დაშიფრული ფაილების აღდგენა. დაშიფრული მონაცემების აღდგენა WannaCry ransomware ვირუსის გამოყენებით: შესაძლებლობა და გამოსავალი

ფრანგული კომპანია Quarkslab-ის სპეციალისტი ადრიენ გინე იტყობინება, რომ მან იპოვა გამოსასყიდი პროგრამის შეტევის შედეგად დაზიანებული მონაცემების გაშიფვრის გზა. სამწუხაროდ, ეს მეთოდი მუშაობს მხოლოდ Windows XP ოპერაციულ სისტემაზე და არა ყველა შემთხვევაში, მაგრამ არაფერზე უკეთესია.

არც ისე დიდი ხნის წინ, ინტერნეტში გამოჩნდა ახალი ვირუსი (და მისი მრავალი მოდიფიკაცია), რომელიც დაშიფვრა ფაილებს თქვენს კომპიუტერში და შესთავაზა პროგრამის შეკვეთა ფულის სანაცვლოდ. ამ შემთხვევაში, დაშიფრულ ფაილებს ერქმევა სახელი და მიენიჭება მსგავსი სახელები

DSC00122.JPG. [ელფოსტა დაცულია] _XO101

შერჩეული ნაწილი შედგება ვირუსის ავტორის ელფოსტაზე (რომელსაც ვირუსის „მსხვერპლი“ გაუგზავნის გაშიფვრის მოთხოვნას) და ვირუსის მოდიფიკაციის იდენტიფიკატორს. ვირუსის თითოეულ მოდიფიკაციას აქვს საკუთარი დაშიფვრის ალგორითმი და, შესაბამისად, მოითხოვს საკუთარ გაშიფვრას.

საბედნიეროდ, Dr.Web-ის დეველოპერები ყურადღებით მოეკიდნენ ამ საკითხს და მზად არიან უზრუნველყონ სპეციალური პროგრამა, რომელიც შიფრავს ვირუსით დაზიანებულ ფაილებს. მოხერხებულობისთვის, ქვემოთ მე ვაქვეყნებ თავად პროგრამას და მოკლე ინსტრუქციებს მისი გამოყენების შესახებ.

(პაროლი არის ჩემი საიტის სახელი "http://"-ის გარეშე)

ქვემოთ მოცემულია მოკლე ინსტრუქციები.

ჩამოტვირთეთ აღდგენის პროგრამა, გახსენით არქივი ცარიელ საქაღალდეში მარტივი სახელით (მაგალითად, ” C: \_დეკ"). შემდეგ გახსენით ბრძანების ხაზი (Start - Run - cmd) და ჩაწერეთ შემდეგი:

Აქ " [ელფოსტა დაცულია] _XO101"ეს არის პრეფიქსი, რომლითაც თქვენს ფაილებს ვირუსი ეწოდა, ყურადღება მიაქციეთ წერტილს დასაწყისში. ა c:\myfiles\- ეს არის საქაღალდე, რომელშიც მდებარეობს თქვენი დაშიფრული ფაილები. პროგრამის გაშვების შემდეგ გაიხსნება დადასტურების ფანჯარა

და ღილაკზე „გაგრძელება“ დაჭერის შემდეგ დაიწყება ავტომატური მკურნალობა. პროგრამის დასრულების შემდეგ თქვენ მიიღებთ ანგარიშს და ყველა გაშიფრული ფაილი განთავსდება დაშიფრული ფაილების გვერდით თქვენს მიერ მითითებულ საქაღალდეში (პროგრამა არ შლის ფაილების დაშიფრულ ვერსიებს).

პროგრამის ავტორები არ იძლევიან გარანტიას ყველა ფაილის 100%-იან მკურნალობაზე და მე არ მაქვს შესაძლებლობა შევამოწმო მისი მოქმედება ფაილების დიდ რაოდენობაზე, ასე რომ გთხოვთ: ვინც მოახერხა ფაილების განკურნება ამ უტილიტით (ან არ გამოუვიდა) - დაწერეთ კომენტარებში.

Სულ ეს არის! Იყოს ჯანმრთელი!

P.S. თქვენი კომპიუტერის ინფიცირების თავიდან ასაცილებლად, უკვე შეიძინეთ იგი ნორმალური ანტივირუსი. მე ვიყენებ Kaspersky Internet Security-ს, მაგრამ, როგორც ჩანს, Dr.Web ასევე საკმაოდ კარგია. მერწმუნეთ, წელიწადში ერთი და ნახევარი ათასი მანეთი სიმშვიდისთვის და მომავლის ნდობისთვის სასაცილო ფასია.

დაახლოებით ერთი-ორი კვირის წინ ინტერნეტში გამოჩნდა თანამედროვე ვირუსების შემქმნელების კიდევ ერთი ჰაკი, რომელიც შიფრავს მომხმარებლის ყველა ფაილს. კიდევ ერთხელ განვიხილავ კითხვას, თუ როგორ უნდა განკურნოს კომპიუტერი გამოსასყიდის ვირუსის შემდეგ დაშიფრული000007და აღადგინეთ დაშიფრული ფაილები. ამ შემთხვევაში არაფერი ახალი ან უნიკალური არ გამოჩნდა, მხოლოდ წინა ვერსიის მოდიფიკაცია.

ფაილების გარანტირებული გაშიფვრა ransomware ვირუსის შემდეგ - dr-shifro.ru. სამუშაოს დეტალები და მომხმარებელთან ურთიერთობის სქემა მოცემულია ქვემოთ ჩემს სტატიაში ან ვებსაიტზე "სამუშაო პროცედურის" განყოფილებაში.

CRYPTED000007 ransomware ვირუსის აღწერა

CRYPTED000007 შიფრატორი არსებითად არ განსხვავდება მისი წინამორბედებისგან. იგი მუშაობს თითქმის ზუსტად იგივე გზით. მაგრამ მაინც არსებობს რამდენიმე ნიუანსი, რომელიც განასხვავებს მას. ყველაფერს თანმიმდევრობით მოგიყვებით.

ის ჩამოდის, ისევე როგორც მისი ანალოგები, ფოსტით. სოციალური ინჟინერიის ტექნიკა გამოიყენება იმისთვის, რომ მომხმარებელი დაინტერესდეს წერილით და გახსნას იგი. ჩემს შემთხვევაში, წერილში საუბარი იყო ერთგვარ სასამართლოზე და დანართში მოცემულ საქმის შესახებ მნიშვნელოვან ინფორმაციას. დანართის გაშვების შემდეგ მომხმარებელი ხსნის Word დოკუმენტს მოსკოვის საარბიტრაჟო სასამართლოს ამონაწერით.

დოკუმენტის გახსნის პარალელურად იწყება ფაილის დაშიფვრა. Windows მომხმარებლის ანგარიშის კონტროლის სისტემისგან საინფორმაციო შეტყობინება მუდმივად გამოჩნდება.

თუ დაეთანხმებით წინადადებას, მაშინ Windows-ის ჩრდილოვანი ასლების ფაილების სარეზერვო ასლები წაიშლება და ინფორმაციის აღდგენა ძალიან რთული იქნება. აშკარაა, რომ თქვენ ვერ დაეთანხმებით წინადადებას არავითარ შემთხვევაში. ამ შიფრატორში ეს მოთხოვნები მუდმივად ჩნდება ერთმანეთის მიყოლებით და არ ჩერდება, რაც მომხმარებელს აიძულებს დათანხმდეს და წაშალოს სარეზერვო ასლები. ეს არის მთავარი განსხვავება შიფრატორების წინა მოდიფიკაციებისგან. არასდროს შემხვედრია ჩრდილოვანი ასლების წაშლის მოთხოვნა შეჩერების გარეშე. ჩვეულებრივ, 5-10 შეთავაზების შემდეგ ჩერდებოდნენ.

