Užitečné tipy

Virus Ransomware odstranit, odemknout

Pin
Send
Share
Send
Send


„Dešifrovat soubory“, „obnovit databázi 1C“, „smazat virus ransomware“ - Yandex se potýká s takovými reklamami a reaguje na požadavky uživatelů, kteří se stali oběťmi hackerů. Do vyhledávače je nutné jet pouze: „odeberte virus ransomware.“ DarkNet je tedy plný návrhů na nákup škodlivého ransomwaru - emisní cena je jen několik set dolarů a zisk může být mnohem více.

A v poslední době internet vyvolal zprávy o vzniku nového viru Djvu ransomware. Škodlivý software doslova v několika krocích podrobuje infikovaný počítač a zbavuje uživatele bdělosti a maskuje se jako aktualizace systému Windows. A nyní je práce stroje zablokována a zpráva hackera je zobrazena na monitoru a požaduje výkupné za odemknutí pomocí zesměšňující nabídky: zaplatíte rychle - poskytneme slevu. Dosud nebyl nalezen žádný způsob, jak získat data bez pomoci hackerů, zpráva říká o zákeřném „deja vu“. Ale odborníci v oblasti kybernetické bezpečnosti, tato zpráva nebyla šokující a nepřekvapila. A to pro ně nejsou zprávy. Existují stovky tisíc kryptografických virů a Djvu je jen další upgrade malwaru (malware) určité rodiny. Zejména pro profil odborníci vytvořili prvních 5 z těchto rodin a řekli, jak pracují kybernetičtí vydíráci a jak se s nimi vypořádat.

Deja vu senzace

Djvu patří do rodiny STOP ransomware. První zprávy o novém malwaru se objevily v polovině prosince minulého roku. Samotná Deja vu není ojedinělá, říkají všichni odborníci, s nimiž hovořil profil. Charakteristické rysy rodiny jsou zajímavé, ale byly známy již dlouhou dobu. Tyto trojské koně nejen šifrují data, ale také maskují své činy jako legální software, odklánějí pozornost oběti a brání jim v hledání pomoci prostřednictvím různých internetových zdrojů.

To je zhruba způsob, jak jednal DNS Changer Trojan, který v roce 2011 infikoval 4 miliony počítačů, cituje příklad Alexej Novikov, ředitel PT Expert Security Center of Positive Technologies. A virus Conficker zaútočil před deseti lety na desítky milionů počítačů a deaktivoval tak aktualizaci a službu Windows Defender.

"Virus se šíří spolu s programem navrženým pro crack software (tzv. Crack) as reklamními rozšířeními pro prohlížeče," vysvětlil expert.

Obecně se ransomware stal známým na konci 80. let minulého století, kdy se objevil virus AIDS (nebo PC Cyborg), řekli společnosti Group-IB, která se specializuje na prevenci počítačových útoků. Virus skryl adresáře, šifrované soubory a požadoval 200 USD za „obnovení licence“. Nejběžnější je CryptoLocker, který od roku 2013 infikoval v zemích EU více než čtvrt milionu počítačů. A v květnu 2017 ransomware WannaCry napadl 200 tisíc počítačů ve 150 zemích světa. Poškození bylo odhadnuto na 1 miliardu dolarů, ale i to naučilo jen málo lidí, jak zálohovat data, experti si stěžují.

Každý den existují stovky různých modifikací ransomwarových virů, řekl Sergej Nikitin, zástupce vedoucího počítačové forenzní laboratoře Group-IB. "Nebyl týden, kdy nás dva nebo tři klienti napadení ransomwarem nekontaktovali," říká a uvádí: "Viry Ransomware jsou skutečnou pohromou." V roce 2016 společnost zaznamenala, že počet útoků ransomware ve srovnání s předchozím rokem stokrát vzrostl. A podle statistik společnosti Kaspersky Lab, ve třetím čtvrtletí loňského roku, samotné produkty této společnosti „chránily více než 250 tisíc jedinečných uživatelů před šifrováním trojských koní“.

Podle společnosti Positive Technologies byl v loňském roce průměrný podíl infekcí šifrovačem ze všech typů počítačových útoků 12% za čtvrtletí. Počítání virů je zbytečné, říká Sergey Nikitin, - každý den existují stovky různých modifikací ransomware virů, které se vyvíjejí a vylepšují tak, aby obcházely antivirové motory.

