kāda neparasti liela aktivitāte izskatās un izklausās jūsu datorā. Ransomware šifrēšana notiks fonā, tāpēc gandrīz neiespējami noteikt patiesībā notiekošo, ja vien jūs to īpaši nemeklējat..

Turklāt vīruss, kas veic šifrēšanu, iespējams, slēpjas citā programmā vai tam ir mainīts faila nosaukums, kas izskatās nekaitīgs, tāpēc jūs, iespējams, nevarēsit pateikt, kura programma veic darbību. Tomēr, ja jūs atklājat, kas, jūsuprāt, ir failus, kas šifrē ransomware vīrusu, šeit ir dažas iespējas:

Novietojiet datoru hibernācijas stāvoklī

Tas apturēs visus notiekošos procesus un izveidos ātru atmiņas attēlu no datora un failiem. Nerestartējiet datoru un neizņemiet to no hibernācijas. Šajā režīmā datoru speciālists (vai nu no jūsu IT departamenta, vai noalgota drošības uzņēmuma) var uzstādīt ierīci citam datoram tikai lasīšanas režīmā un novērtēt situāciju. Tas ietver nešifrētu failu atkopšanu.

Apturēt šifrēšanas darbību

Ja varat noteikt, kura vainīgā darbība ir notikusi, iespējams, vēlēsities apturēt šo operāciju.

Operētājsistēmā Windows tas nozīmē Uzdevumu pārvaldnieks un meklē aizdomīgas operācijas. Jo īpaši meklējiet operācijas, kuras, šķiet, ļoti daudz pieraksta diskā.

No turienes jūs varat apturēt operācijas. Labāk ir apturēt darbību, nevis to nogalināt, jo tas ļauj detalizētāk izpētīt procesu, lai redzētu, kas tas faktiski ir. Tādā veidā jūs varat labāk noteikt, vai jūsu rokās ir ransomware.

Ja atklājat, ka tā ir izpirkuma programmatūra, pārbaudiet, uz kuriem failiem process ir koncentrējies. Jūs to varat atrast noteiktu failu šifrēšanas procesā. Jūs varat kopēt šos failus pirms šifrēšanas procesa beigām un pārvietot tos uz drošu vietu.

Stack Exchange varat atrast vēl dažus lieliskus drošības un datoru profesionāļu ieteikumus.

Ransomware noņemšana: kā noņemt programmas un ekrāna skapīšus (bloķēšanas ekrāna vīrusi)

Ekrāna skapīšus ir grūtāk noņemt nekā skandāla programmatūru, taču tie nav tik daudz problēmu kā failu šifrēšanas izpirkuma programmatūra. Scareware un bloķēšanas ekrāna vīrusi nav ideāli, un tos bieži var viegli noņemt par nelielu cenu. Jums ir divas galvenās iespējas:

  1. Veiciet pilnu sistēmas skenēšanu, izmantojot cienījamu ļaunprātīgas programmatūras tīrītāju
  2. Veiciet sistēmas atjaunošanu līdz punktam, pirms nobīdes programma vai ekrāna skapītis sāka parādīt paziņojumus.

Apskatīsim abus šos aspektus sīkāk:

1. opcija: veiciet pilnu sistēmas skenēšanu

Tas ir diezgan vienkāršs process, taču pirms sistēmas skenēšanas ir svarīgi izvēlēties cienījamu tīrīšanas rīku pēc pieprasījuma. Viens no šādiem tīrītājiem ir Zemana Anti-Malware, vai Windows lietotāji pat varētu izmantot iebūvēto Windows Defender rīku.

Lai veiktu pilnu sistēmas skenēšanu, izmantojot programmu Zemana Anti-Malware, rīkojieties šādi:

  • Atveriet savu Zemana Anti-Malware sākuma ekrānu.

