A vírus egy olyan rosszindulatú szoftver, amely behatol a rendszer memóriájába, más programok kódjába és a rendszerindítási szektorokba. Képes fontos adatok törlésére merevlemezről, USB-meghajtóról vagy memóriakártyáról.
A legtöbb felhasználó nem tudja, hogyan lehet helyreállítani a fájlokat vírustámadás után. Ebben a cikkben szeretnénk megmondani, hogyan lehet ezt gyorsan és egyszerűen megtenni. Reméljük, hogy ez az információ hasznos lesz az Ön számára. Két fő módszer létezik a vírus egyszerű eltávolítására és a törölt adatok helyreállítására vírustámadás után.
Törölje a vírust a parancssor segítségével
1) Kattintson a „Start” gombra. Írja be a CMD parancsot a keresősávba. Az előugró ablak tetején megjelenik a „Parancssor”. Nyomd meg az Entert.
2) Futtassa a parancssort, és írja be: „attrib –h –r –s / s / d driver_name \\ *. *”
Ezt a lépést követően a Windows megkezdi a vírussal fertőzött merevlemez, memóriakártya vagy USB helyreállítását. A folyamat befejezése eltart egy ideig.
A Windows helyreállításának elindításához kattintson a „Start” gombra. Írja be a Visszaállítás parancsot a keresősávba. A következő ablakban kattintson a „Start System Restore” → „Next” gombra, és válassza ki a kívánt visszaállítási pontot.
Az útvonal másik változata a „Vezérlőpult” → „Rendszer” → „Rendszer védelme”. Megjelenik egy helyreállítási előkészítő ablak. Ezután a számítógép újraindul, és megjelenik egy üzenet: „A rendszer-visszaállítás sikeresen befejeződött.” Ha ez nem oldotta meg a problémát, próbálkozzon vissza egy másik helyreállítási ponttal. Ez mind elmondható a második módszerről.
Mágikus partíció helyreállítása: Hiányzó fájlok és mappák helyreállítása vírustámadás után
A vírusok által törölt fájlok megbízható helyreállításához használja a Magic Partition Recovery alkalmazást. A program a lemez közvetlen közvetlen alacsony szintű hozzáférésén alapul. Ezért megkerüli a vírusblokkolást és elolvassa az összes fájlt.
Töltse le és telepítse a programot, majd elemezze a lemezt, a flash meghajtót vagy a memóriakártyát. Az elemzés után a program megjeleníti a kiválasztott lemezen található mappák listáját. Miután kiválasztotta a szükséges mappát a bal oldalon, megtekintheti azt a jobb oldalon.
Így a program lehetőséget nyújt a lemez tartalmának megtekintésére ugyanúgy, mint a szokásos Windows Intézővel. A meglévő fájlok mellett a törölt fájlok és mappák is megjelennek. Ezeket egy speciális piros kereszttel jelölik, ami sokkal könnyebbé teszi a törölt fájlok helyreállítását.
Ha vírustámadás után elvesztette fájljait, a Magic Partition Recovery segítséget nyújt minden erőfeszítés nélkül.
A közelmúltban egy új típusú ransomware vírust fedeztek fel a 360 Internet Security Centernél, amely számos országban és régióban egyaránt megcélozta a vállalkozásokat és az egyéneket. A 360 az észlelést követően május 12-én időben sürgősségi riasztást adott ki, hogy emlékeztesse a felhasználókat az előttünk álló kockázatokra. Ez a ransomware nagy sebességgel terjed az egész világon. A hiányos statisztikák szerint alig néhány óra alatt a robbanás után 99 országban több tízezer eszköz fertőzött meg, és ez a hálózati féreg még mindig megpróbálja kiterjeszteni befolyását.
Általában a ransomware vírus kifejezetten a zsarolás szándéka. Az aszimmetrikus kriptográfiai algoritmus segítségével titkosítja az áldozat fájljait, hozzáférhetetlenné teszi őket és váltságdíjat követel megfejtésükért. Ha a váltságdíjat nem fizetik meg, a fájlokat nem lehet helyreállítani. Ez az új faj WanaCrypt0r kódnevet kap. Annyira halálos, hogy az NSA-tól ellopott "EternalBLue" hacker eszközt használta. Ez megmagyarázza azt is, hogy a WanaCrypt0r miért képes gyorsan terjedni az egész világon és nagyon rövid idő alatt súlyos veszteségeket okozni. A hálózati féreg május 12-i kitörését követően a 360 Internet Security Center Core Security átfogó megfigyelést és mélyreható elemzést végzett. Most kiadhatunk egy sor észlelési, adatvédelmi és helyreállítási megoldást a WanaCrypt0r ellen.
A 360 Helios Team egy APT (Advanced Persistent Attack) csoport, amely az alapbiztonsági osztály kutatásával és elemzésével foglalkozik, elsősorban az APT támadások kivizsgálásával és a fenyegetésekkel kapcsolatos válaszokkal foglalkozik. A biztonsági kutatók gondosan elemezték a vírusmotort, hogy megtalálják a leghatékonyabb és legpontosabb módszert a titkosított fájlok helyreállítására. Ezzel a módszerrel a 360 az első biztonsági szolgáltató lehet, amely kiad egy adat-helyreállító eszközt - a "360 Ransomware Infected File Recovery" -et, hogy ügyfeleinek segítsen gyorsan és teljesen helyreállítani a fertőzött fájlokat. Reméljük, hogy ez a cikk segít megérteni a féreg trükkjeit, valamint szélesebb körű vitát folytat a titkosított fájlok helyreállításának kérdéséről.
2. fejezet Az alapvető titkosítási folyamatok elemzése
Ez a féreg titkosító modult ad ki a memóriába, és közvetlenül a DLL-eket tölti be a memóriába. Ezután a DLL exportálja a TaskStart függvényt, amelyet a teljes titkosítási folyamat aktiválásához kell használni. A statikus észlelés elkerülése érdekében a DLL dinamikusan hozzáfér a fájlrendszerhez és a titkosítással kapcsolatos API funkciókhoz.
