แรนซัมแวร์ไวรัสคอมพิวเตอร์ ไวรัสแรนซัมแวร์ - มันคืออะไร ทำไมถึงเป็นอันตราย วิธีการกู้คืนไฟล์หลังจากติดไวรัส

ไวรัสแรนซัมแวร์ตัวใหม่อย่าง WannaCry (ชื่ออื่นคือ Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) ได้แพร่กระจายไปทั่วโลก ซึ่งเข้ารหัสเอกสารบนคอมพิวเตอร์และรีดไถ USD 300-600 สำหรับการถอดรหัส ฉันจะรู้ได้อย่างไรว่าคอมพิวเตอร์ของฉันติดไวรัส? จะทำอย่างไรเพื่อไม่ให้ตกเป็นเหยื่อ? และจะทำอย่างไรให้ฟื้น?

หลังจากติดตั้งการอัปเดตแล้ว คอมพิวเตอร์จะต้องรีบูต

วิธีการกู้คืนจากไวรัส Wana Decrypt0r ransomware

เมื่อโปรแกรม Antivirus ตรวจพบไวรัส มันจะลบออกทันทีหรือขอให้คุณรักษาหรือไม่? คำตอบคือการรักษา

วิธีการกู้คืนไฟล์ที่เข้ารหัสโดย Wana Decryptor?

ไม่มีอะไรปลอบโยน ช่วงเวลานี้เราไม่สามารถรายงานได้ จนถึงตอนนี้ ยังไม่มีการสร้างเครื่องมือถอดรหัสไฟล์ สำหรับตอนนี้ มันยังคงเป็นเพียงการรอให้ตัวถอดรหัสลับได้รับการพัฒนา

ตามที่ Brian Krebs ผู้เชี่ยวชาญด้านความปลอดภัยของคอมพิวเตอร์ระบุว่าขณะนี้อาชญากรได้รับเงินเพียง 26,000 USD นั่นคือมีเพียง 58 คนเท่านั้นที่ตกลงจ่ายค่าไถ่ให้กับ ransomware ไม่ว่าพวกเขาจะกู้คืนเอกสารพร้อมกันหรือไม่ไม่มีใครรู้

จะหยุดการแพร่กระจายของไวรัสบนเครือข่ายได้อย่างไร?

ในกรณีของ WannaCry วิธีแก้ไขปัญหาอาจบล็อกพอร์ต 445 บนไฟร์วอลล์ ( ไฟร์วอลล์) ซึ่งการติดเชื้อดำเนินไป

เมื่อวันที่ 12 เมษายน 2017 ข้อมูลเกี่ยวกับการแพร่กระจายอย่างรวดเร็วของไวรัสแรนซัมแวร์ที่เรียกว่า WannaCry ซึ่งสามารถแปลว่า "ฉันอยากจะร้องไห้" ไปทั่วโลก ผู้ใช้มีคำถามเกี่ยวกับการอัปเดต Windows จากไวรัส WannaCry

ไวรัสบนหน้าจอคอมพิวเตอร์มีลักษณะดังนี้:

ไวรัส WannaCry ตัวร้ายที่เข้ารหัสทุกอย่าง

ไวรัสเข้ารหัสไฟล์ทั้งหมดบนคอมพิวเตอร์และเรียกค่าไถ่ไปยังกระเป๋าเงิน Bitcoin ในจำนวน $ 300 หรือ $ 600 เพื่อถอดรหัสคอมพิวเตอร์ตามที่คาดคะเน คอมพิวเตอร์ใน 150 ประเทศทั่วโลกติดไวรัส ที่ได้รับผลกระทบมากที่สุดคือรัสเซีย

Megafon, Russian Railways, กระทรวงกิจการภายใน, กระทรวงสาธารณสุขและ บริษัท อื่น ๆ ต้องเผชิญกับไวรัสนี้ ในบรรดาผู้ที่ตกเป็นเหยื่อยังมีผู้ใช้อินเทอร์เน็ตทั่วไป

เกือบทุกคนเท่าเทียมกันก่อนไวรัส ความแตกต่างก็คือในบริษัทต่างๆ ไวรัสแพร่กระจายไปทั่ว เครือข่ายท้องถิ่นภายในองค์กรและแพร่ระบาดในคอมพิวเตอร์ให้มากที่สุดเท่าที่จะมากได้ในทันที

ไวรัส WannaCry เข้ารหัสไฟล์บนคอมพิวเตอร์ที่ใช้ Windows ย้อนกลับไปในเดือนมีนาคม 2017 Microsoft ได้ออกอัพเดต MS17-010 สำหรับต่างๆ เวอร์ชั่น Windows XP, วิสต้า, 7, 8, 10.

ปรากฎว่าผู้ที่มี อัพเดทอัตโนมัติ Windows อยู่นอกโซนความเสี่ยงสำหรับไวรัส เนื่องจากได้รับการอัปเดตอย่างทันท่วงทีและสามารถหลีกเลี่ยงได้ ไม่คิดว่าจะเป็นแบบนี้จริงๆ

ข้าว. 3. ข้อความเมื่อติดตั้งอัพเดต KB4012212

การอัปเดต KB4012212 หลังการติดตั้งจำเป็นต้องรีบูตแล็ปท็อป ซึ่งฉันไม่ชอบเลย เพราะฉันไม่รู้ว่ามันจะจบลงอย่างไร แต่ผู้ใช้ควรไปที่ใด อย่างไรก็ตาม การรีบูตเป็นไปด้วยดี ซึ่งหมายความว่าเราอยู่อย่างสงบสุขจนกว่าจะมีการโจมตีของไวรัสครั้งต่อไป และการโจมตีดังกล่าวจะเป็น - อนิจจา ไม่มีเหตุผลที่จะต้องสงสัย

ไม่ว่าในกรณีใด สิ่งสำคัญคือต้องมีที่สำหรับพักฟื้น ระบบปฏิบัติการและไฟล์ของคุณ

อัพเดต Windows 8 จาก WannaCry

สำหรับแล็ปท็อปที่มีลิขสิทธิ์ Windows 8 มีการติดตั้งการอัปเดต KB 4012598 เนื่องจาก

