ویروس رمزگذاری - چیست، چرا خطرناک است؟

فن آوری های مدرن به هکرها اجازه می دهد تا به طور مداوم روش های کلاهبرداری خود را علیه کاربران عادی بهبود بخشند. به عنوان یک قاعده، نرم افزار ویروسی که به رایانه نفوذ می کند برای این اهداف استفاده می شود. ویروس های رمزگذاری به ویژه خطرناک در نظر گرفته می شوند. تهدید این است که ویروس بسیار سریع پخش می شود و فایل ها را رمزگذاری می کند (کاربر به سادگی قادر به باز کردن یک سند واحد نخواهد بود). و اگر بسیار ساده است، رمزگشایی داده ها بسیار دشوارتر است.

اگر یک ویروس فایل های رمزگذاری شده روی رایانه شما را داشته باشد چه باید کرد؟

هر کسی می تواند مورد حمله باج افزار قرار گیرد، حتی کاربرانی که نرم افزار ضد ویروس قدرتمندی دارند، در امان نیستند. تروجان های رمزگذاری فایل ها دارای کدهای مختلفی هستند که ممکن است فراتر از توانایی های یک آنتی ویروس باشد. هکرها حتی موفق می شوند شرکت های بزرگی را به روشی مشابه مورد حمله قرار دهند که از حفاظت لازم از اطلاعات خود مراقبت نکرده اند. بنابراین، پس از انتخاب یک برنامه باج افزار به صورت آنلاین، باید اقداماتی را انجام دهید.

علائم اصلی عفونت، کندی عملکرد کامپیوتر و تغییر در نام اسناد است (در دسکتاپ قابل مشاهده است).

  1. کامپیوتر خود را مجددا راه اندازی کنید تا رمزگذاری متوقف شود. هنگام روشن کردن، راه اندازی برنامه های ناشناخته را تأیید نکنید.
  2. آنتی ویروس خود را در صورتی که مورد حمله باج افزار قرار نگرفته است، اجرا کنید.
  3. در برخی موارد، کپی های سایه به بازیابی اطلاعات کمک می کنند. برای پیدا کردن آنها، "Properties" سند رمزگذاری شده را باز کنید. این روش با داده های رمزگذاری شده از پسوند Vault کار می کند که اطلاعاتی در مورد آن در پورتال وجود دارد.
  4. آخرین نسخه ابزار مبارزه با ویروس های باج افزار را دانلود کنید. موثرترین آنها توسط Kaspersky Lab ارائه شده است.

ویروس‌های باج‌افزار در سال 2016: نمونه‌هایی

هنگام مبارزه با هر گونه حمله ویروسی، مهم است که درک کنید که کد اغلب تغییر می کند و با محافظت از آنتی ویروس جدید تکمیل می شود. البته برنامه‌های امنیتی تا زمانی که توسعه‌دهنده پایگاه‌های داده را به‌روزرسانی کند، به زمان نیاز دارند. ما خطرناک ترین ویروس های رمزنگاری چند وقت اخیر را انتخاب کرده ایم.

باج افزار Ishtar

Ishtar باج افزاری است که از کاربر اخاذی می کند. این ویروس در پاییز 2016 مورد توجه قرار گرفت و تعداد زیادی از رایانه های کاربران از روسیه و تعدادی از کشورهای دیگر را آلوده کرد. از طریق خبرنامه ایمیل که حاوی اسناد پیوست شده (نصب کننده ها، اسناد و غیره) است. داده های آلوده شده توسط رمزگذار Ishtar در نام آن پیشوند "ISHTAR" داده می شود. این فرآیند یک سند آزمایشی ایجاد می کند که نشان می دهد برای دریافت رمز عبور به کجا بروید. مهاجمان برای آن از 3000 تا 15000 روبل درخواست می کنند.

خطر ویروس Ishtar این است که امروزه هیچ رمزگشایی وجود ندارد که به کاربران کمک کند. شرکت های نرم افزار آنتی ویروس به زمان نیاز دارند تا همه کدها را رمزگشایی کنند. اکنون فقط می‌توانید اطلاعات مهم (اگر از اهمیت خاصی برخوردار باشد) را در یک رسانه جداگانه جدا کنید و منتظر انتشار ابزاری باشید که قادر به رمزگشایی اسناد باشد. توصیه می شود سیستم عامل را دوباره نصب کنید.