სასწრაფოდ გავცემ რეკომენდაციას სამომავლოდ. ძალიან ხშირია ადამიანების მიერ მომხმარებლის ანგარიშის კონტროლის გაფრთხილებების გამორთვა. არ არის საჭირო ამის გაკეთება. ეს მექანიზმი ნამდვილად დაგეხმარებათ ვირუსების წინააღმდეგობის გაწევაში. მეორე აშკარა რჩევა არის მუდმივად არ იმუშაოთ კომპიუტერის ადმინისტრატორის ანგარიშით, თუ ამის ობიექტური საჭიროება არ არის. ამ შემთხვევაში ვირუსს დიდი ზიანის მიყენების შესაძლებლობა არ ექნება. უფრო მეტი შანსი გექნებათ მას წინააღმდეგობის გაწევა.

მაგრამ მაშინაც კი, თუ თქვენ ყოველთვის უარყოფითად პასუხობდით გამოსასყიდის მოთხოვნებს, თქვენი ყველა მონაცემი უკვე დაშიფრულია. დაშიფვრის პროცესის დასრულების შემდეგ, თქვენს სამუშაო მაგიდაზე ნახავთ სურათს.

ამავე დროს, თქვენს სამუშაო მაგიდაზე იქნება ბევრი ტექსტური ფაილი იგივე შინაარსით.

თქვენი ფაილები დაშიფრულია. ux-ის გაშიფვრისთვის, თქვენ უნდა გამოაგზავნოთ კოდი: 329D54752553ED978F94|0 ელფოსტის მისამართზე [ელფოსტა დაცულია]. შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას. დამოუკიდებლად გაშიფვრის მცდელობა არ გამოიწვევს სხვა რამეს, გარდა ინფორმაციის შეუქცევადი რაოდენობისა. თუ მაინც გსურთ სცადოთ, მაშინ ჯერ გააკეთეთ ფაილების სარეზერვო ასლები, წინააღმდეგ შემთხვევაში, ცვლილების შემთხვევაში, გაშიფვრა შეუძლებელი გახდება ნებისმიერ ვითარებაში. თუ არ მიგიღიათ შეტყობინება ზემოთ მოცემულ მისამართზე 48 საათის განმავლობაში (მხოლოდ ამ შემთხვევაში!), გამოიყენეთ საკონტაქტო ფორმა. ეს შეიძლება გაკეთდეს ორი გზით: 1) ჩამოტვირთეთ და დააინსტალირეთ Tor ბრაუზერი ბმულის გამოყენებით: https://www.torproject.org/download/download-easy.html.en Tor Browser-ის მისამართზე შეიყვანეთ მისამართი: http: //cryptsen7fo43rr6 .onion/ და დააჭირეთ Enter. გვერდი საკონტაქტო ფორმით ჩაიტვირთება. 2) ნებისმიერ ბრაუზერში გადადით ერთ-ერთ მისამართზე: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ თქვენს კომპიუტერში არსებული ყველა მნიშვნელოვანი ფაილი დაშიფრულია. ფაილების გასაშიფრად თქვენ უნდა გამოაგზავნოთ შემდეგი კოდი: 329D54752553ED978F94|0 ელ.ფოსტის მისამართზე [ელფოსტა დაცულია]. შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას. თქვენ მიერ გაშიფვრის ყველა მცდელობა გამოიწვევს მხოლოდ თქვენი მონაცემების გამოუქცევად დაკარგვას. თუ თქვენ კვლავ გსურთ სცადოთ მათი გაშიფვრა, გთხოვთ, თავდაპირველად გააკეთოთ სარეზერვო ასლი, რადგან ფაილების შიგნით რაიმე ცვლილების შემთხვევაში გაშიფვრა შეუძლებელი გახდება. თუ პასუხი არ მიგიღიათ ზემოაღნიშნული ელფოსტიდან 48 საათზე მეტი ხნის განმავლობაში (და მხოლოდ ამ შემთხვევაში!), გამოიყენეთ გამოხმაურების ფორმა. ამის გაკეთება შეგიძლიათ ორი გზით: 1) ჩამოტვირთეთ Tor ბრაუზერი აქედან: https://www.torproject.org/download/download-easy.html.en დააინსტალირეთ და ჩაწერეთ შემდეგი მისამართი მისამართების ზოლში: http:/ /cryptsen7fo43rr6.onion/ დააჭირეთ Enter და შემდეგ გვერდი ჩაიტვირთება გამოხმაურების ფორმით. 2) ნებისმიერ ბრაუზერში გადადით ერთ-ერთ შემდეგ მისამართზე: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

საფოსტო მისამართი შეიძლება შეიცვალოს. ასევე წავაწყდი შემდეგ მისამართებს:

მისამართები მუდმივად განახლდება, ამიტომ ისინი შეიძლება სრულიად განსხვავებული იყოს.

როგორც კი აღმოაჩენთ, რომ თქვენი ფაილები დაშიფრულია, დაუყოვნებლივ გამორთეთ კომპიუტერი. ეს უნდა გაკეთდეს იმისათვის, რომ შეწყდეს დაშიფვრის პროცესი როგორც ადგილობრივ კომპიუტერზე, ასევე ქსელის დისკებზე. დაშიფვრის ვირუსს შეუძლია დაშიფროს ყველა ის ინფორმაცია, რომელსაც შეუძლია მიაღწიოს, მათ შორის ქსელის დისკებზე. მაგრამ თუ იქ არის დიდი რაოდენობით ინფორმაცია, მაშინ მას მნიშვნელოვანი დრო დასჭირდება. ზოგჯერ, რამდენიმე საათშიც კი, გამოსასყიდ პროგრამას არ ჰქონდა დრო, დაეშიფრა ყველაფერი ქსელურ დისკზე, რომლის სიმძლავრეა დაახლოებით 100 გიგაბაიტი.

შემდეგ თქვენ უნდა ყურადღებით იფიქროთ იმაზე, თუ როგორ უნდა მოიქცეთ. თუ ნებისმიერ ფასად გჭირდებათ ინფორმაცია თქვენს კომპიუტერზე და არ გაქვთ სარეზერვო ასლები, მაშინ უმჯობესია ამ მომენტში მიმართოთ სპეციალისტებს. არ არის აუცილებელი ფულისთვის ზოგიერთი კომპანიისთვის. თქვენ უბრალოდ გჭირდებათ ადამიანი, რომელიც კარგად იცის საინფორმაციო სისტემებში. აუცილებელია კატასტროფის მასშტაბის შეფასება, ვირუსის მოცილება და სიტუაციის შესახებ არსებული ყველა ინფორმაციის შეგროვება, რათა გავიგოთ, როგორ გავაგრძელოთ მოქმედება.

ამ ეტაპზე არასწორმა ქმედებებმა შეიძლება მნიშვნელოვნად გაართულოს ფაილების გაშიფვრის ან აღდგენის პროცესი. უარეს შემთხვევაში, მათ შეუძლიათ ეს შეუძლებელი გახადონ. ასე რომ, დაუთმეთ დრო, იყავით ფრთხილად და თანმიმდევრული.

როგორ შიფრავს ფაილებს CRYPTED000007 ransomware ვირუსი

ვირუსის გაშვების და მისი მოქმედების დასრულების შემდეგ, ყველა სასარგებლო ფაილი იქნება დაშიფრული, სახელის გადარქმევა გაფართოება.crypted000007. უფრო მეტიც, შეიცვლება არა მხოლოდ ფაილის გაფართოება, არამედ ფაილის სახელიც, ასე რომ თქვენ არ გეცოდინებათ ზუსტად რა სახის ფაილები გქონდათ, თუ არ გახსოვთ. ეს დაახლოებით ასე გამოიყურება.

