เทคโนโลยีสมัยใหม่ช่วยให้แฮกเกอร์สามารถปรับปรุงวิธีการฉ้อโกงต่อผู้ใช้ทั่วไปได้อย่างต่อเนื่อง ตามกฎแล้ว ซอฟต์แวร์ไวรัสที่เจาะเข้าไปในคอมพิวเตอร์จะถูกใช้เพื่อวัตถุประสงค์เหล่านี้ ไวรัสเข้ารหัสถือเป็นอันตรายอย่างยิ่ง ภัยคุกคามคือไวรัสแพร่กระจายอย่างรวดเร็วโดยเข้ารหัสไฟล์ (ผู้ใช้จะไม่สามารถเปิดเอกสารเดียวได้) และถ้ามันค่อนข้างง่าย การถอดรหัสข้อมูลก็จะยากขึ้นมาก

จะทำอย่างไรถ้ามีไวรัสเข้ารหัสไฟล์ในคอมพิวเตอร์ของคุณ

ใครๆ ก็สามารถถูกโจมตีโดยแรนซัมแวร์ได้ แม้แต่ผู้ใช้ที่มีซอฟต์แวร์ป้องกันไวรัสที่ทรงพลังก็ไม่สามารถต้านทานได้ โทรจันเข้ารหัสไฟล์มีรหัสหลากหลายที่อาจเกินความสามารถของโปรแกรมป้องกันไวรัส แฮกเกอร์ยังสามารถโจมตีบริษัทขนาดใหญ่ในลักษณะเดียวกันที่ไม่ได้ดูแลการปกป้องข้อมูลที่จำเป็นของพวกเขา ดังนั้นเมื่อได้รับโปรแกรมแรนซัมแวร์ออนไลน์แล้ว คุณจะต้องใช้มาตรการหลายประการ

สัญญาณหลักของการติดเชื้อคือการทำงานของคอมพิวเตอร์ช้าและการเปลี่ยนชื่อเอกสาร (สามารถดูได้บนเดสก์ท็อป)

1. รีสตาร์ทคอมพิวเตอร์เพื่อหยุดการเข้ารหัส เมื่อเปิดเครื่อง อย่ายืนยันการเปิดตัวโปรแกรมที่ไม่รู้จัก
2. เรียกใช้โปรแกรมป้องกันไวรัสของคุณหากไม่ถูกโจมตีโดยแรนซัมแวร์
3. ในบางกรณี Shadow Copy จะช่วยกู้คืนข้อมูลได้ หากต้องการค้นหา ให้เปิด “คุณสมบัติ” ของเอกสารที่เข้ารหัส วิธีการนี้ใช้ได้กับข้อมูลที่เข้ารหัสจากส่วนขยาย Vault ซึ่งมีข้อมูลอยู่บนพอร์ทัล
4. ดาวน์โหลดยูทิลิตี้เวอร์ชันล่าสุดเพื่อต่อสู้กับไวรัสแรนซัมแวร์ Kaspersky Lab นำเสนอผลิตภัณฑ์ที่มีประสิทธิภาพสูงสุด

ไวรัส Ransomware ในปี 2559: ตัวอย่าง

เมื่อต่อสู้กับการโจมตีของไวรัส สิ่งสำคัญคือต้องเข้าใจว่าโค้ดมีการเปลี่ยนแปลงบ่อยมาก ซึ่งเสริมด้วยการป้องกันไวรัสแบบใหม่ แน่นอนว่าโปรแกรมรักษาความปลอดภัยต้องใช้เวลาสักระยะก่อนที่นักพัฒนาจะอัพเดตฐานข้อมูล เราได้เลือกไวรัสเข้ารหัสที่อันตรายที่สุดในช่วงเวลาที่ผ่านมา

อิชตาร์ แรนซั่มแวร์

Ishtar เป็นแรนซัมแวร์ที่รีดไถเงินจากผู้ใช้ ไวรัสดังกล่าวถูกตรวจพบในฤดูใบไม้ร่วงปี 2559 ซึ่งแพร่ระบาดไปยังคอมพิวเตอร์ของผู้ใช้จำนวนมากจากรัสเซียและอีกหลายประเทศ เผยแพร่ทางอีเมลซึ่งมีเอกสารแนบ (ตัวติดตั้ง เอกสาร ฯลฯ) ข้อมูลที่ติดไวรัสโดยตัวเข้ารหัส Ishtar จะมีคำนำหน้าว่า "ISHTAR" ในชื่อ กระบวนการนี้จะสร้างเอกสารทดสอบที่ระบุว่าจะไปรับรหัสผ่านได้จากที่ไหน ผู้โจมตีต้องการเงิน 3,000 ถึง 15,000 รูเบิล