نیترینو

رمزگذار Neitrino در سال 2015 در اینترنت ظاهر شد. اصل حمله مشابه سایر ویروس‌های یک دسته مشابه است. نام پوشه ها و فایل ها را با افزودن "Neitrino" یا "Neutrino" تغییر می دهد. رمزگشایی این ویروس دشوار است. برخی از کاربران ممکن است از بازیابی یک کپی سایه سود ببرند. برای انجام این کار، روی سند رمزگذاری شده کلیک راست کرده، به برگه "Properties"، "Previous Versions" بروید، روی "Restore" کلیک کنید. استفاده از یک ابزار رایگان از Kaspersky Lab ضرری ندارد.

کیف پول یا .wallet.

ویروس رمزگذاری کیف پول در پایان سال 2016 ظاهر شد. در طول فرآیند عفونت، نام داده ها را به "Name..wallet" یا چیزی مشابه تغییر می دهد. مانند اکثر ویروس‌های باج‌افزار، از طریق پیوست‌های موجود در ایمیل‌های ارسال شده توسط مهاجمان وارد سیستم می‌شود. از آنجایی که تهدید اخیراً ظاهر شده است، برنامه های آنتی ویروس متوجه آن نمی شوند. پس از رمزگذاری، او سندی ایجاد می کند که در آن کلاهبردار ایمیل را برای ارتباط نشان می دهد. در حال حاضر، توسعه دهندگان نرم افزار آنتی ویروس در حال کار برای رمزگشایی کد ویروس باج افزار هستند. [ایمیل محافظت شده]. کاربرانی که مورد حمله قرار گرفته اند فقط می توانند منتظر بمانند. اگر داده ها مهم هستند، توصیه می شود با پاک کردن سیستم، آن را در یک درایو خارجی ذخیره کنید.

معما

ویروس باج افزار انیگما از اواخر آوریل 2016 شروع به آلوده کردن رایانه های کاربران روسی کرد. مدل رمزگذاری AES-RSA استفاده می شود که امروزه در اکثر ویروس های باج افزار یافت می شود. ویروس با استفاده از اسکریپتی که کاربر با باز کردن فایل‌های یک ایمیل مشکوک اجرا می‌کند، به رایانه نفوذ می‌کند. هنوز هیچ وسیله جهانی برای مبارزه با باج افزار Enigma وجود ندارد. کاربران دارای مجوز آنتی ویروس می توانند در وب سایت رسمی توسعه دهنده درخواست کمک کنند. یک "خلاف" کوچک نیز پیدا شد - Windows UAC. اگر کاربر در پنجره‌ای که در طول فرآیند آلودگی به ویروس ظاهر می‌شود روی «نه» کلیک کند، می‌تواند متعاقباً اطلاعات را با استفاده از کپی‌های سایه بازیابی کند.

سنگ گرانیت

یک ویروس باج افزار جدید به نام Granit در پاییز 2016 در اینترنت ظاهر شد. آلودگی طبق سناریوی زیر رخ می دهد: کاربر نصب کننده را راه اندازی می کند که تمام داده های رایانه شخصی و همچنین درایوهای متصل را آلوده و رمزگذاری می کند. مبارزه با ویروس سخت است. برای حذف آن، می توانید از ابزارهای ویژه کسپرسکی استفاده کنید، اما ما هنوز نتوانسته ایم کد را رمزگشایی کنیم. شاید بازیابی نسخه های قبلی داده ها کمک کند. علاوه بر این، متخصصی که تجربه زیادی دارد می تواند رمزگشایی کند، اما خدمات گران است.

تایسون

اخیرا مشاهده شد. این یک برنامه افزودنی از باج افزار شناخته شده no_more_ransom است که می توانید در وب سایت ما با آن آشنا شوید. از طریق ایمیل به رایانه های شخصی می رسد. بسیاری از رایانه های شخصی شرکت ها مورد حمله قرار گرفتند. این ویروس یک سند متنی با دستورالعمل‌های باز کردن قفل ایجاد می‌کند و پیشنهاد پرداخت «باج» می‌دهد. باج افزار تایسون اخیرا ظاهر شده است، بنابراین هنوز کلید باز کردن قفل وجود ندارد. تنها راه برای بازیابی اطلاعات این است که نسخه های قبلی را در صورتی که توسط ویروس پاک نشده اند، برگردانید. البته می توانید با انتقال پول به حساب مشخص شده توسط مهاجمان، ریسک کنید، اما هیچ تضمینی برای دریافت رمز عبور وجود ندارد.