Ransomware Trojan k pronájmu

Kyberkriminální evoluce

Kybernetické vydírání se aktivně rozvíjí po celém světě. V Rusku zaznamenali odborníci Group-IB nárůst tohoto typu útoku od loňského jara. Nepřímo rostoucí popularitu vydírání potvrzuje průzkum DarkNet, jehož analýzu kriminálních služeb provedli odborníci společnosti Positive Technologies v loňském roce. Podle této studie tvoří kryptografové 12% všech reklam na malware. Průměrné náklady na virus jsou pouze 270 $. "Některá sada může stát 3 - 3 tisíce dolarů, ale je jich víc," uvádí příklad Sergej Nikitin. "Stejně tak DarkNet prodává spoustu účtů pro různé servery, přihlášení, hesla atd. Často darebáci koupí tyto databáze a jednoduše na ně začnou chodit a zašifrují vše v řadě a pak uvidí, kdo platí."

Zároveň se trh hackerů pro „služby“ zlepšuje a snaží se zvýšit svůj příjem. Takže nedávno se v DarkNet začal šířit speciální „affiliate program“ od vývojářů ransomware, říká Alexey Novikov. Prodejce převede na kupujícího personalizovaný šifrovací soubor a odkaz pro přístup k vašemu osobnímu účtu. Tato kancelář zobrazuje statistiky infikovaných uzlů a provedených plateb. Úkolem kupujícího je šířit trojan.

"Když oběť útoků pomocí této kopie trojského koně zaplatí výkupné, prodávající převede platbu distributorovi mínus jeho podíl," vysvětluje expert. Takto se šíří ransomware GandCrab, Tantalus, Aleta, Princezna, Rapid, Scarab, Sfinga, Lovecraft, Onyonlock a další. „Ransomware GandCrab, který se v loňském roce široce používal, přinesl útočníkům více než 700 000 dolarů teprve v dubnu - květnu 2018,“ uvedl expert jako příklad výdělků útočníků.

Standardní schéma infekce virem ransomware popsal Sergey Nikitin. Uživatelé dostanou e-mailový seznam, otevřené přílohy, dopisy jsou infikovány virem, který ukradl přihlašovací údaje a hesla z paměti RAM a šíří se do jiných počítačů. Takový řetězec akcí škodlivého softwaru vede k tomu, že společnost může být šifrována, například základna 1C a práce se zvedne, vysvětluje expert. "Stává se, že darebáci nejprve prostudují infrastrukturu své oběti," pokračuje. "Například, pokud najdou záložní server, požádají o jednu výkupnou cenu za jeho dešifrování (koneckonců, pomocí záloh můžete obnovit vše ostatní), nevýznamný počítač bude tedy stát mnohem méně."

Objevily se také specifické útoky. Útočníci často shromažďují hesla pro vzdálenou plochu, kterou správci systému nechali pro vlastní pohodlí. Poté tato hesla přejdou do Darknetu, kde si je může koupit kdokoli. Ve značném počtu případů došlo k infekci prostřednictvím předběžného kompromise serverů a pracovních stanic, dodává Alexey Novikov. "Servery jsou nejčastěji šifrovány, protože se připojují přímo k Internetu a virus se dostal na pracovní stanice pomocí phishingových e-mailů," říká. Připomeňme, že phishing je jedním z nejčastějších typů počítačových podvodů, když jsou podvody hackerů šířeny pod rouškou oficiálních oficiálních stránek.

Kromě toho odborníci poznamenávají, že v poslední době došlo ke kvalitativnímu posunu ve prospěch šíření útoků tohoto druhu. „Šifrovací viry začaly používat asymetrické silné šifrování (například algoritmus RSA je dobře testován všemi, rozhodně ho nelze popraskat),“ říká Sergey Nikitin. - Kromě toho některé z těchto virů začaly dostávat funkčnost „červů“. Ukradou uživatelská jména a hesla a používají je k šifrování jiných počítačů na webu. “

Nejdůležitějším problémem je použití asymetrického šifrování - obvykle není možné dešifrovat virus sám. Se symetrickým šifrováním informací, vysvětluje odborník, může být detekován tajný klíč. Asymetrické zahrnuje vytvoření dvou klíčů - veřejného a soukromého. S pomocí prvního, každý ví, že probíhá šifrování, a druhý, pro dešifrování, je pouze pro hackery. Útočníci navíc využívají silné šifrovací algoritmy k blokování dat z oficiálních knihoven. A hackeři sami vytvářejí algoritmy pro dešifrování. Ale protože je poptávka po šifrovacích programech mnohem větší, je dešifrování věnována mnohem menší pozornost, takže tyto programy jsou laděny mnohem horší a méně úzce.

