Kuka istutti kanin? Wanna Cry file encryptor virus - kuinka suojautua ja tallentaa tietoja Uusimmat muutokset

Vuosi 2017 oli ransomwaren vuosi – alan merkittävin uhka tietoturva sekä pienille, keskisuurille ja suurille yrityksille että kotikäyttäjille. Tällaiset hyökkäykset vaativat lunnaita monilla tietokoneilla maailmassa, samalla kun ne valtasivat kaikkien johtavien tiedotusvälineiden otsikot kaikissa maissa. Itse asiassa kiristysohjelmien kustannukset olivat lähes 5 miljardin dollarin vahingot viime vuonna, mikä tekee niistä tehokkaimman ja kehittynein kyberhyökkäystyypin, 350 % enemmän kuin vuonna 2016.

3. Suorita säännöllisiä tietoturvatarkastuksia ja haavoittuvuustestejä ymmärtääksesi selkeästi järjestelmien sisääntulokohdat.

4. Käytä reaaliaikaiseen rikostekniseen analysointiin modernia ja edistynyttä monikäyttöistä tietoturvaratkaisua edistyneillä suojausvaihtoehdoilla, kuten . Tämän avulla voit estää ja havaita tämäntyyppiset hyökkäykset ja suorittaa vaaditut vastaus- ja palautustoimet hyökkäyksen jälkeen.

Turvatoimet

Valvontaviranomainen suosittelee, että pankit varmistavat, että ne ovat päivittäneet koko järjestelmän ja erityisiä ohjelmisto, virustorjuntaohjelmat asennetaan ja päivitetään. FinCert suosittelee myös rahoituslaitosten tietokoneverkkojen segmentointia ja asetusten tarkistamista palomuurit— niiden olisi estettävä yhteydet sääntelemättömiin verkko-osoitteisiin. On myös suositeltavaa suorittaa varmuuskopioida kriittiset tietojärjestelmät ja tietokannat.

Lisäksi sääntelyviranomainen neuvoo ohjaamaan pankin työntekijöitä kiinnittämään huomiota epäilyttäviin sähköpostiviestejä eikä käynyt kyseenalaisilla sivustoilla.

Keskuspankin edustaja kertoi Vedomostille, että maaliskuusta elokuuhun 2017 keskuspankki oli varoittanut pankkeja lunnasohjelmista jo kuusi kertaa.

Samaan aikaan pankkeja varoitettiin WannaCry ransomware -viruksen vaarasta jo huhtikuussa. Toukokuun 12. päivänä, kun tuli ilmi, että hakkerit yrittivät hyökätä useisiin organisaatioihin ympäri maailmaa WannaCry-viruksella, FinCERT kohdistui pankkeihin ja toisti sitten varoituksensa. Asianomaisten pankkien nimiä ei kerrottu viestissä. Viruksen tiedetään kuitenkin yrittäneen viestin mukaan rahoitusorganisaatio, hakkerit eivät tunkeutuneet heidän järjestelmiinsä.

Petya ransomware -viruksesta Venäjän pankkisektorille. "Hyökkästen seurauksena kirjattiin yksittäisiä infektiotapauksia", FinCERT kirjoitti. Hyökkäyksen kohteena olevien tunnettujen pankkien joukossa ovat "". Pankki ilmoitti, että asiakas- tai tapahtumatietoja ei vaarantunut.

Vedomostin haastattelemat pankkien edustajat huomauttavat, että keskuspankin suositukset ovat säännöllisiä ja rahoituslaitokset toteuttavat niitä.

Mahdollinen kyberhyökkäys

Solar JSOC:n kyberuhkien seurantakeskuksen analyytikko Aleksei Pavlov kertoi sanomalehdelle, että viime päivinä eri toimialojen organisaatiot, mukaan lukien pankit, ovat saaneet varoituksia kiristysohjelmien mahdollisesta toiminnasta, vaikka valvontakeskuksella ei ole tietoa ransomwaren mahdollisesta toiminnasta. uuden hakkerihyökkäyksen valmistelu.

