Virüs şifreleyici: dosyaları şifrelemek ve şifrelerini çözmek nasıl? Şifreleme virüsünden sonra dosyaların şifresini çözmek

Tek başına, bir bilgisayar tehdidi olarak virüs bugün kimseyi şaşırtmaz. Ancak daha önce sistemin bir bütün olarak etkilendiyse, çalışabilirliklerinde arızalara neden olmuşlar, bugün, bir virüs şifreleyici gibi bir sürümün ortaya çıkmasıyla, penetran tehditlerin eylemleri daha fazla kullanıcı verisini ilgilendiriyor. Belki de, Windows yürütülebilir uygulamaları veya casus yazılım uygulamaları için yıkıcı olanlardan daha büyük bir tehdittir.

Kriptografik virüs nedir?

Kendiliğinden kopyalayan bir virüs kullanılarak yazılan kod, hemen hemen tüm kullanıcı verilerini işletim sisteminin sistem dosyalarını etkileyen özel şifreleme algoritmaları ile şifrelemeyi içerir.

Başlangıçta, virüsün birçok kişiye maruz kalma mantığı tamamen net değildi. Her şey, yalnızca bu tür uygulamaları oluşturan bilgisayar korsanları, dosyaların başlangıç yapısını geri yüklemek için para talep edince temizlendi. Bu durumda, penetrasyona uğramış virüs şifreleyici özelliklerinden dolayı dosyaların şifresini çözmesine izin vermez. Bunu yapmak için, isterseniz, aradığınız içeriği geri yüklemek için gereken kod, şifre veya algoritma özel bir dekodere ihtiyaç duyarsınız.

Sisteme nüfuz etme ilkesi ve virüs kodunun çalışması

Kural olarak, İnternette böyle bir pisliğin "toparlanması" oldukça zordur. "Bulaşma" dağıtımının ana kaynağı, Outlook, Thunderbird, The Bat gibi belirli bir bilgisayar terminaline kurulu program düzeyinde e-postadır. Bir kere not edin: İnternet posta sunucuları, bunu yeterince yüksek derecede koruma ve erişim derecesine sahip oldukları için bunları ilgilendirmez. Kullanıcı verilerine yalnızca bulut depolama seviyesinde mümkündür .

Başka bir şey bilgisayar terminalindeki uygulama. İşte o zaman, virüslerin hareketi için alan çok geniş ve hayal etmek imkansız. Doğru, burada da, bir rezervasyon yapmaya değer: çoğu durumda virüsler büyük şirketlere yöneliktir ve buradan bir şifre çözme kodu sağlamak için para "koparmak" mümkündür. Bu anlaşılabilir, çünkü sadece yerel bilgisayar terminalleri değil aynı zamanda bu tür şirketlerin sunucuları, yalnızca tamamen gizli bilgileri değil aynı zamanda tek bir kopyada, herhangi bir durumda yıkıma tabi olmayan dosyalar da saklayabilir. Ve sonra şifreleme virüsünden sonra dosyaların şifresini çözmek oldukça sorunlu hale gelir.

Tabii ki, ortalama bir kullanıcı bu tür saldırılara maruz kalabilir, ancak çoğu durumda bu, bilinmeyen türdeki uzantıları olan ekleri açmanın en basit önerilerini göz önüne alırsa, olası değildir. Posta istemcisi, standart bir grafik dosyası olarak .jpg uzantılı bir eki tanımlarsa da, önce düzenli bir anti - virüs tarayıcıyla sisteme kurulmuş olarak kontrol edilmelidir.

Bunu yapmazsan, çift tıklamayla (standart yöntem) onu açtığınızda kod etkinleştirilecek ve şifreleme süreci başlayacak ve aynı Breaking_Bad yalnızca kaldırılamaz olmayacak, ancak tehdit ortadan kaldırıldıktan sonra dosyaları kurtaramazsın.