Kas ir rensomware un kā to novērst un noņemt

  • Noklikšķiniet uz Pārnesuma simbols augšējā labajā stūrī, lai piekļūtu iestatījumiem.
  • Klikšķiniet uz Skenēt pa kreisi.

zemana

  • Izvēlieties Izveidot atjaunošanas punktu.
  • Atgriezieties sākuma ekrānā un noklikšķiniet uz zaļās krāsas Skenēt poga labajā apakšējā stūrī.

zemana

Atjaunošanas punkta iestatīšana ir laba paraugprakse vīrusu skenēšanai kopumā. Tikmēr jūsu vīrusu skenēšana dažās lietās var apzīmēt kā problēmas, kas nerada problēmas (piemēram, Chrome paplašinājumi bieži parādās kā problemātiski), savukārt jūs varētu atrast problēmas, kuras jūs negaidījāt.

Manā gadījumā nesena Zemana sistēmas skenēšana atklāja iespējamu DNS nolaupīšanu. Yikes! (Tas arī kļūdaini klasificēja dažas programmas kā ļaunprātīgu programmatūru un reklāmprogrammatūru, tāpēc esiet uzmanīgs un pārbaudiet, kādus failus jūs pareizi tīrījat un karantīnā.)

zemana

Lai veiktu pilnu sistēmas skenēšanu, izmantojot Windows Defender, rīkojieties šādi:

  • Veiciet ātru sistēmas meklēšanu “Windows Defender”.
  • Piekļūstiet Windows Defender un atlasiet Pilns labajā pusē.
  • Klikšķiniet uz Skenēt.

Microsoft pastāvīgi uzlabo savu iebūvēto Windows pretvīrusu programmatūru, taču tas nav tik labs risinājums kā opcija pēc pieprasījuma, piemēram, Zemana vai daudzas citas augstas kvalitātes programmas. Jūs varētu izvēlēties palaist divas programmas, lai segtu savas bāzes, taču ņemiet vērā, ka tās nevar palaist vienlaikus.

Kad nodarbojas ar ekrāna bloķēšanas programma, jums, iespējams, būs jāievada Drošais režīms lai panāktu, ka vīrusu noņēmēji pēc pieprasījuma darbojas vai darbojas pareizi, lai atjaunotu sistēmu. Pat dažas nobiedēšanas programmas reizēm var neļaut jums atvērt vīrusu noņemšanas programmas, taču parasti tās nevar jums liegt to darīt, kamēr atrodaties Drošais režīms. Ja jums rodas problēmas ar datora restartēšanu Drošais režīms (īpaša iespēja, ja jums ir ekrāna skapītis), iepazīstieties ar mūsu ceļvedi Kā palaist Windows drošajā režīmā.

2. variants: veiciet sistēmas atjaunošanu

Vēl viena iespēja ir veikt sistēmas atjaunošanu līdz punktam, pirms nobīdes programma vai ekrāna skapītis sāka parādīt uznirstošos ziņojumus. Ņemiet vērā, ka šī opcija pieņem, ka dators ir iestatīts sistēmas atjaunošanas punktu izveidošanai ar iepriekš noteiktiem intervāliem vai arī šo darbību esat pats veicis manuāli. Ja piekļūstat šai rokasgrāmatai kā profilakses līdzeklis pret izpirkuma programmatūru, atjaunošanas punktu izveidošana, sākot no šī brīža, būs laba ideja.

Lai atrastu atjaunošanas punktus vai iestatītu jaunus atjaunošanas punktus sistēmā Windows, rīkojieties šādi:

  • Piekļūstiet savam Vadības panelis (to var izdarīt, meklējot sistēmā “Vadības panelis”).

sistēmas atjaunošana

  • Klikšķiniet uz Sistēma un drošība.
  • Klikšķiniet uz Sistēma.
  • Iet uz Sistēmas papildu iestatījumi.

sistēmas atjaunošana

  • Noklikšķiniet uz Sistēmas aizsardzība cilni un atlasiet Sistēmas atjaunošana.

sistēmas atjaunošana

  • Ja jūs nekad neesat palaidis sistēmas dublējumu, noklikšķiniet uz Iestatīt dublējumu. Tādējādi tiks atvērtas dublēšanas darbības un jūs varēsit sākt darbu. Kad būsit tur, jums būs jāizvēlas dublējuma vieta, faili, kurus vēlaties dublēt (vai arī jūs varat ļaut Windows izvēlēties tos jums), jāplāno, kad vēlaties izveidot dublējumus, un pēc tam jāveic dublēšana.