1. kezdeti szakasz
Először az "SHGetFolderPathW" használatával kapja meg az asztal és a fájlmappák elérési útjait. Ezután az "10004A40" függvényt hívja meg, hogy elérje a többi felhasználó asztala és fájlmappáinak elérési útját, és meghívja az EncrytFolder függvényt a mappák külön titkosításához.
Kétszer járja át az összes meghajtót a Z illesztőprogramból C-be. Az első vizsgálat az összes helyi meghajtó elindítását jelenti (kivéve az illesztőprogram-CD-t). A második vizsgálat ellenőrzi az összes mobil meghajtót, és meghívja az EncrytFolder funkciót a fájlok titkosításához.
2.Fájl áthaladás
Az EncryptFolder függvény egy rekurzív függvény, amely az alábbi eljárással gyűjthet információkat a fájlokról:
Távolítsa el az útvonalakat vagy fájlmappákat a keresztfolyamat során:
Van egy érdekes mappa: „Ez a mappa véd a ransomware ellen. Megváltoztatása csökkenti a védelmet. " Amikor ezt megteszi, rájön, hogy az megfelel a ransomware védelmi szoftver védelmi mappájának.
Fájlok feltérképezése során a ransomware információkat gyűjt egy fájlról, például a fájlméretről, majd a fájlokat kiterjesztésük szerint különféle típusokba sorolja, bizonyos szabályokat betartva:
Az 1. kiterjesztés típusainak listája:
A 2. kiterjesztés típusainak listája:
3. Prioritás titkosítás
A fontos fájlok mielőbbi titkosításához a WanaCrypt0r összetett prioritási sort alakított ki:
Prioritási sor:
I. Titkosítsa a 2. típusú fájlokat, amelyek egyeznek az 1. kiterjesztési listával is. Ha a fájl kisebb, mint 0X400, akkor a titkosítási prioritás csökken.
II. Titkosítsa a 3. típusú fájlokat, amelyek egyeznek a 2. kiterjesztési listával is. Ha a fájl kisebb, mint 0X400, akkor a titkosítási prioritás csökken.
III. Titkosítson más fájlokat (0x400-nál kisebb) és más fájlokat.
4 titkosítási logika
A teljes titkosítási folyamat mind az RSA, mind az AES segítségével befejeződik. Bár az RSA titkosítási folyamat a Microsoft CryptAPI-t használja, az AES kód statikusan DLL-be van fordítva. A titkosítási folyamat az alábbi ábrán látható:
A használt kulcsok listája:
Fájlformátum titkosítás után:
Felhívjuk figyelmét, hogy a titkosítási folyamat során a ransomware vírus véletlenszerűen kiválaszt néhány titkosítandó fájlt a beépített RSA nyilvános kulcs segítségével, hogy több fájlt kínáljon, amelyeket az áldozatok ingyen visszafejthetnek.
Az ingyenes fájlok elérési útja az "f.wnry" fájlban található.
5 véletlenszerű szám kitöltése
A titkosítást követően a WanaCrypt0r véletlenszerű számokkal tölti fel az általa fontosnak tartott fájlokat, amíg teljesen megsemmisíti a fájlt, majd törlés céljából áthelyezi a fájlokat egy ideiglenes fájlkönyvtárba. Ezzel meglehetősen megnehezíti a fájl-helyreállítási eszközök számára a fájlok helyreállítását, ugyanakkor felgyorsíthatja a titkosítási folyamatot.
A kitöltött fájloknak meg kell felelniük a következő követelményeknek:
- A megadott könyvtárban (asztal, dokumentum, felhasználói mappa)
- 200 MB-nál kisebb fájl
- A fájlkiterjesztés az 1. kiterjesztéstípusok listáján található
Fájlkitöltési logika:
- Ha a fájl kisebb, mint 0x400, akkor azonos hosszúságú véletlenszámokkal fedjük le
- Ha a fájl nagyobb, mint 0x400, az utolsó 0x400-at véletlenszerű számok borítják
- Helyezze a fájlmutatót a fájl fejlécébe, és állítsa be a 0x40000 értéket adatblokkként, hogy a fájl véletlenszámokkal lefedje a végét.
6. Fájlok törlése
A WanaCrypt0r először áthelyezi a fájlokat egy ideiglenes mappába, hogy létrehozzon egy ideiglenes fájlt, majd különféle módon törli.
Amikor átmegy a meghajtókon a fájlok titkosításához, létrehoz egy ideiglenes fájlt, amelynek neve: "$ RECYCLE + auto increment + .WNCYRT" (például: "D: \\ $ RECYCLE \\ 1.WNCRYT") az aktuális meghajtón. Különösen, ha az aktuális meghajtó a rendszermeghajtó (például a driver-C), akkor a rendszer temp könyvtárát fogja használni.
Ezt követően a folyamat elindítja a taskdl.exe fájlt, és rögzített időközönként törli az ideiglenes fájlokat.
3. fejezet Adat-helyreállítási képesség
A végrehajtás logikájának elemzése során észrevettük, hogy ez a féreg véletlenszámokkal vagy 0x55-gyel írja felül a megadott követelményeknek megfelelő fájlokat a fájlszerkezetek megsemmisítése és a helyreállításuk megakadályozása érdekében. De ez a művelet csak bizonyos fájlok vagy bizonyos kiterjesztésű fájlok esetén fogadható el. Ez azt jelenti, hogy még mindig sok olyan fájl van, amelyet nem írtak felül, ami teret enged a fájlok helyreállításának.
A törlés során a féreg az eredeti fájlokat az ideiglenes fájlok mappájába helyezte a MoveFileEx függvény meghívásával. Végül az ideiglenes fájlokat tömegesen törlik. A fenti folyamat során az eredeti fájlok megváltozhatnak, de a piacon lévő jelenlegi adat-helyreállító szoftverek nincsenek tisztában ezzel, így jó néhány fájlt nem lehet sikeresen helyreállítani. Az iratok iránti igény az áldozatok helyreállítására szinte soha nem teljesül.