เทคโนโลยีสมัยใหม่ช่วยให้แฮกเกอร์ปรับปรุงวิธีการฉ้อโกงที่เกี่ยวข้องกับผู้ใช้ทั่วไปได้อย่างต่อเนื่อง ตามกฎแล้วสำหรับวัตถุประสงค์เหล่านี้จะใช้ซอฟต์แวร์ไวรัสที่เจาะคอมพิวเตอร์ ไวรัสแรนซัมแวร์ถือเป็นอันตรายอย่างยิ่ง ภัยคุกคามอยู่ที่ไวรัสแพร่กระจายอย่างรวดเร็ว เข้ารหัสไฟล์ (ผู้ใช้ไม่สามารถเปิดเอกสารใดๆ ได้) และถ้ามันค่อนข้างง่าย การถอดรหัสข้อมูลนั้นยากกว่ามาก

จะทำอย่างไรถ้าไวรัสได้เข้ารหัสไฟล์ในคอมพิวเตอร์ของคุณ

ทุกคนสามารถถูกโจมตีโดย ransomware แม้กระทั่งผู้ใช้ที่มีซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพจะไม่ได้รับการประกัน นำเสนอโทรจันเข้ารหัสไฟล์ รหัสที่แตกต่างกันซึ่งอาจอยู่เหนือพลังของแอนติไวรัส แฮกเกอร์สามารถโจมตีบริษัทขนาดใหญ่ในลักษณะนี้ ซึ่งไม่ได้ดูแลการปกป้องข้อมูลที่จำเป็น ดังนั้น การมี “หยิบขึ้นมา” โปรแกรม ransomware ออนไลน์ จึงจำเป็นต้องใช้มาตรการหลายอย่าง

สัญญาณหลักของการติดเชื้อคือ - งานช้าคอมพิวเตอร์และการเปลี่ยนชื่อเอกสาร (สามารถดูได้บนเดสก์ท็อป)

รีสตาร์ทคอมพิวเตอร์เพื่อยกเลิกการเข้ารหัส เมื่อเปิดใช้งาน อย่ายืนยันการเปิดโปรแกรมที่ไม่รู้จัก
เรียกใช้โปรแกรมป้องกันไวรัสของคุณหากไม่ได้ถูกโจมตีโดยแรนซัมแวร์
ในบางกรณี Shadow Copy จะช่วยคุณกู้คืนข้อมูล หากต้องการค้นหา ให้เปิด "คุณสมบัติ" ของเอกสารที่เข้ารหัส วิธีนี้ใช้ได้กับข้อมูลที่เข้ารหัสของส่วนขยายห้องนิรภัย ซึ่งมีข้อมูลเกี่ยวกับพอร์ทัล
ดาวน์โหลดยูทิลิตี้ รุ่นล่าสุดเพื่อต่อสู้กับไวรัสแรนซัมแวร์ Kaspersky Lab นำเสนอสิ่งที่มีประสิทธิภาพมากที่สุด

ไวรัสแรนซัมแวร์ในปี 2016: ตัวอย่าง

เมื่อต่อสู้กับการโจมตีของไวรัส สิ่งสำคัญคือต้องเข้าใจว่าโค้ดเปลี่ยนแปลงบ่อยมาก เสริมด้วยการป้องกันไวรัสแบบใหม่ แน่นอนว่าโปรแกรมป้องกันต้องใช้เวลาสักพักก่อนที่ผู้พัฒนาจะอัพเดทฐานข้อมูล เราได้เลือกไวรัสแรนซัมแวร์ที่อันตรายที่สุดในช่วงที่ผ่านมา

Ishtar Ransomware

Ishtar เป็นแรนซัมแวร์ที่รีดไถเงินจากผู้ใช้ ไวรัสดังกล่าวถูกตรวจพบในฤดูใบไม้ร่วงปี 2559 โดยทำให้คอมพิวเตอร์ของผู้ใช้จำนวนมากจากรัสเซียและประเทศอื่นๆ ติดไวรัสจำนวนมาก มีการแจกจ่ายโดยใช้การแจกจ่ายอีเมลพร้อมเอกสารแนบ (ผู้ติดตั้ง เอกสาร ฯลฯ) ข้อมูลที่ติดไวรัสโดย Ishtar ransomware จะได้รับคำนำหน้า "ISHTAR" ในชื่อ ในกระบวนการนี้ เอกสารทดสอบจะถูกสร้างขึ้น ซึ่งระบุตำแหน่งที่จะรับรหัสผ่าน ผู้โจมตีต้องการ 3,000 ถึง 15,000 รูเบิลสำหรับมัน

อันตรายของไวรัส Ishtar คือวันนี้ไม่มี decryptor ที่จะช่วยเหลือผู้ใช้ บริษัทซอฟต์แวร์ป้องกันไวรัสใช้เวลาในการถอดรหัสรหัสทั้งหมด ในตอนนี้ คุณสามารถแยกข้อมูลสำคัญ (หากมีความสำคัญเป็นพิเศษ) ได้เฉพาะในสื่อที่แยกจากกัน เพื่อรอการเปิดตัวของยูทิลิตี้ที่สามารถถอดรหัสเอกสารได้ ขอแนะนำให้คุณติดตั้งระบบปฏิบัติการใหม่

เนทริโน

Neitrino ransomware ปรากฏบนอินเทอร์เน็ตในปี 2015 โดยหลักการของการโจมตีจะคล้ายกับไวรัสประเภทอื่นที่คล้ายคลึงกัน เปลี่ยนชื่อโฟลเดอร์และไฟล์โดยเพิ่ม "Neitrino" หรือ "Neutrino" ไวรัสนั้นถอดรหัสได้ยาก - ไม่ใช่ตัวแทนของบริษัทแอนติไวรัสทุกคนที่ทำสิ่งนี้ ซึ่งหมายถึงรหัสที่ซับซ้อนมาก ผู้ใช้บางคนอาจพบว่าการกู้คืน Shadow Copy มีประโยชน์ เมื่อต้องการทำเช่นนี้ คลิก คลิกขวาวางเมาส์บนเอกสารที่เข้ารหัสแล้วไปที่ "คุณสมบัติ" แท็บ "เวอร์ชันก่อนหน้า" คลิก "กู้คืน" มันจะไม่ฟุ่มเฟือยที่จะใช้ยูทิลิตี้ฟรีจาก Kaspersky Lab