sistēmas atjaunošana

  • Ja tas parāda, ka jums jau ir dublējums, atlasiet dublējuma failus no pēdējā atjaunošanas punkta vai no tā, kuru atjaunošanas punktu vēlaties..

sistēmas atjaunošana

Dublējuma atjaunošanas process var aizņemt vairākas minūtes, īpaši, ja atjaunojamo datu apjoms ir ievērojams. Tomēr tam vajadzētu atjaunot failu sistēmu līdz punktam, pirms vīruss tika lejupielādēts un instalēts.

Ņemiet vērā, ka gan skenēšana, gan atjaunošana var aizkavēt reakcijas laiku, tāpēc ieteicams veikt abus.

Indiānas universitāte nodrošina arī noderīgu zināšanu bāzi ar dažām progresīvām metodēm, kas rada vairāk satraucošu programmu. Mēs iesakām arī pārbaudīt mūsu Pilnīga rokasgrāmata par Windows ļaunprātīgu programmatūru un tās novēršanu. Tas iepazīstinās jūs ar ļaunprātīgas programmatūras noņemšanas procesu un to, kā šis process izskatās, izmantojot vairākas dažādas programmas.

Ransomware noņemšana: kā noņemt failus, kas šifrē ransomware

Kad šifrēta izpirkuma programmatūra nonāk jūsu sistēmā, jums rodas nepatikšanas, ja vēlaties saglabāt nesaglabātus datus vai jebko, kas nav dublēts (vismaz nemaksājot par to caur degunu). Pārsteidzoši, ka daudzi kibernoziedznieki ir diezgan godpilni, kad runa ir par šifrēšanas atbrīvošanu pēc maksājuma saņemšanas. Galu galā, ja viņi nekad to nedarītu, cilvēki nemaksātu izpirkuma maksu. Tomēr pastāv iespēja, ka jūs varētu samaksāt izpirkuma maksu un atrast failus, kas nekad nav atbrīvoti, vai arī noziedznieki varētu lūgt vairāk naudas.

Jāsaka, ka, ja jūs esat nonācis šķebinošā šifrēšanas programmas laikā, nekrītiet panikā. Līdztekus tam nemaksājiet izpirkuma maksu. Ransomware noņemšanai ir divas alternatīvas:

  • Noma profesionālu ransomware noņemšanas pakalpojumu: Ja jums ir budžets, lai nolīgtu profesionāli, un domājat, ka failu atkopšana ir naudas vērta, tad tas varētu būt labākais veids. Daudzi uzņēmumi, tostarp pierādītā datu atkopšana un Cytelligence, specializējas uzpirkt programmatūras noņemšanas pakalpojumos. Ņemiet vērā, ka daži maksā pat tad, ja noņemšana nav veiksmīga, bet citi to nedara.
  • Mēģiniet pats noņemt ransomware: Parasti to var izdarīt brīvi, un tā var būt labāka izvēle, ja jums nav līdzekļu profesionāļa algošanai. Failu pats atkopšana parasti nozīmē ļaunprātīgas programmatūras noņemšanu un pēc tam failu atšifrēšanas rīka izmantošanu.

Ja vēlaties pats mēģināt atrisināt problēmu, veiciet tālāk norādītās darbības.

1. darbība: palaidiet pretvīrusu vai ļaunprātīgas programmatūras noņemšanas ierīci, lai atbrīvotos no šifrēšanas vīrusa

Atpakaļ uz ļaunprātīgas programmatūras / vīrusu noņemšanas instrukcijām, kas sniegtas iepriekš nobīdīšanas programmas / ekrāna skapīša noņemšanas sadaļā. Šajā posmā noņemšanas process būs vienāds, izņemot vienu: Mēs stingri mudinām jūs noņemt šo vīrusu drošā režīmā bez tīkla..