Más fájlok esetében a féreg egyszerűen végrehajtotta a "mozgás és törlés" parancsot. Mivel a fájlok törlésének és a fájlok áthelyezésének folyamatai egymástól elkülönülnek, a két szál versenyezni fog egymással, ami fájlmozgási hibákat okozhat a felhasználói rendszerkörnyezet eltérései miatt. Ennek eredményeként a fájl közvetlenül a jelenlegi helyén törlődik. Ebben az esetben nagy a valószínűsége annak, hogy a fájl visszaállítható.
https://360totalsecurity.com/s/ransomrecovery/
Helyreállítási módszereinkkel a titkosított fájlok nagy százaléka tökéletesen helyreállítható. Most a fájl-helyreállítási eszköz frissített 360-as verzióját fejlesztették ki, válaszul erre az igényre, hogy az áldozatok tízezreinek segítsen mérsékelni a veszteségeket és a következményeket.
A 360. május 14-én az első biztonsági szolgáltató kiadott egy fájl-helyreállító eszközt, amely sok fájlt mentett el egy ransomware vírusból. Ez az új verzió újabb lépést tesz a WanaCrypt0r logikai sebezhetőségek kihasználásában. Eltávolíthatja a vírust a további fertőzések megelőzése érdekében. Több algoritmus használatával rejtett kapcsolatokat talál az ügyfelek számára ingyenesen helyreállítható fájlok és visszafejtett fájlok között. Ez a sokoldalú helyreállítási szolgáltatás csökkentheti a ransomware támadás okozta károkat, és megvédheti a felhasználói adatok biztonságát.
4. fejezet Következtetés
A WannaCry férgek tömeges kitörése és elterjedése az MS17-010 használatával, amely a közös ransomware funkciói mellett képes önreplikálódásra és aktív terjedésre. A támadások hasznos terhelésén kívül a ransomware vírus technikai felépítése játszik a legfontosabb szerepet a támadásokban.A ransomware vírus az ASA kulcsot az RSA-2048 aszimmetrikus kriptográfiai algoritmus segítségével titkosítja. Ezután minden fájlt egy véletlenszerű AES-128 szimmetrikus titkosítási algoritmus segítségével titkosítanak. Ez azt jelenti, hogy a meglévő számításokra és módszerekre támaszkodva szinte lehetetlen visszafejteni az RSA-2048 és az AES-128 elemeket nyilvános vagy magánkulcs nélkül. A szerzők azonban hagynak néhány hibát a titkosítási folyamatban, ami biztosítja és növeli a helyreállítás lehetőségét. Ha a műveleteket elég gyorsan hajtják végre, az adatok nagy részét vissza lehet menteni.
Továbbá, mivel a váltságdíjat névtelen bitcoinokban fizetik ki, amelyekhez bárki címet szerezhet valódi igazolás nélkül, lehetetlen a támadókat cím alapján azonosítani, nemhogy ugyanazon Tulajdonos Cím különböző számlái között. Ezért egy feltörhetetlen titkosítási algoritmus és névtelen bitcoinok elfogadása miatt nagyon valószínű, hogy ez a fajta jövedelmező ransomware kitörés sokáig folytatódik. Mindenkinek legyen óvatos.
360 Helios csapat
A 360 Helios Team egy APT (Advanced Persistent Attack) kutatócsoport a Qihoo 360-nál.
A csapat elkötelezett az APT-támadások kivizsgálása, a fenyegetéses eseményekre való reagálás és a föld alatti gazdaság ipari láncainak kivizsgálása iránt.
A 2014. decemberi megalakulása óta a csapat sikeresen integrált egy hatalmas 360-as adatbázist, és létrehozott egy gyors visszafordítási és korrelációs rutint. A mai napig több mint 30 APT és földalatti gazdasági csoportot azonosítottak és azonosítottak.
A 360 Helios emellett fenyegetésértékelést és fenyegetés elhárítási megoldásokat is kínál a vállalkozások számára.
Nyilvános jelentések
Kapcsolatba lépni
Email Posta: [e-mail védett]
WeChat csoport: 360 Helios Team
Kérjük, töltse le az alábbi QR-kódot, hogy kövessen minket a WeChat-on!
Petya vírus - a váltságdíj visszafejtési igény
Néhány órával a támadás kezdete után a DATARC megkapta az első kérést, és több érintett szervert elemeztünk. Fő következtetés: igen nulla nem valószínű az adatok helyreállítása, ha a Petya vírus megtámadja - a vírus gyakran károsítja a fájlrendszert, de nem titkosítja az adatokat.
Jelenleg az elemzett károk kategóriákra oszthatók.
100% -os adat-helyreállítás lehetséges
Valószínűleg a vírus hibákat tartalmaz - nem mindig hajtja végre algoritmusát, nincs ideje az adatok titkosítására és megszakítja a rendszerbetöltőt. Ilyen kárlehetőségeket láttunk:
- Az adatok nincsenek titkosítva, az MBR sérült
- Az adatok nincsenek titkosítva, sérültek az MBR + NTFS rendszerindítóval
- Az adatok nincsenek titkosítva, az MBR + NTFS bootloader + MFT sérült - a lemezt RAW-ként érzékeli
Adat-helyreállítás lehetséges, a veszteség meghaladja a 0% -ot
Titkosítás esetén a fájlok egy része érintetlen maradhat. Ilyen kárlehetőségeket láttunk:
- Csak a C: meghajtó van titkosítva - a többi logikai meghajtó rendben marad
- A C meghajtón nem minden fájl van titkosítva:
- Csak az MFT rekord van titkosítva, a fájl tartalma változatlan marad.
