برنامج رانسومواري لفيروسات الكمبيوتر. فيروس رانسوم وير - ما هو ولماذا هو خطير. كيفية استعادة الملفات بعد الإصابة

اجتاحت موجة جديدة من فيروسات الفدية WannaCry (أسماء أخرى Wana Decrypt0r و Wana Decryptor و WanaCrypt0r) حول العالم ، والتي تقوم بتشفير المستندات على جهاز الكمبيوتر وابتزاز 300-600 دولار أمريكي لفك تشفيرها. كيف أعرف ما إذا كان جهاز الكمبيوتر الخاص بي مصابًا؟ ما الذي يجب فعله لتجنب الوقوع ضحية؟ وماذا تفعل للتعافي؟

بعد تثبيت التحديثات ، سيحتاج الكمبيوتر إلى إعادة التشغيل.

كيفية التعافي من فيروس Wana Decrypt0r ransomware؟

عندما تكتشف الأداة المساعدة لمكافحة الفيروسات وجود فيروس ، فإنها إما ستزيله على الفور ، أو تطلب منك معالجته أم لا؟ الجواب هو الشفاء.

كيفية استعادة الملفات المشفرة بواسطة Wana Decryptor؟

لا شيء يريح هذه اللحظةلا يمكننا الإبلاغ. حتى الآن ، لم يتم إنشاء أي أداة لفك تشفير الملفات. في الوقت الحالي ، يبقى انتظار تطوير برنامج فك التشفير.

وفقًا لبريان كريبس ، خبير أمن الكمبيوتر ، تلقى المجرمون في الوقت الحالي 26000 دولارًا أمريكيًا فقط ، أي حوالي 58 شخصًا فقط وافقوا على دفع فدية برنامج الفدية. لا أحد يعرف ما إذا كانوا قد استعادوا وثائقهم في نفس الوقت.

كيف نوقف انتشار الفيروس على الشبكة؟

في حالة WannaCry ، قد يكون حل المشكلة هو حظر المنفذ 445 على جدار الحماية ( جدار الحماية) التي تنتقل العدوى من خلالها.

في 12 أبريل 2017 ، ظهرت معلومات حول الانتشار السريع لفيروس رانسومواري يسمى WannaCry ، والذي يمكن ترجمته على أنه "أريد أن أبكي" ، حول العالم. لدى المستخدمين أسئلة حول تحديث Windows من فيروس WannaCry.

يبدو الفيروس على شاشة الكمبيوتر كالتالي:

فيروس WannaCry السيئ الذي يقوم بتشفير كل شيء

يقوم الفيروس بتشفير جميع الملفات الموجودة على الكمبيوتر ويطلب فدية لمحفظة Bitcoin بمبلغ 300 دولار أو 600 دولار لفك تشفير الكمبيوتر المفترض. أصيبت أجهزة الكمبيوتر في 150 دولة في العالم ، والأكثر تضررا هي روسيا.

واجهت شركة Megafon والسكك الحديدية الروسية ووزارة الشؤون الداخلية ووزارة الصحة وشركات أخرى هذا الفيروس وجهاً لوجه. من بين الضحايا هناك مستخدمون عاديون للإنترنت.

الجميع تقريبا متساوون أمام الفيروس. ربما يكون الاختلاف هو أن الفيروس ينتشر في الشركات في كل مكان شبكه محليهداخل المنظمة ويصيب على الفور أكبر عدد ممكن من أجهزة الكمبيوتر.

يقوم فيروس WannaCry بتشفير الملفات على أجهزة الكمبيوتر التي تعمل بنظام Windows. مرة أخرى في مارس 2017 ، أصدرت Microsoft تحديثات MS17-010 لمختلف إصدارات Windows XP ، Vista ، 7 ، 8 ، 10.

اتضح أن أولئك الذين تم تكوينهم تحديث أوتوماتيكي Windows خارج منطقة الخطر بالنسبة للفيروس ، لأنهم تلقوا التحديث في الوقت المناسب وتمكنوا من تجنبه. لا أفترض أن أقول إن هذا هو الحال بالفعل.

أرز. 3. رسالة عند تثبيت التحديث KB4012212

يتطلب تحديث KB4012212 بعد التثبيت إعادة تشغيل الكمبيوتر المحمول ، وهو ما لم يعجبني حقًا ، لأنني لا أعرف كيف يمكن أن ينتهي ، ولكن إلى أين يجب أن يذهب المستخدم؟ ومع ذلك ، سارت عملية إعادة التشغيل بشكل جيد. هذا يعني أننا نعيش في سلام حتى هجوم الفيروس التالي ، وأن مثل هذه الهجمات ستكون - للأسف ، ليس هناك سبب للشك.

على أي حال ، من المهم أن يكون لديك مكان للتعافي منه. نظام التشغيلوملفاتك.

