Ce este ransomware-ul și cum să îl preveniți și să îl eliminați

Ransomware implică, în esență, o extorcare digitală în care malware-ul ține fișiere sau sisteme informatice ostatice până când victima plătește o taxă. Ransomware este popular cu un număr din ce în ce mai mare de cybercriminali, probabil datorită ușurinței sale de implementare și a rentabilității mari a investițiilor. Adăugați la aceasta apariția criptomonedei, ceea ce a înlesnit atacatorii să scape de crimele lor. Potrivit lui Daniel Tobok, CEO al Cytelligence Inc., o companie de cibersecuritate și eliminare a ransomware-ului, „Ransomware este într-adevăr arma la alegere pentru un infractor. Ne pot vedea, dar nu le putem vedea. “

Ransomware-ul poate fi costisitor pentru persoane, dar poate fi în special dăunător pentru întreprinderi. Se estimează că daunele totale întreprinderilor din Statele Unite din cauza ransomware-ului au totalizat doar 5 miliarde de dolari în [year]. Daunele pot include costurile implicate în plata rambursărilor, pierderea datelor, plata serviciilor profesionale pentru a încerca să recupereze date, timpul de oprire în timpul atacurilor, pierderea clienților în urma atacurilor și multe altele.

Cel mai bun mod de a reduce amenințarea ransomware-ului este de a preveni instalarea acestuia în primul rând. Însă dacă victimezi, ai opțiuni. În acest ghid, vă explicăm ce este ransomware-ul și cum să îl preveniți și să îl eliminați. Ne concentrăm pe metodele practice pe care le puteți utiliza, care pun accentul pe eliminarea pe plata răscumpărării, pe care o descurajăm cu tărie.

Ce este ransomware și cum funcționează?

O parte din scoaterea fricii din ransomware implică înțelegerea modului în care funcționează de fapt. După cum spunea odată Kofi Annan, fostul secretar general al ONU, „Cunoașterea este putere. Informațiile se eliberează. “

Ransomware-ul este similar cu alte forme de malware, cu un plus de extorsiune. Ransomware este o categorie de malware, dar există și diferite tipuri de ransomware. Pătrunde în sistemele de calculator în același mod ca și alte forme de malware. De exemplu, puteți:

• Descărcați-l dintr-un atașament sau un link dăunător prin e-mail
• Încarcă-l pe aparatul tău de pe o unitate flash USB sau DVD
• Descărcați-l în timp ce vizitați un site web corupt

Odată ce este pe sistemul tău, ransomware-ul închide anumite funcții ale sistemului sau refuză accesul la fișiere. În cazul mașinilor Windows, de obicei dezactivează capacitatea dvs. de a accesa meniul de pornire (în acest fel nu puteți accesa programe antivirus sau încercați să reveniți la modul Safe).

Un element de bază al mai multor tipuri de ransomware este criptarea. Ransomware criptează fișierele de pe dispozitivul dvs., astfel încât acestea să nu poată fi deschise fără o parolă. Pentru a obține parola, trebuie să plătești o răscumpărare atacatorului.

Orice fișier poate fi criptat cu ransomware, deși majoritatea ransomware-ului nu vor încerca să cripteze toate tipurile de fișiere. Obiectivele comune includ fișierele de imagine, PDF-urile și orice tip de fișier creat de Microsoft Office (precum Excel și fișiere Word). Metoda obișnuită pe care o va folosi ransomware-ul este să caute fișiere pe unitățile comune și să cripteze oricare sau majoritatea fișierelor pe care le găsește acolo. Unele forme mai noi de criptare a ransomware-ului au dus chiar și la criptarea fișierelor partajate din rețea, o dezvoltare periculoasă pentru întreprinderi, în special.

Până să nu ștergeți virusul de la mașina dvs. (sau să plătiți răscumpărarea solicitată și sper că criminalul îl șterge pentru dvs.), nu veți avea acces la acele fișiere. Unele ransomware vor cere chiar să plătiți într-o anumită perioadă de timp, sau altfel fișierele vor rămâne blocate pentru totdeauna sau virusul vă va șterge complet hard disk-ul.

Legate de: Cum să porniți Windows 7/8/10 în modul sigur

De ce este atât de eficient ransomware-ul?

Indiferent de metoda pe care programul o folosește pentru a vă penetra sistemul, ransomware este conceput pentru a se ascunde prin a se pretinde a fi ceva care nu este, chiar schimbând numele de fișiere sau căile pentru a face computerul și software-ul antivirus să treacă cu vederea fișierele suspecte. Diferența cheie între ransomware și alte forme de malware este că scopul ransomware-ului se extinde dincolo de doar o nenorocire sau o sustragere sigură a informațiilor personale.