A régi verzióból történő visszafejtés nem működik
A Petya jelenlegi verziója (feltehetően) a 2016-os támadás folytatása (lásd: https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ és https://securelist.com/petya-the-two -in-one-trojan / 74609 /). A régi verzióhoz egy visszafejtési kulcs kitalálási technikát hoztak létre (lásd: https://github.com/leo-stone/hack-petya). A 2017-es vírust megváltoztatták, és a régi technika nem működik.
Például a vírus régi verziójában az MBR mentésre került az 55-ös szektorba, és XOR 0x37-szel „titkosították”. Az új verzióban az MBR a 34. szektorban van tárolva, és XOR 0x07 kóddal van "titkosítva".
Titkosított MBR:
Titkosított MBR:
Petya vírus - MBR visszafejtés után
Mi a teendő, ha a számítógép megfertőződött
Olvassa el, hogyan lehet helyreállítani a vírustámadás által törölt fájlokat beépített Windows-megoldások vagy harmadik féltől származó programok használatával. Hogyan lehet helyreállítani a vírus által titkosított fájlokat. Megtámadta számítógépét vírus? Vissza akarja állítani a rosszindulatú programok által törölt fájlokat? Ebben a cikkben megpróbálunk elmondani egy előre nem látható helyzet kijavításának szokásos módjairól és a törölt fájlok helyreállításának különféle lehetőségeiről.
Tartalom:
Bevezetés
Az elektronikus technológiák és kommunikációs eszközök fejlődésével jelentősen kibővült a felhasználók által használt információk köre és mennyisége, amikor különféle műveleteket hajtanak végre, amelyek mind a szakmai, mind az ipari tevékenységhez közvetlenül kapcsolódnak, és amelyek utóbbi kommunikációjának, kommunikációjának, játékainak és szórakozásának biztosítását célozzák.
A különféle kialakítású számítástechnikai eszközök segítenek a bejövő és kimenő adatfolyamok teljes ellenőrzése alatt, azonnali feldolgozásban, a végleges kötettől függetlenül, és a biztonságos tárolás érdekében.
Helyhez kötött személyi számítógépek és laptopok, beleértve azok bármilyen kombinációját (ultrabookok, netbookok, átalakítható laptopok, nettók), táblagépeket, okostelefonokat és kommunikátorokat stb. teljes mértékben kielégíti a felhasználók folyamatosan növekvő igényeit az információval való munka során, és megfelel a legfrissebb információs szabványoknak.
A felhasználók körében a legnépszerűbb elektronikus eszközök listájában a legszélesebb körben a személyi számítógépek és a laptopok találhatók. A számítógépes eszközök (ultragyors processzorok, nagymértékben funkcionáló alaplapok, progresszív memóriakártyák, kapacitív tárolóeszközök stb.) Gazdag belső tartalma és a modern, nagy teljesítményű szoftverek jogszerűen lehetővé teszik számukra, hogy vezető pozíciót töltsenek be az információk feldolgozásában és tárolásában , a világban.
A terjesztés szélességét és a használt eszközök számát tekintve az okostelefonok és a kommunikátorok megközelítik őket. A nagyfokú mobilitás, a miniatűr méret, a kellően magas funkcionalitás és az elérhető alkalmazások széles skálája miatt az okostelefonok arra törekszenek, hogy bizonyos műveletek végrehajtása során illeszkedjenek egymáshoz, és ha lehetséges, kicseréljék a számítógépeket és laptopokat.
A nemzetközi információs számítógépes hálózat fejlesztése "Az internet" felgyorsította a felhasználók számára a különféle számítógépes eszközök terjesztését és használatát a problémák megoldása érdekében, anélkül, hogy szükségszerűen egy adott eszközhöz vagy munkahelyhez lenne kötve. A kiterjedt adatbázis használata, az információk távoli használata és feldolgozása jelentősen népszerűvé tette a számítógépes eszközöket, és felgyorsította az átállást az információk digitális módban történő tárolására.
Az információ digitális formátumára való széles körű áttéréssel a felhasználói adatok legtöbb típusát (személyes, társadalmi, nyilvános és üzleti) különféle számítógépes eszközök tárolják, dolgozzák fel, továbbítják és szolgálják ki. Ebben a tekintetben az összes eszköz legfontosabb követelménye a kötelező magas fokú adatbiztonság és azok védelme harmadik felek jogosulatlan cselekedeteivel szemben.
A felhasználói adatok egyik leggyakoribb kártékony hatása a rosszindulatú szoftverek által okozott vírustámadások.
Az ilyen programok tevékenységi köre és funkcionalitása szokatlanul széles, köszönhetően a nemzetközi információs hálózatnak "Az internet", terjesztésük szintje elérte a globális skálát.
A felhasználó számítógépes eszközének vírussal történő megfertőzése nemkívánatos következményekkel járhat, amelyek közül a leggyakoribb a felhasználói fájlok törlése. A fájlok vírusprogramoknak való kitettség utáni helyreállításáról később cikkünkben lesz szó.
A legtöbb számítógép-felhasználó hallotta, és sokan közvetlenül találkoztak a számítógépes vírusok negatív hatásainak következményeivel, a felhasználói fájlokra gyakorolt \u200b\u200bhatásukkal és a személyi számítógép egészének általános teljesítményével. Felhasználói fájlok szándékos törlése vagy károsítása, az operációs rendszer vagy a számítógép bizonyos elemeihez való hozzáférés blokkolása, a fájlok szelektív titkosítása és struktúrájának megváltoztatása, a partíciós tábla törlése vagy törlése, a személyi számítógép irányításának átadása hackereknek, a felhasználó számítógépének távoli hackeléshez vagy egyéb rosszindulatú műveletekhez való felhasználása, személyazonosság-lopás, spamelés stb. - csak egy része azoknak a műveleteknek, amelyek egy számítógépes eszköz vírussal való fertőzéséhez vezethetnek.