กระเป๋าเงินหรือ .wallet

ไวรัสเรียกค่าไถ่ Wallet ปรากฏขึ้นเมื่อปลายปี 2559 ในกระบวนการติดเชื้อ จะเปลี่ยนชื่อข้อมูลเป็น "Name..wallet" หรืออะไรทำนองนั้น เช่นเดียวกับไวรัสแรนซัมแวร์ส่วนใหญ่ มันเข้าสู่ระบบผ่านไฟล์แนบอีเมลที่ส่งโดยอาชญากรไซเบอร์ เนื่องจากภัยคุกคามเพิ่งปรากฏขึ้นเมื่อเร็วๆ นี้ โปรแกรมป้องกันไวรัสจึงไม่สังเกตเห็น หลังจากการเข้ารหัส จะสร้างเอกสารที่ผู้ฉ้อโกงระบุอีเมลสำหรับการสื่อสาร ปัจจุบัน นักพัฒนาซอฟต์แวร์แอนตี้ไวรัสกำลังทำงานเพื่อถอดรหัสรหัสของแรนซัมแวร์ [ป้องกันอีเมล]ผู้ใช้ที่ถูกโจมตีทำได้เพียงรอ หากข้อมูลสำคัญแนะนำให้บันทึกลง จัดเก็บข้อมูลภายนอกโดยการล้างระบบ

ปริศนา

ไวรัส Enigma ransomware เริ่มติดไวรัสคอมพิวเตอร์ของผู้ใช้ชาวรัสเซียเมื่อปลายเดือนเมษายน 2559 รูปแบบการเข้ารหัสที่ใช้คือ AES-RSA ซึ่งพบได้ในไวรัสแรนซัมแวร์ส่วนใหญ่ในปัจจุบัน ไวรัสเข้าสู่คอมพิวเตอร์โดยใช้สคริปต์ที่ผู้ใช้เปิดเองโดยเปิดไฟล์จากอีเมลที่น่าสงสัย ยังไม่มีเครื่องมือที่เป็นสากลในการต่อสู้กับ Enigma ransomware ผู้ใช้ที่มีใบอนุญาตป้องกันไวรัสสามารถขอความช่วยเหลือได้จากเว็บไซต์ทางการของผู้พัฒนา พบ "ช่องโหว่" ขนาดเล็ก - Windows UAC หากผู้ใช้คลิก "ไม่" ในหน้าต่างที่ปรากฏขึ้นระหว่างการติดไวรัส เขาจะสามารถกู้คืนข้อมูลได้ในภายหลังโดยใช้สำเนาเงา

หินแกรนิต

ไวรัส Granit ransomware ใหม่ปรากฏขึ้นบนเว็บในฤดูใบไม้ร่วงปี 2559 การติดไวรัสเกิดขึ้นตามสถานการณ์ต่อไปนี้: ผู้ใช้เปิดตัวโปรแกรมติดตั้ง ซึ่งจะติดไวรัสและเข้ารหัสข้อมูลทั้งหมดบนพีซี รวมถึงบนไดรฟ์ที่เชื่อมต่อ การต่อสู้กับไวรัสเป็นเรื่องยาก หากต้องการลบคุณสามารถใช้ สาธารณูปโภคพิเศษจาก Kaspersky แต่รหัสยังไม่ถูกถอดรหัส บางทีการกู้คืนข้อมูลเวอร์ชันก่อนหน้าอาจช่วยได้ นอกจากนี้ผู้เชี่ยวชาญที่มีประสบการณ์มากมายสามารถถอดรหัสได้ แต่บริการมีราคาแพง

ไทสัน

ถูกพบเห็นเมื่อไม่นานนี้ มันเป็นส่วนขยายของ ransomware ที่รู้จักกันดี no_more_ransom ซึ่งคุณสามารถเรียนรู้เกี่ยวกับเว็บไซต์ของเรา เข้าถึงคอมพิวเตอร์ส่วนบุคคลจากอีเมล พีซีของบริษัทจำนวนมากถูกโจมตี ไวรัสสร้าง เอกสารข้อความพร้อมคำแนะนำในการปลดล็อค เสนอให้จ่ายค่าไถ่ Tyson ransomware เพิ่งปรากฏตัวขึ้น ดังนั้นจึงยังไม่มีกุญแจที่จะปลดล็อค วิธีเดียวที่จะกู้คืนข้อมูลคือการส่งคืน เวอร์ชันก่อนหน้าถ้าพวกเขาไม่ได้ถูกลบออกโดยไวรัส คุณสามารถรับความเสี่ยงได้โดยการโอนเงินไปยังบัญชีที่ระบุโดยผู้โจมตี แต่ไม่มีการรับประกันว่าคุณจะได้รับรหัสผ่าน

สปอร์

ในต้นปี 2560 ผู้ใช้จำนวนหนึ่งตกเป็นเหยื่อของแรนซัมแวร์ Spora ตัวใหม่ ตามหลักการทำงาน มันไม่ได้แตกต่างจากรุ่นอื่นมากนัก แต่สามารถอวดประสิทธิภาพที่เป็นมืออาชีพมากขึ้น: คำแนะนำในการรับรหัสผ่านนั้นรวบรวมได้ดีกว่า เว็บไซต์ดูสวยกว่า ไวรัสเรียกค่าไถ่ Spora ใน C ถูกสร้างขึ้นโดยใช้การผสมผสานระหว่าง RSA และ AES เพื่อเข้ารหัสข้อมูลของเหยื่อ ตามกฎแล้วคอมพิวเตอร์ที่ใช้ซอฟต์แวร์บัญชี 1C อย่างแข็งขันถูกโจมตี ไวรัสที่ซ่อนตัวอยู่ใต้หน้ากากของใบแจ้งหนี้ .pdf ธรรมดาๆ ทำให้พนักงานของบริษัทเปิดตัวได้ ยังไม่พบวิธีรักษา