تحديث Windows 8 من WannaCry

بالنسبة لجهاز كمبيوتر محمول يعمل بنظام Windows 8 مرخص ، تم تثبيت التحديث KB 4012598 ، لأن

تسمح التقنيات الحديثة للمتسللين بتحسين أساليب الاحتيال باستمرار فيما يتعلق بالمستخدمين العاديين. كقاعدة عامة ، لهذه الأغراض ، يتم استخدام برامج الفيروسات التي تخترق الكمبيوتر. تعتبر فيروسات برامج الفدية خطيرة بشكل خاص. يكمن التهديد في حقيقة أن الفيروس ينتشر بسرعة كبيرة ، ويقوم بتشفير الملفات (لا يمكن للمستخدم ببساطة فتح أي مستند). وإذا كان الأمر بسيطًا جدًا ، فسيكون فك تشفير البيانات أكثر صعوبة.

ماذا تفعل إذا قام الفيروس بتشفير الملفات على جهاز الكمبيوتر الخاص بك

يمكن مهاجمة أي شخص عن طريق برنامج الفدية ، حتى المستخدمين الذين لديهم برامج قوية لمكافحة الفيروسات غير مؤمن عليهم. قدم تشفير الملفات أحصنة طروادة كود مختلف، والتي قد تكون خارج قوة برنامج مكافحة الفيروسات. تمكن المتسللون من مهاجمة الشركات الكبيرة بهذه الطريقة ، والتي لم تهتم بالحماية اللازمة لمعلوماتهم. لذلك ، بعد "التقاط" برنامج الفدية عبر الإنترنت ، من الضروري اتخاذ عدد من الإجراءات.

العلامات الرئيسية للعدوى هي - عمل بطيءالكمبيوتر وتغيير أسماء المستندات (يمكن رؤيتها على سطح المكتب).

أعد تشغيل الكمبيوتر لإيقاف التشفير. عند التمكين ، لا تؤكد إطلاق برامج غير معروفة.
قم بتشغيل برنامج مكافحة الفيروسات الخاص بك إذا لم يتم مهاجمته بواسطة برنامج رانسوم وير.
في بعض الحالات ، ستساعدك النسخ الاحتياطية في استرداد المعلومات. للعثور عليهم ، افتح "خصائص" للمستند المشفر. تعمل هذه الطريقة مع البيانات المشفرة الخاصة بامتداد Vault ، والتي توجد معلومات حولها على البوابة الإلكترونية.
قم بتنزيل الأداة المساعدة احدث اصدارلمكافحة فيروسات رانسوم وير. الأكثر فعالية هي التي تقدمها Kaspersky Lab.

فيروسات Ransomware في عام 2016: أمثلة

عند مكافحة أي هجوم فيروسي ، من المهم أن تفهم أن الكود يتغير كثيرًا ، مع استكماله بحماية جديدة من الفيروسات. بالطبع تحتاج برامج الحماية لبعض الوقت حتى يقوم المطور بتحديث قواعد البيانات. لقد اخترنا أخطر فيروسات رانسوم وير في الآونة الأخيرة.

عشتار الفدية

عشتار هو أحد برامج الفدية التي تبتز الأموال من المستخدم. لوحظ الفيروس في خريف عام 2016 ، حيث أصاب عددًا كبيرًا من أجهزة الكمبيوتر للمستخدمين من روسيا وعدة دول أخرى. يتم توزيعه باستخدام توزيع البريد الإلكتروني مع المستندات المرفقة (المثبتات والمستندات وما إلى ذلك). يتم إعطاء البادئة "ISHTAR" في اسمها للبيانات المصابة ببرنامج الفدية Ishtar. في هذه العملية ، يتم إنشاء مستند اختبار ، والذي يشير إلى المكان الذي يجب أن تذهب إليه للحصول على كلمة مرور. يطلب المهاجمون من 3000 إلى 15000 روبل لذلك.

يكمن خطر فيروس عشتار في أنه لا يوجد اليوم برنامج فك تشفير من شأنه أن يساعد المستخدمين. تستغرق شركات برامج مكافحة الفيروسات وقتًا لفك شفرة كل التعليمات البرمجية. الآن يمكنك فقط عزل المعلومات المهمة (إذا كانت ذات أهمية خاصة) على وسيط منفصل ، في انتظار إصدار أداة يمكنها فك تشفير المستندات. يوصى بإعادة تثبيت نظام التشغيل.

نيترينو

ظهرت برامج الفدية Neitrino على الإنترنت في عام 2015. وفقًا لمبدأ الهجوم ، فهو مشابه للفيروسات الأخرى من فئة مماثلة. يغير أسماء المجلدات والملفات بإضافة "Neitrino" أو "Neutrino". يصعب فك تشفير الفيروس - ليس كل ممثلي شركات مكافحة الفيروسات يقومون بذلك ، في إشارة إلى رمز معقد للغاية. قد يجد بعض المستخدمين أنه من المفيد استعادة النسخة الاحتياطية. للقيام بذلك ، انقر فوق انقر على اليمينبالماوس على المستند المشفر ، انتقل إلى "خصائص" ، علامة التبويب "الإصدارات السابقة" ، انقر فوق "استعادة". لن يكون من الضروري استخدام أداة مساعدة مجانية من Kaspersky Lab.