ასეთ ვითარებაში რთული იქნება ტრაგედიის მასშტაბის შეფასება, ვინაიდან ბოლომდე ვერ გაიხსენებთ რა გქონდათ სხვადასხვა საქაღალდეებში. ეს გაკეთდა სპეციალურად ხალხის დასაბნევად და წახალისების მიზნით, გადაიხადონ ფაილების გაშიფვრა.

და თუ თქვენი ქსელის საქაღალდეები დაშიფრულია და არ არის სრული სარეზერვო ასლები, მაშინ ამან შეიძლება მთლიანად შეაჩეროს მთელი ორგანიზაციის მუშაობა. გარკვეული დრო დაგჭირდებათ იმის გასარკვევად, თუ რა დაიკარგა საბოლოოდ, რათა დაიწყოთ აღდგენა.

როგორ მოვუაროთ თქვენს კომპიუტერს და წავშალოთ CRYPTED000007 გამოსასყიდი პროგრამა

CRYPTED000007 ვირუსი უკვე თქვენს კომპიუტერშია. პირველი და ყველაზე მნიშვნელოვანი კითხვაა, თუ როგორ უნდა მოხდეს კომპიუტერის დეზინფექცია და როგორ ამოიღოთ ვირუსი მისგან, რათა თავიდან აიცილოთ შემდგომი დაშიფვრა, თუ ის ჯერ კიდევ არ არის დასრულებული. მსურს დაუყოვნებლივ გავამახვილო თქვენი ყურადღება იმ ფაქტზე, რომ მას შემდეგ რაც თქვენ თავად დაიწყებთ კომპიუტერთან გარკვეული მოქმედებების შესრულებას, მონაცემთა გაშიფვრის შანსები მცირდება. თუ თქვენ გჭირდებათ ფაილების აღდგენა ნებისმიერ ფასად, არ შეეხოთ თქვენს კომპიუტერს, მაგრამ დაუყოვნებლივ დაუკავშირდით პროფესიონალებს. ქვემოთ მათზე ვისაუბრებ და მივაწოდე საიტის ბმული და აღვწერ, თუ როგორ მუშაობენ ისინი.

ამასობაში ჩვენ გავაგრძელებთ კომპიუტერის დამოუკიდებელ მკურნალობას და ვირუსის მოცილებას. ტრადიციულად, გამოსასყიდი პროგრამა ადვილად იშლება კომპიუტერიდან, რადგან ვირუსს არ აქვს კომპიუტერზე დარჩენის ამოცანა ნებისმიერ ფასად. ფაილების სრული დაშიფვრის შემდეგ, მისთვის კიდევ უფრო მომგებიანია საკუთარი თავის წაშლა და გაქრობა, რათა უფრო რთული იყოს ინციდენტის გამოძიება და ფაილების გაშიფვრა.

ძნელია იმის აღწერა, თუ როგორ უნდა ამოიღო ვირუსი ხელით, თუმცა ადრეც ვცადე ამის გაკეთება, მაგრამ ვხედავ, რომ ყველაზე ხშირად ეს უაზროა. ფაილების სახელები და ვირუსების განთავსების გზები მუდმივად იცვლება. რაც ვნახე, ერთ-ორ კვირაში აღარ არის აქტუალური. ჩვეულებრივ, ვირუსები იგზავნება ფოსტით ტალღებით და ყოველ ჯერზე არის ახალი მოდიფიკაცია, რომელიც ჯერ კიდევ არ არის გამოვლენილი ანტივირუსებით. დაგვეხმარება უნივერსალური ხელსაწყოები, რომლებიც ამოწმებს გაშვებას და აღმოაჩენს საეჭვო აქტივობას სისტემის საქაღალდეებში.

CRYPTED000007 ვირუსის მოსაშორებლად შეგიძლიათ გამოიყენოთ შემდეგი პროგრამები:

  1. Kaspersky Virus Removal Tool - პროგრამა Kaspersky-დან http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - მსგავსი პროდუქტი სხვა ვებ – გვერდიდან http://free.drweb.ru/cureit.
  3. თუ პირველი ორი კომუნალური პროგრამა არ დაგვეხმარება, სცადეთ MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

სავარაუდოდ, ერთ-ერთი ასეთი პროდუქტი გაასუფთავებს თქვენს კომპიუტერს CRYPTED000007 გამოსასყიდი პროგრამისგან. თუ მოულოდნელად მოხდა, რომ ისინი არ დაეხმარნენ, სცადეთ ვირუსის ხელით ამოღება. მოხსნის მეთოდის მაგალითი მოვიყვანე და იქ ნახავთ. მოკლედ, ეტაპობრივად, თქვენ უნდა მოიქცეთ ასე:

  1. ჩვენ ვუყურებთ პროცესების ჩამონათვალს, დავალების მენეჯერში რამდენიმე დამატებითი სვეტის დამატების შემდეგ.
  2. ჩვენ ვპოულობთ ვირუსის პროცესს, ვხსნით საქაღალდეს, რომელშიც ის მდებარეობს და ვშლით.
  3. ჩვენ ვასუფთავებთ ვირუსის პროცესის ხსენებას ფაილის სახელით რეესტრში.
  4. ჩვენ გადატვირთეთ და დარწმუნდით, რომ CRYPTED000007 ვირუსი არ არის გაშვებული პროცესების სიაში.

სად ჩამოტვირთოთ დეშიფრატორი CRYPTED000007

მარტივი და საიმედო დეშიფრატორის საკითხი ჩნდება პირველ რიგში, როდესაც საქმე ეხება გამოსასყიდის ვირუსს. პირველი, რასაც გირჩევთ, არის სერვისის გამოყენება https://www.nomoreransom.org. რა მოხდება, თუ გაგიმართლათ და მათ აქვთ გაშიფრული CRYPTED000007 დაშიფვრის თქვენი ვერსიისთვის. მაშინვე ვიტყვი, რომ ბევრი შანსი არ გაქვს, მაგრამ მცდელობა არ არის წამება. მთავარ გვერდზე დააჭირეთ დიახ:

შემდეგ ჩამოტვირთეთ რამდენიმე დაშიფრული ფაილი და დააწკაპუნეთ Go! Გაგება:

წერის დროს საიტზე არ იყო გაშიფრული.

ალბათ უკეთესი წარმატება გექნებათ. თქვენ ასევე შეგიძლიათ იხილოთ ჩამოსატვირთი დეშიფრატორების სია ცალკე გვერდზე - https://www.nomoreransom.org/decryption-tools.html. იქნებ იქ არის რამე სასარგებლო. როდესაც ვირუსი სრულიად ახალია, ამის ალბათობა მცირეა, მაგრამ დროთა განმავლობაში შეიძლება რაღაც გამოჩნდეს. არის მაგალითები, როდესაც ინტერნეტში გამოჩნდა დაშიფვრის ზოგიერთი მოდიფიკაციის დეშიფრატორები. და ეს მაგალითები მოცემულია მითითებულ გვერდზე.

არ ვიცი სად შეიძლება სხვაგან იპოვოთ დეკოდერი. ნაკლებად სავარაუდოა, რომ ის რეალურად იარსებებს, თანამედროვე შიფრატორების მუშაობის თავისებურებების გათვალისწინებით. მხოლოდ ვირუსის ავტორებს შეუძლიათ ჰქონდეთ სრულფასოვანი დეშიფრატორი.