Tietoja aiheesta uusi hyökkäys ei myöskään Kaspersky Lab, sanoo Denis Gorchakov, petostutkimus- ja -analyysiryhmän johtaja. Hän ehdottaa, että FinCERT-kirje liittyy varoitukseen energia-alan uhasta: elokuun 9. päivän aattona he varoittivat, että lähitulevaisuudessa voidaan tehdä uusi kyberhyökkäys.

Uhkauksen takia hakkerin hyökkäys Sähköyhtiö pyysi toimipisteiden johtajia rajoittamaan yritysverkon käyttäjien pääsyä Internetiin 4.8.-14.8. välisenä aikana sekä varoittamaan työntekijöitä olemaan avaamatta tuntemattomilta lähettäjiltä tulevia liitteitä tai napsauttamasta sähköpostissa aiheeseen liittymättömiä linkkejä.

Luotto- ja rahoitussektorin tietokonehyökkäysten seuranta- ja reagointikeskus (FinCERT) on keskuspankin kyberturvallisuutta käsittelevä rakenne. Perustettu vuonna 2015 Venäjän turvallisuusneuvoston päätöksellä. Pankit lähettävät keskuspankille tietoja havaituista tietokonehyökkäyksistä (korttitileihin, etäpalvelujärjestelmiin, pankkisivustoihin), minkä jälkeen asiantuntijat analysoivat nämä tiedot, tunnistavat ongelmien syyt ja lähettävät analyysin tulokset markkinaosapuolille ja lainvalvontaviranomaisille. .

Doctor Web -asiantuntijat tutkivat uutta lunnasohjelmatroijalaista Trojan.Encoder.12544, jota kutsutaan mediassa Petya, Petya.A, ExPetya ja WannaCry-2. Haittaohjelman alustavan analyysin perusteella Doctor Web antaa suosituksia tartunnan välttämiseksi, kertoo mitä tehdä, jos tartunta on jo tapahtunut, ja paljastaa hyökkäyksen tekniset yksityiskohdat.

Kiristysohjelmamato, joka aiheutti paljon melua Trojan.Encoder.12544 aiheuttaa vakavan vaaran henkilökohtaiset tietokoneet, työskentelee hallinnassa Microsoft Windows. Useat lähteet kutsuvat sitä muunnelmaksi Troijasta, joka tunnetaan nimellä Petya ( Trojan.Ransom.369), Mutta Trojan.Encoder.12544 on vain vähän yhtäläisyyksiä hänen kanssaan. Tämä haittaohjelma on tunkeutunut Tietojärjestelmä useat valtion virastot, pankit ja kaupalliset organisaatiot, ja myös tartuttaneet käyttäjien tietokoneet useissa maissa.

Tällä hetkellä tiedetään, että troijalainen saastuttaa tietokoneet käyttämällä samoja haavoittuvuuksia, joita hyökkääjät käyttivät aiemmin soluttautuessaan WannaCry Troijalaisen uhrien tietokoneisiin. Massajakelu Trojan.Encoder.12544 alkoi aamulla 27.6.2017. Kun troijalainen käynnistetään hyökätyssä tietokoneessa, se etsii saatavilla olevia paikallinen verkko Tämän jälkeen tietokone alkaa skannaamaan portteja 445 ja 139 käyttämällä vastaanotettujen IP-osoitteiden luetteloa. Havaittuaan verkossa koneet, joissa nämä portit ovat avoinna, Trojan.Encoder.12544 yrittää tartuttaa ne käyttämällä SMB-protokollan (MS17-10) tunnettua haavoittuvuutta.