Wallet أو .wallet.

ظهر فيروس Wallet ransomware في نهاية عام 2016. أثناء عملية الإصابة ، يقوم بتغيير اسم البيانات إلى "Name..wallet" أو شيء مشابه. مثل معظم فيروسات رانسوم وير ، فإنه يدخل إلى النظام من خلال مرفقات البريد الإلكتروني التي يرسلها مجرمو الإنترنت. منذ ظهور التهديد مؤخرًا ، لا تلاحظه برامج مكافحة الفيروسات. بعد التشفير ، يقوم بإنشاء مستند يحدد فيه المحتال البريد للاتصال. حاليًا ، يعمل مطورو برامج مكافحة الفيروسات على فك تشفير رمز برنامج الفدية [البريد الإلكتروني محمي]يمكن للمستخدمين المهاجمين الانتظار فقط. إذا كانت البيانات مهمة ، يوصى بحفظها في تخزين خارجيمن خلال مسح النظام.

لغز

بدأ فيروس Enigma ransomware في إصابة أجهزة الكمبيوتر للمستخدمين الروس في نهاية أبريل 2016. نموذج التشفير المستخدم هو AES-RSA ، والذي يوجد في معظم فيروسات رانسوم وير اليوم. يدخل الفيروس إلى الكمبيوتر باستخدام برنامج نصي يقوم المستخدم نفسه بتشغيله عن طريق فتح ملفات من بريد إلكتروني مشبوه. لا توجد حتى الآن أداة عالمية لمكافحة Enigma ransomware. يمكن للمستخدمين الذين لديهم ترخيص مكافحة فيروسات طلب المساعدة على الموقع الرسمي للمطور. كما تم العثور على "ثغرة" صغيرة - Windows UAC. إذا نقر المستخدم على "لا" في النافذة التي تظهر أثناء الإصابة بالفيروس ، فسيكون قادرًا على استعادة المعلومات لاحقًا باستخدام النسخ الاحتياطية.

جرانيت

ظهر فيروس Granit ransomware الجديد على الويب في خريف عام 2016. تحدث العدوى وفقًا للسيناريو التالي: يقوم المستخدم بتشغيل برنامج التثبيت ، والذي يقوم بإصابة وتشفير جميع البيانات الموجودة على جهاز الكمبيوتر ، وكذلك على محركات الأقراص المتصلة. محاربة الفيروس صعبة. لإزالة يمكنك استخدام المرافق الخاصةمن Kaspersky ، لكن لم يتم فك الشفرة بعد. ربما تساعد استعادة الإصدارات السابقة من البيانات. بالإضافة إلى ذلك ، يمكن للمتخصص الذي يتمتع بخبرة واسعة فك الشفرة ، لكن الخدمة باهظة الثمن.

تايسون

تم رصده مؤخرًا. إنه امتداد لبرنامج الفدية المعروف no_more_ransom ، والذي يمكنك التعرف عليه على موقعنا. يصل إلى أجهزة الكمبيوتر الشخصية من البريد الإلكتروني. تم مهاجمة العديد من أجهزة الكمبيوتر الخاصة بالشركات. يخلق الفيروس مستند نصيمع تعليمات لفتح وعرض دفع فدية. ظهر برنامج Tyson ransomware مؤخرًا ، لذلك لا يوجد مفتاح لفتحه حتى الآن. الطريقة الوحيدة لاستعادة المعلومات هي العودة الإصدارات السابقةإذا لم يتم إزالتها بواسطة فيروس. يمكنك بالطبع المخاطرة بتحويل الأموال إلى الحساب المحدد من قبل مجرمي الإنترنت ، ولكن ليس هناك ما يضمن أنك ستتلقى كلمة مرور.

سبورا

في أوائل عام 2017 ، وقع عدد من المستخدمين ضحية لبرمجيات الفدية Spora الجديدة. وفقًا لمبدأ التشغيل ، لا يختلف كثيرًا عن نظرائه ، ولكن يمكن أن يتباهى بأداء أكثر احترافًا: يتم تجميع الإرشادات الخاصة بالحصول على كلمة مرور بشكل أفضل ، ويبدو الموقع أجمل. تم إنشاء فيروس Spora ransomware في C ، باستخدام مزيج من RSA و AES لتشفير بيانات الضحية. كقاعدة عامة ، تم مهاجمة أجهزة الكمبيوتر التي يتم استخدام برنامج محاسبة 1C بشكل نشط عليها. الفيروس ، الذي يختبئ تحت ستار فاتورة pdf بسيطة ، يجعل موظفي الشركة يطلقونه. لم يتم العثور على علاج حتى الآن.