În orice caz, ransomware-ul acționează mai mult ca un taur într-un magazin din China, odată ce și-a găsit efectiv calea în sistemul tău. Spre deosebire de multe alte virusuri, care sunt deseori concepute în jurul furtului atât înainte cât și după invadarea sistemului, designerii ransomware doresc să știi că programul este acolo.

După instalarea programului, acesta preia complet sistemul dvs. astfel încât să fiți forțați să-l acordați atenție. Este un modus operandi foarte diferit de cel pe care designerii de virus l-au urmat în mod tradițional și se pare că este cel mai eficient design de virus care face bani până în prezent..

Ransomware funcționează prin frică, intimidare, rușine și vinovăție. Odată ce programul este acolo, începe o campanie negativă de manipulare emoțională pentru a te determina să plătești răscumpărarea. Mult prea des, aceste tactici de frică funcționează, în special la persoanele care nu își dau seama că există alternative la plata.

Conform unui sondaj Malwarebytes din 2016 asupra întreprinderilor mari afectate de ransomware, 40% dintre victime au plătit răscumpărarea, în timp ce o anchetă IBM a întreprinderilor mici și mijlocii din același an a raportat o rată mult mai mare de 70%.

Tipuri de ransomware

Ransomware-ul a existat încă din anii 1980, dar multe atacuri folosesc astăzi ransomware-ul bazat pe troianul Cryptolocker mai modern. Ransomware-ul de criptare a fișierelor este din ce în ce mai frecvent tipul. Cu toate acestea, potrivit Malwarebytes, există mai multe categorii de ransomware pe care le mai puteți întâlni:

Criptarea ransomware-ului

Dacă ransomware-ul își găsește calea pe mașina dvs., este probabil ca va fi o varietate de criptare. Criptarea ransomware-ului devine rapid cel mai obișnuit datorită unei rentabilități mari a investițiilor pentru ciberneticii care o folosesc și cât de dificil este să spargeți criptarea sau să eliminați programele malware.

Criptarea ransomware-ului va cripta complet fișierele de pe sistemul dvs. și nu vă va permite accesul până când veți plăti o răscumpărare, de obicei sub forma Bitcoin. Unele dintre aceste programe sunt, de asemenea, sensibile la timp și vor începe să ștergeți fișierele până când plata răscumpărării crește sensul de urgență la plata.

În legătură cu acest tip de ransomware, Adam Kujawa, șeful de informații de la Malwarebytes, a spus asta: „Este prea târziu după ce te infectezi. Joc încheiat.”

Copia de rezervă online poate fi de mare ajutor în recuperarea fișierelor criptate. Cele mai multe servicii de backup online includ versiunea, astfel încât să puteți accesa versiunile anterioare ale fișierelor și nu cele criptate

scareware

Sursa: Colegiul Sf. Scholastica

Scareware este un malware care încearcă să vă convingă că aveți un virus de computer care are nevoie de eliminare imediat. Apoi va încerca să vă facă să eliminați virusul cumpărând un program suspect sau de obicei fals sau de eliminare a virusului. Scareware-ul este extrem de neobișnuit în aceste zile, dar unele dintre aceste virusuri există încă în sălbăticie. Multe telefoane mobile vizează.

Scareware-ul nu criptează fișierele, deși poate încerca să vă blocheze accesul la unele programe (cum ar fi scanere și eliminatoare de virus). Cu toate acestea, sperietoare este cel mai ușor de a scăpa. De fapt, în majoritatea cazurilor, puteți elimina sperietoare folosind programe standard de eliminare a virusului sau alte metode, fără a intra chiar Mod sigur (deși acest lucru poate fi în continuare necesar sau recomandat).

Închizător de ecran (sau viruși cu ecran de blocare)

Blocatoarele de ecran vor crea un ecran de avertizare care vă limitează capacitatea de a accesa funcțiile și fișierele calculatorului. Acestea pot fi instalate pe aparatul dvs. sau există într-un browser web. De obicei, vor veni cu un mesaj care pretinde că reprezintă o organizație de aplicare a legii și vor purta un mesaj care spune că veți întâmpina consecințe legale severe dacă nu plătiți o amendă imediat.

Puteți ajunge să descărcați un virus cu ecran de blocare printr-o serie de moduri diferite, inclusiv vizitând site-uri web compromise sau dând clic pe și descărcând un fișier infectat conținut într-un e-mail. Când este instalat direct pe un computer, poate fi necesar să efectuați o repornire rapidă, deși s-ar putea să constatați că ați primit încă mesajul de blocare a ecranului chiar și atunci când sistemul de operare se încarcă din nou..