როგორ გავაშიფროთ და აღვადგინოთ ფაილები CRYPTED000007 ვირუსის შემდეგ

რა უნდა გააკეთოთ, როდესაც CRYPTED000007 ვირუსმა დაშიფრა თქვენი ფაილები? დაშიფვრის ტექნიკური განხორციელება არ იძლევა ფაილების გაშიფვრას გასაღების ან დეშიფრატორის გარეშე, რაც აქვს მხოლოდ დაშიფვრის ავტორს. შეიძლება სხვა გზა იყოს, მაგრამ მე არ მაქვს ეს ინფორმაცია. ჩვენ შეგვიძლია ვცადოთ ფაილების აღდგენა მხოლოდ იმპროვიზირებული მეთოდების გამოყენებით. Ესენი მოიცავს:

  • ხელსაწყო ჩრდილოვანი ასლებიფანჯრები.
  • წაშლილი მონაცემების აღდგენის პროგრამები

პირველი, მოდით შევამოწმოთ, გვაქვს თუ არა ჩართული ჩრდილოვანი ასლები. ეს ინსტრუმენტი ნაგულისხმევად მუშაობს Windows 7 და უფრო მაღალ ვერსიაში, თუ ხელით არ გამორთავთ მას. შესამოწმებლად გახსენით კომპიუტერის თვისებები და გადადით სისტემის დაცვის განყოფილებაში.

თუ ინფექციის დროს არ დაადასტურეთ UAC-ის მოთხოვნა ფაილების ჩრდილოვანი ასლების წაშლის შესახებ, მაშინ გარკვეული მონაცემები იქ უნდა დარჩეს. ამ თხოვნაზე უფრო დეტალურად ვისაუბრე ისტორიის დასაწყისში, როცა ვირუსის მუშაობაზე ვისაუბრე.

ჩრდილოვანი ასლებიდან ფაილების მარტივად აღდგენისთვის, მე გთავაზობთ ამისთვის უფასო პროგრამის გამოყენებას - ShadowExplorer. ჩამოტვირთეთ არქივი, გახსენით პროგრამა და გაუშვით.

გაიხსნება ფაილების უახლესი ასლი და C დისკის ფესვი. ზედა მარცხენა კუთხეში შეგიძლიათ აირჩიოთ სარეზერვო ასლი, თუ რამდენიმე მათგანი გაქვთ. შეამოწმეთ სხვადასხვა ასლები საჭირო ფაილებისთვის. შეადარეთ თარიღის მიხედვით უახლესი ვერსიისთვის. ჩემს ქვემოთ მოცემულ მაგალითში ვიპოვე 2 ფაილი ჩემს დესკტოპზე სამი თვის წინ, როდესაც ისინი ბოლოს იყო რედაქტირებული.

მე შევძელი ამ ფაილების აღდგენა. ამისთვის მე ავირჩიე ისინი, დავაწკაპუნე მარჯვენა ღილაკით, ავირჩიე Export და მივუთითე საქაღალდე, სადაც უნდა აღვადგინო ისინი.

თქვენ შეგიძლიათ დაუყოვნებლივ აღადგინოთ საქაღალდეები იმავე პრინციპით. თუ თქვენ მუშაობდა ჩრდილოვანი ასლები და არ წაშალეთ ისინი, თქვენ გაქვთ კარგი შანსი აღადგინოთ ყველა, ან თითქმის ყველა, ვირუსით დაშიფრული ფაილი. შესაძლოა, ზოგიერთი მათგანი უფრო ძველი ვერსია იყოს, ვიდრე ჩვენ გვსურს, მაგრამ მიუხედავად ამისა, ის არაფერზე უკეთესია.

თუ რაიმე მიზეზით არ გაქვთ თქვენი ფაილების ჩრდილოვანი ასლები, დაშიფრული ფაილებიდან რაღაცის მიღების ერთადერთი შანსია მათი აღდგენა წაშლილი ფაილების აღდგენის ხელსაწყოების გამოყენებით. ამისათვის მე გირჩევთ გამოიყენოთ უფასო პროგრამა Photorec.

გაუშვით პროგრამა და აირჩიეთ დისკი, რომელზეც აღადგენთ ფაილებს. პროგრამის გრაფიკული ვერსიის გაშვება ახორციელებს ფაილს qphotorec_win.exe. თქვენ უნდა აირჩიოთ საქაღალდე, სადაც განთავსებული იქნება ნაპოვნი ფაილები. უმჯობესია ეს საქაღალდე არ იყოს განთავსებული იმავე დისკზე, სადაც ჩვენ ვეძებთ. ამისათვის შეაერთეთ ფლეშ დრაივი ან გარე მყარი დისკი.

ძიების პროცესს დიდი დრო დასჭირდება. დასასრულს ნახავთ სტატისტიკას. ახლა შეგიძლიათ გადახვიდეთ ადრე მითითებულ საქაღალდეში და ნახოთ რა არის იქ ნაპოვნი. დიდი ალბათობით ბევრი ფაილი იქნება და მათი უმეტესობა ან დაზიანდება ან იქნება რაღაც სისტემა და უსარგებლო ფაილები. მაგრამ მიუხედავად ამისა, ამ სიაში შეგიძლიათ იპოვოთ რამდენიმე სასარგებლო ფაილი. აქ არანაირი გარანტია არ არსებობს; რასაც იპოვი, რასაც იპოვი. სურათები, როგორც წესი, საუკეთესოდ აღდგება.

თუ შედეგი არ გაკმაყოფილებთ, მაშინ ასევე არის პროგრამები წაშლილი ფაილების აღდგენისთვის. ქვემოთ მოცემულია პროგრამების სია, რომლებსაც ჩვეულებრივ ვიყენებ, როდესაც მჭირდება ფაილების მაქსიმალური რაოდენობის აღდგენა:

  • R.saver
  • Starus ფაილის აღდგენა
  • JPEG Recovery Pro
  • აქტიური ფაილების აღდგენის პროფესიონალი

ეს პროგრამები არ არის უფასო, ამიტომ ბმულებს არ მოგაწოდებთ. თუ ნამდვილად გსურთ, შეგიძლიათ იპოვოთ ისინი თავად ინტერნეტში.

ფაილის აღდგენის მთელი პროცესი დეტალურად არის ნაჩვენები სტატიის ბოლოს ვიდეოში.

Kaspersky, eset nod32 და სხვები Filecoder.ED შიფრატორის წინააღმდეგ ბრძოლაში

პოპულარული ანტივირუსები აღმოაჩენენ გამოსასყიდ პროგრამას CRYPTED000007 როგორც Filecoder.EDდა შემდეგ შეიძლება იყოს სხვა აღნიშვნა. გადავხედე მთავარ ანტივირუსულ ფორუმებს და იქ ვერაფერი სასარგებლო ვერ ვნახე. სამწუხაროდ, როგორც ყოველთვის, ანტივირუსული პროგრამა მოუმზადებელი აღმოჩნდა გამოსასყიდის ახალი ტალღის შეჭრისთვის. აქ არის პოსტი კასპერსკის ფორუმიდან.

ანტივირუსები ტრადიციულად გამოტოვებენ გამოსასყიდის ტროასების ახალ მოდიფიკაციას. მიუხედავად ამისა, გირჩევთ გამოიყენოთ ისინი. თუ გაგიმართლათ და მიიღეთ გამოსასყიდი ელ.წერილი არა ინფექციების პირველ ტალღაზე, არამედ ცოტა მოგვიანებით, არის შანსი, რომ ანტივირუსი დაგეხმაროთ. ისინი ყველა თავდამსხმელებზე ერთი ნაბიჯით უკან მუშაობენ. გამოვიდა გამოსასყიდის ახალი ვერსია, მაგრამ ანტივირუსები არ რეაგირებენ მასზე. როგორც კი გროვდება გარკვეული რაოდენობის მასალა ახალი ვირუსის კვლევისთვის, ანტივირუსული პროგრამა ავრცელებს განახლებას და იწყებს მასზე რეაგირებას.