1 جيم إسقاط 1

ظهر فيروس رانسوم وير لـ 1C في صيف عام 2016 ، مما أدى إلى تعطيل عمل العديد من أقسام المحاسبة. مصمم خصيصًا لأجهزة الكمبيوتر التي تستخدم البرمجيات 1 ج. من خلال الوصول إلى ملف في بريد إلكتروني على جهاز كمبيوتر ، فإنه يدعو المالك لتحديث البرنامج. أيا كان الزر الذي يضغط عليه المستخدم ، سيبدأ الفيروس في تشفير الملفات. يعمل متخصصو Dr.Web على أدوات فك التشفير ، ولكن لم يتم العثور على حلول حتى الآن. هذا بسبب الكود المعقد ، والذي يمكن أن يكون في العديد من التعديلات. الحماية ضد 1CDrop.1 هي فقط يقظة المستخدمين والأرشفة المنتظمة للوثائق المهمة.

شيفرة دافنشي

برنامج رانسوم وير جديد باسم غير معتاد. ظهر الفيروس في ربيع عام 2016. وهي تختلف عن سابقاتها من خلال كود محسّن ووضع تشفير قوي. يقوم da_vinci_code بإصابة جهاز الكمبيوتر بفضل تطبيق تنفيذي (يتم إرفاقه عادةً برسالة بريد إلكتروني) ، والذي يبدأه المستخدم من تلقاء نفسه. ينسخ كود da vinci الجسم إلى دليل النظام والتسجيل ، مع توفير البدء التلقائيفي تشغيل Windows... يتم تخصيص معرف فريد لجهاز كمبيوتر كل ضحية (يساعد في الحصول على كلمة مرور). يكاد يكون من المستحيل فك تشفير البيانات. يمكنك دفع المال لمجرمي الإنترنت ، لكن لا أحد يضمن حصولك على كلمة مرور.

[البريد الإلكتروني محمي] / [البريد الإلكتروني محمي]

عنوانا بريد إلكتروني كانا مرتبطين بشكل متكرر بفيروسات رانسوم وير في عام 2016. هم الذين يعملون على ربط الضحية بالمهاجم. تم إرفاق عناوين لأنواع مختلفة من الفيروسات: da_vinci_code و no_more_ransom وما إلى ذلك. لا ينصح بشدة بالاتصال بالمحتالين وتحويل الأموال إليهم. في معظم الحالات ، يتم ترك المستخدمين بدون كلمات مرور. وبالتالي ، يُظهر أن برامج الفدية التي يستخدمها مجرمو الإنترنت تعمل على توليد الدخل.

سيئة للغاية

ظهر في بداية عام 2015 ، لكنه انتشر بشكل نشط بعد عام واحد فقط. مبدأ الإصابة مطابق لمبدأ برامج الفدية الأخرى: تثبيت ملف من بريد إلكتروني ، وتشفير البيانات. عادةً لا تلاحظ برامج مكافحة الفيروسات العادية وجود فيروس Breaking Bad. لا يمكن لبعض التعليمات البرمجية تجاوز Windows UAC ، لذلك لدى المستخدم خيار استعادة الإصدارات السابقة من المستندات. لم تقدم أي شركة برامج مكافحة فيروسات وحدة فك ترميز حتى الآن.

XTBL

أحد برامج الفدية الشائعة جدًا التي تسببت في مشاكل للعديد من المستخدمين. بمجرد وصول الفيروس إلى جهاز كمبيوتر ، يقوم الفيروس بتغيير امتداد الملف إلى .xtbl في غضون دقائق. يتم إنشاء مستند يقوم فيه المهاجم بابتزاز الأموال. لا تستطيع بعض متغيرات فيروس XTBL تدمير ملفات استعادة النظام ، مما يسمح بإعادة المستندات المهمة. يمكن إزالة الفيروس نفسه بواسطة العديد من البرامج ، ولكن من الصعب جدًا فك تشفير المستندات. إذا كنت مالكًا لبرنامج مكافحة فيروسات مرخصًا ، فاستخدم الدعم الفني من خلال إرفاق عينات من البيانات المصابة.

كوكاراشا

تم رصد برنامج الفدية "Cucaracha" في ديسمبر 2016. فيروس مع اسم مثيرة للاهتماميخفي ملفات المستخدم باستخدام خوارزمية RSA-2048 ، وهي آمنة للغاية. كاسبيرسكي المضاد للفيروساتعينها على أنها Trojan- Ransom.Win32.Scatter.lb. يمكن إزالة Kukaracha من جهاز الكمبيوتر الخاص بك حتى لا تصاب المستندات الأخرى. ومع ذلك ، يكاد يكون من المستحيل فك تشفير المصابين اليوم (خوارزمية قوية جدًا).

كيف يعمل فيروس رانسوم وير

هناك عدد كبير من برامج الفدية للتشفير ، لكنها تعمل جميعها وفقًا لمبدأ مماثل.