Blocarele de ecran tind să vă blocheze din meniu și din alte setări ale sistemului, dar nu elimină complet accesul la fișierele dvs. Aceasta înseamnă că unele dintre principalele metode de atac malware vă împiedică să accesați cu ușurință software-ul de eliminare a virusului și, uneori, chiar vă pot împiedica să reporniți computerul de la interfața utilizatorului.

Încălțătoarele de ecran sunt un alt motiv pentru care dispune de backup online este extrem de important. În timp ce blocarea ecranului nu va cripta sau șterge fișierele dvs., puteți fi nevoit să efectuați o restaurare a sistemului. Restaurarea sistemului nu poate șterge fișierele dvs. importante, dar le va readuce la o stare anterioară. În funcție de stările restaurate, aceasta poate duce la o mulțime de date sau progrese pierdute. Backup-urile online regulate vă vor ajuta să preveniți pierderea de date pe care executarea unei restaurări a sistemului nu le garantează, mai ales dacă virusul s-a ascuns pe sistemul dvs. de mult timp decât ați realizat.

Cum să prevină ransomware-ul

Decriptarea fișierelor criptate cu ransomware este incredibil de dificilă. Majoritatea ransomware-urilor din aceste zile vor folosi metode de criptare AES sau RSA, ambele putând fi foarte greu de fisurat. Pentru a o pune în perspectivă, guvernul american folosește, de asemenea, standarde de criptare AES pentru documente clasificate. Informațiile despre cum se poate crea acest tip de criptare sunt cunoscute pe scară largă, la fel ca și dificultățile de creare a acestuia. Până când cineva își realizează visul calculului cuantic, fisurarea forței brute pentru AES este în mod efectiv imposibilă.

Acesta fiind cazul, cea mai bună metodă de a combate ransomware-ul este să nu-i permiți niciodată să intre pe sistemul tău în primul rând. Protecția poate fi realizată prin crearea de zone slabe și schimbarea comportamentelor care permit de obicei ransomware-ul să intre pe sistemul tău. Iată câteva dintre cele mai bune practici de urmat pentru a preveni ransomware-ul:

• Investiți în backup-uri de date solide. Acest lucru este greu de apreciat. Backupul de date este cel mai bun lucru pe care îl puteți face. Chiar dacă sunteți lovit de ransomware, o copie de rezervă eficientă și consistentă a datelor înseamnă că datele dvs. vor fi în siguranță, indiferent de tipul de ransomware cu care sunteți atacat.
• Investiți în software antivirus eficient. În acest caz, nu doriți doar programe de curățare a malware sau viruși, ci software care vă va monitoriza activ și vă va avertiza asupra amenințărilor, inclusiv în cadrul browserelor web. În acest fel, veți primi notificări pentru link-uri suspecte sau veți fi redirecționat departe de site-urile web dăunătoare în care poate fi adăpostit ransomware.
• Nu faceți niciodată clic pe link-uri suspecte de e-mail. Cele mai multe răspândiri ransomware prin e-mail. Când obișnuiți să nu faceți niciodată clic pe link-uri suspecte, vă reduceți semnificativ riscul de a descărca ransomware și alte viruși.
• Protejați computerele conectate la rețea. Unele ransomware funcționează prin scanarea activă a rețelelor și accesarea oricăror computere conectate care permit accesul la distanță. Asigurați-vă că orice computere din rețeaua dvs. au acces de la distanță dezactivat sau utilizați metode puternice de protecție pentru a evita accesul ușor.
• Țineți software-ul la zi. Actualizările la Windows și alte sisteme de operare și aplicații aplică adesea vulnerabilități de securitate cunoscute. Actualizarea în timp util poate contribui la scăderea riscului de sensibilitate la malware, inclusiv ransomware.

Ce să faceți dacă surprindeți criptarea medie a ransomware-ului

Criptarea este un proces care consumă foarte multă putere de calcul. Dacă aveți noroc, este posibil să fiți capabil să criptați în mod mediu ransomware. Acest lucru necesită o atenție și știu cum arată și sună cantități neobișnuit de mari de activitate pe computer. Criptarea Ransomware se va întâmpla în fundal, așa că este aproape imposibil să detectați acest lucru care se întâmplă, cu excepția cazului în care îl căutați în mod specific.

În plus, virusul care efectuează criptarea va fi probabil ascuns în alt program sau va avea un nume de fișier modificat, care va arăta inofensiv, astfel încât s-ar putea să nu puteți spune ce program efectuează acțiunea. Cu toate acestea, dacă descoperiți ce credeți că este un ransomware care criptează fișierele, iată câteva opțiuni:

Plasați computerul în hibernare

Acest lucru va opri orice proces de rulare și va crea o imagine rapidă de memorie a computerului și a fișierelor. Nu reporniți computerul și nu-l scoateți din hibernare. În acest mod, un specialist în calculator (fie de la departamentul dvs. IT, fie de la o companie de securitate angajată) poate monta dispozitivul pe un alt computer într-un mod numai de citire și poate evalua situația. Aceasta include recuperarea fișierelor necriptate.