Rungossaan troijalainen sisältää 4 pakattua resurssia, joista 2 on 32- ja 64-bittisiä Mimikatz-apuohjelman versioita, jotka on suunniteltu sieppaamaan salasanoja avoimissa istunnoissa Windowsissa. Käyttöjärjestelmän bittimäärästä riippuen se purkaa apuohjelman vastaavan version, tallentaa sen väliaikaiseen kansioon ja käynnistää sen sitten. Mimikatz-apuohjelman sekä kahden muun menetelmän käyttäminen Trojan.Encoder.12544 vastaanottaa luettelon tartunnan saaneeseen tietokoneeseen valtuutetuista paikallisista ja toimialueen käyttäjistä. Sitten se etsii kirjoitettavat verkkokansiot, yrittää avata ne vastaanottamillaan tunnistetiedoilla ja tallentaa kopionsa sinne. Tartuttaakseen tietokoneisiin, joihin hän onnistui pääsemään, Trojan.Encoder.12544 käyttää hallintatyökalua etätietokone PsExec (se on myös tallennettu troijalaisen resursseihin) tai tavallinen konsoliapuohjelma Wmic.exe-objektien kutsumiseen.

Enkooderi ohjaa uudelleenkäynnistystä C:\Windows\-kansioon tallentamalla tiedostolla. Tällä tiedostolla on nimi, joka vastaa troijalaisen nimeä ilman tunnistetta. Koska hyökkääjien tällä hetkellä levittämä matonäyte on nimeltään perfc.dat, sen uudelleen suorittamisen estävän tiedoston nimi on C:\Windows\perfc. Heti kun hyökkääjät vaihtavat troijalaisen alkuperäisen nimen, tiedoston luominen C:\Windows\-kansioon nimellä perfc ilman laajennusta (jotkin virustorjuntayritykset suosittelevat) ei kuitenkaan enää pelasta tietokonetta tartunnalta. Lisäksi troijalainen tarkistaa tiedoston olemassaolon vain, jos sillä on käyttöjärjestelmässä riittävät oikeudet tehdä niin.

Käynnistyksen jälkeen troijalainen määrittää oikeutensa, lataa oman kopionsa muistiin ja siirtää hallinnan sille. Enkooderi korvaa sitten oman levytiedostonsa roskatiedoilla ja poistaa sen. Ensinnäkin Trojan.Encoder.12544 vioittaa aseman C: VBR:n (Volume Boot Record), levyn ensimmäinen sektori on täynnä roskatietoja. Tämän jälkeen kiristysohjelma kopioi alkuperäisen käynnistyslataimen Windows-merkintä levyn toiseen osaan salaamalla sen aiemmin XOR-algoritmilla ja kirjoittaa sen sijaan oman. Seuraavaksi se luo tehtävän käynnistää tietokone uudelleen ja alkaa salata kaikkia tiedostoja, joiden tunniste on .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, havaittu. paikallisilla fyysisillä levyillä. .cfg, .conf, .cpp, .cs, .ctl, .dbf, .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx , .mail, .mdb, .msg, .nrg, .ora, .ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi , .py, . pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, . vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

Troijalainen salaa tiedostot vain kiinteillä tietokoneen asemilla; kunkin aseman tiedot salataan erillisessä virrassa. Salaus suoritetaan AES-128-CBC-algoritmeilla, jokaisella levyllä on oma avain (tämä on erottuva piirre Troijalainen, jota muut tutkijat eivät ole havainneet). Tämä avain on salattu RSA-2048-algoritmilla (muut tutkijat ovat raportoineet 800-bittisen avaimen käyttämisestä) ja tallennetaan salatun aseman juurikansioon tiedostona nimeltä README.TXT. Salatut tiedostot eivät saa lisälaajennuksia.

Kun aiemmin luotu tehtävä on suoritettu, tietokone käynnistyy uudelleen ja ohjaus siirtyy troijalaisen käynnistystietueeseen. Se näyttää tartunnan saaneen tietokoneen näytöllä tekstiä, joka muistuttaa tavallista CHDISK-levyntarkistusapuohjelmaa.