اضرب علي كمبيوتر شخصي... عادة ، بفضل مرفق بريد إلكتروني. يبدأ التثبيت من قبل المستخدم نفسه عن طريق فتح المستند.
عدوى الملف. يتم تشفير جميع أنواع الملفات تقريبًا (اعتمادًا على الفيروس). يتم إنشاء مستند نصي يحتوي على جهات اتصال للتواصل مع المهاجمين.
كل شىء. لا يمكن للمستخدم الوصول إلى أي مستند.

علاجات التحكم من المختبرات الشعبية

أصبح الاستخدام الواسع النطاق لبرامج الفدية ، والتي تُعرف بأنها أخطر التهديدات لبيانات المستخدم ، الدافع للعديد من مختبرات مكافحة الفيروسات. توفر كل شركة مشهورة لمستخدميها برامج تساعدهم في مكافحة فيروسات الفدية. بالإضافة إلى ذلك ، يساعد العديد منهم في فك تشفير المستندات من خلال حماية النظام.

فيروسات Kaspersky و ransomware

يقدم أحد أشهر مختبرات مكافحة الفيروسات في روسيا والعالم اليوم أكثر الوسائل فعالية لمكافحة فيروسات رانسوم وير. ستكون العقبة الأولى أمام فيروس الفدية هي Kaspersky Endpoint Security 10 بآخر التحديثات. لن يسمح برنامج مكافحة الفيروسات ببساطة بتعرض الكمبيوتر للتهديد (على الرغم من أن الإصدارات الجديدة قد لا تتمكن من إيقافه). لفك تشفير المعلومات ، يقدم المطور العديد من الأدوات المساعدة المجانية في وقت واحد: XoristDecryptor و RakhniDecryptor و Ransomware Decryptor. إنها تساعد في العثور على الفيروس وتخمين كلمة المرور.

دكتور. الويب وبرامج الفدية

يوصي هذا المختبر باستخدامها برنامج مضاد للفيروسات، السمة الرئيسية التي هي ملف النسخ الاحتياطي. التخزين مع نسخ المستندات محمي أيضًا من الوصول غير المصرح به من قبل المتسللين. أصحاب المنتج المرخص د. الويب ، هناك وظيفة لطلب المساعدة في دعم فني... صحيح ، حتى المتخصصين المتمرسين ليسوا دائمًا قادرين على مقاومة هذا النوع من التهديد.

ESET Nod 32 و ransomware

كما أن هذه الشركة لم تقف جانباً ، حيث وفرت لمستخدميها حماية جيدة ضد الفيروسات التي تدخل الكمبيوتر. بالإضافة إلى ذلك ، أصدر المختبر مؤخرًا أداة مساعدة مجانية مع قواعد بيانات محدثة - Eset Crysis Decryptor. يدعي المطورون أنه سيساعد في مكافحة أحدث برامج الفدية.

موقع التواصل الاجتماعي الفيسبوك

تويتر

Odnoklassniki

برقية

علم الطبيعة

فيروس WannaCry ransomware: ماذا تفعل؟

هل جهاز الكمبيوتر الخاص بك مصاب بفيروس Wana Decryptor ransomware؟

بعد تثبيت التحديثات ، سيحتاج الكمبيوتر إلى إعادة التشغيل - الآن لن يخترقك فيروس رانسوم وير.

كيفية التعافي من فيروس Wana Decrypt0r ransomware؟

عندما تكتشف الأداة المساعدة لمكافحة الفيروسات وجود فيروس ، فإنها إما ستزيله على الفور أو تسألك: هل يجب علاجه أم لا؟ الجواب هو الشفاء.

كيفية استعادة الملفات المشفرة بواسطة Wana Decryptor؟

لا يمكننا الإبلاغ عن أي شيء مريح في الوقت الحالي. حتى الآن ، لم يتم إنشاء أي أداة لفك تشفير الملفات. يبقى فقط انتظار تطوير فك التشفير.

فيروس الكمبيوتر

أضف "E Vesti" إلى مصادرك المفضلة

آخر الملاحة

آخر أخبار القسم

أعلنت راشيل برونسون ، رئيسة النشرة الإخبارية لعلماء الذرة من أجل السلام ، أنه تم ضبط ساعة Doomsday للأمام بمقدار 20 ثانية. في رأيها ، لم يتبق سوى 100 شرطي ...

لن تهددك WannaCry و Petya و Mischa وغيرها من فيروسات الفدية إذا اتبعت هذه التوصيات البسيطة لمنع إصابات الكمبيوتر!