A programot merevlemezekről és külső meghajtókról, valamint bármely más tárolóeszközről származó adatok helyreállítására tervezték. Ötvözi azokat a progresszív algoritmusokat, amelyek lehetővé teszik a törölt információk elemzését és megkeresését a későbbi helyreállításhoz, az adatok visszaküldéséhez a rendszer meghibásodása és a különböző rendszerhibák után, a sérült, olvashatatlan, nem működő vagy sérült lemezekről történő információk olvasásához az elveszett vagy nem megfelelő hozzáférés későbbi biztosításához. elérhetetlen fájlok. támogatja az operációs rendszerben használt fájlrendszerek teljes skáláját "Ablakok" javítja az esetleges hibákat a merevlemez logikai felépítésében az elveszett tartalmak biztonságos helyreállítása érdekében.
A program külön előnye, hogy helyreállíthatja a vírustámadások következtében sérült, sérült vagy blokkolt információkat. Az innovatív algoritmusok sorozatának köszönhetően a fájlok helyreállíthatók minden olyan rosszindulatú vírusos hatás után, amely a felhasználói adatok megsemmisüléséhez vagy az azokhoz való hozzáférés hiányához vezet.
Töltse le a program telepítőfájlját a vállalat hivatalos weboldaláról Hetman szoftver és futtassa. A lépésenkénti szoftver telepítési varázsló az egyes paraméterek konfigurálása után, például a telepítési útvonal megadása vagy a parancsikon létrehozása az asztalon, lehetővé teszi a program gyors és sikeres telepítését a felhasználó személyi számítógépére további felhasználás céljából.
A telepítés befejezése után nyissa meg a telepített programot. A program beépített eszközei elvégzik a rendszer kezdeti elemzését, és megjelenítik a személyi számítógéphez csatlakoztatott összes tárolóeszközt.
Válasszon egy merevlemez-partíciót vagy egy teljes fizikai meghajtót úgy, hogy duplán kattint az ikonjára a programablakban. A program aktiválja a fájl-helyreállító varázsló elindítását, amely arra készteti a felhasználókat, hogy határozzák meg az adott pillanatban szükséges rendszerelemzés típusát. Vírustámadás következtében fájlok elvesztése esetén válassza a teljes elemzési lehetőséget a kijelölt lemezen található összes lehetséges információ kereséséhez és visszaállításához a megfelelő cellával szembeni mutató (pont) beállításával "Teljes elemzés (az összes lehetséges információ keresése)"... Az elemzés kiválasztása után nyomja meg a gombot "További" és indítsa el a helyreállítási folyamatot.
A meghajtó belső térfogatától, az információk károsodásának mértékétől, a fájlrendszertől és számos egyéb kiegészítő paramétertől függően a törölt fájlok elemzésének és keresésének eljárása eltérő időt vehet igénybe: több perctől több óráig. Egy lineáris előrehaladási sáv értesíti a felhasználókat a teljes helyreállítási folyamat befejezésének százalékos arányáról, és ezen felül megjeleníti a becsült teljes befejezési időt.
A helyreállítási folyamat végén az észlelt fájlok és mappák teljes listája megjelenik a programablakban, amelynek felhasználói felülete a lehető legközelebb áll a fájlkezelő megjelenéséhez "Ablakok" a végfelhasználók kényelme érdekében. Az egyes fájlokra kattintva a felhasználók megtekinthetik azok tartalmát, amelyek megjelennek az előnézeti ablakban. A szükséges fájlok kiválasztásával és az ablakba helyezésével "Helyreállítási lista" normál húzással meg kell nyomnia a gombot "Visszaállítás", amely a program főmenüjének szalagján található és mentőgyűrű formájában jelenik meg, a megjelölt adatok későbbi mentéséhez.
A File Recovery Assistant arra kéri a felhasználókat, hogy döntsenek a kiválasztott elemek mentésének négy lehetséges módjának egyikéről: mentés merevlemezre vagy bármely más álló vagy cserélhető adathordozóra, optikai lemezre történő felvétel, létrehozás "ISO kép" fájlok helyreállítása vagy az adatok kirakása "FTP protokoll"... Több további szükséges paraméter megadásával, például a helyreállított fájlok mentésének útvonalával, a felhasználók a kiválasztott feltételeknek megfelelően menthetik adataikat.
Most megnyithatja a helyreállított fájlokkal ellátott mappát, és ellenőrizheti azok teljes működését.
Ma, amikor az információs technológia fejlődése hatalmas ütemben zajlik, szinte minden számítógép-felhasználó ismeri a vírusfertőzés veszélyét, annak kiküszöbölésének és a rendszer megfelelő szintű biztonsági fenntartásának fontosságát. Van azonban néhány árnyalat, amikor a rendszert megtisztítják a rosszindulatú fertőzésektől.
Amikor a vírus eléri a rendszert, szaporodni kezd és károsítja a felhasználói adatokat és az egész operációs rendszert, negatívan befolyásolva annak teljesítményét. Ezért a legjobb megoldás az lenne, ha megakadályoznánk a vírus bejutását a rendszerbe, és olyan víruskereső programot használnánk, amely hatékony védelemmel rendelkezik a rosszindulatú programok rosszindulatú behatolása ellen.
Ha azonban a fertőzés már megtörtént, akkor az a természetes vágy, hogy azonnal megtisztítsa az operációs rendszert a vírustól, negatív következményekkel járhat. A víruskereső program a vírus eltávolítása közben néhány hasznos fájlt is törölhet a felhasználó számítógépéről, a használt algoritmusnak megfelelően. Ennek következtében ez további károkhoz és további fájlok törléséhez vezethet a felhasználó számítógépén, vagy egyes adatok helyrehozhatatlan elveszítéséhez vezethet. Ezért a legjobb, ha a vírustisztítási eljárás megkezdése előtt teljesen befejezi az adatmentési folyamatot.