Virukset itse tietokoneuhkana eivät yllätä ketään nykyään. Mutta jos aiemmin ne vaikuttivat järjestelmään kokonaisuutena aiheuttaen häiriöitä sen toiminnassa, nykyään, kun salausviruksen kaltainen lajike on ilmaantunut, tunkeutuvan uhan toimet vaikuttavat useampaan käyttäjätietoon. Se on ehkä jopa suurempi uhka kuin Windowsille tuhoavat suoritettavat sovellukset tai vakoiluohjelmasovelmat.

Mikä on ransomware-virus?

Itse kopioivaan virukseen kirjoitettu koodi sisältää lähes kaikkien käyttäjätietojen salauksen erityisillä salausalgoritmeilla, mikä ei vaikuta järjestelmätiedostot käyttöjärjestelmä.

Aluksi viruksen vaikutuksen logiikka ei ollut monille täysin selvä. Kaikki tuli selväksi vasta, kun tällaisia ​​sovelmia luoneet hakkerit alkoivat vaatia rahaa alkuperäisen tiedostorakenteen palauttamiseksi. Samanaikaisesti salattu virus itsessään ei salli tiedostojen salauksen purkamista sen ominaisuuksien vuoksi. Tätä varten tarvitset erityisen salauksen purkajan, jos haluat, koodin, salasanan tai algoritmin, joka vaaditaan halutun sisällön palauttamiseksi.

Viruskoodin järjestelmän tunkeutumisen periaate ja toiminta

Yleensä on melko vaikeaa "poimia" tällaista paskaa Internetistä. Pääasiallinen "tartunnan" leviämislähde on sähköposti tiettyyn tietokonepäätteeseen asennettujen ohjelmien tasolla, kuten Outlook, Thunderbird, The Bat jne. Huomattakoon heti: tämä ei koske Internetin sähköpostipalvelimia, koska niillä on melko korkea suojaustaso, ja pääsy käyttäjätietoihin on mahdollista vain tasolla

Toinen asia on sovellus tietokonepäätteessä. Täällä virusten toimintakenttä on niin laaja, että sitä on mahdotonta kuvitella. Totta, myös täällä kannattaa tehdä varaus: useimmissa tapauksissa virukset kohdistuvat suuriin yrityksiin, joilta ne voivat "repäistä" rahaa salauksen purkukoodin toimittamisesta. Tämä on ymmärrettävää, koska ei vain paikallisilla tietokonepäätteillä, vaan myös tällaisten yritysten palvelimilla, tiedostot voidaan tallentaa niin sanotusti yhtenä kopiona, jota ei voida tuhota missään olosuhteissa. Ja sitten tiedostojen salauksen purkamisesta lunnasohjelmaviruksen jälkeen tulee melko ongelmallista.

Tietenkin tavallinen käyttäjä voi joutua tällaisen hyökkäyksen kohteeksi, mutta useimmissa tapauksissa tämä on epätodennäköistä, jos noudatat yksinkertaisimpia suosituksia liitteiden avaamisesta tuntemattoman tyyppisillä laajennuksilla. Jopa sähköpostiohjelma määrittelee liitteen, jonka pääte on .jpg vakiona graafinen tiedosto, sinun on ensin tarkistettava se järjestelmään asennettuna.

Jos näin ei tehdä, kun avaat sen kaksoisnapsauttamalla (vakiomenetelmä), koodin aktivointi alkaa ja salausprosessi alkaa, minkä jälkeen samaa Breaking_Bad (salausvirus) ei vain ole mahdotonta poistaa, mutta myöskään tiedostoja ei voida palauttaa uhan poistamisen jälkeen.