اسپور

در ابتدای سال 2017 تعدادی از کاربران قربانی باج افزار جدید Spora شدند. از نظر اصل عملکرد، تفاوت چندانی با همتایان خود ندارد، اما از طراحی حرفه ای تری برخوردار است: دستورالعمل های دریافت رمز عبور بهتر نوشته شده است و وب سایت زیباتر به نظر می رسد. ویروس باج‌افزار Spora به زبان C ایجاد شده و از ترکیبی از RSA و AES برای رمزگذاری داده‌های قربانی استفاده می‌کند. به عنوان یک قاعده، رایانه هایی که برنامه حسابداری 1C به طور فعال در آنها استفاده می شد مورد حمله قرار گرفتند. این ویروس که تحت عنوان یک فاکتور ساده در قالب pdf پنهان شده است، کارمندان شرکت را مجبور به راه اندازی آن می کند. هنوز هیچ درمانی پیدا نشده است.

1C.Drop.1

این ویروس رمزگذاری 1C در تابستان 2016 ظاهر شد و کار بسیاری از بخش های حسابداری را مختل کرد. این به طور خاص برای رایانه هایی که از نرم افزار 1C استفاده می کنند توسعه یافته است. هنگامی که از طریق یک فایل در یک ایمیل وارد رایانه شخصی می شوید، از مالک می خواهد که برنامه را به روز کند. هر دکمه ای را که کاربر فشار دهد، ویروس شروع به رمزگذاری فایل ها می کند. متخصصان Dr.Web در حال کار بر روی ابزارهای رمزگشایی هستند، اما هنوز راه حلی پیدا نشده است. این به دلیل کد پیچیده است که ممکن است چندین اصلاح داشته باشد. تنها محافظت در برابر 1C.Drop.1 هوشیاری کاربر و بایگانی منظم اسناد مهم است.

da_vinci_code

یک باج افزار جدید با نامی غیرعادی. این ویروس در بهار 2016 ظاهر شد. تفاوت آن با نسخه های قبلی خود در کد بهبود یافته و حالت رمزگذاری قوی است. da_vinci_code کامپیوتر را به لطف یک برنامه اجرایی (معمولاً به ایمیل متصل می شود) آلوده می کند، که کاربر به طور مستقل راه اندازی می کند. ابزار رمزگذاری داوینچی بدنه را در فهرست راهنمای سیستم و رجیستری کپی می‌کند و از راه‌اندازی خودکار هنگام روشن شدن ویندوز اطمینان حاصل می‌کند. به رایانه هر قربانی یک شناسه منحصر به فرد اختصاص داده می شود (به دریافت رمز عبور کمک می کند). رمزگشایی داده ها تقریبا غیرممکن است. شما می توانید به مهاجمان پول پرداخت کنید، اما هیچکس تضمین نمی کند که رمز عبور را دریافت خواهید کرد.

[ایمیل محافظت شده] / [ایمیل محافظت شده]

دو آدرس ایمیل که اغلب در سال 2016 با ویروس های باج افزار همراه بودند. آنها برای ارتباط قربانی با مهاجم خدمت می کنند. آدرس‌هایی برای انواع ویروس‌ها پیوست شده است: da_vinci_code، no_more_ransom و غیره. اکیداً توصیه می شود که با کلاهبرداران تماس نگیرید یا به آنها پول منتقل نکنید. کاربران در بیشتر موارد بدون رمز عبور می مانند. بنابراین، نشان می دهد که باج افزار مهاجمان کار می کند و درآمد ایجاد می کند.

بریکینگ بد

در ابتدای سال 2015 ظاهر شد، اما تنها یک سال بعد به طور فعال گسترش یافت. اصل آلودگی با سایر باج افزارها یکسان است: نصب یک فایل از ایمیل، رمزگذاری داده ها. برنامه های آنتی ویروس معمولی، به عنوان یک قاعده، متوجه ویروس Breaking Bad نمی شوند. برخی از کدها نمی توانند UAC ویندوز را دور بزنند و کاربر را قادر می سازد تا نسخه های قبلی اسناد را بازیابی کند. هیچ شرکتی که نرم‌افزار ضد ویروس تولید می‌کند هنوز رمزگشا را ارائه نکرده است.