1C.Drop.1

ไวรัสแรนซัมแวร์สำหรับ 1C นี้ปรากฏขึ้นในฤดูร้อนปี 2559 ซึ่งขัดขวางการทำงานของแผนกบัญชีหลายแห่ง ออกแบบมาโดยเฉพาะสำหรับคอมพิวเตอร์ที่ใช้ ซอฟต์แวร์ 1C. การรับไฟล์ในอีเมลบนพีซีเป็นการเชิญเจ้าของให้อัปเดตโปรแกรม ไม่ว่าผู้ใช้จะกดปุ่มใดก็ตาม ไวรัสก็จะเริ่มเข้ารหัสไฟล์ ผู้เชี่ยวชาญของ Dr.Web กำลังทำงานเกี่ยวกับเครื่องมือถอดรหัส แต่ยังไม่พบวิธีแก้ไข นี่เป็นเพราะรหัสที่ซับซ้อนซึ่งสามารถปรับเปลี่ยนได้หลายอย่าง การป้องกัน 1C.Drop.1 เป็นเพียงการเฝ้าระวังผู้ใช้และการเก็บถาวรเอกสารสำคัญ

da_vinci_code

แรนซัมแวร์ใหม่ที่มีชื่อผิดปกติ ไวรัสปรากฏในฤดูใบไม้ผลิปี 2559 มันแตกต่างจากรุ่นก่อนโดยรหัสที่ได้รับการปรับปรุงและโหมดการเข้ารหัสที่แข็งแกร่ง da_vinci_code ทำให้คอมพิวเตอร์ติดไวรัสด้วยแอปพลิเคชันสำหรับผู้บริหาร (โดยปกติจะแนบมากับอีเมล) ซึ่งผู้ใช้เปิดใช้ด้วยตัวเอง รหัสดาวินชีคัดลอกเนื้อหาลงในไดเร็กทอรีระบบและรีจิสตรีโดยให้ สตาร์ทอัตโนมัติที่ เปิด Windows... คอมพิวเตอร์ของเหยื่อแต่ละคนได้รับ ID ที่ไม่ซ้ำกัน (ช่วยในการรับรหัสผ่าน) แทบเป็นไปไม่ได้เลยที่จะถอดรหัสข้อมูล คุณสามารถจ่ายเงินให้กับอาชญากรไซเบอร์ได้ แต่ไม่มีใครรับประกันได้ว่าคุณจะได้รับรหัสผ่าน

[ป้องกันอีเมล] / [ป้องกันอีเมล]

ที่อยู่อีเมลสองแห่งที่มักเกี่ยวข้องกับไวรัสแรนซัมแวร์ในปี 2016 พวกเขาเป็นผู้ทำหน้าที่เชื่อมต่อเหยื่อกับผู้โจมตี สิ่งที่แนบมาคือที่อยู่ของไวรัสประเภทต่างๆ: da_vinci_code, no_more_ransom และอื่นๆ ขอแนะนำอย่างยิ่งให้ติดต่อและโอนเงินให้กับผู้ฉ้อโกง ในกรณีส่วนใหญ่ ผู้ใช้จะถูกทิ้งไว้โดยไม่มีรหัสผ่าน ดังนั้น แสดงให้เห็นว่า ransomware ของอาชญากรไซเบอร์กำลังทำงานเพื่อสร้างรายได้

จบไม่สวย

มันปรากฏตัวเมื่อต้นปี 2558 แต่แพร่กระจายอย่างแข็งขันในอีกหนึ่งปีต่อมา หลักการของการติดไวรัสนั้นเหมือนกับแรนซัมแวร์อื่นๆ: การติดตั้งไฟล์จากอีเมล การเข้ารหัสข้อมูล โปรแกรมป้องกันไวรัสทั่วไปมักไม่สังเกตเห็นไวรัส Breaking Bad โค้ดบางตัวไม่สามารถเลี่ยงผ่าน Windows UAC ได้ ดังนั้นผู้ใช้จึงมีตัวเลือกในการกู้คืนเอกสารเวอร์ชันก่อนหน้า ยังไม่มีบริษัทซอฟต์แวร์ป้องกันไวรัสให้บริการถอดรหัส

XTBL

แรนซัมแวร์ทั่วไปที่สร้างปัญหาให้กับผู้ใช้จำนวนมาก เมื่ออยู่บนพีซี ไวรัสจะเปลี่ยนนามสกุลไฟล์เป็น .xtbl ในเวลาไม่กี่นาที เอกสารถูกสร้างขึ้นโดยผู้โจมตีรีดไถเงิน ไวรัส XTBL บางชนิดไม่สามารถทำลายไฟล์ System Restore ได้ ทำให้สามารถส่งคืนเอกสารสำคัญได้ ตัวไวรัสเองสามารถลบออกได้ในหลายโปรแกรม แต่เป็นการยากมากที่จะถอดรหัสเอกสาร หากคุณเป็นเจ้าของโปรแกรมป้องกันไวรัสที่ได้รับอนุญาต ให้ใช้การสนับสนุนทางเทคนิคโดยแนบตัวอย่างข้อมูลที่ติดไวรัส

คุคาราฉะ

แรนซัมแวร์ "Cucaracha" ถูกพบในเดือนธันวาคม 2559 ไวรัสกับ ชื่อที่น่าสนใจซ่อนไฟล์ผู้ใช้โดยใช้อัลกอริทึม RSA-2048 ซึ่งมีความปลอดภัยสูง Kaspersky Anti-Virusกำหนดให้เป็น Trojan-Ransom.Win32.Scatter.lb คุณสามารถลบ Kukaracha ออกจากคอมพิวเตอร์ของคุณเพื่อป้องกันไม่ให้เอกสารอื่นติดไวรัส อย่างไรก็ตาม ผู้ที่ติดเชื้อในปัจจุบันนี้แทบจะเป็นไปไม่ได้เลยที่จะถอดรหัส (อัลกอริธึมที่ทรงพลังมาก)