อันตรายของไวรัสอิชตาร์คือทุกวันนี้ไม่มีตัวถอดรหัสที่จะช่วยเหลือผู้ใช้ บริษัทซอฟต์แวร์ป้องกันไวรัสต้องใช้เวลาในการถอดรหัสโค้ดทั้งหมด ตอนนี้คุณสามารถแยกเฉพาะข้อมูลสำคัญ (หากมีความสำคัญเป็นพิเศษ) ลงในสื่อที่แยกจากกันเพื่อรอการเปิดตัวยูทิลิตี้ที่สามารถถอดรหัสเอกสารได้ ขอแนะนำให้ติดตั้งระบบปฏิบัติการใหม่

เนทริโน

ตัวเข้ารหัส Neitrino ปรากฏบนอินเทอร์เน็ตในปี 2558 หลักการโจมตีนั้นคล้ายคลึงกับไวรัสตัวอื่นในประเภทเดียวกัน เปลี่ยนชื่อโฟลเดอร์และไฟล์โดยเพิ่ม "Neitrino" หรือ "Neutrino" ไวรัสนั้นถอดรหัสได้ยาก ไม่ใช่ตัวแทนของบริษัทป้องกันไวรัสทุกคนที่จะทำเช่นนี้ โดยอ้างถึงรหัสที่ซับซ้อนมาก ผู้ใช้บางรายอาจได้รับประโยชน์จากการกู้คืน Shadow Copy ในการดำเนินการนี้ให้คลิกขวาที่เอกสารที่เข้ารหัสไปที่แท็บ "คุณสมบัติ" แท็บ "เวอร์ชันก่อนหน้า" คลิก "กู้คืน" เป็นความคิดที่ดีที่จะใช้ยูทิลิตี้ฟรีจาก Kaspersky Lab

กระเป๋าเงินหรือ .wallet

ไวรัสเข้ารหัส Wallet ปรากฏขึ้นเมื่อปลายปี 2559 ในระหว่างกระบวนการติดไวรัส มันจะเปลี่ยนชื่อของข้อมูลเป็น “Name..wallet” หรืออะไรที่คล้ายกัน เช่นเดียวกับไวรัสแรนซัมแวร์ส่วนใหญ่ มันจะเข้าสู่ระบบผ่านไฟล์แนบในอีเมลที่ส่งโดยผู้โจมตี เนื่องจากภัยคุกคามปรากฏขึ้นเมื่อเร็ว ๆ นี้ โปรแกรมป้องกันไวรัสจึงไม่สังเกตเห็น หลังจากการเข้ารหัส เขาจะสร้างเอกสารที่ผู้หลอกลวงระบุอีเมลเพื่อการสื่อสาร ปัจจุบันนักพัฒนาซอฟต์แวร์ป้องกันไวรัสกำลังทำงานเพื่อถอดรหัสรหัสของไวรัสแรนซัมแวร์ [ป้องกันอีเมล]- ผู้ใช้ที่ถูกโจมตีทำได้แค่รอเท่านั้น หากข้อมูลมีความสำคัญแนะนำให้บันทึกลงในไดรฟ์ภายนอกโดยการล้างระบบ

ปริศนา

ไวรัส Enigma ransomware เริ่มติดคอมพิวเตอร์ของผู้ใช้ชาวรัสเซียเมื่อปลายเดือนเมษายน 2559 มีการใช้รูปแบบการเข้ารหัส AES-RSA ซึ่งพบได้ในไวรัสแรนซัมแวร์ส่วนใหญ่ในปัจจุบัน ไวรัสเจาะคอมพิวเตอร์โดยใช้สคริปต์ที่ผู้ใช้เรียกใช้โดยเปิดไฟล์จากอีเมลที่น่าสงสัย ยังไม่มีวิธีการสากลในการต่อสู้กับแรนซัมแวร์ Enigma ผู้ใช้ที่มีใบอนุญาตป้องกันไวรัสสามารถขอความช่วยเหลือได้จากเว็บไซต์อย่างเป็นทางการของผู้พัฒนา พบ "ช่องโหว่" เล็ก ๆ - Windows UAC หากผู้ใช้คลิก "ไม่" ในหน้าต่างที่ปรากฏขึ้นระหว่างกระบวนการติดไวรัส เขาจะสามารถกู้คืนข้อมูลได้ในภายหลังโดยใช้ Shadow Copy