მე არ მესმის, რა უშლის ხელს ანტივირუსებს, დაუყოვნებლივ უპასუხონ სისტემაში დაშიფვრის ნებისმიერ პროცესს. შესაძლოა, ამ თემაზე არის გარკვეული ტექნიკური ნიუანსი, რომელიც არ გვაძლევს საშუალებას ადეკვატურად ვუპასუხოთ და თავიდან ავიცილოთ მომხმარებლის ფაილების დაშიფვრა. მეჩვენება, რომ შესაძლებელი იქნებოდა მინიმუმ გაფრთხილების ჩვენება იმის შესახებ, რომ ვიღაც შიფრავს თქვენს ფაილებს და შესთავაზეთ პროცესის შეჩერება.

სად წავიდეთ გარანტირებული გაშიფვრისთვის

შემთხვევით შევხვდი ერთ კომპანიას, რომელიც რეალურად შიფრავს მონაცემებს სხვადასხვა დაშიფვრის ვირუსების მუშაობის შემდეგ, მათ შორის CRYPTED000007. მათი მისამართია http://www.dr-shifro.ru. გადახდა მხოლოდ სრული გაშიფვრისა და თქვენი გადამოწმების შემდეგ. აქ არის მუშაობის სავარაუდო სქემა:

  1. კომპანიის სპეციალისტი მოდის თქვენს ოფისში ან სახლში და ხელს აწერს თქვენთან ხელშეკრულებას, რომელიც განსაზღვრავს სამუშაოს ღირებულებას.
  2. უშვებს დეშიფრორს და შიფრავს ყველა ფაილს.
  3. თქვენ დარწმუნდებით, რომ ყველა ფაილი გახსნილია და ხელს აწერთ დასრულებული სამუშაოს მიწოდების/მიღების მოწმობას.
  4. გადახდა ხდება მხოლოდ წარმატებული გაშიფვრის შედეგების საფუძველზე.

მართალი ვიქნები, არ ვიცი, როგორ აკეთებენ ამას, მაგრამ თქვენ არაფერს რისკავთ. გადახდა მხოლოდ დეკოდერის მუშაობის დემონსტრირების შემდეგ. გთხოვთ დაწეროთ მიმოხილვა ამ კომპანიასთან თქვენი გამოცდილების შესახებ.

CRYPTED000007 ვირუსისგან დაცვის მეთოდები

როგორ დავიცვათ თავი გამოსასყიდი პროგრამებისგან და თავიდან აიცილოთ მატერიალური და მორალური ზიანი? არსებობს რამდენიმე მარტივი და ეფექტური რჩევა:

  1. სარეზერვო! ყველა მნიშვნელოვანი მონაცემის სარეზერვო ასლი. და არა მხოლოდ სარეზერვო, არამედ სარეზერვო ასლი, რომელზეც მუდმივი წვდომა არ არის. წინააღმდეგ შემთხვევაში, ვირუსმა შეიძლება დააინფიციროს როგორც თქვენი დოკუმენტები, ასევე სარეზერვო ასლები.
  2. ლიცენზირებული ანტივირუსი. მიუხედავად იმისა, რომ ისინი არ იძლევიან 100% გარანტიას, ისინი ზრდის დაშიფვრის თავიდან აცილების შანსებს. ისინი ყველაზე ხშირად არ არიან მზად დაშიფვრის ახალი ვერსიებისთვის, მაგრამ 3-4 დღის შემდეგ ისინი იწყებენ რეაგირებას. ეს ზრდის ინფექციის თავიდან აცილების შანსებს, თუ არ იქნებით გამოსყიდვის ახალი მოდიფიკაციის გავრცელების პირველ ტალღაში.
  3. არ გახსნათ საეჭვო დანართები ფოსტაში. აქ კომენტარის გაკეთება არაფერია. ყველა ჩემთვის ცნობილი გამოსასყიდი პროგრამა მომხმარებლებზე ელფოსტით მივიდა. უფრო მეტიც, ყოველ ჯერზე იგონებენ ახალ ხრიკებს მსხვერპლის მოსატყუებლად.
  4. დაუფიქრებლად არ გახსნათ მეგობრებისგან გამოგზავნილი ბმულები სოციალური ქსელების ან მყისიერი მესინჯერების საშუალებით. ვირუსები ზოგჯერ ასეც ვრცელდება.
  5. ჩართეთ Windows ფაილის გაფართოებების ჩვენების მიზნით. როგორ გავაკეთოთ ეს მარტივია ინტერნეტში. ეს საშუალებას მოგცემთ შეამჩნიოთ ფაილის გაფართოება ვირუსზე. ყველაზე ხშირად ეს იქნება .exe, .vbs, .src. დოკუმენტებთან თქვენი ყოველდღიური მუშაობისას, ნაკლებად სავარაუდოა, რომ წააწყდეთ ფაილის ასეთ გაფართოებებს.

მე შევეცადე დამემატებინა ის, რაც ადრე დავწერე ყველა სტატიაში გამოსასყიდის ვირუსის შესახებ. ამასობაში ვემშვიდობები. მოხარული ვიქნები, რომ მივიღო სასარგებლო კომენტარები სტატიაზე და ზოგადად CRYPTED000007 გამოსასყიდ ვირუსზე.

ვიდეო ფაილის გაშიფვრისა და აღდგენის შესახებ

აქ მოცემულია ვირუსის წინა მოდიფიკაციის მაგალითი, მაგრამ ვიდეო სრულიად აქტუალურია CRYPTED000007-ისთვის.

ცოტა ხნის წინ, 360 ინტერნეტ უსაფრთხოების ცენტრმა აღმოაჩინა ახალი ტიპის გამოსასყიდი ვირუსი, რომელიც გამიზნულია როგორც ბიზნესებზე, ასევე ინდივიდებზე ბევრ ქვეყანაში და რეგიონში. 360-მა გამოსცა დროული საგანგებო გაფრთხილება 12 მაისს აღმოჩენის შემდეგ, რათა მომხმარებლებს შეეხსენებინა მომავალი რისკები. ეს გამოსასყიდი პროგრამა დიდი სიჩქარით ვრცელდება მთელ მსოფლიოში. არასრული სტატისტიკის მიხედვით, აფეთქებიდან სულ რამდენიმე საათში 99 ქვეყანაში ათიათასობით მოწყობილობა დაინფიცირდა და ეს ქსელური ჭია კვლავ ცდილობს თავისი გავლენის გაფართოებას.

როგორც წესი, ransomware ვირუსი არის მავნე პროგრამა, რომელსაც აშკარად გამოძალვის მიზანი აქვს. ის შიფრავს მსხვერპლის ფაილებს ასიმეტრიული კრიპტოგრაფიული ალგორითმის გამოყენებით, ხდის მათ მიუწვდომელს და ითხოვს გამოსასყიდს მათი გაშიფვრისთვის. თუ გამოსასყიდი არ არის გადახდილი, ფაილების აღდგენა შეუძლებელია. ამ ახალ სახეობას ეწოდა კოდური სახელწოდება WanaCrypt0r. რაც მას ასე მომაკვდინებელს ხდის არის ის, რომ მან გამოიყენა ჰაკერული ინსტრუმენტი "EternalBLue", რომელიც მოიპარეს NSA-სგან. ეს ასევე ხსნის იმას, თუ რატომ შეძლო WanaCrypt0r-მა სწრაფად გავრცელება მთელ მსოფლიოში და ძალიან მოკლე დროში დიდი ზარალი გამოიწვია. 12 მაისს ქსელური ჭიის გარღვევის შემდეგ, 360 ინტერნეტ უსაფრთხოების ცენტრის ძირითადი უსაფრთხოების დეპარტამენტმა ჩაატარა საფუძვლიანი მონიტორინგი და სიღრმისეული ანალიზი. ახლა ჩვენ შეგვიძლია გამოვაქვეყნოთ აღმოჩენის, დაცვისა და მონაცემთა აღდგენის გადაწყვეტილებების ნაკრები WanaCrypt0r-ის წინააღმდეგ.

