Modern teknik tillåter hackare att ständigt förbättra sina metoder för bedrägeri mot vanliga användare. Som regel används virusprogram som tränger in i datorn för dessa ändamål. Krypteringsvirus anses vara särskilt farliga. Hotet är att viruset sprider sig mycket snabbt och krypterar filer (användaren kommer helt enkelt inte att kunna öppna ett enda dokument). Och om det är ganska enkelt är det mycket svårare att dekryptera data.

Vad du ska göra om ett virus har krypterade filer på din dator

Vem som helst kan attackeras av ransomware, även användare som har kraftfulla antivirusprogram är inte immuna. Filkrypterande trojaner finns i en mängd olika koder som kan vara bortom kapaciteten hos ett antivirus. Hackare lyckas till och med attackera stora företag på liknande sätt som inte har tagit hand om det nödvändiga skyddet av sin information. Så, efter att ha hämtat ett ransomware-program online, måste du vidta ett antal åtgärder.

De främsta tecknen på infektion är långsam datordrift och ändringar i dokumentnamn (kan ses på skrivbordet).

1. Starta om datorn för att stoppa kryptering. När du slår på, bekräfta inte lanseringen av okända program.
2. Kör ditt antivirusprogram om det inte har attackerats av ransomware.
3. I vissa fall kan skuggkopior hjälpa till att återställa information. För att hitta dem, öppna "Egenskaper" för det krypterade dokumentet. Denna metod fungerar med krypterad data från Vault-tillägget, som det finns information om på portalen.
4. Ladda ner den senaste versionen av verktyget för att bekämpa ransomware-virus. De mest effektiva erbjuds av Kaspersky Lab.

Ransomware-virus 2016: exempel

När du bekämpar en virusattack är det viktigt att förstå att koden ändras väldigt ofta, kompletterat med nytt antivirusskydd. Naturligtvis behöver säkerhetsprogram lite tid tills utvecklaren uppdaterar databaserna. Vi har valt ut de farligaste krypteringsvirusen på senare tid.

Ishtar Ransomware

Ishtar är ett ransomware som pressar pengar från användaren. Viruset märktes hösten 2016 och infekterade ett stort antal datorer från användare från Ryssland och ett antal andra länder. Distribueras via e-post, som innehåller bifogade dokument (installatörer, dokument, etc.). Data som infekterats av Ishtar-krypteringen får prefixet "ISHTAR" i dess namn. Processen skapar ett testdokument som anger var du ska gå för att få lösenordet. Angriparna kräver från 3 000 till 15 000 rubel för det.

Faran med Ishtar-viruset är att det idag inte finns någon dekryptering som skulle hjälpa användarna. Antivirusprogramföretag behöver tid för att dechiffrera all kod. Nu kan du bara isolera viktig information (om den är av särskild vikt) på ett separat medium, i väntan på utgivningen av ett verktyg som kan dekryptera dokument. Det rekommenderas att installera om operativsystemet.

Neitrino

Neitrino-kryptatorn dök upp på Internet 2015. Attackprincipen liknar andra virus av liknande kategori. Ändrar namnen på mappar och filer genom att lägga till "Neitrino" eller "Neutrino". Viruset är svårt att dekryptera, inte alla företrädare för antivirusföretag åtar sig detta, med hänvisning till en mycket komplex kod. Vissa användare kan ha nytta av att återställa en skuggkopia. För att göra detta, högerklicka på det krypterade dokumentet, gå till "Egenskaper", "Tidigare versioner", klicka på "Återställ". Det skulle vara en bra idé att använda ett gratisverktyg från Kaspersky Lab.

Plånbok eller .plånbok.

Plånbokens krypteringsvirus dök upp i slutet av 2016. Under infektionsprocessen ändrar den namnet på data till "Name..wallet" eller något liknande. Som de flesta ransomware-virus kommer det in i systemet genom bilagor i e-postmeddelanden som skickas av angripare. Eftersom hotet dök upp alldeles nyligen märker inte antivirusprogram det. Efter kryptering skapar han ett dokument där bedragaren anger e-postmeddelandet för kommunikation. För närvarande arbetar utvecklare av antivirusprogram med att dechiffrera koden för ransomware-viruset. [e-postskyddad]. Användare som har blivit attackerade kan bara vänta. Om informationen är viktig, rekommenderas att du sparar den på en extern enhet genom att rensa systemet.