ไวรัสแรนซัมแวร์ทำงานอย่างไร

มี ransomware จำนวนมาก แต่ทั้งหมดทำงานบนหลักการที่คล้ายคลึงกัน

ตี คอมพิวเตอร์ส่วนบุคคล... โดยปกติต้องขอบคุณไฟล์แนบอีเมล การติดตั้งเริ่มต้นโดยผู้ใช้เองโดยเปิดเอกสาร
ไฟล์ติดไวรัส. ไฟล์เกือบทุกประเภทมีการเข้ารหัส (ขึ้นอยู่กับไวรัส) มีการสร้างเอกสารข้อความที่มีผู้ติดต่อสำหรับการสื่อสารกับผู้โจมตี
ทุกอย่าง. ผู้ใช้ไม่สามารถเข้าถึงเอกสารใดๆ

ควบคุมการเยียวยาจากห้องปฏิบัติการยอดนิยม

การใช้แรนซัมแวร์อย่างแพร่หลาย ซึ่งเป็นที่รู้จักว่าเป็นภัยคุกคามที่อันตรายที่สุดต่อข้อมูลผู้ใช้ ได้กลายเป็นแรงผลักดันให้ห้องปฏิบัติการแอนตี้ไวรัสจำนวนมาก บริษัทยอดนิยมแต่ละแห่งมีโปรแกรมที่ช่วยต่อสู้กับแรนซัมแวร์แก่ผู้ใช้ นอกจากนี้ หลายคนยังช่วยถอดรหัสเอกสารด้วยการปกป้องระบบ

Kaspersky และไวรัสแรนซัมแวร์

หนึ่งในห้องปฏิบัติการแอนตี้ไวรัสที่มีชื่อเสียงที่สุดในรัสเซียและทั่วโลกในปัจจุบันเสนอวิธีการที่มีประสิทธิภาพที่สุดในการต่อสู้กับไวรัสแรนซัมแวร์ อุปสรรคแรกสำหรับไวรัสแรนซัมแวร์คือ Kaspersky Endpoint Security 10 พร้อมการอัปเดตล่าสุด โปรแกรมป้องกันไวรัสจะไม่ปล่อยให้ภัยคุกคามเข้าสู่คอมพิวเตอร์ (แม้ว่าเวอร์ชันใหม่อาจไม่สามารถหยุดได้) ในการถอดรหัสข้อมูล ผู้พัฒนานำเสนอยูทิลิตี้ฟรีหลายรายการพร้อมกัน: XoristDecryptor, RakhniDecryptor และ Ransomware Decryptor ช่วยค้นหาไวรัสและเดารหัสผ่าน

ดร. เว็บและแรนซัมแวร์

ห้องปฏิบัติการนี้แนะนำให้ใช้ โปรแกรมป้องกันไวรัสซึ่งเป็นคุณสมบัติหลักของการสำรองไฟล์ การจัดเก็บพร้อมสำเนาเอกสารยังได้รับการปกป้องจากการเข้าถึงโดยไม่ได้รับอนุญาตจากผู้บุกรุก เจ้าของผลิตภัณฑ์ลิขสิทธิ์ Dr. เว็บมีฟังก์ชั่นขอความช่วยเหลือใน การสนับสนุนทางเทคนิค... จริงอยู่ แม้แต่ผู้เชี่ยวชาญที่มีประสบการณ์ก็ไม่สามารถต้านทานการคุกคามประเภทนี้ได้เสมอไป

ESET Nod 32 และแรนซัมแวร์

บริษัท นี้ไม่ได้ยืนหยัดโดยให้การป้องกันไวรัสที่เข้าสู่คอมพิวเตอร์แก่ผู้ใช้ได้ดี นอกจากนี้ ห้องปฏิบัติการเพิ่งเปิดตัวยูทิลิตี้ฟรีพร้อมฐานข้อมูลล่าสุด - Eset Crysis Decryptor นักพัฒนาอ้างว่าจะช่วยในการต่อสู้กับ ransomware ใหม่ล่าสุด

Facebook

ทวิตเตอร์

Odnoklassniki

โทรเลข

วิทยาศาสตร์ธรรมชาติ

ไวรัสเรียกค่าไถ่ WannaCry: จะทำอย่างไร?

คอมพิวเตอร์ของคุณติด Wana Decryptor ransomware หรือไม่?

หลังจากติดตั้งโปรแกรมปรับปรุง คอมพิวเตอร์จะต้องถูกรีบูต - ตอนนี้ไวรัส ransomware จะไม่เจาะคุณ

วิธีการกู้คืนจากไวรัส Wana Decrypt0r ransomware

เมื่อยูทิลิตี้ป้องกันไวรัสตรวจพบไวรัส โปรแกรมจะลบไวรัสทันทีหรือถามคุณ: ควรรักษาหรือไม่? คำตอบคือการรักษา

วิธีการกู้คืนไฟล์ที่เข้ารหัสโดย Wana Decryptor?

เราไม่สามารถรายงานสิ่งที่ปลอบโยนได้ในขณะนี้ จนถึงตอนนี้ ยังไม่มีการสร้างเครื่องมือถอดรหัสไฟล์ เหลือเพียงรอให้ตัวถอดรหัสลับได้รับการพัฒนา

ไวรัสคอมพิวเตอร์

เพิ่ม "E Vesti" ลงในแหล่งโปรดของคุณ

การนำทางโพสต์

ข่าวล่าสุดของส่วน

Rachel Bronson หัวหน้าจดหมายข่าว Atomic Scientists for Peace ประกาศว่านาฬิกา Doomsday ถูกเลื่อนไปข้างหน้า 20 วินาที ในความเห็นของเธอ เหลือเพียงเงื่อนไข 100 เท่านั้น ...

WannaCry, Petya, Mischa และไวรัสแรนซัมแวร์อื่นๆ จะไม่คุกคามคุณ หากคุณปฏิบัติตามคำแนะนำง่ายๆ เหล่านี้เพื่อป้องกันการติดไวรัสบนพีซี!