360 Helios Team არის APT (Advanced Persistent Attack) კვლევისა და ანალიზის ჯგუფი ძირითადი უსაფრთხოების დეპარტამენტში, რომელიც ძირითადად ეძღვნება APT თავდასხმის გამოძიებას და საფრთხის ინციდენტზე რეაგირებას. უსაფრთხოების მკვლევარებმა გულდასმით გააანალიზეს ვირუსების მექანიზმი, რათა იპოვონ დაშიფრული ფაილების აღდგენის ყველაზე ეფექტური და ზუსტი მეთოდი. ამ მეთოდის გამოყენებით, 360 შეიძლება გახდეს უსაფრთხოების პირველი პროვაიდერი, რომელმაც გამოუშვა მონაცემთა აღდგენის ინსტრუმენტი - "360 Ransomware Infected File Recovery", რათა დაეხმაროს თავის მომხმარებლებს ინფიცირებული ფაილების სწრაფად და სრულად აღდგენაში. ვიმედოვნებთ, რომ ეს სტატია დაგეხმარებათ გაიგოთ ამ ჭიის ხრიკები, ისევე როგორც უფრო ფართო დისკუსია დაშიფრული ფაილების აღდგენის შესახებ.

თავი 2 ძირითადი დაშიფვრის პროცესების ანალიზი

ეს ჭია ავლენს დაშიფვრის მოდულს მეხსიერებაში და პირდაპირ იტვირთება DLL მეხსიერებაში. შემდეგ DLL ახორციელებს TaskStart ფუნქციის ექსპორტს, რომელიც უნდა იქნას გამოყენებული დაშიფვრის მთელი პროცესის გასააქტიურებლად. DLL დინამიურად წვდება ფაილურ სისტემას და დაშიფვრასთან დაკავშირებულ API ფუნქციებს, რათა თავიდან აიცილოს სტატიკური გამოვლენა.

1.საწყისი ეტაპი

ის პირველად იყენებს "SHGetFolderPathW" დესკტოპის და ფაილების საქაღალდის ბილიკების მისაღებად. შემდეგ ის გამოიძახებს "10004A40" ფუნქციას, რათა გაიგოს გზა სხვა მომხმარებლების სამუშაო მაგიდასთან და ფაილების საქაღალდემდე და დაურეკავს EncrytFolder ფუნქციას საქაღალდეების ინდივიდუალურად დაშიფვრისთვის.

ის ორჯერ ასკანირებს ყველა დისკს დრაივერი Z-დან C-მდე. პირველი სკანირება არის ყველა ადგილობრივი დისკის გაშვება (გარდა დრაივერის CD-ისა). მეორე სკანირება ამოწმებს ყველა მობილური საცავ მოწყობილობას და გამოიძახებს EncrytFolder ფუნქციას ფაილების დაშიფვრად.

2.ფაილის ტრავერსი

"EncryptFolder" ფუნქცია არის რეკურსიული ფუნქცია, რომელსაც შეუძლია შეაგროვოს ინფორმაცია ფაილების შესახებ ქვემოთ მოცემული პროცედურის შემდეგ:

წაშალეთ ფაილის ბილიკები ან საქაღალდეები ჯვარედინი პროცესის დროს:

არის საინტერესო საქაღალდე სახელწოდებით „ეს საქაღალდე იცავს გამოსასყიდისგან. მისი შეცვლა შეამცირებს დაცვას“. როდესაც ამას გააკეთებთ, აღმოაჩენთ, რომ ის შეესაბამება გამოსასყიდის საწინააღმდეგო პროგრამის დაცვის საქაღალდეს.

ფაილების ცოცვისას გამოსასყიდი აგროვებს ინფორმაციას ფაილის შესახებ, როგორიცაა ფაილების ზომა, შემდეგ კი ანაწილებს ფაილებს სხვადასხვა ტიპებად მათი გაფართოების მიხედვით, გარკვეული წესების დაცვით:

გაფართოების ტიპების სია 1:

გაფართოების ტიპების სია 2:

3.დაშიფვრის პრიორიტეტი

მნიშვნელოვანი ფაილების რაც შეიძლება სწრაფად დაშიფვრის მიზნით, WanaCrypt0r-მა შეიმუშავა რთული პრიორიტეტული რიგი:

პრიორიტეტული რიგი:

I. დაშიფვრა მე-2 ტიპის ფაილები, რომლებიც ასევე ემთხვევა გაფართოების სიას 1. თუ ფაილი 0X400-ზე ნაკლებია, დაშიფვრის პრიორიტეტი შემცირდება.
II. დაშიფრეთ მე-3 ტიპის ფაილები, რომლებიც ასევე ემთხვევა გაფართოების სიას 2. თუ ფაილი 0X400-ზე ნაკლებია, დაშიფვრის პრიორიტეტი შემცირდება.
III. დაშიფრეთ დარჩენილი ფაილები (0x400-ზე ნაკლები) და სხვა ფაილები.

4.დაშიფვრის ლოგიკა

დაშიფვრის მთელი პროცესი დასრულებულია როგორც RSA, ასევე AES გამოყენებით. მიუხედავად იმისა, რომ RSA დაშიფვრის პროცესი იყენებს Microsoft CryptAPI-ს, AES კოდი სტატიკურად შედგენილია DLL-ში. დაშიფვრის პროცესი ნაჩვენებია ქვემოთ მოცემულ ფიგურაში:

გამოყენებული გასაღებების სია:

ფაილის ფორმატი დაშიფვრის შემდეგ:

გთხოვთ, გაითვალისწინოთ, რომ დაშიფვრის პროცესის დროს გამოსასყიდი პროგრამა შემთხვევით შეარჩევს რამდენიმე ფაილს დაშიფვრისთვის, ჩაშენებული RSA საჯარო გასაღების გამოყენებით, რათა შესთავაზოს რამდენიმე ფაილს, რომელთა გაშიფვრაც დაზარალებულებს შეუძლიათ უფასოდ.

უფასო ფაილების გზა შეგიძლიათ იხილოთ ფაილში "f.wnry".

5.შემთხვევითი რიცხვების შევსება

დაშიფვრის შემდეგ, WanaCrypt0r შეავსებს ფაილებს, რომლებსაც ის თვლის, რომ მნიშვნელოვანია შემთხვევითი ნომრებით, სანამ ის მთლიანად არ გაანადგურებს ფაილს, შემდეგ გადაიტანს ფაილებს ფაილების დროებით დირექტორიაში წასაშლელად. ამით საკმაოდ ართულებს ფაილების აღდგენის ხელსაწყოებს ფაილების აღდგენა, ამავდროულად, შეუძლია დააჩქაროს დაშიფვრის პროცესი.

დასრულებული ფაილები უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს:

— მითითებულ დირექტორიაში (დესკტოპი, ჩემი დოკუმენტი, მომხმარებლის საქაღალდე)

— ფაილი 200 მბ-ზე ნაკლებია

— ფაილის გაფართოება არის გაფართოების ტიპების სიაში 1

ფაილის შევსების ლოგიკა:

- თუ ფაილი 0x400-ზე ნაკლებია, ის დაიფარება იმავე სიგრძის შემთხვევითი რიცხვებით

- თუ ფაილი 0x400-ზე დიდია, ბოლო 0x400 დაიფარება შემთხვევითი რიცხვებით

- გადაიტანეთ ფაილის მაჩვენებელი ფაილის სათაურში და დააყენეთ 0x40000, როგორც მონაცემთა ბლოკი, რათა დაფაროთ ფაილი შემთხვევითი რიცხვებით ბოლომდე.