Suspendă operația de criptare

Dacă puteți identifica ce operațiune este vinovată, poate doriți să suspendați operațiunea respectivă.

În Windows, aceasta implică deschiderea Gestionar de sarcini și căutând operațiuni suspecte. În special, căutați operațiuni care par să facă multe scrieri pe disc.

Puteți suspenda operațiunile de acolo. Este mai bine să suspendați operațiunea în loc să o ucideți, deoarece acest lucru vă permite să investigați mai detaliat procesul pentru a vedea ce este de fapt. Astfel poți determina mai bine dacă ai ransomware pe mâini.

Dacă descoperiți că este un ransomware, verificați pe ce fișiere s-a concentrat procesul. Este posibil să îl găsiți în procesul de criptare a anumitor fișiere. Puteți copia aceste fișiere înainte ca procesul de criptare să se termine și să le mutați într-o locație sigură.

Puteți găsi alte sugestii minunate ale profesioniștilor în securitate și computere pe Stack Exchange.

Eliminarea Ransomware-ului: Cum să eliminați scareware-ul și închizătorii de ecran (viruși cu ecran de blocare)

Blocarele de ecran sunt mai dificile de eliminat decât sperietoare, dar nu reprezintă o problemă la fel de mare ca ransomware-ul care criptează fișierele. Virusurile sperietoare și ecranul de blocare nu sunt perfecte și adesea pot fi îndepărtate ușor fără costuri mici. Aveți două opțiuni principale:

1. Efectuați o scanare completă a sistemului folosind un program de curățare malware la cerere de renume
2. Efectuați o restaurare a sistemului într-un punct înainte de a începe să apară mesaje.

Haideți să analizăm în detaliu ambele aspecte:

Opțiunea 1: Efectuați o scanare completă a sistemului

Acesta este un proces destul de simplu, dar înainte de a efectua o scanare a sistemului, este important să alegeți un program de curățare malware la cerere cu încredere. Un astfel de curat este Zemana Anti-Malware sau utilizatorii de Windows ar putea folosi chiar instrumentul Windows Defender încorporat.

Pentru a efectua scanarea completă a sistemului folosind Anti-Malware Zemana, efectuați următoarele:

• Deschide-ți ecranul de pornire Zemana Anti-Malware.

• Faceți clic pe butonul Simbol Gear în partea dreaptă sus pentru a accesa setările.
• Click pe scanda pe stanga.

• Selectați Creați punct de restaurare.
• Reveniți la ecranul de start și faceți clic pe verde scanda buton din dreapta jos.

Setarea punctului de restaurare este o bună practică bună pentru scanările de virus în general. Între timp, scanarea virusului tău poate eticheta unele aspecte ca probleme care nu sunt probleme (extensiile Chrome adesea sunt problematice, de exemplu), în timp ce puteți găsi zone de îngrijorare la care nu așteptați.

În cazul meu, o scanare recentă a sistemului Zemana a dezvăluit un potențial hijack DNS. Hopa! (De asemenea, a clasificat greșit câteva programe, cum ar fi malware și adware, așa că aveți grijă să verificați ce fișiere curățați și carantinați în mod corespunzător.)

Pentru a efectua o scanare completă a sistemului folosind Windows Defender, efectuați următoarele:

• Efectuați o căutare rapidă în sistem pentru „Windows Defender”.
• Accesați Windows Defender și selectați Deplin pe drumul cel bun.
• Click pe scanda.

Microsoft își îmbunătățește continuu software-ul antivirus Windows încorporat, dar nu este o soluție la fel de bună ca o opțiune la cerere precum Zemana sau multe alte programe de înaltă calitate. Puteți alege să rulați două programe care să vă acopere bazele, dar rețineți că acestea nu pot fi rulate simultan.

Când aveți de-a face ransomware de blocare a ecranului, este posibil să aveți nevoie să intrați Mod sigur pentru a elimina virusul la cerere să funcționeze sau pentru a rula sistemul dvs. de restaurare corect. Chiar și unele sperietori te pot împiedica uneori să îți deschizi programele de eliminare a virusului, dar de obicei nu te pot împiedica să faci acest lucru în timp ce te afli Mod sigur. Dacă aveți probleme pentru a vă reporni computerul Mod sigur (o posibilitate distinctă dacă aveți un încuietor de ecran), consultați ghidul nostru de pe Cum să porniți Windows în modul sigur.