เมื่อสัปดาห์ที่แล้ว อินเทอร์เน็ตทั้งหมดสั่นสะเทือนด้วยข่าวไวรัสแรนซัมแวร์ตัวใหม่ มันก่อให้เกิดการแพร่ระบาดครั้งใหญ่ในหลายประเทศทั่วโลกมากกว่า WannaCry ที่น่าอับอายซึ่งโจมตีในเดือนพฤษภาคมปีนี้ ไวรัสตัวใหม่มีหลายชื่อ: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C อย่างไรก็ตาม ส่วนใหญ่มักปรากฏเป็น Petya

การโจมตียังคงดำเนินต่อไปในสัปดาห์นี้ แม้แต่สำนักงานของเราก็ยังได้รับจดหมายที่ปลอมแปลงอย่างชาญฉลาดว่าเป็นการอัปเดตซอฟต์แวร์ในตำนาน! โชคดีที่ไม่มีใครคิดจะเปิดไฟล์เก็บถาวรโดยไม่มีฉัน :) ดังนั้น ฉันอยากจะอุทิศบทความของวันนี้ให้กับคำถามเกี่ยวกับวิธีการปกป้องคอมพิวเตอร์ของคุณจากไวรัสแรนซัมแวร์ และไม่ตกเป็นเหยื่อของ Petya หรือแรนซัมแวร์อื่นๆ

ไวรัสแรนซัมแวร์ทำอะไร?

ไวรัสแรนซัมแวร์ตัวแรกปรากฏขึ้นราวต้นปี 2000 หลายคนที่ใช้อินเทอร์เน็ตในช่วงหลายปีที่ผ่านมาอาจจำ Trojan.WinLock ได้ เขาบล็อกคอมพิวเตอร์จากการบูทและเพื่อรับรหัสปลดล็อค เขาต้องการโอนเงินจำนวนหนึ่งไปยังกระเป๋าเงิน WebMoney หรือไปยังบัญชีโทรศัพท์มือถือ:

ตัวบล็อก Windows ตัวแรกนั้นค่อนข้างไม่เป็นอันตราย หน้าต่างของพวกเขาที่มีข้อความเกี่ยวกับความจำเป็นในการโอนเงินในตอนเริ่มต้นสามารถ "ตอกย้ำ" ผ่าน Task Manager ได้ จากนั้นโทรจันเวอร์ชันที่ซับซ้อนยิ่งขึ้นก็ปรากฏขึ้น ซึ่งทำการเปลี่ยนแปลงในระดับรีจิสทรีและแม้แต่ MBR แต่สิ่งนี้สามารถ "รักษาให้หายขาด" ได้หากรู้ว่าต้องทำอย่างไร

ไวรัสแรนซัมแวร์สมัยใหม่ได้กลายเป็นสิ่งที่อันตรายมาก พวกเขาไม่เพียงแต่บล็อกการทำงานของระบบ แต่ยังเข้ารหัสเนื้อหา ฮาร์ดดิสก์(รวมถึงมาสเตอร์บูตเรคคอร์ด MBR) สำหรับการปลดล็อคระบบและถอดรหัสไฟล์ ตอนนี้ผู้โจมตีต้องเสียค่าธรรมเนียมเป็น BitCoin "อ่า เทียบเท่ากับจำนวนเงิน 200 ถึง 1,000 ดอลลาร์สหรัฐ! นอกจากนี้ แม้ว่าคุณจะโอนเงินที่ตกลงไปยังกระเป๋าเงินที่ระบุก็ตาม สิ่งนี้จะไม่รับประกันว่าแฮกเกอร์จะ ส่งกุญแจปลดล็อคให้ครับ ...

ประเด็นสำคัญคือในปัจจุบันนี้แทบไม่มีวิธีในการกำจัดไวรัสและนำไฟล์ของคุณกลับมา ดังนั้น ในความคิดของฉัน ไม่ควรเริ่มใช้กลอุบายทุกประเภทในตอนแรก และปกป้องคอมพิวเตอร์ของคุณจากการโจมตีที่อาจเกิดขึ้นได้ไม่มากก็น้อย

ทำอย่างไรไม่ให้ตกเป็นเหยื่อไวรัส

ไวรัสแรนซัมแวร์มักจะแพร่กระจายในสองวิธี การหาประโยชน์ครั้งแรกต่างๆ ช่องโหว่ทางเทคนิคใน Windowsตัวอย่างเช่น WannaCry ใช้ช่องโหว่ EternalBlue ซึ่งอนุญาตให้เข้าถึงคอมพิวเตอร์ผ่านโปรโตคอล SMB และ Petya ransomware ใหม่สามารถเจาะระบบผ่านพอร์ต TCP ที่เปิดอยู่ 1024-1035, 135 และ 445 วิธีการติดไวรัสที่พบบ่อยคือ ฟิชชิ่ง... พูดง่ายๆ ก็คือ ผู้ใช้เองติดเชื้อพีซีด้วยการเปิดไฟล์ที่เป็นอันตรายที่ส่งทางไปรษณีย์!

การป้องกันทางเทคนิคจากไวรัสแรนซัมแวร์

แม้ว่าการติดเชื้อไวรัสโดยตรงจะไม่เกิดขึ้นบ่อยนัก แต่ก็เกิดขึ้นได้ ดังนั้นจึงเป็นการดีกว่าที่จะกำจัดช่องโหว่ด้านความปลอดภัยที่ทราบอยู่แล้วล่วงหน้า ขั้นแรก คุณต้องอัปเดตโปรแกรมป้องกันไวรัสหรือติดตั้ง (เช่น 360 Total Security ฟรีสามารถตรวจจับไวรัสแรนซัมแวร์ได้ดี) ประการที่สอง คุณต้องติดตั้งอย่างแน่นอน อัพเดทล่าสุดวินโดว์.