Bu tür tüm virüslerin nüfuz etmesinin genel sonuçları

Daha önce de belirtildiği gibi, bu tür çoğu virüs sisteme e-posta yoluyla girer. Öyleyse, "Sözleşmeyi değiştirdik, ekte taradık" veya "Malların sevkıyatı için bir irsaliye gönderdiniz (bir kopya var)" gibi içeriği büyük bir kayıtlı organizasyona gönderdik. Tabii ki, şüpheli bir çalışan dosyayı açar ve ...

Ofis dokümanları, multimedya, uzmanlaşmış AutoCAD projeleri veya diğer arşivlenmiş veri seviyesindeki tüm kullanıcı dosyaları anında şifrelenir ve bilgisayar terminali yerel ağda bulunuyorsa, virüs daha ileri iletilebilir, verileri diğer makinelerde şifreleyebilir (bu hemen görülebilir hale gelir "Sistemi frenlemek" ve şu anda programları asmak veya uygulamaları çalıştırmak).

Şifreleme işleminin sonunda, virüsün görünüşte bir tür rapor gönderdiğinden, şirket bu ve benzeri bir tehdidin sisteme girdiğine dair bir mesaj alabilir ve yalnızca bu tür bir organizasyonun şifresini çözebilir. Genellikle paycrypt@gmail.com için geçerlidir. Ardından, çoğu zaman hayali olan istemcinin e-postasına birkaç dosya göndermek için şifre çözme hizmetleri için ödeme yapma talebi var.

Kod etkisinden kaynaklanan zararlar

Başkası anlamıyorsa: şifreleme virüsünden sonra dosyaların şifresini çözmek - süreç oldukça zahmetlidir. Davetsiz misafirlerin taleplerini "üstesinden gelmez" ve bilgisayarların işlediği suçlara karşı savaşta resmi devlet yapılarını dahil etmeye çalışsalar bile, genellikle hiçbir şey değmez.

Tüm dosyaları silerseniz, bir sistem geri yüklemesi gerçekleştirin ve orijinal veriyi çıkarılabilir bir ortama kopyalayın (elbette böyle bir kopyası varsa), aktive olan virüs ile her şey aynı şekilde tekrar şifrelenecektir. Dolayısıyla kendinizi suçlamak gerekmiyor, özellikle aynı flaş sürücüyü USB portuna takarken kullanıcı virüsün veriyi nasıl şifrelediğini bile fark etmeyecektir. İşte o zaman tam bir sorununuz olmayacak.

Ailede ilk doğan

Şimdi ilk şifreleme virüsüne dikkat edelim. Bir e-posta ekinde, tanıdık teklifiyle birlikte çalıştırılabilir kodun etkisiyle sonra dosyaların nasıl tedavi edileceği ve şifrelerinin çözüleceği, görünüm anında kimse düşünülmedi. Felaketin büyüklüğüne ilişkin farkındalık ancak zamanla geldi.

Bu virüsün "Ben Sizi Seviyorum" adlı romantik bir adı vardı. Şüpheli olmayan kullanıcı bir e-posta eki açtı ve tamamen tekrarlanamayan çoklu ortam dosyaları (grafik, video ve ses) aldı. Ancak daha sonra bu tür eylemler daha yıkıcı görünüyordu (kullanıcının medya kütüphanelerine zarar veriyordu) ve kimse bunun için paraya ihtiyaç duymadı.

En Yeni Değişiklikler

Gördüğümüz gibi, teknolojinin gelişimi oldukça karlı bir iş haline geldi, özellikle de büyük kuruluşların birçok liderinin derhal şifre çözme eylemleri için para ödemeyi ve para ve bilgiyi kaybetmenin mümkün olmadığını düşünmemesini sağladı.