Opțiunea 2: Efectuați o restaurare a sistemului

O altă opțiune este de a efectua o restaurare a sistemului într-un punct înainte de a începe să apară mesaje. Rețineți că această opțiune presupune că aveți computerul setat pentru a crea puncte de restaurare a sistemului la intervale prestabilite sau că ați efectuat această acțiune manual. Dacă accesați acest ghid ca măsură preventivă împotriva ransomware-ului, crearea de puncte de restaurare din acest moment va fi o idee bună.

Iată cum puteți găsi punctele de restaurare sau setați noi puncte de restaurare în Windows:

• Accesați-vă Panou de control (puteți face acest lucru printr-o căutare a sistemului pentru „Panoul de control”).

• Click pe Sistem și securitate.
• Click pe Sistem.
• Mergi la Setari de sistem avansate.

• Faceți clic pe butonul Protecția sistemului filați și selectați Restaurarea sistemului.

• Dacă nu ați executat niciodată o copie de rezervă a sistemului, faceți clic pe Configurați backup. Aceasta va deschide operațiunile de rezervă și vă va începe. Odată ajuns acolo, va trebui să alegeți locația de rezervă, fișierele pe care doriți să le faceți o copie de rezervă (sau puteți lăsa Windows să selecteze cele pentru dvs.), să programați când doriți ca backup-urile să apară și apoi să efectuați backup.

• Dacă arată că aveți deja o copie de rezervă în loc, selectați fișierele de rezervă din cel mai recent punct de restaurare sau din orice punct de restaurare doriți..

Procesul de restaurare a copiei de rezervă poate dura câteva minute, mai ales dacă cantitatea de date restaurate este semnificativă. Totuși, acest lucru ar trebui să restaureze sistemul de fișiere la un punct înainte ca virusul să fie descărcat și instalat.

Rețineți că atât o scanare cât și o restaurare pot avea timp de reacție întârziat, așa că este o idee bună să facem ambele.

Indiana University oferă, de asemenea, o bază de cunoștințe utile, cu câteva metode avansate pentru sperietoare mai supărătoare. De asemenea, vă recomandăm să consultați Ghid complet pentru prevenirea programelor malware și Windows. Vă va conduce prin procesul de eliminare a malware și cum arată acel proces cu mai multe programe diferite.

Eliminare Ransomware: Cum să eliminați ransomware-ul care criptează fișierele

Odată ce ransomware-ul este criptat pe sistemul dvs., aveți probleme dacă doriți să păstrați date care nu au fost salvate sau ceva care nu a fost salvat (cel puțin fără să plătiți prin nas pentru asta). Surprinzător, mulți infractori informatici sunt destul de onorabili când vine vorba de eliberarea criptării după ce au primit plata. Până la urmă, dacă nu au făcut-o niciodată, oamenii nu ar plăti răscumpărarea. Cu toate acestea, există șansa ca tu să poți plăti răscumpărarea și să găsești fișierele dvs. niciodată eliberate sau să îi ceri pe criminali să ceară mai mulți bani.

Acestea fiind spuse, dacă ai lovit cu o bucată urâtă de criptare a ransomware-ului, nu intră în panică. Pe lângă asta, nu plătiți răscumpărarea. Aveți două opțiuni alternative pentru eliminarea ransomware-ului:

• Angajați un serviciu profesional de eliminare a ransomware-ului: Dacă aveți bugetul pentru a angaja un profesionist și considerați recuperarea fișierelor dvs. în valoare de bani, atunci acesta ar putea fi cel mai bun curs de acțiune. Multe companii, inclusiv recuperarea datelor dovedite și cytelligence sunt specializate în furnizarea de servicii de eliminare a ransomware-ului. Rețineți că unele se taxează chiar dacă eliminarea nu reușește, în timp ce altele nu.
• Încercați să eliminați singur ransomware-ul: Aceasta este de obicei gratuită de făcut și poate fi o opțiune mai bună dacă nu ai fonduri pentru a angaja un profesionist. Recuperarea fișierelor dvs. va implica de obicei mai întâi eliminarea malware-ului și apoi utilizarea unui instrument pentru a decripta fișierele.

Dacă doriți să încercați să rezolvați singur problema, iată pașii de urmat:

Pasul 1: Rulați un antivirus sau un program de eliminare a malware-ului pentru a scăpa de virusul criptării

Consultați înapoi instrucțiunile de eliminare a malware-ului / virușilor furnizate în secțiunea de înlăturare a spațiului / blocatorului ecranului de mai sus. Procesul de eliminare în acest pas va fi același, cu o excepție: VĂ ÎNCĂLECĂM STRĂINȚIT VINE PENTRU A ELIMINA ACEST VIRUS ÎN MOD SIGUR FĂRĂ REȚEA.