XTBL

یک باج افزار بسیار رایج که برای بسیاری از کاربران دردسر ایجاد کرده است. ویروس پس از استفاده از رایانه شخصی، پسوند فایل را در عرض چند دقیقه به xtbl. تغییر می دهد. سندی ایجاد می شود که در آن مهاجم اخاذی می کند. برخی از انواع ویروس XTBL نمی توانند فایل ها را برای بازیابی سیستم از بین ببرند، که به شما امکان می دهد اسناد مهم را پس بگیرید. خود ویروس را می توان با بسیاری از برنامه ها حذف کرد، اما رمزگشایی اسناد بسیار دشوار است. اگر صاحب یک آنتی ویروس مجاز هستید، با پیوست کردن نمونه هایی از داده های آلوده، از پشتیبانی فنی استفاده کنید.

کوکاراچا

باج افزار Cucaracha در دسامبر 2016 کشف شد. این ویروس با نام جالب، فایل های کاربر را با استفاده از الگوریتم RSA-2048 که بسیار مقاوم است، پنهان می کند. آنتی ویروس کسپرسکی آن را با عنوان Trojan-Ransom.Win32.Scatter.lb برچسب گذاری کرد. Kukaracha را می توان از رایانه حذف کرد تا سایر اسناد آلوده نشوند. با این حال، رمزگشایی موارد آلوده در حال حاضر تقریبا غیرممکن است (الگوریتمی بسیار قدرتمند).

ویروس باج افزار چگونه کار می کند؟

تعداد زیادی باج افزار وجود دارد، اما همه آنها بر اساس یک اصل مشابه کار می کنند.

  1. دسترسی به کامپیوتر شخصی به طور معمول، به لطف یک فایل پیوست شده به ایمیل. نصب توسط خود کاربر با باز کردن سند آغاز می شود.
  2. عفونت فایل تقریباً همه انواع فایل ها رمزگذاری شده اند (بسته به ویروس). یک سند متنی ایجاد می شود که حاوی مخاطبین برای برقراری ارتباط با مهاجمان است.
  3. همه. کاربر نمی تواند به هیچ سندی دسترسی داشته باشد.

عوامل کنترل از آزمایشگاه های محبوب

استفاده گسترده از باج افزار که به عنوان خطرناک ترین تهدید برای داده های کاربران شناخته می شود، به انگیزه ای برای بسیاری از آزمایشگاه های آنتی ویروس تبدیل شده است. هر شرکت محبوب برنامه هایی را در اختیار کاربران خود قرار می دهد که به آنها در مبارزه با باج افزار کمک می کند. علاوه بر این، بسیاری از آنها به رمزگشایی اسناد و محافظت از سیستم کمک می کنند.

کسپرسکی و ویروس های باج افزار

یکی از معروف ترین آزمایشگاه های ضد ویروس در روسیه و جهان امروزه موثرترین ابزارها را برای مبارزه با ویروس های باج افزار ارائه می دهد. اولین مانع در برابر ویروس باج افزار، Kaspersky Endpoint Security 10 با آخرین به روز رسانی ها خواهد بود. آنتی ویروس به سادگی اجازه نمی دهد تهدید وارد رایانه شما شود (اگرچه ممکن است نسخه های جدید را متوقف نکند). برای رمزگشایی اطلاعات، توسعه دهنده چندین ابزار رایگان ارائه می دهد: XoristDecryptor، RakhniDecryptor و Ransomware Decryptor. آنها به یافتن ویروس و انتخاب رمز عبور کمک می کنند.

دکتر. وب و باج افزار

این آزمایشگاه استفاده از آنتی ویروس خود را توصیه می کند که ویژگی اصلی آن پشتیبان گیری از فایل است. ذخیره سازی با کپی اسناد نیز از دسترسی غیرمجاز توسط متجاوزان محافظت می شود. صاحبان محصول دارای مجوز Dr. تابع وب برای درخواست کمک از پشتیبانی فنی در دسترس است. درست است، حتی متخصصان با تجربه همیشه نمی توانند در برابر این نوع تهدید مقاومت کنند.

ESET Nod 32 و باج افزار

این شرکت نیز کنار نرفت و از کاربران خود در برابر ویروس های وارد شده به رایانه آنها محافظت خوبی ارائه کرد. علاوه بر این، آزمایشگاه اخیرا یک ابزار رایگان با پایگاه داده های به روز منتشر کرد - Eset Crysis Decryptor. توسعه دهندگان می گویند که در مبارزه با حتی جدیدترین باج افزار نیز کمک خواهد کرد.