6.ფაილების წაშლა

WanaCrypt0r ჯერ გადაიტანს ფაილებს დროებით საქაღალდეში დროებითი ფაილის შესაქმნელად და შემდეგ წაშლის მას სხვადასხვა გზით.

როდესაც ის გაივლის დისკებს ფაილების დაშიფვრისთვის, ის შექმნის დროებით ფაილს, სახელწოდებით "$RECYCLE + ავტომატური ზრდა + .WNCYRT" (მაგალითად: "D:\$RECYCLE\1.WNCRYT") მიმდინარე დისკზე. . განსაკუთრებით თუ მიმდინარე დისკი არის სისტემის დისკი (როგორიცაა Driver-C), ის გამოიყენებს სისტემის დროებით დირექტორიას.

შემდგომში, პროცესი გადის taskdl.exe და შლის დროებით ფაილებს ფიქსირებული დროის ინტერვალით.

თავი 3 მონაცემთა აღდგენის შესაძლებლობა

მისი შესრულების ლოგიკის გაანალიზებისას ჩვენ შევამჩნიეთ, რომ ეს ჭია გადაწერს ფაილებს, რომლებიც აკმაყოფილებენ მითითებულ მოთხოვნებს შემთხვევითი რიცხვებით ან 0x55, რათა გაანადგუროს ფაილის სტრუქტურები და თავიდან აიცილოს მათი აღდგენა. მაგრამ ეს ოპერაცია მიიღება მხოლოდ გარკვეული ფაილებისთვის ან ფაილებისთვის გარკვეული გაფართოებით. ეს ნიშნავს, რომ ჯერ კიდევ არის ბევრი ფაილი, რომლებიც არ არის გადაწერილი, რაც ტოვებს ადგილს ფაილის აღდგენისთვის.

ამოღების პროცესში, ჭიამ გადაიტანა საწყისი ფაილები დროებით ფაილების საქაღალდეში MoveFileEx ფუნქციის გამოძახებით. საბოლოოდ დროებითი ფაილები მასობრივად იშლება. ზემოაღნიშნული პროცესის დროს შეიძლება შეიცვალოს ორიგინალი ფაილები, მაგრამ ბაზარზე არსებული მონაცემთა აღდგენის ამჟამინდელი პროგრამული უზრუნველყოფა არ იცის ამის შესახებ, ამიტომ საკმაოდ ბევრი ფაილის წარმატებით აღდგენა შეუძლებელია. დაზარალებულებისთვის აღდგენის ფაილების საჭიროების გაცნობიერება თითქმის შეუძლებელია.

სხვა ფაილებისთვის ჭიამ უბრალოდ შეასრულა ბრძანება "გადაადგილება და წაშლა". იმის გამო, რომ ფაილების წაშლისა და ფაილების გადატანის პროცესები ცალკეა, ორი ძაფი კონკურენციას გაუწევს ერთმანეთს, რამაც შეიძლება გამოიწვიოს ფაილის გადაადგილება წარუმატებელი მომხმარებლის სისტემურ გარემოში არსებული განსხვავებების გამო. ეს წაშლის ფაილს პირდაპირ მის ამჟამინდელ ადგილას. ამ შემთხვევაში, დიდია ალბათობა იმისა, რომ ფაილის აღდგენა შესაძლებელია.

https://360totalsecurity.com/s/ransomrecovery/

ჩვენი აღდგენის მეთოდების გამოყენებით, დაშიფრული ფაილების დიდი პროცენტი შესანიშნავად აღდგება. ახლა, ფაილის აღდგენის ხელსაწყოს განახლებული 360 ვერსია შემუშავებულია ამ საჭიროების საპასუხოდ, რათა დაეხმაროს ათიათასობით მსხვერპლს დანაკარგებისა და შედეგების შემსუბუქებაში.

14 მაისი, 360 არის უსაფრთხოების პირველი გამყიდველი, რომელმაც გამოუშვა ფაილების აღდგენის ინსტრუმენტი, რომელმაც შეინახა მრავალი ფაილი გამოსასყიდისგან. ეს ახალი ვერსია გადადგამს კიდევ ერთ ნაბიჯს WanaCrypt0r-ის ლოგიკური დაუცველობის გამოსაყენებლად. მას შეუძლია ვირუსის მოცილება შემდგომი ინფექციის თავიდან ასაცილებლად. მრავალი ალგორითმის გამოყენებით, მას შეუძლია მოიძიოს ფარული კავშირები უფასო აღდგენის ფაილებსა და კლიენტებისთვის გაშიფრულ ფაილებს შორის. ამ ყოვლისმომცველი აღდგენის სერვისს შეუძლია შეამციროს გამოსასყიდი პროგრამის შეტევის ზიანი და დაიცვას მომხმარებლების მონაცემების უსაფრთხოება.

თავი 4 დასკვნა

WannaCry ჭიების მასობრივი გავრცელება და გავრცელება MS17-010-ის გამოყენებით, რაც მას თვითგამრავლებისა და აქტიური გამრავლების შესაძლებლობას აძლევს, გარდა ზოგადი გამოსასყიდის პროგრამის ფუნქციებისა. გარდა თავდასხმის დატვირთვისა, შეტევებში ყველაზე მნიშვნელოვან როლს თამაშობს გამოსასყიდის ტექნიკური სტრუქტურა, რომელიც შიფრავს AES გასაღებს ასიმეტრიული კრიპტოგრაფიული ალგორითმის RSA-2048 გამოყენებით. შემდეგ თითოეული ფაილი დაშიფრულია შემთხვევითი AES-128 სიმეტრიული დაშიფვრის ალგორითმის გამოყენებით. ეს ნიშნავს, რომ არსებულ გამოთვლებსა და მეთოდებზე დაყრდნობით, თითქმის შეუძლებელია RSA-2048 და AES-128 გაშიფვრა ყოველგვარი საჯარო ან პირადი გასაღებების გარეშე. თუმცა, ავტორები ტოვებენ გარკვეულ შეცდომებს დაშიფვრის პროცესში, რაც უზრუნველყოფს და ზრდის აღდგენის შესაძლებლობას. თუ მოქმედებები საკმარისად სწრაფად შესრულდება, მონაცემთა უმეტესი ნაწილი შეიძლება შეინახოს უკან.

გარდა ამისა, რადგან გამოსასყიდის თანხა გადახდილია ანონიმური ბიტკოინებით, რისთვისაც ნებისმიერს შეუძლია მიიღოს მისამართი ნამდვილი სერტიფიცირების გარეშე, შეუძლებელია თავდამსხმელის იდენტიფიცირება მისამართებზე, რომ აღარაფერი ვთქვათ ერთი და იმავე მისამართის მფლობელის სხვადასხვა ანგარიშებს შორის. ამიტომ, ურღვევი დაშიფვრის ალგორითმის და ანონიმური ბიტკოინების მიღების გამო, დიდია ალბათობა იმისა, რომ ამ ტიპის მომგებიანი გამოსასყიდი პროგრამის გავრცელება დიდხანს გაგრძელდება. ყველა ფრთხილად უნდა იყოს.