Există șansele ca ransomware-ul de criptare a fișierelor pe care l-ați contractat să fi compromis conexiunea de rețea, așa că este mai bine să întrerupeți accesul hackerilor la fluxul de date atunci când eliminați virusul. Rețineți că acest lucru nu poate fi înțelept dacă aveți de-a face cu câteva variante ale ransomware-ului WannaCry, care se verifică pe un site web gibberish pentru a identifica un potențial ucigaș. Dacă aceste site-uri sunt înregistrate (care sunt acum), ransomware-ul oprește criptarea. Totuși, această situație este foarte neobișnuită.

Eliminarea malware-ului este importantă primul pas pentru a face față acestei probleme. Multe programe fiabile vor funcționa în acest caz, dar nu toate programele antivirus sunt concepute pentru a elimina tipul de malware care criptează fișierele. Puteți verifica eficiența programului de eliminare a programelor malware, căutând site-ul web sau contactând serviciul de asistență pentru clienți.

Adevărata problemă pe care o veți găsi este că fișierele dvs. vor rămâne criptate chiar și după ce eliminați virusul. Cu toate acestea, încercarea de a decripta fișierele fără a elimina malware-ul mai întâi poate duce la reîncriptarea fișierelor.

Pasul 2: Încercați să decriptați fișierele folosind un instrument gratuit de decriptare ransomware

Din nou, ar trebui să faci tot ce poți pentru a evita să plătești o răscumpărare. Următorul pas va fi să încercați un instrument de decriptare ransomware. Rețineți, însă, că nu există nicio garanție că va exista un instrument de decriptare ransomware care să funcționeze cu malware-ul dvs. specific. Acest lucru se datorează faptului că este posibil să aveți o variantă care încă nu a fost fisurată.

Kaspersky Labs și alte câteva companii de securitate operează un site web numit No More Ransom! unde oricine poate descărca și instala decriptori ransomware.

Kaspersky oferă, de asemenea, decriptoare de ransomware gratuite pe site-ul său web.

În primul rând, vă sugerăm să utilizați No More Ransom Crypto Sheriff instrument pentru a evalua ce tip de ransomware aveți și dacă există în prezent un decriptor care vă ajută să decriptați fișierele. Funcționează așa:

• Selectați și încărcați două fișiere criptate de pe computer.

• Furnizați un site web sau o adresă de e-mail dată în cererea de răscumpărare, de exemplu, unde ransomware vă îndrumă să mergeți pentru a răscumpăra răscumpărarea.

• Dacă nu este dată nicio adresă de e-mail sau site web, încărcați fișierul .txt sau .html cu nota de răscumpărare.

Șeriful Crypto va prelucra informațiile respective în baza sa de date pentru a determina dacă există o soluție. Dacă nu este oferită nicio sugestie, nu renunțați tocmai până acum. Unul dintre decriptori poate funcționa, deși este posibil să fie nevoie să descărcați fiecare. Acesta va fi un proces recunoscut lent și dificil, dar ar putea merita să vedeți decriptat acele fișiere.

Suita completă de instrumente de decriptare poate fi găsită în fila Instrumente de decripționare din No More Ransom! website.

Rularea decriptorilor de fișiere este de fapt destul de ușoară. Majoritatea decriptorilor au un ghid de instruire de la dezvoltatorul instrumentului (majoritatea sunt de la EmsiSoft, Kaspersky Labs, Check Point sau Trend Micro). Fiecare proces poate fi ușor diferit, așa că veți dori să citiți ghidul de instrucțiuni PDF pentru fiecare, acolo unde este disponibil.

Iată un exemplu al procesului pe care trebuie să îl efectuați pentru a decripta ransomware-ul Philadelphia:

• Alegeți un fișier criptat pe sistemul dvs. și o versiune a acelui fișier care este în prezent necriptat (dintr-o copie de rezervă). Plasați aceste două fișiere în folderul propriu pe computer.

• Descărcați decriptorul Philadelphia și mutați executabilul în același dosar ca fișierele dvs. împerecheate.
• Selectați perechea de fișiere, apoi trageți și fixați fișierele pe executabilul decriptorului. Decriptorul va începe apoi să determine tastele corecte necesare pentru a decripta fișierul.
• Acest proces poate dura destul de mult timp, în funcție de complexitatea programului

• Odată finalizată, veți primi cheia de decriptare pentru toate fișierele criptate de ransomware.