Buyback: zaplatit nebo nezaplatit?

A pokud není možné dešifrovat, pak bude muset zaplatit ransomware? Výkupné je určeno distributory ransomwaru obvykle samostatně a činí 200–500 USD, říká Alexey Novikov. Zpravidla se však požaduje výkupné v bitcoinech. Například pro dešifrování viru Petya, který zaútočil na Ukrajinu v roce 2017 a současně zranil řadu společností v Rusku, USA, Indii a Austrálii, požadovali útočníci 100 bitcoinů, což v té době činilo 250 tisíc dolarů.

Odborníci jednomyslně prohlašují: nestojí za to platit vydírání, protože to znamená sponzorovat jejich „tvůrčí“ činnosti. Ale co když je záložní server šifrovaný a obnovení dat již není možné? Ale i když vydírači budou následovat, neexistuje žádná záruka odemknutí, říká Sergey Nikitin. Zde jsou nejčastější scénáře. Zločinci mohou po výplatě buď zvýšit výkupné, nebo kontaktovat oběť vůbec, nebo ponechat v systému „záložku“, která umožní po nějaké době trik z vydírání opakovat. Často se stává, že po převodu peněz hackeři pošlou dešifrovací program, ale nefunguje to. To se děje právě proto, že do vývoje dešifrování nikdo opravdu neinvestuje, je to nerentabilní.

Podle průzkumu IBM zaplatilo až 70% amerických společností, které provedly průzkum, výkupné za obnovení svých dat. Ruské společnosti to dělají příliš často, říká Alexey Novikov. Současně jsou nejčastěji napadány malé a střední podniky. "Velké společnosti si mohou dovolit ochranná řešení karantény," vysvětluje Sergey Nikitin. K infekci dochází hlavně prostřednictvím seznamů adres. A „karanténa“ sama otevírá dopisy a přílohy, zkoumá, co se stane, vysvětluje expert. Pokud šifrování začíná, dopis se jednoduše nedostane k příjemci. Taková karanténa stojí 1 milion až 10 milionů rublů. Je jasné, že ne každý si to může dovolit.

Ale pro lidi se středním příjmem existují způsoby, jak se vyhnout vydírání z internetu. Pokud k infekci již došlo, měli byste se pokusit najít ten správný nástroj pro dešifrování dat na speciálně vytvořeném bezplatném portálu NoMoreRansom.org, radí antivirový expert společnosti Kaspersky Lab Orkhan Mammadov. Kromě toho existuje řada nabídek od různých společností, které pomáhají dešifrovat data a odstranit virus. Upozorňuje však Sergej Nikitin, že jsou obvyklými zprostředkovateli, kteří přicházejí do styku se zločinci a jednají s nimi o slevu. V důsledku toho oběť nebude platit 100%, ale 90% výkupného. Nemůžete vinit takové prostředníky za spoluúčast, formálně jednají legálně a uzavírají dohody s oběťmi o poskytování „poradenských služeb“.

Nejspolehlivějším způsobem, jak zabránit vydírání, je tomu zabránit. Zde je několik doporučení od Orkhana Mammadova: stahujte software pouze z důvěryhodných zdrojů, neotevírejte podezřelé e-mailové přílohy, nesledujte pochybné odkazy, i když vám jsou zasílány přáteli, sledujte aktualizace softwaru na nejnovější verzi, používejte silná bezpečnostní řešení, používejte komplexní hesla účty, pravidelně zálohujte důležitá data a ukládejte je samostatně.

A můžete se pojistit proti kybernetickým rizikům, radí Alexej Novikov. "V tomto případě může být nákup pojištění levnější než placení ransomwaru nebo výdaje na obnovu infrastruktury po masivním útoku na šifrování," doporučuje expert.

Co je to virus ransomware, jak to vypadá?

Ransomware je malware, který je určen k výkupné od oběti, obvykle peněz.

Když zapnete počítač místo obvyklé plochy, objeví se na celé obrazovce monitoru banner (úvodní obrazovka) s textem vyžadujícím výkupné pro přístup k počítači. Tento problém zcela ochromuje počítač a znemožňuje vám provádět jakékoli akce. Obecně se nedá nic udělat, dokud se virus ransomwaru neodstraní.