Gåta

Enigma ransomware-viruset började infektera ryska användares datorer i slutet av april 2016. AES-RSA-krypteringsmodellen används, som finns i de flesta ransomware-virus idag. Viruset penetrerar datorn med hjälp av ett skript som användaren kör genom att öppna filer från ett misstänkt e-postmeddelande. Det finns fortfarande inget universellt sätt att bekämpa Enigma ransomware. Användare med antiviruslicens kan be om hjälp på utvecklarens officiella webbplats. Ett litet "kryphål" hittades också - Windows UAC. Om användaren klickar på "Nej" i fönstret som visas under virusinfektionsprocessen, kommer han att kunna återställa informationen med hjälp av skuggkopior.

Granit

Ett nytt ransomware-virus, Granit, dök upp på Internet hösten 2016. Infektion sker enligt följande scenario: användaren startar installationsprogrammet, som infekterar och krypterar all data på datorn, såväl som anslutna enheter. Att bekämpa viruset är svårt. För att ta bort det kan du använda specialverktyg från Kaspersky, men vi har ännu inte kunnat dechiffrera koden. Kanske kan det hjälpa att återställa tidigare versioner av data. Dessutom kan en specialist som har lång erfarenhet dekryptera, men tjänsten är dyr.

Tyson

Såg nyligen. Det är en förlängning av den redan kända ransomwaren no_more_ransom, som du kan lära dig om på vår hemsida. Den når persondatorer från e-post. Många företagsdatorer attackerades. Viruset skapar ett textdokument med upplåsningsinstruktioner och erbjuder sig att betala en "lösensumma". Tyson ransomware dök upp nyligen, så det finns ingen upplåsningsnyckel ännu. Det enda sättet att återställa information är att returnera tidigare versioner om de inte raderades av ett virus. Du kan givetvis ta en risk genom att föra över pengar till det konto som angriparna angett, men det finns ingen garanti för att du får lösenordet.

Spora

I början av 2017 blev ett antal användare offer för den nya ransomwaren Spora. När det gäller dess funktionsprincip skiljer den sig inte mycket från sina motsvarigheter, men den har en mer professionell design: instruktionerna för att få ett lösenord är bättre skrivna och webbplatsen ser vackrare ut. Spora ransomware-viruset skapades på C-språket och använder en kombination av RSA och AES för att kryptera offrets data. Som regel attackerades datorer där redovisningsprogrammet 1C aktivt användes. Viruset, som gömmer sig under täckmanteln av en enkel faktura i .pdf-format, tvingar företagets anställda att lansera det. Ingen behandling har hittats ännu.

1C.Släpp.1

Detta 1C-krypteringsvirus dök upp sommaren 2016 och störde arbetet på många redovisningsavdelningar. Det utvecklades specifikt för datorer som använder 1C-programvara. Väl på datorn via en fil i ett e-postmeddelande uppmanas ägaren att uppdatera programmet. Vilken knapp användaren än trycker på, kommer viruset att börja kryptera filer. Dr.Web-specialister arbetar med dekrypteringsverktyg, men ingen lösning har hittats ännu. Detta beror på den komplexa koden, som kan ha flera modifieringar. Det enda skyddet mot 1C.Drop.1 är användarvaksamhet och regelbunden arkivering av viktiga dokument.

da_vinci_code

En ny ransomware med ett ovanligt namn. Viruset dök upp våren 2016. Den skiljer sig från sina föregångare i sin förbättrade kod och starka krypteringsläge. da_vinci_code infekterar datorn tack vare en exekveringsapplikation (vanligtvis bifogad till ett e-postmeddelande), som användaren startar självständigt. Da Vinci-krypteringsverktyget kopierar texten till systemkatalogen och registret, vilket säkerställer automatisk start när Windows slås på. Varje offers dator tilldelas ett unikt ID (hjälper till att få ett lösenord). Det är nästan omöjligt att dekryptera data. Du kan betala pengar till angripare, men ingen garanterar att du får lösenordet.