Bu arada İnternetteki bu "sol" mesajlara bakmayın, "gerekli tutarı ödedi / ödedim, bir kod gönderildi, her şey geri yüklendi" diyorlar. Saçma! Tüm bunlar virüsün geliştiricileri tarafından potansiyel "üzgün" "çekici" çekmek için yazılmıştır. Ve her şeyden önce, sıradan kullanıcının standartlarına göre, ödemeler oldukça ciddi: yüzlerce ila binlerce veya on binlerce avro veya dolar.

Şimdi, nispeten yakın bir tarihte düzeltilen bu türdeki en yeni virüs türlerine göz atalım. Bunların hepsi pratik olarak benzerdir ve sadece kriptografi kategorisine değil, aynı zamanda gaspcı gruplara da gönderme yapar. Bazı durumlarda, daha doğru bir şekilde davranırlar (paycrypt gibi), resmi iş tekliflerini veya birisinin, kullanıcının veya kuruluşun güvenliğini umursayan mesajları görünüşte gönderiyorlar. Böyle bir virüs şifreleyici mesajıyla kullanıcıyı yanıltmaktadır. Ödeme konusunda en ufak bir harekete geçerse, herkes - "boşanma" tam olacak.

XTBL Virüsü

Nispeten yeni olan XTBL virüsü , kriptografcının klasik versiyonuna atfedilebilir. Kural olarak, sisteme Windows ekran koruyucusu için standart olan .scr uzantılı dosyalar biçiminde ek içeren e-posta iletileri aracılığıyla girer. Sistem ve kullanıcı, her şeyin düzgün olduğunu düşünür ve eklentiyi görüntüleme veya kaydetmeyi etkinleştirir.

Ne yazık ki, bu üzücü sonuçlara yol açar: dosya adları bir karakter kümesine dönüştürülür ve .xtbl ana uzantıya eklenir, ardından belirtilen miktarı (genellikle 5 bin ruble) ödeyerek şifre çözme olasılığı hakkındaki mesaj istenen posta adresine gelir.

CBF Virüsü

Bu tür virüsler aynı zamanda türün klasiklerine aittir. E-posta eklerini açtıktan sonra sistemde görünür ve son olarak .nochance veya .perfect gibi bir uzantı ekleyerek kullanıcı dosyalarını yeniden adlandırır.

Ne yazık ki, kodun içeriğini analiz etmek için bu türden bir virüs şifreleyicisinin şifresinin çözülmesi mümkün değildir, çünkü eylemlerini tamamladıktan sonra kendiliğinden tasfiye yaratır. Buna rağmen, pek çok kişinin inandığı gibi, RectorDecryptor gibi evrensel bir araç yardımcı olmaz. Yine, kullanıcı ödeme talep eden ve iki gün boyunca verilen bir mektup alır.

Breaking_Bad Virus

Bu tehdit türü aynı şekilde çalışır, dosyaları standart sürüme yeniden adlandırarak .breaking_bad uzantısına ekler.

Bu durum sınırlı değildir. Önceki virüslerden farklı olarak, bir tane daha uzantı oluşturabilir - .Heisenberg, bu yüzden virüs bulaşmış dosyaların her zaman bulunması mümkün değildir. Yani Breaking_Bad (virüs şifreleyici) oldukça ciddi bir tehdittir. Bu arada, lisanslı bir Kaspersky Endpoint Security paketi 10 bile bu tür bir tehditten vazgeçildiğinde durumlar vardır.

Virüs paycrypt@gmail.com

İşte büyük bir ticari organizasyona yönelik daha ciddi, belki de en az bir tehdit. Kural olarak, tedarik bölümünde değişiklik yapılması ya da hatta bir konşimento içerdiği düşünülen bazı departmana bir mektup gelir. Ek, düzenli bir .jpg dosyası (resim türü) içerebilir, ancak daha sık yürütülebilir bir .js dosyası (Java uygulaması) içerebilir.