Pastāv iespēja, ka ar jūsu līgumu noslēgtā failu šifrējošā izpirkuma programmatūra ir apdraudējusi arī jūsu tīkla savienojumu, tāpēc, noņemot vīrusu, vislabāk ir pārtraukt hakeru piekļuvi datu plūsmai. Ņemiet vērā, ka tas, iespējams, nav prātīgi, ja nodarbojas ar dažiem WannaCry izpirkuma programmatūras variantiem, kas tiek pārbaudīti vietējā mēroga vietnēs, lai identificētu iespējamo slepkava. Ja šīs vietnes ir reģistrētas (tādas, kādas tās ir tagad), programma ransomware aptur šifrēšanu. Tomēr šī situācija ir ļoti neparasta.

Ļaunprātīgas programmatūras noņemšana ir svarīga pirmais solis lai risinātu šo problēmu. Šajā gadījumā darbosies daudzas uzticamas programmas, taču ne katra pretvīrusu programma ir paredzēta tādu ļaunprātīgas programmatūras veidu noņemšanai, kas šifrē failus. Varat pārbaudīt ļaunprātīgas programmatūras noņemšanas programmas efektivitāti, meklējot tās vietnē vai sazinoties ar klientu atbalsta dienestu.

Patiesā problēma, kuru atradīsit, ir tā jūsu faili tiks šifrēti pat pēc vīrusa noņemšanas. Tomēr, mēģinot atšifrēt failus, vispirms nenoņemot ļaunprātīgu programmatūru, faili var tikt atkārtoti šifrēti.

2. solis: mēģiniet atšifrēt failus, izmantojot bezmaksas ransomware atšifrēšanas rīku

Atkal jums jādara viss iespējamais, lai nemaksātu izpirkuma maksu. Nākamais solis būs izmēģināt ransomware atšifrēšanas rīku. Tomēr ņemiet vērā, ka nav garantijas, ka būs atpirkšanas programmas atšifrēšanas rīks, kas darbosies ar jūsu konkrēto ļaunprogrammatūru. Tas ir tāpēc, ka jums var būt kāds variants, kas vēl nav uzlauzts.

Kaspersky Labs un vairākas citas apsardzes firmas darbojas vietnē No More Ransom! kur jebkurš var lejupielādēt un instalēt ransomware atšifrētājus.

nomoreransom

Kaspersky savā tīmekļa vietnē piedāvā arī bezmaksas rensomware atšifrētājus.

Pirmkārt, mēs iesakām izmantot Ne vairāk Ransom Crypto Sheriff rīks, lai novērtētu, kāda veida izpirkuma programmatūra jums ir un vai atšifrētājs šobrīd pastāv, lai palīdzētu atšifrēt jūsu failus. Tas darbojas šādi:

  • Atlasiet un augšupielādējiet no datora divus šifrētus failus.
  • Norādiet tīmekļa vietni vai e-pasta adresi, kas norādīta izpirkuma maksas pieprasījumā, piemēram, tur, kur izpirkuma programmatūra mudina jūs maksāt izpirkuma maksu.
  • Ja e-pasta adrese vai vietne nav norādīta, augšupielādējiet .txt vai .html failu ar izpirkuma maksu.

Kripto šerifs.

Kripto šerifs apstrādās šo informāciju savā datu bāzē, lai noteiktu, vai pastāv risinājums. Ja neviens ieteikums netiek piedāvāts, tomēr pagaidām nepametiet to. Iespējams, joprojām darbosies viens no atšifrētājiem, lai gan jums, iespējams, vajadzēs lejupielādēt katru atsevišķi. Tas būs atzīstami lēns un grūts process, taču varētu būt vērts redzēt šos failus atšifrētus.

Pilns atšifrēšanas rīku komplekts ir atrodams cilnes Atšifrēšanas rīki sadaļā No More Ransom! vietne.

Failu atšifrētāju palaist faktiski ir diezgan viegli. Lielākajai daļai atšifrētāju ir rokasgrāmatu, ko sniedz rīka izstrādātājs (vairums ir no EmsiSoft, Kaspersky Labs, Check Point vai Trend Micro). Katrs process var būt nedaudz atšķirīgs, tāpēc jūs vēlēsities izlasīt PDF instrukcijas katram, kur tas ir pieejams.