หินแกรนิต

Granit ไวรัสเรียกค่าไถ่ตัวใหม่ปรากฏบนอินเทอร์เน็ตในฤดูใบไม้ร่วงปี 2559 การติดเชื้อเกิดขึ้นตามสถานการณ์ต่อไปนี้: ผู้ใช้เปิดตัวโปรแกรมติดตั้ง ซึ่งจะแพร่เชื้อและเข้ารหัสข้อมูลทั้งหมดบนพีซี รวมถึงไดรฟ์ที่เชื่อมต่อ การต่อสู้กับไวรัสเป็นเรื่องยาก หากต้องการลบออก คุณสามารถใช้ยูทิลิตี้พิเศษจาก Kaspersky ได้ แต่เรายังไม่สามารถถอดรหัสรหัสได้ บางทีการกู้คืนข้อมูลเวอร์ชันก่อนหน้าอาจช่วยได้ นอกจากนี้ผู้เชี่ยวชาญที่มีประสบการณ์มากมายสามารถถอดรหัสได้ แต่บริการมีราคาแพง

ไทสัน

ได้ถูกพบเห็นเมื่อเร็ว ๆ นี้ มันเป็นส่วนขยายของแรนซัมแวร์ no_more_ransom ที่รู้จักอยู่แล้ว ซึ่งคุณสามารถเรียนรู้เกี่ยวกับเว็บไซต์ของเรา มันเข้าถึงคอมพิวเตอร์ส่วนบุคคลจากอีเมล พีซีขององค์กรจำนวนมากถูกโจมตี ไวรัสสร้างเอกสารข้อความพร้อมคำแนะนำในการปลดล็อคโดยเสนอให้จ่ายค่า “ค่าไถ่” Tyson ransomware ปรากฏขึ้นเมื่อเร็ว ๆ นี้ ดังนั้นจึงยังไม่มีกุญแจปลดล็อค วิธีเดียวที่จะกู้คืนข้อมูลได้คือการส่งคืนเวอร์ชันก่อนหน้าหากไม่ได้ถูกไวรัสลบ แน่นอนว่าคุณสามารถเสี่ยงได้ด้วยการโอนเงินไปยังบัญชีที่ผู้โจมตีระบุ แต่ไม่มีการรับประกันว่าคุณจะได้รับรหัสผ่าน

สปอร่า

เมื่อต้นปี 2560 มีผู้ใช้จำนวนหนึ่งตกเป็นเหยื่อของแรนซั่มแวร์ Spora ตัวใหม่ ในแง่ของหลักการทำงาน มันไม่ได้แตกต่างจากคู่แข่งมากนัก แต่มีการออกแบบที่เป็นมืออาชีพมากกว่า: คำแนะนำในการรับรหัสผ่านนั้นเขียนได้ดีกว่าและเว็บไซต์ก็ดูสวยงามยิ่งขึ้น ไวรัส Spora ransomware ถูกสร้างขึ้นในภาษา C และใช้การรวมกันของ RSA และ AES เพื่อเข้ารหัสข้อมูลของเหยื่อ ตามกฎแล้วคอมพิวเตอร์ที่ใช้โปรแกรมบัญชี 1C ถูกโจมตี ไวรัสซึ่งซ่อนตัวอยู่ภายใต้หน้ากากของใบแจ้งหนี้ในรูปแบบ .pdf บังคับให้พนักงานของบริษัทต้องเปิดตัวไวรัสดังกล่าว ยังไม่พบการรักษา

1C.ดรอป.1

ไวรัสเข้ารหัส 1C นี้ปรากฏขึ้นในช่วงฤดูร้อนปี 2559 ซึ่งขัดขวางการทำงานของแผนกบัญชีหลายแห่ง ได้รับการพัฒนาโดยเฉพาะสำหรับคอมพิวเตอร์ที่ใช้ซอฟต์แวร์ 1C เมื่ออยู่บนพีซีผ่านไฟล์ในอีเมล ระบบจะแจ้งให้เจ้าของอัปเดตโปรแกรม ไม่ว่าผู้ใช้กดปุ่มใดก็ตาม ไวรัสจะเริ่มเข้ารหัสไฟล์ ผู้เชี่ยวชาญของ Dr.Web กำลังทำงานเกี่ยวกับเครื่องมือถอดรหัส แต่ยังไม่พบวิธีแก้ปัญหา นี่เป็นเพราะโค้ดที่ซับซ้อนซึ่งอาจมีการแก้ไขหลายอย่าง การป้องกันเพียงอย่างเดียวจาก 1C.Drop.1 คือความระมัดระวังของผู้ใช้และการเก็บถาวรเอกสารสำคัญเป็นประจำ