Következtetés
A számítógépes eszközök széles körű használata, egyszerű használatuk és széles funkcionalitásuk vezető pozíciót biztosítanak számukra a különféle információk feldolgozásában és tárolásában. Tekintettel a számítógépes eszközök nagy népszerűségére és az információs számítógépes hálózat fejlesztésére "Az internet" és a legtöbb adattípus digitális formátumba történő kötelező átalakítása jelentősen megnöveli annak kockázatát, hogy rosszindulatú programoknak vannak kitéve, amelyek célja a felhasználói adatok károsítása vagy csalárd célból történő lopás.
A vírusokat minden nap fejlesztik, számuk hatalmas ütemben növekszik, és jelentős kárt okoz a felhasználóknak és az adataiknak. A nagy teljesítményű, fejlett víruskereső programok használata jelentősen csökkenti a számítógépes eszközök megfertőzésének kockázatát, de a vírusalgoritmusok által használt rendszerszintű sebezhetőségek keresésének széles skálája miatt nem nyújt teljes garanciát az adatbiztonságra. Ennek eredményeként a felhasználók információi károsodhatnak vagy teljesen elveszhetnek.
Az operációs rendszer azonban "Ablakok" beépített eszközökkel rendelkezik a rendszer teljesítményének biztonsági mentésére és helyreállítására, amelyek a legtöbb esetben segítenek a felhasználóknak az elveszett adatok helyreállításában.
Bizonyos esetekben a rendszer védőeszközeit "Ablakok" nem elég. Ezért fontos, hogy rendelkezésre álljon egy professzionális fájl-helyreállító szoftver, amely helyreállíthatja a vírusfertőzés és más különféle okok miatt elveszett felhasználói információkat.
Ma talán csak az az ember, aki nagyon távol áll az internettől, nem tud a WannaCry ("sírni akarok") ransomware trójai programmal a számítógépek 2017. május 12-én kezdődött tömeges fertőzéséről. És az ismerők reakcióját 2 ellentétes kategóriába osztanám: közöny és pánik. Mit is jelent ez?
És az a tény, hogy a töredékes információk nem adják meg a helyzet teljes megértését, spekulációkra adnak okot, és több kérdést hagynak maguk után, mint választ. Annak érdekében, hogy megértsük, mi történik valójában, kinek és mit fenyeget, hogyan védekezhetünk a fertőzésekkel szemben, és hogyan lehet visszafejteni a WannaCry által megrongálódott fájlokat, a mai cikket szenteltük.
Tényleg olyan ijesztő az "ördög"
Nem értem, miféle felhajtás körülSírni akar? Sok vírus van, folyamatosan újak jelennek meg. Mi a különleges ebben?
A WannaCry (más néven WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nem egy közönséges számítógépes kártevő. Hírhedtségének oka az okozott óriási kár. Az Europol szerint a világ 150 országában több mint 200 000 Windows számítógép munkáját zavarta meg, és a tulajdonosok által elszenvedett kár több mint 1 000 000 000 dollárt tett ki. És ez csak a terjesztés első 4 napjában történik. Az áldozatok többsége Oroszországban és Ukrajnában tartózkodik.
Tudom, hogy a vírusok felnőtt oldalakon hatolnak be a számítógépekbe. Nem látogatok ilyen erőforrásokat, ezért nem vagyok veszélyben.
Vírus? Ez nekem is probléma. Amikor a vírusok elindulnak a számítógépemen, elindítom a segédprogramot ***, és fél óra múlva minden rendben van. Ha pedig nem segít, akkor újratelepítem a Windows rendszert.
Vírus - vírus - viszály. A WannaCry egy ransomware trójai program, egy hálózati féreg, amely emberi beavatkozás nélkül képes a helyi hálózatokon és az interneten terjedni egyik számítógépről a másikra.
A legtöbb rosszindulatú program, beleértve a ransomware programot is, csak akkor kezd működni, ha a felhasználó „lenyeli a csalit”, vagyis rákattint egy linkre, megnyit egy fájlt stb. nem kell semmit tennie, hogy megfertõzõdjön a WannaCry-vel!
A Windows rendszerű számítógépen a kártevő rövid idő alatt titkosítja a felhasználói fájlok nagy részét, ezután 300-600 dollár összegű váltságdíjat követelő üzenetet jelenít meg, amelyet 3 napon belül át kell utalni a megadott pénztárcába. Késedelem esetén azzal fenyeget, hogy 7 nap alatt lehetetlenné teszi a fájlok visszafejtését.
Ugyanakkor a kártevő kiskapukat keres, hogy behatolhassanak más számítógépekbe, és ha megtalálja, megfertőzi az egész helyi hálózatot. Ez azt jelenti, hogy a szomszédos gépeken tárolt fájlok biztonsági másolatai is használhatatlanná válnak.
A vírus eltávolítása a számítógépről nem fejti ki a fájlok visszafejtését! Az operációs rendszer újratelepítése ugyanaz. Éppen ellenkezőleg, ha ransomware fertőzött, mindkét művelet lehetetlenné teheti a fájlok helyreállítását, még akkor is, ha van érvényes kulcsa.
Tehát igen, az "ördög" elég félelmetes.
Hogyan terjed a WannaCry
Hazudsz. A vírus csak akkor képes behatolni a számítógépembe, ha magam töltöm le. És éber vagyok.
Számos rosszindulatú program sebezhetőség révén képes megfertőzni a számítógépeket (és egyébként a mobil eszközöket is) - az operációs rendszer összetevőinek és programjainak hibáiban, amelyek megnyitják a lehetőséget az internetes támadók számára, hogy távoli gépet használhassanak saját céljaikra. A WannaCry különösen az SMB protokoll 0 napos sebezhetőségén keresztül terjed (a nulla napos sebezhetőségek olyan hibák, amelyeket kártevő / kémprogramok nem javítottak ki kihasználásuk idején).
Vagyis egy számítógép megfertőzéséhez egy titkosító féreg két feltétel elegendő:
- Csatlakozás egy olyan hálózathoz, ahol vannak más fertőzött gépek (Internet).