Šis ir piemērs procesam, kuru veicāt, lai atšifrētu Filadelfijas izpirkuma programmatūru:

  • Izvēlieties vienu šifrētu failu savā sistēmā un tā faila versiju, kas šobrīd nav šifrēta (no dublējuma). Ievietojiet šos divus failus sava datora mapē.
  • Lejupielādējiet Filadelfijas atšifrētāju un pārvietojiet izpildāmo uz to pašu mapi ar pārī savienotajiem failiem.
  • Atlasiet failu pāri un pēc tam velciet un nometiet failus uz atšifrējamā izpildāmā faila. Pēc tam atšifrētājs sāks noteikt pareizās atslēgas, kas vajadzīgas faila atšifrēšanai.
  • Šis process var aizņemt diezgan daudz laika, atkarībā no programmas sarežģītības

Filadelfijas atšifrētājs

  • Kad tas būs pabeigts, jūs saņemsit atšifrēšanas atslēgu visiem failiem, kas šifrēti ar ransomware.

Filadelfijas atšifrētājs

  • Pēc tam atšifrētājs lūgs jūs pieņemt licences līgumu un sniegs jums opcijas, no kurām diskiem var atšifrēt failus. Jūs varat mainīt atrašanās vietu atkarībā no tā, kur pašlaik atrodas faili, kā arī dažas citas iespējas, kas var būt vajadzīgas, atkarībā no izpirkuma programmatūras veida. Viena no šīm iespējām parasti ietver iespēju saglabāt šifrētos failus.
  • Kad faili būs atšifrēti, atšifrētāja UI saņemsit ziņojumu.

Atkal šis process var nedarboties, jo jums, iespējams, ir programmatūra rensomware, kurai nav pieejams atšifrētājs. Daudzi cilvēki, kuri inficējas, vienkārši maksā izpirkuma maksu, neiedziļinoties noņemšanas metodēs, tāpēc daudzi no šiem izpirkšanas programmatūru joprojām tiek izmantoti, neskatoties uz to, ka tie ir uzlauzti.

Dublēšanas iespēja: noslaukiet sistēmu un veiciet pilnīgu datu atjaunošanu no datu dublējuma

1. un 2. darbība darbojas tikai tad, ja tos izmanto kopā. Ja kāds no jums nedarbojas, jums būs jāveic šis solis. Cerams, ka jums jau ir stabila un uzticama datu dublēšana. Ja tā, nepadodieties kārdinājumam maksāt izpirkuma maksu. Tā vietā vai nu personīgi, vai arī pieaiciniet IT speciālistu (vēlams šo iespēju), noslaukiet sistēmu un atjaunojiet failus, izmantojot tiešsaistes vai fizisko dublēšanas sistēmu..

Tas ir arī iemesls, kāpēc ir svarīgi dublēt un dublēt metālu. Pastāv liela iespēja, ka jūsu IT speciālistam jums būs jāveic pilnīga atkailināta metāla atjaunošana. Tas ietver ne tikai personiskos failus, bet arī operētājsistēmu, iestatījumus un programmas. Iespējams, ka Windows lietotājiem jāapsver arī pilnīga sistēmas atiestatīšana uz rūpnīcas iestatījumiem. Microsoft sniedz skaidrojumu par vairākām sistēmu un failu atjaunošanas metodēm un iespējām.

Izpirkšanas programmas vēsture

Kā minēts, ransomware nav jauns jēdziens, un tas pastāv jau daudzus gadus. Lai arī zemāk redzamais laika grafiks nav izsmeļošs ransomware saraksts, tas sniedz jums labu priekšstatu par to, kā šī uzbrukuma forma ir attīstījusies laika gaitā.

1989. gads - Trojas zirgs “Aids”, pazīstams arī kā PC Cyborg, kļūst par pirmo zināmo izpirktās programmatūras gadījumu jebkurā datorizētā sistēmā..

2006. gads - Pēc desmit gadu ilgas pārtraukuma ransomware masveidā atgriežas, parādoties Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip un MayArchive. Visi ir ievērojami ar to, ka izmanto sarežģītus RSA šifrēšanas algoritmus.