da_vinci_code

แรนซัมแวร์ตัวใหม่ที่มีชื่อไม่ธรรมดา ไวรัสปรากฏในฤดูใบไม้ผลิปี 2559 มันแตกต่างจากรุ่นก่อนในเรื่องโค้ดที่ได้รับการปรับปรุงและโหมดการเข้ารหัสที่แข็งแกร่ง da_vinci_code ติดคอมพิวเตอร์ด้วยแอปพลิเคชันดำเนินการ (โดยปกติจะแนบมากับอีเมล) ซึ่งผู้ใช้เปิดใช้งานโดยอิสระ เครื่องมือเข้ารหัสดาวินชีจะคัดลอกเนื้อหาไปยังไดเร็กทอรีระบบและรีจิสตรี เพื่อให้มั่นใจว่าจะเปิดขึ้นโดยอัตโนมัติเมื่อเปิด Windows คอมพิวเตอร์ของเหยื่อแต่ละรายจะได้รับ ID ที่ไม่ซ้ำกัน (ช่วยในการรับรหัสผ่าน) แทบจะเป็นไปไม่ได้เลยที่จะถอดรหัสข้อมูล คุณสามารถจ่ายเงินให้กับผู้โจมตีได้ แต่ไม่มีใครรับประกันว่าคุณจะได้รับรหัสผ่าน

[ป้องกันอีเมล] / [ป้องกันอีเมล]

ที่อยู่อีเมลสองแห่งที่มักมาพร้อมกับไวรัสแรนซัมแวร์ในปี 2559 พวกเขาทำหน้าที่เชื่อมโยงเหยื่อกับผู้โจมตี สิ่งที่แนบมาด้วยคือที่อยู่ของไวรัสประเภทต่างๆ: da_vinci_code, no_more_ransom และอื่นๆ ขอแนะนำอย่างยิ่งว่าอย่าติดต่อหรือโอนเงินให้กับผู้หลอกลวง ผู้ใช้ส่วนใหญ่จะไม่มีรหัสผ่าน ดังนั้นแสดงให้เห็นว่าแรนซัมแวร์ของผู้โจมตีทำงานได้สร้างรายได้

จบไม่สวย

ปรากฏเมื่อต้นปี 2558 แต่แพร่กระจายอย่างแข็งขันในอีกหนึ่งปีต่อมา หลักการติดไวรัสนั้นเหมือนกับแรนซัมแวร์ตัวอื่น นั่นคือ การติดตั้งไฟล์จากอีเมล การเข้ารหัสข้อมูล ตามกฎแล้วโปรแกรมป้องกันไวรัสทั่วไปจะไม่สังเกตเห็นไวรัส Breaking Bad รหัสบางตัวไม่สามารถข้าม Windows UAC ได้ ทำให้ผู้ใช้มีตัวเลือกในการกู้คืนเอกสารเวอร์ชันก่อนหน้า ยังไม่มีบริษัทใดที่พัฒนาซอฟต์แวร์ป้องกันไวรัสเสนอตัวถอดรหัส

เอ็กซ์ทีบีแอล

แรนซัมแวร์ที่พบบ่อยมากที่สร้างปัญหาให้กับผู้ใช้จำนวนมาก เมื่ออยู่บนพีซี ไวรัสจะเปลี่ยนนามสกุลไฟล์เป็น .xtbl ในเวลาไม่กี่นาที มีการสร้างเอกสารที่ผู้โจมตีรีดไถเงิน ไวรัส XTBL บางชนิดไม่สามารถทำลายไฟล์สำหรับการกู้คืนระบบได้ ซึ่งช่วยให้คุณสามารถเรียกคืนเอกสารสำคัญได้ ไวรัสสามารถลบออกได้หลายโปรแกรม แต่การถอดรหัสเอกสารนั้นทำได้ยากมาก หากคุณเป็นเจ้าของโปรแกรมป้องกันไวรัสที่มีลิขสิทธิ์ ให้ใช้การสนับสนุนด้านเทคนิคโดยแนบตัวอย่างข้อมูลที่ติดไวรัส

คูคาราชา

Cucaracha ransomware ถูกค้นพบในเดือนธันวาคม 2559 ไวรัสที่มีชื่อน่าสนใจจะซ่อนไฟล์ผู้ใช้โดยใช้อัลกอริธึม RSA-2048 ซึ่งมีความทนทานสูง โปรแกรมป้องกันไวรัส Kaspersky ระบุว่าเป็น Trojan-Ransom.Win32.Scatter.lb Kukaracha สามารถลบออกจากคอมพิวเตอร์ได้เพื่อไม่ให้เอกสารอื่นติดไวรัส อย่างไรก็ตาม ปัจจุบันผู้ติดเชื้อแทบจะเป็นไปไม่ได้เลยที่จะถอดรหัส (อัลกอริธึมที่ทรงพลังมาก)

ไวรัสแรนซัมแวร์ทำงานอย่างไร?