في الأسبوع الماضي ، اهتزت شبكة الإنترنت بأكملها من أنباء عن فيروس رانسومواري جديد. تسبب في انتشار وباء أكبر بكثير في العديد من البلدان حول العالم من WannaCry سيئ السمعة ، الذي ضرب في مايو من هذا العام. يحتوي الفيروس الجديد على العديد من الأسماء: Petya.A و ExPetr و NotPetya و GoldenEye و Trojan.Ransom.Petya و PetrWrap و DiskCoder.C ، ومع ذلك ، غالبًا ما يظهر ببساطة باسم Petya.

الهجمات مستمرة هذا الأسبوع. حتى مكتبنا تلقى خطابًا متنكرًا بذكاء باعتباره تحديثًا أسطوريًا للبرامج! لحسن الحظ ، لم يفكر أحد في فتح الأرشيف بدوني :) لذلك ، أود تخصيص مقال اليوم لمسألة كيفية حماية جهاز الكمبيوتر الخاص بك من فيروسات الفدية وعدم الوقوع ضحية لبيتيا أو بعض برامج الفدية الأخرى.

ماذا تفعل فيروسات رانسوم وير؟

ظهرت فيروسات برامج الفدية الأولى في أوائل العقد الأول من القرن الحادي والعشرين. ربما يتذكر الكثير ممن استخدموا الإنترنت خلال تلك السنوات Trojan.WinLock. لقد منع الكمبيوتر من التمهيد ، ومن أجل الحصول على رمز إلغاء القفل ، طالب بتحويل مبلغ معين إلى محفظة WebMoney أو إلى حساب هاتف محمول:

كانت أول حاصرات Windows غير ضارة تمامًا. يمكن ببساطة "تثبيت" النافذة التي تحتوي على النص حول الحاجة إلى تحويل الأموال في البداية من خلال "إدارة المهام". ثم ظهرت إصدارات أكثر تطوراً من حصان طروادة ، مما أدى إلى إجراء تغييرات على مستوى التسجيل وحتى MBR. ولكن حتى هذا يمكن "علاجه" إذا عرف المرء ما يجب القيام به.

أصبحت فيروسات برامج الفدية الحديثة أشياء خطيرة للغاية. فهي لا تمنع تشغيل النظام فحسب ، بل تقوم أيضًا بتشفير المحتوى القرص الصلب(بما في ذلك سجل التمهيد الرئيسي MBR). لإلغاء قفل النظام وفك تشفير الملفات ، يأخذ المهاجمون الآن رسومًا في BitCoin "ah ، تعادل مبلغ 200 إلى 1000 دولار أمريكي! علاوة على ذلك ، حتى إذا قمت بتحويل الأموال المتفق عليها إلى المحفظة المحددة ، فإن هذا لن يضمن أن المتسللين سيفعلون ذلك. نرسل لك مفتاح الفتح ...

نقطة مهمة هي أنه لا توجد اليوم طرق عملية للتخلص من الفيروس واستعادة ملفاتك. لذلك ، في رأيي ، من الأفضل عدم الوقوع في البداية لجميع أنواع الحيل وحماية جهاز الكمبيوتر الخاص بك بشكل أو بآخر من الهجمات المحتملة.

كيف تتجنب الوقوع ضحية للفيروس

تنتشر فيروسات برامج الفدية عادةً بطريقتين. الأول يستغل مختلف نقاط الضعف التقنية في Windows.على سبيل المثال ، استخدم WannaCry استغلال EternalBlue ، والذي سمح بالوصول إلى الكمبيوتر عبر بروتوكول SMB. ويمكن لبرنامج Petya ransomware الجديد اختراق النظام من خلال منافذ TCP المفتوحة 1024-1035 و 135 و 445. والطريقة الأكثر شيوعًا للإصابة هي التصيد... ببساطة ، يقوم المستخدمون أنفسهم بإصابة جهاز الكمبيوتر عن طريق فتح ملفات ضارة يتم إرسالها عن طريق البريد!

الحماية الفنية ضد فيروسات رانسوم وير

على الرغم من أن العدوى الفيروسية المباشرة ليست شائعة جدًا ، إلا أنها تحدث. لذلك ، من الأفضل إزالة الثغرات الأمنية المحتملة المعروفة مسبقًا. أولاً ، تحتاج إلى تحديث برنامج مكافحة الفيروسات أو تثبيته (على سبيل المثال ، يقوم 360 Total Security المجاني بعمل جيد في التعرف على فيروسات برامج الفدية). ثانيًا ، يجب عليك بالتأكيد تثبيت آخر التحديثاتشبابيك.

لذلك للقضاء على الخلل الذي يحتمل أن يكون خطيرًا في بروتوكول SMBأصدرت Microsoft تحديثات خارج الطلب لجميع الأنظمة بدءًا من Windows XP. يمكنك تنزيلها لإصدار نظام التشغيل الخاص بك.