Bu tür şifreleme virüsünü nasıl çözebilirim? Aslında bazı bilinmeyen algoritmalar RSA-1024 kullanılmış olarak değerlendirerek, herhangi bir şekilde. Adından yola çıkarsak, bunun 1024 bitlik bir şifreleme sistemi olduğunu varsayabiliriz. Ancak, bugün hatırlayan biri varsa, 256 bit AES en mükemmel olarak kabul edilir.

Virüs şifreleyici: antivirüs yazılımı kullanarak dosyaları şifrelemek ve şifrelerini çözmek için

Şimdiye dek, tehditleri çözmek için bu tür bir çözüm bulunamadı. Kaspersky, Dr.Sc. gibi antivirüs koruması alanındaki bu tür ustalar bile Web ve Eset, virüs şifreleyici sistemi miras aldığında sorunu çözmenin anahtarını bulamıyor. Dosyaları nasıl tedavi ederim? Çoğu durumda, virüsten koruma geliştiricisinin resmi sitesine bir istek gönderilmesi önerilir (bu arada, yalnızca bu geliştiricinin lisanslı bir yazılım varsa).

Bu durumda, birkaç şifrelenmiş dosyanın yanı sıra varsa "sağlıklı" orijinallerini de eklemeniz gerekir. Genel olarak, genelde az sayıda insan verilerin kopyalarını elinde tutuyor, bu yüzden yokluğunun sorunu zaten hoş olmayan bir durumu şiddetlendiriyor.

Tehlikeleri manuel olarak saptamanın ve ortadan kaldırmanın olası yolları

Evet, olağandışı tehdit antivirüsleri taraması, onları belirler ve hatta sistemden kaldırır. Peki ya bilgi?

Bazıları daha önce sözü edilen RectorDecryptor (RakhniDecryptor) gibi şifre çözme programlarını kullanmayı deniyor. Unutmayın: Bu yardımcı olmaz. Ve Breaking_Bad virüsü durumunda, sadece çok zarar verebilir. İşte bu yüzden.

Aslında bu tür virüsler yaratan insanlar kendilerini korumaya ve başkalarına talimat vermeye çalışırlar. Şifre çözme için araçlar kullanırken, virüs tüm sistemin "uçar" ve sabit disklerdeki veya mantıksal bölümlerde depolanan tüm verilerin tamamen yokedileceği şekilde yanıt verebilir. Bu, konuşmak gerekirse, ödemek istemeyen herkesin eğitilmesi için bir gösteri dersidir. Yalnızca resmi anti-virüs laboratuarlarına güvenmek kalıyor.

Kardinal yöntemler

Ancak, işler gerçekten kötüyse, bilgiyi feda etmeniz gerekir. Tehditten tamamen kurtulmak için, sanal bölümler de dahil olmak üzere tüm sabit sürücüyü biçimlendirmeniz ve ardından "işletim sistemini" yeniden yüklemeniz gerekir.

Maalesef başka yolu yok. Belli bir kurtarma noktasına geri dönmek bile sistemi desteklemiyor . Virüs kaybolabilir, ancak dosyalar şifrelenmiş olarak kalır.

Bir son sözü yerine

Sonuç olarak şunu belirtmek gerekir ki durum şu şekildedir: virüs şifreleyici sisteme nüfuz eder, siyah maddesini yapar ve bilinen herhangi bir yöntemle işlem görmez. Antivirüs koruması bu tehdit türü için hazır değildi. Bir virüsü etkisinden sonra algılamak ya da silmek mümkündür diyemez. Ancak şifrelenmiş bilgiler çılgınca kalacak. Bu yüzden, anti-virüs yazılım şirketlerinin en iyi zihinlerinin bir çözüm bulacağını ummak isterim, ancak şifreleme algoritmalarına göre, bunu yapmak çok zor olacak. En azından İkinci Dünya Savaşı sırasında Alman donanmasında bulunan Enigma şifreleme makinesini hatırlayın. En iyi şifreleme uzmanları, cihazın kendi eline geçene kadar mesajların şifresini çözmek için kullanılan algoritma problemini çözemedi. Işler de burada.