มีแรนซัมแวร์จำนวนมาก แต่ทั้งหมดทำงานบนหลักการที่คล้ายกัน

1. การเข้าถึงคอมพิวเตอร์ส่วนบุคคล โดยปกติแล้ว ต้องขอบคุณไฟล์ที่แนบมากับอีเมล การติดตั้งเริ่มต้นโดยผู้ใช้เองโดยการเปิดเอกสาร
2. การติดเชื้อไฟล์ ไฟล์เกือบทุกประเภทได้รับการเข้ารหัส (ขึ้นอยู่กับไวรัส) เอกสารข้อความถูกสร้างขึ้นซึ่งมีผู้ติดต่อสำหรับการสื่อสารกับผู้โจมตี
3. ทั้งหมด. ผู้ใช้ไม่สามารถเข้าถึงเอกสารใดๆ

สารควบคุมจากห้องปฏิบัติการยอดนิยม

การใช้แรนซัมแวร์อย่างกว้างขวาง ซึ่งได้รับการยอมรับว่าเป็นภัยคุกคามที่อันตรายที่สุดต่อข้อมูลผู้ใช้ ได้กลายเป็นแรงผลักดันสำหรับห้องปฏิบัติการป้องกันไวรัสหลายแห่ง บริษัทยอดนิยมทุกแห่งมอบโปรแกรมที่ช่วยต่อสู้กับแรนซัมแวร์แก่ผู้ใช้ นอกจากนี้ ส่วนมากยังช่วยในการถอดรหัสเอกสารและการป้องกันระบบอีกด้วย

ไวรัส Kaspersky และแรนซัมแวร์

ห้องปฏิบัติการป้องกันไวรัสที่มีชื่อเสียงที่สุดแห่งหนึ่งในรัสเซียและทั่วโลกนำเสนอเครื่องมือที่มีประสิทธิภาพสูงสุดในการต่อสู้กับไวรัสแรนซัมแวร์ อุปสรรคแรกของไวรัสแรนซัมแวร์คือ Kaspersky Endpoint Security 10 พร้อมการอัปเดตล่าสุด โปรแกรมป้องกันไวรัสจะไม่ยอมให้ภัยคุกคามเข้าสู่คอมพิวเตอร์ของคุณ (แม้ว่ามันอาจจะไม่สามารถหยุดเวอร์ชันใหม่ได้ก็ตาม) ในการถอดรหัสข้อมูล ผู้พัฒนาได้นำเสนอยูทิลิตี้ฟรีมากมาย: XoristDecryptor, RakhniDecryptor และ Ransomware Decryptor ช่วยค้นหาไวรัสและเลือกรหัสผ่าน

ดร. เว็บและแรนซัมแวร์

ห้องปฏิบัติการนี้แนะนำให้ใช้โปรแกรมป้องกันไวรัสซึ่งมีคุณลักษณะหลักคือการสำรองไฟล์ การจัดเก็บสำเนาเอกสารยังได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาตจากผู้บุกรุก เจ้าของผลิตภัณฑ์ลิขสิทธิ์ ดร. มีฟังก์ชั่นเว็บเพื่อขอความช่วยเหลือจากฝ่ายสนับสนุนด้านเทคนิค จริงอยู่ แม้แต่ผู้เชี่ยวชาญที่มีประสบการณ์ก็ไม่สามารถต้านทานภัยคุกคามประเภทนี้ได้เสมอไป

ESET Nod 32 และแรนซัมแวร์

บริษัทนี้ก็ไม่ได้ยืนหยัดเช่นกัน โดยให้การป้องกันไวรัสที่เข้ามาในคอมพิวเตอร์แก่ผู้ใช้ นอกจากนี้ ห้องปฏิบัติการเพิ่งเปิดตัวยูทิลิตี้ฟรีพร้อมฐานข้อมูลที่ทันสมัย ​​- Eset Crysis Decryptor นักพัฒนาบอกว่ามันจะช่วยในการต่อสู้กับแรนซัมแวร์ใหม่ล่าสุด