للحماية من Petya ، يوصى بإغلاق عدد من المنافذ على الكمبيوتر. للقيام بذلك ، فإن أسهل طريقة هي استخدام المعيار جدار الحماية... افتحه في لوحة التحكم وحدد القسم في الشريط الجانبي "خيارات إضافية"... سيتم فتح نافذة إدارة قواعد التصفية. الرجاء التحديد "قواعد الاتصالات الواردة"وانقر على الجانب الأيمن "إنشاء قاعدة"... سيتم فتح معالج خاص تحتاج فيه إلى إنشاء قاعدة "للميناء"ثم حدد الخيار "منافذ محلية محددة"واكتب ما يلي: 1024-1035, 135, 445 :

بعد إضافة قائمة المنافذ ، اضبط الخيار على الشاشة التالية "حظر الاتصال"لجميع ملفات التعريف وتعيين اسم (وصف اختياري) للقاعدة الجديدة. إذا كنت تعتقد أن التوصيات على الإنترنت ، فسيؤدي ذلك إلى منع الفيروس من تنزيل الملفات التي يحتاجها ، حتى لو وصل إلى جهاز الكمبيوتر الخاص بك.

بالإضافة إلى ذلك ، إذا كنت من أوكرانيا وتستخدم برنامج محاسبة Me.Doc ، فيمكنك تثبيت التحديثات التي تحتوي على أبواب خلفية. تم استخدام هذه الأبواب الخلفية لإصابة أجهزة الكمبيوتر على نطاق واسع بفيروس Petya. هناك ثلاثة تحديثات على الأقل مع وجود ثغرات أمنية معروفة من خلال تلك التي تم تحليلها اليوم:

10.01.175-10.01.176 بتاريخ 14 أبريل ؛
10.01.180-10.01.181 بتاريخ 15 مايو ؛
10.01.188-10.01.189 بتاريخ 22 يونيو.

إذا قمت بتثبيت هذه التحديثات ، فأنت في خطر!

حماية التصيد

كما ذكرنا سابقًا ، يقع اللوم على العامل البشري في معظم حالات العدوى. أطلق المتسللون ومرسلي البريد العشوائي حملة تصيد واسعة النطاق حول العالم. في إطارها ، تم إرسالها رسائل البريد الإلكترونييُزعم أنه من منظمات رسمية ذات استثمارات مختلفة تم إصدارها للحسابات أو تحديثات البرامج أو غيرها من البيانات "المهمة". كان يكفي المستخدم أن يفتح المقنع ملف ضاركيف قام بتثبيت فيروس على جهاز الكمبيوتر قام بتشفير جميع البيانات!

كيفية التمييز بين البريد الإلكتروني المخادع والبريد الإلكتروني الحقيقي. من السهل جدًا القيام بذلك إذا اتبعت الفطرة السليمة والإرشادات التالية:

من هي الرسالة؟بادئ ذي بدء ، نولي اهتمامًا للمرسل. يمكن للقراصنة التوقيع على خطاب ، حتى مع اسم جدتك! ومع ذلك ، هناك نقطة مهمة. يجب أن تعرف البريد الإلكتروني "الخاص بالجدة" ، وعادة ما يكون مرسل البريد الإلكتروني المخادع عبارة عن مجموعة غير محددة من الأحرف. شيء مثل: " [البريد الإلكتروني محمي]". وهناك فارق بسيط آخر: اسم المرسل وعنوانه ، إذا كان هذا خطابًا رسميًا ، فعادة ما يرتبطان ببعضهما البعض. على سبيل المثال ، قد يبدو البريد الإلكتروني من شركة معينة" Pupkin and Co "مثل" [البريد الإلكتروني محمي]"ولكن من غير المرجح أن تبدو مثل" [البريد الإلكتروني محمي]" :)
ما هو مضمون الرسالة؟عادةً ما تحتوي رسائل التصيد الاحتيالي على دعوة إلى اتخاذ إجراء أو تلميح عنها في سطر الموضوع. في هذه الحالة ، عادةً ما لا يقول نص الرسالة أي شيء على الإطلاق ، أو يتم إعطاء دافع إضافي لفتح الملفات المرفقة. يمكن أن تكون الكلمات "عاجل!" أو "فاتورة الخدمة" أو "تحديث مهم" في رسائل من مرسلين غير معروفين مثالًا رئيسيًا على محاولة شخص ما اختراقك. فكر بمنطقيه! إذا لم تطلب أي فواتير أو تحديثات أو مستندات أخرى من شركة معينة ، فمن المحتمل أن يكون هذا التصيد احتياليًا بنسبة 99٪ ...
ماذا يوجد في الرسالة؟العنصر الرئيسي للبريد الإلكتروني المخادع هو المرفقات. قد يكون أكثر أنواع المرفقات وضوحًا هو ملف EXE مع "تحديث" أو "برنامج" مزيف. مثل هذه المرفقات هي تزييف بدائي إلى حد ما ، لكنها تحدث.
تتمثل الطرق الأكثر "رشيقة" لخداع المستخدم في إخفاء البرنامج النصي الذي يقوم بتنزيل الفيروس تحته وثيقة إكسلأو كلمة. يمكن أن يكون التنكر من نوعين. في المتغير الأول ، يتم تقديم النص البرمجي نفسه كمستند مكتب ويمكن التعرف عليه من خلال ملحق الاسم "المزدوج" ، على سبيل المثال ، "الحساب .xls.js"أو" ملخص .doc.vbs". في الحالة الثانية ، يمكن أن يتكون المرفق من ملفين: مستند حقيقي وملف به برنامج نصي يسمى ماكرو من المكتب وثيقة كلمةأو Excel.
على أية حال ، لا يجب فتح مثل هذه المستندات ، حتى لو طلب منك "المرسل" القيام بذلك! إذا كان هناك شخص ما بين عملائك فجأة يمكنه نظريًا أن يرسل لك خطابًا بمحتوى مشابه ، فمن الأفضل أن تتحمل عناء الاتصال به مباشرة وتوضيح ما إذا كان قد أرسل لك أي مستندات. يمكن لحركة الجسم المفرطة في هذه الحالة أن تنقذك من المتاعب غير الضرورية!