[e-postskyddad] / [e-postskyddad]

Två e-postadresser som ofta åtföljdes av ransomware-virus under 2016. De tjänar till att förbinda offret med angriparen. Bifogade fanns adresser för en mängd olika typer av virus: da_vinci_code, no_more_ransom, och så vidare. Det rekommenderas starkt att inte kontakta eller överföra pengar till bedragare. Användare lämnas i de flesta fall utan lösenord. Alltså, visar att angriparnas ransomware fungerar och genererar inkomster.

Breaking Bad

Den dök upp i början av 2015, men spred sig aktivt bara ett år senare. Infektionsprincipen är identisk med andra ransomware: installera en fil från ett e-postmeddelande, kryptera data. Konventionella antivirusprogram märker som regel inte Breaking Bad-viruset. Viss kod kan inte kringgå Windows UAC, vilket ger användaren möjlighet att återställa tidigare versioner av dokument. Inget företag som utvecklar antivirusprogram har ännu presenterat en dekryptering.

XTBL

En mycket vanlig ransomware som har orsakat problem för många användare. Väl på datorn ändrar viruset filtillägget till .xtbl på några minuter. Ett dokument skapas där angriparen pressar pengar. Vissa varianter av XTBL-viruset kan inte förstöra filer för systemåterställning, vilket gör att du kan få tillbaka viktiga dokument. Viruset i sig kan tas bort av många program, men att dekryptera dokument är mycket svårt. Om du är ägare till ett licensierat antivirus, använd teknisk support genom att bifoga prover av infekterade data.

Kukaracha

Cucaracha ransomware upptäcktes i december 2016. Viruset med ett intressant namn döljer användarfiler med RSA-2048-algoritmen, som är mycket resistent. Kaspersky antivirus märkte det som Trojan-Ransom.Win32.Scatter.lb. Kukaracha kan tas bort från datorn så att andra dokument inte infekteras. Men infekterade är för närvarande nästan omöjliga att dekryptera (en mycket kraftfull algoritm).

Hur fungerar ett ransomware-virus?

Det finns ett stort antal ransomware, men de fungerar alla enligt en liknande princip.

1. Tillgång till en persondator. Vanligtvis tack vare en bifogad fil till ett e-postmeddelande. Installationen initieras av användaren själv genom att öppna dokumentet.
2. Filinfektion. Nästan alla typer av filer är krypterade (beroende på virus). Ett textdokument skapas som innehåller kontakter för att kommunicera med angriparna.
3. Allt. Användaren kan inte komma åt något dokument.

Kontrollmedel från populära laboratorier

Den utbredda användningen av ransomware, som anses vara det farligaste hotet mot användardata, har blivit en drivkraft för många antiviruslaboratorier. Varje populärt företag förser sina användare med program som hjälper dem att bekämpa ransomware. Dessutom hjälper många av dem till med dokumentdekryptering och systemskydd.

Kaspersky och ransomware-virus

Ett av de mest kända antiviruslaboratorierna i Ryssland och världen erbjuder idag de mest effektiva verktygen för att bekämpa ransomware-virus. Den första barriären mot ransomware-viruset kommer att vara Kaspersky Endpoint Security 10 med de senaste uppdateringarna. Antiviruset låter helt enkelt inte hotet komma in på din dator (även om det kanske inte stoppar nya versioner). För att dekryptera information presenterar utvecklaren flera gratisverktyg: XoristDecryptor, RakhniDecryptor och Ransomware Decryptor. De hjälper till att hitta viruset och välja lösenord.

Dr. Webb och ransomware

Detta laboratorium rekommenderar att du använder deras antivirusprogram, vars huvudfunktion är säkerhetskopiering av filer. Lagringen med kopior av dokument är också skyddad från obehörig åtkomst av inkräktare. Ägare av licensierad produkt Dr. Webbfunktion är tillgänglig för att begära hjälp från teknisk support. Det är sant att även erfarna specialister inte alltid kan motstå denna typ av hot.

ESET Nod 32 och ransomware

Det här företaget ställde sig inte heller åt sidan och gav sina användare ett bra skydd mot att virus kommer in i deras dator. Dessutom släppte laboratoriet nyligen ett gratisverktyg med uppdaterade databaser - Eset Crysis Decryptor. Utvecklarna säger att det kommer att hjälpa till i kampen mot även den senaste ransomware.