- A fenti kiskapu jelenléte a rendszerben.
Honnan jött ez a fertőzés? Ezek az orosz hackerek trükkjei?
Egyes jelentések szerint (nem vagyok felelős a pontosságért) az Egyesült Államok Nemzetbiztonsági Ügynöksége fedezte fel elsőként az SMB hálózati protokoll hibáját, amelyet a Windows fájlokhoz és nyomtatókhoz történő legális távoli elérésére használnak. Ahelyett, hogy jelentette volna a Microsoftnak a hiba kijavítása érdekében, az NSA úgy döntött, hogy maguk használják, és ehhez kihasználást fejlesztettek ki (egy programot, amely kihasználja a sérülékenységet).
A WannaCry terjedési dinamikájának vizualizálása az intel.malwaretech.com oldalon Ezt követően ezt a kihasználást (kódneve: EternalBlue), amelyet az NSA egy ideig arra szolgált, hogy a tulajdonosok tudta nélkül behatoljon a számítógépekbe, a hackerek ellopták, és ez jelentette az alapot a ransomware WannaCry létrehozásához. Vagyis az amerikai kormány nem teljesen törvényes és etikus cselekedeteinek köszönhetően a vírusírók megismerhették a sebezhetőséget.
Letiltottam a frissítések telepítésétAblakok. A Nafig akkor szükséges, ha minden nélkülük működik.
A járvány ilyen gyors és nagymértékű terjedésének oka az, hogy abban az időben hiányzik a "javítás" - egy Windows-frissítés, amely megszüntetheti a Wanna Cry kiskaput. Végül is idő kellett a fejlesztéséhez.
Ma létezik ilyen javítás. A rendszert frissítő felhasználók a kiadást követő első órákban automatikusan megkapják. És akik úgy gondolják, hogy a frissítések feleslegesek, továbbra is fennáll a fertőzés veszélye.
Kit fenyeget a WannaCry támadása és hogyan védekezhet ellene
Ha jól tudom, a számítógépek több mint 90% -a fertőzöttWannaCry, kontroll alatt futottWindows 7. Nekem van tíz, ami azt jelenti, hogy semmi sem fenyeget.
Az összes SMB v1 hálózati protokollt használó operációs rendszert veszélyezteti a WannaCry fertőzés. Azt:
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 8.1
- Windows RT 8.1
- Windows 10 v 1511
- Windows 10 v 1607
- Windows Server 2003
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
Ma azoknak a rendszereknek a felhasználóit fenyegeti, hogy nincsenek telepítve a rendszeren a rosszindulatú programok. kritikus biztonsági frissítés: MS17-010 (ingyenesen letölthető a linkelt technet.microsoft.com webhelyről). A Windows XP, a Windows Server 2003, a Windows 8 és más nem támogatott operációs rendszerek javításai letölthetők erről az oldalról support.microsoft.com ... Azt is leírja, hogyan lehet ellenőrizni a mentési frissítést.
Ha nem ismeri az operációs rendszer verzióját a számítógépén, nyomja meg a Win + R billentyűkombinációt, és futtassa a winver parancsot.
A védelem megerősítése érdekében, valamint ha a rendszer frissítése most lehetetlen, a Microsoft utasításokat ad az SMB 1-es verziójának ideiglenes letiltására. Emellett, de nem feltétlenül, bezárhatja az SMB-t kiszolgáló TCP-portot a 445 tűzfalon keresztül.
Nekem van a világon a legjobb víruskereső ***, ezzel bármit megtehetek, és nem félek semmitől.
A WannaCry nemcsak a fent leírt önterjesztéssel terjedhet, hanem a szokásos módon is - közösségi hálózatokon, e-mailen keresztül, fertőzött és adathalász internetes forrásokon keresztül stb. És vannak ilyen esetek is. Ha kézzel tölt le és futtat egy rosszindulatú programot, akkor sem a víruskereső, sem a sérülékenységet lezáró javítások nem mentenek meg a fertőzéstől.
Hogyan működik a vírus, mit titkosít
Igen, hadd titkosítsa, amit akar. A barátom programozó, mindent megfejt nekem. Utolsó megoldásként nyers erővel találjuk meg a kulcsot.
Nos, titkosít egy pár fájlt, akkor mi van? Ez nem fog megakadályozni abban, hogy a számítógépemen dolgozzak.
Sajnos nem fogja visszafejteni, mert nincs mód arra, hogy megtörje az RSA-2048 titkosítási algoritmust, amelyet a Wanna Cry használ, és amely belátható időn belül nem jelenik meg. És nem pár fájlt fog titkosítani, de szinte mindent.
Nem adok részletes leírást a rosszindulatú program munkájáról, bárki érdeklődő megismerkedhet annak elemzésével, például a Microsoft szakértője, Matt Suiche blogjában. Csak a legjelentősebb pillanatokat említem.
A következő kiterjesztésű fájlok titkosítva vannak: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt ,. xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg ,. djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .osztály, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf ,. ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx , .der.
Mint látható, vannak különféle programokban létrehozott dokumentumok, fényképek, video-audio, archívumok, levelek és fájlok ... A kártevő megpróbálja elérni a rendszer minden könyvtárát.
A titkosított objektumok duplán bővülnek utószóval WNCRY, például: "Document1.doc.WNCRY".
Titkosítás után a vírus futtatható fájlt másol minden mappába @[e-mail védett] - látszólag váltságdíj utáni visszafejtéshez, valamint szöveges dokumentumhoz @[e-mail védett] üzenettel a felhasználónak.
Ezután megpróbálja kitörölni az árnyékmásolatokat és a Windows visszaállítási pontjait. Ha a rendszer UAC-t futtat, a felhasználónak meg kell erősítenie ezt a műveletet. Ha elutasítja a kérést, akkor lehetősége lesz visszaállítani az adatokat a másolatokból.