• Apoi, decriptorul vă va solicita să acceptați un acord de licență și vă va oferi opțiunile pentru care conduce decriptarea fișierelor. Puteți modifica locația în funcție de locul în care sunt găzduite fișierele în prezent, precum și de alte opțiuni care pot fi necesare, în funcție de tipul de ransomware. Una dintre aceste opțiuni include de obicei posibilitatea de a păstra fișierele criptate.
• Veți primi un mesaj în UI de decriptor după ce fișierele au fost decriptate.

Din nou, acest proces poate să nu funcționeze, deoarece este posibil să aveți ransomware pentru care nu este disponibil un decriptor. Multe persoane care se infectează plătesc pur și simplu răscumpărarea fără a analiza metodele de eliminare, astfel încât multe dintre aceste ransomware sunt încă utilizate, în ciuda faptului că au fost fisurate.

Opțiune de rezervă: Ștergeți sistemul și efectuați o restaurare completă a datelor dintr-o copie de rezervă

Pașii 1 și 2 funcționează numai atunci când sunt folosiți împreună. Dacă nu funcționează pentru dvs., va trebui să urmați acest pas. Sperăm că aveți deja o rezervă de date solidă și fiabilă. Dacă da, nu renunțați la ispita de a plăti răscumpărarea. În schimb, personal sau aveți un profesionist IT (de preferință această opțiune) ștergeți-vă sistemul și restabiliți fișierele prin intermediul sistemului de backup online sau fizic.

Acesta este, de asemenea, un motiv pentru care este importantă restaurarea și restaurarea metalelor goale. Există o șansă bună ca profesionistul IT să aibă nevoie să realizeze restaurarea completă a metalelor goale pentru tine. Aceasta include nu numai fișierele personale, dar și sistemul dvs. de operare, setările și programele. Utilizatorii de Windows ar putea avea nevoie să ia în considerare o resetare completă a sistemului la setările din fabrică. Microsoft oferă o explicație pentru mai multe metode și opțiuni de restaurare a fișierelor.

Istoricul ransomware-ului

Așa cum am menționat, ransomware-ul nu este un concept nou și există de mai mulți ani. Deși cronologia de mai jos nu este o listă exhaustivă de ransomware, vă oferă o idee bună despre cum a evoluat această formă de atac de-a lungul timpului.

1989 – Trojanul „Aids”, numit PC Cyborg, devine primul caz cunoscut de ransomware pe orice sistem computerizat.

2006 – După un hiatus plin de zece ani, ransomware-ul revine în masă odată cu apariția Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip și MayArchive. Toate sunt notabile pentru utilizarea algoritmelor sofisticate de criptare RSA.

2008 – Gpcode.AK ajunge pe scena. Folosind tastele RSA de 1024 biți, este nevoie de un efort masiv, dincolo de mijloacele celor mai mulți utilizatori, pentru a rupe.

2010 – WinLock lovește utilizatorii din Rusia, afișând afișaje cu porno până când utilizatorul face un apel de 10 USD la un număr de tarif premium.

2011 – Un troian fără nume blochează mașini Windows, direcționând vizitatorii către un set fals de numere de telefon prin care își pot reactiva sistemele de operare.

2012 – Reveton informează utilizatorii că mașina lor a fost folosită pentru a descărca materiale de copyright sau pornografie infantilă și solicită plata unei „amenzi”.

2013 – Sosirea acum infamului CryptoLocker. Creșterea nivelului de criptare este incredibil de greu de ocolit.

2013 – Locker apare, solicitând plata de 150 USD către un card de credit virtual.

2013 – Greu de detectat, CryptoLocker 2.0 adaugă utilizarea Tor pentru un anonimat suplimentar pentru codificatorul criminal care l-a creat.

2013 – Cryptorbit adaugă utilizarea Tor în repertoriul său și codifică primii 1.024 de biți din fiecare fișier. De asemenea, utilizează instalează un miner Bitcoin pentru victimele laptelui pentru profit suplimentar.

2014 – CTB-Locker vizează în principal utilaje din Rusia.

2014 – O altă evoluție semnificativă, CryptoWall infectează mașinile prin intermediul reclamelor site-urilor infectate și reușește să afecteze miliarde de fișiere din întreaga lume.

2014 – O piesă ceva mai prietenoasă cu ransomware, Cryptoblocker evită fișierele Windows și țintește fișierele cu dimensiunea de 100 MB..

2014 – SynoLocker vizează dispozitivele NAS Synology, criptând fiecare fișier găsit pe ele.

2014 – TorrentLocker utilizează e-mailuri spam pentru a se răspândi, cu diferite regiuni geografice vizate la un moment dat. Copiază, de asemenea, adresele de e-mail din agenda de adrese a utilizatorilor afectați și se trimite la aceste părți.