ดังนั้นเพื่อกำจัดแมลงที่อาจเป็นอันตรายใน โปรโตคอล SMB Microsoft ได้เผยแพร่การอัปเดตที่ไม่อยู่ในลำดับสำหรับระบบทั้งหมดที่เริ่มต้นด้วย Windows XP คุณสามารถดาวน์โหลดได้สำหรับเวอร์ชันระบบปฏิบัติการของคุณ

เพื่อป้องกัน Petya ขอแนะนำให้ปิดพอร์ตจำนวนหนึ่งบนคอมพิวเตอร์ของคุณ วิธีที่ง่ายที่สุดคือใช้มาตรฐาน ไฟร์วอลล์... เปิดในแผงควบคุมและเลือกส่วนในแถบด้านข้าง "ตัวเลือกเสริม"... หน้าต่างสำหรับจัดการกฎการกรองจะเปิดขึ้น โปรดเลือก "กฎสำหรับการเชื่อมต่อขาเข้า"และทางด้านขวาให้คลิก "สร้างกฎ"... ตัวช่วยสร้างพิเศษจะเปิดขึ้นซึ่งคุณต้องสร้างกฎ "สำหรับท่าเรือ"แล้วเลือกตัวเลือก "พอร์ตท้องถิ่นเฉพาะ"และเขียนสิ่งต่อไปนี้: 1024-1035, 135, 445 :

หลังจากเพิ่มรายการพอร์ตแล้ว ให้ตั้งค่าตัวเลือกในหน้าจอถัดไป "บล็อกการเชื่อมต่อ"สำหรับโปรไฟล์ทั้งหมดและตั้งชื่อ (คำอธิบายหรือไม่ก็ได้) สำหรับกฎใหม่ หากคุณเชื่อคำแนะนำบนอินเทอร์เน็ต การทำเช่นนี้จะช่วยป้องกันไม่ให้ไวรัสดาวน์โหลดไฟล์ที่ต้องการ แม้ว่าจะเข้าถึงคอมพิวเตอร์ของคุณก็ตาม

นอกจากนี้ หากคุณมาจากยูเครนและใช้ซอฟต์แวร์บัญชี Me.Doc คุณสามารถติดตั้งการอัปเดตที่มีแบ็คดอร์ได้ แบ็คดอร์เหล่านี้ใช้เพื่อแพร่ระบาดในคอมพิวเตอร์จำนวนมากด้วยไวรัส Petya.A การอัปเดตที่มีช่องโหว่ด้านความปลอดภัยอย่างน้อยสามรายการเป็นที่รู้จักจากข้อมูลที่ได้รับการวิเคราะห์ในปัจจุบัน:

10.01.175-10.01.176 ของวันที่ 14 เมษายน
10.01.180-10.01.181 วันที่ 15 พฤษภาคม;
10.01.188-10.01.189 ลงวันที่ 22 มิถุนายน

หากคุณติดตั้งการอัปเดตเหล่านี้ แสดงว่าคุณมีความเสี่ยง!

การป้องกันฟิชชิ่ง

ดังที่ได้กล่าวไปแล้ว ปัจจัยมนุษย์คือการตำหนิสำหรับการติดเชื้อส่วนใหญ่ แฮกเกอร์และนักส่งสแปมได้เปิดตัวแคมเปญฟิชชิ่งขนาดใหญ่ทั่วโลก ภายในกรอบของมัน พวกเขาส่ง อีเมลกล่าวหาว่ามาจากหน่วยงานราชการที่มีการลงทุนต่างๆ ที่ออกสำหรับบัญชี การอัปเดตซอฟต์แวร์ หรือข้อมูล "สำคัญ" อื่นๆ ก็เพียงพอแล้วสำหรับผู้ใช้ที่จะเปิดเครื่องปลอมตัว ไฟล์ที่เป็นอันตรายเขาติดตั้งไวรัสบนคอมพิวเตอร์ที่เข้ารหัสข้อมูลทั้งหมดได้อย่างไร!

วิธีแยกอีเมลฟิชชิ่งออกจากอีเมลจริง ซึ่งทำได้ง่ายมากหากคุณปฏิบัติตามสามัญสำนึกและหลักเกณฑ์ดังต่อไปนี้:

จดหมายจากใคร?ประการแรก เราให้ความสำคัญกับผู้ส่ง แฮกเกอร์สามารถลงนามในจดหมายได้ แม้กระทั่งชื่อคุณยายของคุณ! อย่างไรก็ตาม มีจุดสำคัญคือ คุณควรรู้จักอีเมลของ "คุณย่า" และผู้ส่งอีเมลฟิชชิ่งมักจะเป็นชุดอักขระที่ไม่ได้กำหนดไว้ สิ่งที่ต้องการ: " [ป้องกันอีเมล]" และอีกหนึ่งความแตกต่าง: ชื่อผู้ส่งและที่อยู่ของเขาหากเป็นจดหมายอย่างเป็นทางการมักจะสัมพันธ์กัน ตัวอย่างเช่น E-Mail จาก บริษัท หนึ่ง "Pupkin and Co "อาจดูเหมือน" [ป้องกันอีเมล]“แต่ไม่น่าจะเหมือน” [ป้องกันอีเมล]" :)
จดหมายเกี่ยวกับอะไร?โดยปกติ อีเมลฟิชชิ่งจะมีคำกระตุ้นการตัดสินใจหรือคำใบ้เกี่ยวกับอีเมลดังกล่าวในบรรทัดเรื่อง ในกรณีนี้ เนื้อหาในจดหมายมักจะไม่พูดอะไรเลย หรือมีแรงจูงใจเพิ่มเติมในการเปิดไฟล์ที่แนบมา คำว่า "ด่วน!" "ใบเรียกเก็บเงินค่าบริการ" หรือ "การอัปเดตที่สำคัญ" ในจดหมายจากผู้ส่งที่ไม่รู้จักอาจเป็นตัวอย่างที่สำคัญของบุคคลที่พยายามจะแฮ็กคุณ คิดอย่างมีเหตุผล! หากคุณไม่ได้ขอใบแจ้งหนี้ การอัปเดต หรือเอกสารอื่นๆ จากบริษัทใดบริษัทหนึ่ง มีความเป็นไปได้ 99% ที่จะเป็นฟิชชิ่ง ...
อะไรอยู่ในจดหมาย?องค์ประกอบหลักของอีเมลฟิชชิ่งคือไฟล์แนบ ประเภทไฟล์แนบที่ชัดเจนที่สุดอาจเป็นไฟล์ EXE ที่มี "อัปเดต" หรือ "โปรแกรม" ปลอม สิ่งที่แนบมาดังกล่าวเป็นการปลอมแปลงที่ค่อนข้างหยาบ แต่ก็เกิดขึ้นได้
วิธีที่ "สง่างาม" มากขึ้นในการหลอกลวงผู้ใช้คือการปลอมตัวสคริปต์ที่ดาวน์โหลดไวรัสภายใต้ เอกสาร Excelหรือคำ การปลอมตัวสามารถเป็นได้สองประเภท ในตัวแปรแรก สคริปต์จะแสดงเป็นเอกสารสำนักงานและสามารถรับรู้ได้ด้วยนามสกุล "สองเท่า" เช่น "บัญชี .xls.js"หรือ" สรุป .doc.vbs"ในกรณีที่สอง ไฟล์แนบสามารถประกอบด้วยสองไฟล์: เอกสารจริงและไฟล์ที่มีสคริปต์ที่เรียกว่าเป็นมาโครจากสำนักงาน เอกสาร Wordหรือเอ็กเซล
ไม่ว่าในกรณีใด คุณไม่ควรเปิดเอกสารดังกล่าว แม้ว่า "ผู้ส่ง" จะขอให้คุณเปิดก็ตาม! หากจู่ๆ ก็มีคนในหมู่ลูกค้าของคุณที่สามารถส่งจดหมายที่มีเนื้อหาคล้ายกันถึงคุณในทางทฤษฎี คุณควรใช้ปัญหาในการติดต่อเขาโดยตรงและชี้แจงว่าเขาส่งเอกสารใดๆ ให้คุณหรือไม่ ในกรณีนี้ การเคลื่อนไหวร่างกายมากเกินไปสามารถช่วยคุณจากปัญหาที่ไม่จำเป็น!