A WannaCry továbbítja az érintett rendszer titkosítási kulcsait a Tor hálózatban található parancsközpontoknak, majd törli őket a számítógépről. Más sérülékeny gépek megtalálásához átvizsgálja a helyi hálózatot és az Internet tetszőleges IP-tartományait, és ha megtalálta, mindent behatol, ahová eljuthat.
Ma az elemzők ismerik a WannaCry számos módosítását, különböző terjesztési mechanizmusokkal, és a közeljövőben újabbak megjelenésére kell számítanunk.
Mi a teendő, ha a WannaCry már megfertőzte a számítógépedet
Látom, hogy a fájlok megváltoztatják a kiterjesztéseket. Mi történik? Hogyan lehet ezt megállítani?
A titkosítás nem egylépéses folyamat, bár nem túl hosszú. Ha még azelőtt észrevette, hogy a ransomware üzenet megjelenik a képernyőn, akkor a fájlok egy részét kikapcsolhatja a számítógép áramellátásának azonnali kikapcsolásával. Nem a rendszer leállítása, de a dugó kihúzásával!
A Windows rendes indításakor a titkosítás folytatódik, ezért fontos megakadályozni. A számítógép következő indításának biztonságos módban kell történnie, amelyben a vírusok nem aktívak, vagy egy másik indítható adathordozóról.
A fájljaim titkosítva vannak! A vírus váltságdíjat követel nekik! Mit kell tenni, hogyan kell visszafejteni?
A fájlok visszafejtése a WannaCry után csak akkor lehetséges, ha van egy titkos kulcs, amelyet a támadók megígérnek, hogy megadnak, amint az áldozat átutalja nekik a váltságdíjat. Az ilyen ígéretek azonban szinte soha nem teljesülnek: miért kell a kártékony programok terjesztőinek bajlódniuk, ha már megkapták, amit akartak?
Bizonyos esetekben a probléma váltságdíj nélkül megoldható. A mai napig 2 WannaCry dekódert fejlesztettek ki: WannaKey(Adrien Guinet írta) és WanaKiwi(Benjamin Delpy). Az első csak Windows XP rendszerben működik, a második pedig az első alapján - Windows XP, Vista és 7 x86, valamint a 2003, 2008 és 2008R2 x86 északi rendszerekben.
Mindkét visszafejtő működési algoritmusa a titkos kulcsok keresésén alapszik a titkosítási folyamat memóriájában. Ez azt jelenti, hogy csak azoknak van esélyük a visszafejtésre, akiknek nem volt idejük újraindítani a számítógépet. És ha a titkosítás után nem telt el túl sok idő (a memóriát nem írta felül egy másik folyamat).
Tehát, ha Ön Windows XP-7 x86-os felhasználó, akkor a váltságdíjas üzenet megjelenése után először meg kell szakítania a számítógépet a helyi hálózattól és az internetről, és futtatnia kell egy másik eszközre letöltött WanaKiwi dekódolót. A kulcs eltávolítása előtt ne végezzen más műveleteket a számítógépen!
A WanaKiwi dekódoló munkájának leírását Matt Suiche másik blogjában olvashatja el.
A fájlok visszafejtése után futtasson víruskeresőt a kártevő eltávolításához, és telepítsen egy javítást, amely bezárja a terjesztési útvonalakat.
Ma a WannaCry szinte az összes víruskereső programot felismeri, kivéve azokat, amelyek nincsenek frissítve, így szinte bármelyik megteszi.
Hogyan éljem tovább ezt az életet
Az önjáró járvány meglepetést okozott a világnak. Mindenféle biztonsági szolgálat esetében ez váratlanul kiderült, mint a közüzemek december 1-jei télének kezdete. Ennek oka a figyelmetlenség és talán. Ennek következményei a helyrehozhatatlan adatvesztés és károkozás. És a rosszindulatú programok készítői számára - ösztönzés arra, hogy ugyanabban a szellemben folytassák.Elemzők szerint a WanaCry nagyon jó osztalékot fizetett a terjesztőknek, ami azt jelenti, hogy az ilyen támadások megismétlődnek. És akiket most elvisznek, azokat nem feltétlenül kell később elszállítani. Természetesen, ha nem aggódik előre.
Tehát, hogy soha ne kelljen sírni a titkosított fájlok miatt:
- Ne tagadja meg az operációs rendszer és az alkalmazások frissítéseinek telepítését. Ez megvédi Önt a nem javított biztonsági réseken keresztül terjedő fenyegetések 99% -ától.
- Tarts ki.
- Készítsen biztonsági másolatot a fontos fájlokról, és tárolja azokat egy másik fizikai adathordozón, vagy jobb esetben - több helyen. A vállalati hálózatokban az optimális az elosztott tárhely-adatbázisok használata; az otthoni felhasználók ingyenes felhőszolgáltatásokat vehetnek igénybe, mint például a Yandex Drive, a Google Drive, a OneDrive, a MEGASynk stb. Ne tartsa futtatva ezeket az alkalmazásokat, ha éppen nem használja őket.
- Válasszon megbízható operációs rendszereket. A Windows XP nem az.
- Telepítsen egy átfogó, az Internet Security osztályú vírusirtót és további védelmet a ransomware ellen, például a Kaspersky Endpoint Security ellen. Vagy más fejlesztők analógjai.
- Javítsa az írástudás szintjét a trójai-ransomware elleni küzdelemben. Például a víruskereső Dr.Web képzési tanfolyamokat készített a különféle rendszerek felhasználói és rendszergazdái számára. Sok hasznos és ami fontos, megbízható információt tartalmaz más A / V fejlesztők blogjai.
És ami a legfontosabb: akkor sem, ha szenvedett, ne utaljon pénzt kibernetikus bűnözőknek visszafejtés céljából. Annak a valószínűsége, hogy becsapnak, 99%. Sőt, ha senki sem fizet, a zsarolási üzlet értelmetlenné válik. Ellenkező esetben egy ilyen fertőzés terjedése csak növekedni fog.