2008. gads - Uz notikuma vietu ierodas Gpcode.AK. Izmantojot 1024 bitu RSA atslēgas, ir jāpieliek lielas pūles, lai vairumam lietotāju nerastos pārtraukumi.

2010. gads - WinLock apmeklē lietotājus Krievijā, demonstrējot attēlus ar pornogrāfiju, līdz lietotājs piezvanīs USD 10 USD uz piemaksu numuru.

2011. gads - Nenosauktais Trojas zirgs bloķē Windows mašīnas, novirzot apmeklētājus uz viltotu tālruņu numuru kopu, caur kuru viņi var atkārtoti aktivizēt operētājsistēmas..

2012. gads - Reveton informē lietotājus, ka viņu mašīna ir izmantota, lai lejupielādētu autortiesību materiālus vai bērnu pornogrāfiju, un pieprasa samaksāt soda naudu.

2013. gads - Tagad draņķīgā CryptoLocker ierašanās. Pārkāpjot šifrēšanas līmeni, to ir neticami grūti apiet.

2013. gads - Kumode parādās, pieprasot samaksāt USD 150 uz virtuālo kredītkarti.

2013. gads - Grūti atklāt, CryptoLocker 2.0 piebilst, ka Tor tiek izmantots, lai pievienotu anonimitāti noziedzīgajam kodētājam, kurš to izveidoja..

2013. gads - Cryptorbit savam repertuāram pievieno arī Tor izmantošanu un kodē katra faila pirmos 1,024 bitus. Tas arī izmanto instalēšanu Bitcoin kalnraču pienam upuriem, lai iegūtu papildu peļņu.

2014. gads - CTB-Locker galvenokārt ir paredzēts Krievijā bāzētām mašīnām.

2014. gads - Vēl viens nozīmīgs jauninājums - CryptoWall inficē mašīnas, izmantojot inficētas vietnes reklāmas, un pārvalda ietekmēt miljardiem failu visā pasaulē.

2014. gads - Kriptobloķētājs, kas ir nedaudz draudzīgāks izpirkuma programmatūras kopums, izvairās no Windows failiem un mērķē failus, kuru lielums ir mazāks par 100 MB..

2014. gads - SynoLocker mērķē Synology NAS ierīces, šifrējot katru failu, ko tas tajās atrod.

2014. gads - TorrentLocker izplatīšanai izmanto surogātpastu, izmantojot vienlaikus dažādus ģeogrāfiskos reģionus. Tas arī kopē e-pasta adreses no skarto lietotāju adrešu grāmatas un izsūta arī šīm pusēm.

2015. gads - Vēl viens grūti pamanāms izpirktās programmatūras gabals, CryptoWall 2.0 izmanto Tor anonimitātes dēļ un nonāk dažādos veidos.

2015. gads - TeslaCrypt un VaultCrypt var raksturot kā nišas izpirkuma programmatūru, jo tie ir vērsti uz noteiktām spēlēm.

2015. gads - CryptoWall 3.0 uzlabo savu priekšgājēju, nonākot iesaiņotā ekspluatatīvā komplektācijā.

2015. gads - CryptoWall 4.0 šifrēšanai pievieno vēl vienu kārtu, šifrējot šifrēto failu nosaukumus.

2015. gads - Nākamais izpirkuma programmatūras līmenis redz, ka Chimera ne tikai šifrē failus, bet arī publicē tos tiešsaistē, kad izpirkuma maksa netiek samaksāta..

2016. gads - Locky ierodas uz skatuves un tiek nosaukts galvenokārt tāpēc, ka tas visus jūsu svarīgos failus pārdēvē, lai tiem būtu .locky paplašinājums.

2016. gads - KeRanger, kas atrodas vietnē BitTorrent, ir pirmā zināmā izpirkuma programmatūra, kas pilnībā darbojas Mac OS X.

2016. gads - Programma LeChiffre, kas nosaukta par Bonda nelietis Kazino Royale, kurš nolaupa obligāciju mīlestības intereses, lai izspiestu naudu, izmanto LeChiffre slikti nodrošināto attālo datoru priekšrocības pieejamos tīklos. Pēc tam tā piesakās un manuāli darbojas šajās sistēmās.