ฉันคิดว่าถ้าคุณปิดช่องว่างทางเทคนิคทั้งหมดในคอมพิวเตอร์ของคุณและไม่ยอมจำนนต่อการยั่วยุของผู้ส่งอีเมลขยะ คุณจะไม่กลัวไวรัสใด ๆ !

วิธีการกู้คืนไฟล์หลังจากติดไวรัส

และอย่างไรก็ตาม คุณสามารถทำให้คอมพิวเตอร์ของคุณติดไวรัสเข้ารหัส ... อย่าปิดเครื่องคอมพิวเตอร์หลังจากข้อความเข้ารหัสปรากฏขึ้น !!!

ความจริงก็คือเนื่องจากข้อผิดพลาดหลายประการในรหัสของไวรัสก่อนที่จะรีสตาร์ทคอมพิวเตอร์มีโอกาสที่จะดึงกุญแจออกจากหน่วยความจำซึ่งจำเป็นสำหรับการถอดรหัสไฟล์! ตัวอย่างเช่น ในการรับกุญแจ ถอดรหัส WannaCryยูทิลิตี้ Wannakiwi จะทำ อนิจจาสำหรับการกู้คืนไฟล์หลังจาก Petya โจมตีไม่มีวิธีแก้ปัญหาดังกล่าว แต่คุณสามารถลองแยกมันออกจากสำเนาเงาของข้อมูล (หากคุณเปิดใช้งานตัวเลือกเพื่อสร้างบนพาร์ติชันฮาร์ดดิสก์) โดยใช้โปรแกรม ShadowExplorer ขนาดเล็ก:

หากคุณรีสตาร์ทคอมพิวเตอร์แล้วหรือคำแนะนำข้างต้นไม่ช่วย คุณสามารถกู้คืนไฟล์ได้ด้วยความช่วยเหลือของโปรแกรมกู้คืนข้อมูลเท่านั้น ตามกฎแล้วไวรัสแรนซัมแวร์ทำงานตามรูปแบบต่อไปนี้: พวกมันสร้างสำเนาของไฟล์ที่เข้ารหัสและลบต้นฉบับโดยไม่ต้องเขียนทับ อันที่จริงแล้วมีเพียงเครื่องหมายไฟล์เท่านั้นที่ถูกลบและข้อมูลนั้นจะถูกบันทึกและสามารถกู้คืนได้ ไซต์ของเรามีสองโปรแกรม: เหมาะสมกว่าสำหรับการสร้างไฟล์สื่อและภาพถ่ายคืนชีพ และ R.Saver จัดการกับเอกสารและคลังข้อมูลได้ดี

โดยปกติไวรัสจะต้องถูกลบออกจากระบบ หาก Windows บู๊ต Malwarebytes Anti-Malware เป็นตัวเลือกที่ดี หากไวรัสปิดกั้นการดาวน์โหลด คุณจะได้รับความช่วยเหลือ ดิสก์สำหรับบูต Dr.Web LiveCD พร้อมยูทิลิตี้ที่ได้รับการพิสูจน์แล้วสำหรับต่อสู้กับมัลแวร์ Dr.Web CureIt บนเครื่อง ในกรณีหลัง คุณจะต้องจัดการกับการกู้คืน MBR ด้วย เนื่องจาก LiveCD จาก Dr.Web ใช้ Linux ฉันคิดว่าคำแนะนำจาก Habr ในหัวข้อนี้จะเป็นประโยชน์กับคุณ

ข้อสรุป

ปัญหาไวรัสบน Windows นั้นมีความเกี่ยวข้องมาหลายปีแล้ว และทุกๆ ปี เราพบว่าผู้เขียนไวรัสกำลังคิดค้นรูปแบบที่ซับซ้อนมากขึ้นเรื่อยๆ ในการสร้างความเสียหายให้กับคอมพิวเตอร์ของผู้ใช้ การระบาดล่าสุดของไวรัสแรนซัมแวร์แสดงให้เราเห็นว่าอาชญากรไซเบอร์ค่อยๆ เปลี่ยนไปใช้การกรรโชกอย่างแข็งขัน!

น่าเสียดาย แม้ว่าคุณจะจ่ายเงิน แต่คุณก็ไม่น่าจะได้รับคำตอบใดๆ เป็นไปได้มากว่าคุณจะต้องกู้คืนข้อมูลของคุณเอง ดังนั้นจึงเป็นการดีกว่าที่จะระมัดระวังในเวลาและป้องกันการติดเชื้อมากกว่าที่จะยุ่งกับการกำจัดผลที่ตามมาเป็นเวลานาน!

ป.ล. อนุญาตให้คัดลอกและอ้างอิงบทความนี้ได้อย่างอิสระโดยมีการระบุลิงก์ที่ใช้งานเปิดไปยังแหล่งที่มาและยังคงรักษาผลงานของ Ruslan Tertyshny ไว้