360 ჰელიოსის გუნდი

360 Helios Team არის APT (Advanced Persistent Attack) კვლევის ჯგუფი Qihoo 360-ში.

გუნდი ეძღვნება APT შეტევების გამოძიებას, საფრთხის ინციდენტებზე რეაგირებას და მიწისქვეშა ეკონომიკის ინდუსტრიული ჯაჭვების კვლევას.

2014 წლის დეკემბერში დაარსების დღიდან, გუნდმა წარმატებით გააერთიანა უზარმაზარი 360 მონაცემთა ბაზა და შექმნა სწრაფი შებრუნებისა და კორელაციის პროცესი. დღეისათვის გამოვლენილი და იდენტიფიცირებულია 30-ზე მეტი APT და მიწისქვეშა ეკონომიკის ჯგუფი.

360 Helios ასევე გთავაზობთ საფრთხეების შეფასების და რეაგირების გადაწყვეტილებებს საწარმოებისთვის.

საჯარო მოხსენებები

კონტაქტი
ელფოსტა ფოსტა: [ელფოსტა დაცულია]
WeChat ჯგუფი: 360 Helios Team
გთხოვთ, ჩამოტვირთოთ QR კოდი ქვემოთ, რომ გამოგვყვეთ WeChat-ზე!

თუ თქვენს კომპიუტერში გამოჩნდება ტექსტური შეტყობინება, რომელშიც ნათქვამია, რომ თქვენი ფაილები დაშიფრულია, მაშინ ნუ ჩქარობთ პანიკას. რა არის ფაილის დაშიფვრის სიმპტომები? ჩვეულებრივი გაფართოება იცვლება *.vault, *.xtbl, * [ელფოსტა დაცულია] _XO101 და ა.შ. ფაილების გახსნა შეუძლებელია - საჭიროა გასაღები, რომლის შეძენაც შესაძლებელია შეტყობინებაში მითითებულ მისამართზე წერილის გაგზავნით.

საიდან მიიღეთ დაშიფრული ფაილები?

კომპიუტერმა დაიჭირა ვირუსი, რომელმაც დაბლოკა ინფორმაციაზე წვდომა. ანტივირუსული პროგრამები ხშირად გამოტოვებენ მათ, რადგან პროგრამა ჩვეულებრივ ეფუძნება უვნებელ უფასო დაშიფვრის პროგრამას. თქვენ სწრაფად ამოიღებთ ვირუსს, მაგრამ შეიძლება სერიოზული პრობლემები წარმოიშვას ინფორმაციის გაშიფვრასთან დაკავშირებით.

Kaspersky Lab-ის, Dr.Web-ის და სხვა ცნობილი კომპანიების ტექნიკური მხარდაჭერა, რომლებიც ავითარებენ ანტივირუსულ პროგრამულ უზრუნველყოფას, მომხმარებლის მოთხოვნის პასუხად მონაცემების გაშიფვრის შესახებ, იტყობინება, რომ ამის გაკეთება შეუძლებელია მისაღებ დროში. არსებობს რამდენიმე პროგრამა, რომელსაც შეუძლია კოდის აღება, მაგრამ მათ შეუძლიათ მხოლოდ ადრე შესწავლილ ვირუსებთან მუშაობა. თუ ახალ მოდიფიკაციას წააწყდებით, მაშინ ინფორმაციაზე წვდომის აღდგენის შანსები უკიდურესად დაბალია.

როგორ ხვდება გამოსასყიდი ვირუსი კომპიუტერში?

შემთხვევების 90%-ში მომხმარებლები თავად ააქტიურებენ ვირუსს კომპიუტერზეუცნობი ასოების გახსნა. შემდეგ ელ.ფოსტაზე იგზავნება შეტყობინება პროვოკაციული თემით - „გამოძახება“, „სესხის დავალიანება“, „შეტყობინება საგადასახადო სამსახურიდან“ და ა.შ. ყალბი წერილის შიგნით არის დანართი, რომლის ჩამოტვირთვის შემდეგ გამოსასყიდი პროგრამა ხვდება კომპიუტერზე და იწყებს ფაილებზე წვდომის თანდათანობით დაბლოკვას.

დაშიფვრა არ ხდება მყისიერად, ამიტომ მომხმარებლებს აქვთ დრო, რომ ამოიღონ ვირუსი, სანამ ყველა ინფორმაცია დაშიფრული იქნება. თქვენ შეგიძლიათ გაანადგუროთ მავნე სკრიპტი გამწმენდი საშუალებების გამოყენებით Dr.Web CureIt, Kaspersky Internet Security და Malwarebytes Antimalware.

ფაილის აღდგენის მეთოდები

თუ სისტემის დაცვა ჩართულია თქვენს კომპიუტერში, მაშინ გამოსასყიდი პროგრამის ვირუსის გავლენის შემდეგაც კი არსებობს შესაძლებლობა, დაბრუნდეს ფაილები ნორმალურ მდგომარეობაში, ფაილების ჩრდილოვანი ასლების გამოყენებით. Ransomware ჩვეულებრივ ცდილობს მათ წაშლას, მაგრამ ზოგჯერ ისინი ამას ვერ აკეთებენ ადმინისტრატორის უფლებების არარსებობის გამო.

წინა ვერსიის აღდგენა:

წინა ვერსიების შესანახად, თქვენ უნდა ჩართოთ სისტემის დაცვა.

მნიშვნელოვანია: სისტემის დაცვა უნდა იყოს ჩართული გამოსასყიდის პროგრამის გამოჩენამდე, რის შემდეგაც ის აღარ დაეხმარება.

  1. გახსენით კომპიუტერის თვისებები.
  2. მარცხნივ მენიუდან აირჩიეთ სისტემის დაცვა.
  3. აირჩიეთ დისკი C და დააჭირეთ "კონფიგურაცია".
  4. აირჩიეთ პარამეტრების აღდგენა და ფაილების წინა ვერსიები. გამოიყენეთ ცვლილებები "OK" დაწკაპუნებით.

თუ თქვენ გადადგით ეს ნაბიჯები ფაილის დაშიფვრის ვირუსის გამოჩენამდე, მაშინ თქვენი კომპიუტერის მავნე კოდისგან გაწმენდის შემდეგ გექნებათ თქვენი ინფორმაციის აღდგენის კარგი შანსი.

სპეციალური კომუნალური საშუალებების გამოყენება

Kaspersky Lab-მა მოამზადა რამდენიმე კომუნალური პროგრამა, რომელიც დაეხმარება დაშიფრული ფაილების გახსნას ვირუსის მოხსნის შემდეგ. პირველი დეშიფრატორი, რომელიც უნდა სცადოთ, არის Kaspersky RectorDecryptor.

  1. ჩამოტვირთეთ პროგრამა კასპერსკის ლაბორატორიის ოფიციალური ვებსაიტიდან.
  2. შემდეგ გაუშვით პროგრამა და დააჭირეთ "სკანირების დაწყებას". მიუთითეთ გზა ნებისმიერი დაშიფრული ფაილისკენ.

თუ მავნე პროგრამამ არ შეცვალა ფაილების გაფართოება, მაშინ მათი გაშიფვრისთვის საჭიროა მათი შეგროვება ცალკეულ საქაღალდეში. თუ პროგრამა არის RectorDecryptor, ჩამოტვირთეთ კიდევ ორი ​​პროგრამა კასპერსკის ოფიციალური ვებსაიტიდან - XoristDecryptor და RakhniDecryptor.

Kaspersky Lab-ის უახლეს პროგრამას ეწოდება Ransomware Decryptor. ის ეხმარება ფაილების გაშიფვრას CoinVault ვირუსის შემდეგ, რომელიც ჯერ კიდევ არ არის ძალიან გავრცელებული RuNet-ზე, მაგრამ შესაძლოა მალე ჩაანაცვლოს სხვა ტროასები.