2016. gads - finierzāģis failus šifrēs un pēc tam izdzēsīs, līdz tiks samaksāta izpirkuma maksa. Pēc 72 stundām visi faili tiks izdzēsti.

2016. gads - SamSam izpirkuma programmatūra tiek piegādāta kopā ar tiešraides tērzēšanas funkciju, lai palīdzētu upuriem samaksāt izpirkuma maksu.

2016. gads - Petya ransomware izmanto mākoņu failu apmaiņas pakalpojumu popularitāti, izplatot sevi caur Dropbox.

2016. gads - Pirmais ransomware tārps nonāk ZCryptor formā, kas inficē arī ārējos cietos diskus un zibatmiņas diskus, kas pievienoti mašīnai..

2017. gads - Crysis mērķē fiksētus, noņemamus un tīkla diskus un izmanto jaudīgas šifrēšanas metodes, kuras ir grūti uzlauzt ar mūsdienu skaitļošanas iespējām..

2017. gads - WannaCry tiek izplatīts, izmantojot pikšķerēšanas e-pastus un tīklā savienotas sistēmas. Unikāli, ka WannaCry izmanto nozagto NSA backdoor, lai inficētu sistēmas, kā arī vēl vienu Windows ievainojamību, kas tika izlabota mēnesi pirms ļaunprātīgas programmatūras izlaišanas (sīkāka informācija zemāk).

WannaCry izpirkuma programmatūra

WannaCry izpirkuma programmatūra, iespējams, ir visbēdīgākā pēdējos gados, galvenokārt tāpēc, ka to ietekmē dators bīdes laikā. Tas ātri kļuva par ātrāko izplatības programmu ransomware vēsturē, kas ietekmē 400 000 mašīnu pēc tam. Vispārīgi runājot, WannaCry nav īpaši unikāls, jo tas ir inficējis dažus ļoti lielus vārdus un svarīgas valdības aģentūras visā pasaulē un izmantojis nozagto Nacionālās drošības aģentūras (NSA) rīku, lai to izdarītu.

Nozagtais NSA rīks ir daļa no iemesla, kāpēc WannaCry bija tik veiksmīga izplatīšanās. Jautājumu sarežģī fakts, ka daudzas aģentūras un uzņēmumi lēnām ieviesa pareizo Windows ielāpu, kas, pirmkārt, būtu ļāvis to neizmantot. Microsoft uzlika šo plāksteri 2017. gada marta vidū, bet WannaCry sāka inficēt sistēmas tikai maijā.

Interesanti, ka pirmo WannaCry variantu iztraucēja kiberdrošības pētnieks un emuāru autors, kurš, lasot kodu, atklāja ļaunprogrammatūrā ierakstītu nogalināšanas slēdzi. Pirmais WannaCry variants pārbauda, ​​vai noteikta vietne pastāv vai nav, rezultāts nosaka, vai tā turpinās vai nē.

Drošības emuāru autors nolēma turpināt darbību un reģistrēt vietni par aptuveni 10 ASV dolāriem, kas ievērojami palēnināja vīrusa izplatību. Tomēr WannaCry veidotāji ātri sāka ieviest jaunus variantus (vienam no tiem bija cits vietnes nogalināšanas slēdzis, kuru drīz izmantoja, lai apturētu šo variantu)..

Kopumā tiek lēsts, ka WannaCry ieskaita tā veidotājus aptuveni 140 000 USD vērtā bitcoīna vērtībā. Lai arī tā nav maza summa, tā ir tuvu USD 325 miljoniem, kas 2015. gadā nopelnījuši aiz Cryptowall 3. versijas rensomware. Tas var būt saistīts ar labāku izglītošanu par izpirkuma programmatūru vai vīrusa nepilnībām, taču, ņemot vērā skarto lietotāju skaitu, tas šķiet, ka lietas varēja būt sliktāk.

Cryptolocker izpirkuma programmatūra”Kristians Kolens. CC Share-A-Like 3.0

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me
Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

6 + 3 =

map