2015 – O altă piesă de ransomware greu de detectat, CryptoWall 2.0 folosește Tor pentru anonimat și ajunge într-un mod diferit.

2015 – TeslaCrypt și VaultCrypt pot fi descrise ca niște ransomware de nișă prin faptul că vizează jocuri specifice.

2015 – CryptoWall 3.0 îmbunătățește predecesorul său venind ambalat în kituri de exploatare.

2015 – CryptoWall 4.0 adaugă un alt strat la criptarea sa, scrambling numele fișierelor criptate.

2015 – Următorul nivel al ransomware-ului vede că Chimera nu numai criptează fișierele, ci le și publică online când răscumpărarea nu este plătită.

2016 – Locky ajunge pe scenă, numit în primul rând pentru că redenumește toate fișierele dvs. importante, astfel încât acestea să aibă o extensie .locky.

2016 – Situat pe BitTorrent, KeRanger este primul ransomware cunoscut care este complet funcțional pe Mac OS X.

2016 – Numit pentru răufăcătorul Bond din Casino Royale, care răpește interesul amoros al obligațiunilor de a extorta bani, programul LeChiffre profită de computere la distanță prost securizate pe rețelele accesibile. Se conectează apoi și se rulează manual pe aceste sisteme.

2016 – Jigsaw va cripta și apoi șterge fișierele progresiv până la răscumpărarea răscumpărării. După 72 de ore, toate fișierele vor fi șterse.

2016 – ransomware-ul SamSam vine completat cu o caracteristică de chat live pentru a ajuta victimele cu plata răscumpărării lor.

2016 – ransomware-ul Petya folosește popularitatea serviciilor de partajare a fișierelor cloud distribuindu-se prin Dropbox.

2016 – Primul vierme ransomware ajunge sub forma ZCryptor, care de asemenea infectează hard disk-urile externe și unitățile flash atașate la mașină.

[year] – Crysis vizează unități fixe, amovibile și de rețea și folosește metode puternice de criptare dificil de complicat cu capacitățile de calcul din zilele noastre.

[year] – WannaCry este răspândit prin e-mailuri de tip phishing și prin sisteme în rețea. În mod unic, WannaCry folosește un backdoor NSA furat pentru a infecta sistemele, precum și o altă vulnerabilitate în Windows care a fost plasată cu o lună înainte de eliberarea malware (mai multe detalii mai jos).

Ransomware-ul WannaCry

Ransomware-ul WannaCry este probabil cel mai infam din ultimii ani, în principal datorită numărului de calculatoare pe care le-a afectat. Acesta a devenit rapid cel mai răspândit ransomware din istoria ransomware-ului, care a afectat 400.000 de mașini. În general, WannaCry nu este deosebit de unic, atât de mult încât a infectat unele nume foarte mari și agenții guvernamentale importante din întreaga lume și a folosit un instrument de exploatare al Agenției de Securitate Națională (NSA) furat pentru a face acest lucru.

Instrumentul NSA furat face parte din motivul pentru care WannaCry a avut atât de succes în răspândirea. Compunerea problemei constă în faptul că multe agenții și întreprinderi au fost încetul cu încetul să lanseze corecția Windows corespunzătoare care ar fi împiedicat această exploatare în primul rând. Microsoft a împins acel plasture la mijlocul lunii martie [year], dar WannaCry nu a început să infecteze sistemele decât în ​​mai.

Interesant este că prima variantă a lui WannaCry a fost zădărnită de un cercetător și blogger de securitate cibernetică care, în timp ce citea codul, a descoperit un comutator de ucid scris în malware. Prima variantă a lui WannaCry verifică dacă există sau nu un anumit site web, rezultatul determinând dacă acesta continuă sau nu.

Bloggerul de securitate a decis să meargă înainte și să înregistreze site-ul pentru aproximativ 10 dolari, ceea ce a încetinit în mod semnificativ răspândirea virusului. Cu toate acestea, creatorii lui WannaCry au reușit să lanseze noi variante (una dintre ele având un alt comutator de ucid site-uri care a fost curând folosit pentru a opri acea variantă).

În total, se estimează că WannaCry și-a încremenit creatorii în jur de 140.000 USD în valoare de bitcoin. Deși aceasta nu este o sumă mică, nu este aproape de nicio valoare estimată la 325 milioane USD câștigați de cei din spatele ransomware-ului Cryptowall Versiunea 3 în 2015. Acest lucru se poate datora unei educații mai bune în privința ransomware-ului sau a eșecurilor virusului, dar cu numărul de utilizatori afectați se pare că lucrurile ar fi putut fi mai rele.

„Ransomware Cryptolocker”De Christiaan Colen. CC Share-A-Like 3.0