أعتقد أنه إذا قمت بسد جميع الثغرات التقنية في جهاز الكمبيوتر الخاص بك ولم تستسلم لاستفزازات مرسلي البريد العشوائي ، فلن تخاف من أي فيروسات!

كيفية استعادة الملفات بعد الإصابة

ومع ذلك ، تمكنت من إصابة جهاز الكمبيوتر الخاص بك بفيروس تشفير ... لا تقم بإيقاف تشغيل الكمبيوتر بعد ظهور رسالة التشفير !!!

الحقيقة أنه بسبب عدد من الأخطاء في كود الفيروسات نفسها ، قبل إعادة تشغيل الكمبيوتر ، هناك فرصة لسحب المفتاح من الذاكرة ، وهو أمر ضروري لفك تشفير الملفات! على سبيل المثال ، للحصول على المفتاح WannaCry فك التشفيرستفعل الأداة المساعدة wannakiwi. للأسف ، لاستعادة الملفات بعد هجمات بيتيالا توجد مثل هذه الحلول ، ولكن يمكنك محاولة استخراجها من النسخ الاحتياطية للبيانات (إذا قمت بتنشيط خيار إنشائها على قسم القرص الصلب) باستخدام برنامج ShadowExplorer المصغر:

إذا كنت قد قمت بالفعل بإعادة تشغيل جهاز الكمبيوتر الخاص بك أو لم تساعدك النصائح المذكورة أعلاه ، فيمكنك استعادة الملفات فقط بمساعدة برامج استعادة البيانات. كقاعدة عامة ، تعمل فيروسات برامج الفدية وفقًا للنظام التالي: تقوم بإنشاء نسخة مشفرة من الملف وتحذف الملف الأصلي دون الكتابة فوقه. أي في الواقع ، يتم حذف علامة الملف فقط ، ويتم حفظ البيانات نفسها ويمكن استعادتها. يوجد برنامجان على موقعنا: أكثر ملاءمة لإعادة تنشيط ملفات الوسائط والصور ، و R.Saver يتواءم جيدًا مع المستندات والمحفوظات.

بطبيعة الحال ، يجب إزالة الفيروس نفسه من النظام. إذا قام Windows بالتمهيد ، فإن Malwarebytes Anti-Malware يعد خيارًا جيدًا. إذا حظر الفيروس التنزيل ، فستتم مساعدتك قرص التشغيل Dr.Web LiveCD مع أداة مثبتة لمكافحة البرامج الضارة المختلفة Dr.Web CureIt على متن الطائرة. في الحالة الأخيرة ، سيتعين عليك أيضًا التعامل مع استرداد MBR. نظرًا لأن قرص LiveCD من Dr.Web يعتمد على Linux ، أعتقد أن تعليمات Habr حول هذا الموضوع ستكون مفيدة لك.

الاستنتاجات

كانت مشكلة الفيروسات على Windows ذات صلة لسنوات عديدة. ونرى كل عام أن كتّاب الفيروسات يبتكرون أشكالًا أكثر تعقيدًا من إتلاف أجهزة الكمبيوتر الخاصة بالمستخدمين. تُظهر لنا أحدث أوبئة فيروسات برامج الفدية أن مجرمي الإنترنت يتحولون تدريجياً إلى الابتزاز النشط!

لسوء الحظ ، حتى لو دفعت المال ، فمن غير المرجح أن تتلقى أي إجابة. على الأرجح ، سيتعين عليك استعادة بياناتك بنفسك. لذلك فمن الأفضل أن نكون يقظين في الوقت المناسب ونمنع العدوى ، بدلاً من العبث بإزالة عواقبها لفترة طويلة!

ملاحظة. يُسمح بنسخ هذه المقالة والاقتباس منها بحرية ، شريطة الإشارة إلى رابط نشط مفتوح للمصدر والحفاظ على تأليف رسلان ترتشني.