Virový útok na ministerstvo vnitra

12. května došlo k masivnímu virovému útoku na počítače uživatelů po celém světě, jehož účelem bylo nainstalovat škodlivý software vyžadující výkupné pro přístup k počítači. Mnoho počítačů po celém světě bylo vystaveno viru WannaCry, což v angličtině znamená „chci plakat“. Aby bylo možné virus odemknout, bylo nutné zaplatit 300 $, po kterém se údajně dá počítač bez problémů používat. V čem by měly mít finanční prostředky bitcoin v kryptoměně.

Mezi oběti patří ministerstvo zdravotnictví, ministerstvo mimořádných událostí a virus napadl ministerstvo vnitra a nepřekonali Megafon a Vimpelcom a snažili se zaútočit na Sberbank. V Evropě Velká Británie trpěla rukama kybernetických zločinců, kde bylo paralyzováno 50 nemocnic, Španělsko a Portugalsko. Virus po celém světě napadl více než 200 tisíc počítačů ve 150 zemích.

Jak odstranit virus ransomware

Aby bylo možné virus ransomware z počítače odebrat, musíte dodržovat speciální algoritmus akcí.

    Vypněte počítač. Pamatujte si, co jste udělali v počítači den předtím: mohlo to být prohlížení nebezpečných zdrojů, stahování a instalace nějakého softwaru, včetně prohlížení fotografií, obrázků, přehrávání videa. Pokud je počítač v lokální síti, je docela možné, že zabili virus v síti. Odpojíme se od místní sítě, konkrétně vytáhneme vodič ze síťové karty v počítači. Nejkompletnější a nejkvalitnější počítačové skenování si stáhněte nástroj Dr.Web Curelt na USB flash disk. Můžete tak učinit na jakémkoli jiném počítači s přístupem na internet. Stáhněte si Dr.Web Curelt.

Odemkněte Ransomware

    Spusťte počítač v nouzovém režimu. Chcete-li to provést, musíte ihned po zapnutí počítače několikrát stisknout tlačítko F8. Vložte USB flash disk pomocí nástroje Dr.Web Curelt a zkopírujte jej do libovolné složky na pevném disku. Spusťte nástroj, počkejte, až počítač zkontroluje a odstraní všechny viry. Po kontrole spusťte jako obvykle. Pokud bylo stahování úspěšné - Gratulujeme, odstranili jste virus ransomware!

Nicméně se nemusíte radovat dopředu. Samotné odstranění viru znamená jeho porážku v konkrétním případě. Jinými slovy, při příštím útoku se virus určitě znovu dostane do počítače.

Jak odstranit virus WannaCry?

V tomto případě musíte ihned po načtení systému Windows přejít na seznam nainstalovaných programů a zkontrolovat, zda je vše v pořádku, zda existuje něco podezřelého, možná nové nedávno nainstalované a neznámé programy, aplikace.

To se však nejlépe provede pomocí programu Uninstall Tool - velmi výkonný program, který vám umožní nejen mazat programy, ale také zcela vymazat všechny stopy jeho přítomnosti v počítači. Obecně platí, že pokud nemáte tento program, nemůžete se ani pokusit podívat na standardní seznam nainstalovaných programů systému Windows v Ovládacích panelech, protože virus nebude inzerovat sám a pravděpodobně tam nenajdete nic. Stáhnout nástroj pro odinstalování.

Po kontrole programů, souborů v počítači - pokud se nic neztratilo, pokud se názvy souborů a dokumentů nezměnily, je nezbytné zajistit dobrou antivirovou ochranu pro trvalou ochranu počítače uživatele. Dobrý antivirový program může zabránit viru v opětovném vstupu do počítače.

Takový incident je samozřejmě rozšířený. Dnešní virový útok je nejobsáhlejší v historii. A nejspíše to není limit. Tato zkušenost ukazuje, jak jsme zranitelní vůči počítačové kriminalitě, ale zároveň jsme závislí na počítačové technologii, technologii a elektronice.

Možná, že nyní je internet na vrcholu své popularity a čím populárnější se stává, tím více a více přitahuje zločince ze sítě, hackery. Jediným východiskem z této situace je možná radikální reforma celé globální sítě.

Podívejte se na video: GANDCRAB Virus - Remove +DECRYPT FilesFree (Srpen 2020).

Pin
Send
Share
Send
Send