Kaikkien tämäntyyppisten virusten tunkeutumisen yleiset seuraukset

Kuten jo mainittiin, useimmat tämän tyyppiset virukset tulevat järjestelmään sähköpostitse. Oletetaan, että suuri organisaatio saa tiettyyn rekisteröityyn sähköpostiin kirjeen, jonka sisältö on "Olemme muuttaneet sopimusta, skannattu kopio on liitteenä" tai "Sinulle on lähetetty lasku tavaroiden toimituksesta (kopio sinne)." Luonnollisesti hyväuskoinen työntekijä avaa tiedoston ja...

Kaikki käyttäjän tiedostot toimistoasiakirjojen tasolla multimedia, erikoistuneet AutoCAD-projektit tai mikä tahansa muu arkistotieto salataan välittömästi, ja jos tietokonepääte sijaitsee lähiverkossa, virusta voidaan siirtää edelleen salaamalla tiedot muissa koneissa (tämä näkyy heti "jarrutusjärjestelmä" ja ohjelmien tai käynnissä olevien sovellusten jäädyttäminen).

Virus itse lähettää salausprosessin päätteeksi ilmeisesti eräänlaisen raportin, jonka jälkeen yritys voi saada viestin, että tällainen ja sellainen uhka on tunkeutunut järjestelmään ja vain sellainen ja sellainen organisaatio voi purkaa sen. Tähän liittyy yleensä virus. [sähköposti suojattu]. Seuraavaksi tulee vaatimus maksaa salauksenpurkupalveluista tarjouksella lähettää useita tiedostoja asiakkaan sähköpostiin, mikä on useimmiten kuvitteellista.

Haitat koodille altistumisesta

Jos joku ei ole vielä ymmärtänyt: tiedostojen salauksen purkaminen kiristysohjelmaviruksen jälkeen on melko työvoimavaltainen prosessi. Vaikka et antaisi periksi hyökkääjien vaatimuksille ja yrität saada viralliset valtion virastot mukaan tietokonerikosten torjuntaan ja ehkäisyyn, siitä ei yleensä seuraa mitään hyvää.

Jos poistat kaikki tiedostot, tuotat ja jopa kopioit alkuperäiset tiedot siirrettävältä tietovälineeltä (tietysti, jos sellainen on), kaikki salataan silti uudelleen, jos virus aktivoituu. Joten sinun ei pidä huijata itseäsi liikaa, varsinkin kun laitat saman flash-aseman USB-porttiin, käyttäjä ei edes huomaa kuinka virus salaa myös sen tiedot. Silloin sinulla ei ole ongelmia.

Perheen esikoinen

Kiinnitämme nyt huomiomme ensimmäiseen salausvirukseen. Tiedostojen desinfiointi ja salauksen purkaminen liitteen sisältämälle suoritettavalle koodille altistumisen jälkeen Sähköposti tutustumistarjouksen myötä kukaan ei ollut vielä ajatellut sitä sen ilmestymishetkellä. Tieto katastrofin laajuudesta tuli vasta ajan myötä.

Tällä viruksella oli romanttinen nimi "I Love You". Aavistamaton käyttäjä avasi sähköpostiviestin liitteen ja sai täysin sopimattomia multimediatiedostoja (grafiikka, video ja ääni). Tuolloin tällaiset toimet kuitenkin näyttivät tuhoisammilta (haita käyttäjien mediakirjastoille), eikä kukaan vaatinut siitä rahaa.

Uusimmat modifikaatiot

Kuten näemme, teknologian evoluutiosta on tullut varsin kannattavaa liiketoimintaa, varsinkin kun otetaan huomioon, että monet suurten organisaatioiden johtajat joutuvat heti maksamaan salauksen purkutyöstä ajattelematta ollenkaan, että he voisivat menettää sekä rahaa että tietoa.

Muuten, älä katso kaikkia näitä "vääriä" viestejä Internetissä, jossa sanotaan: "Maksoin / maksoin vaaditun summan, he lähettivät minulle koodin, kaikki palautettiin." Hölynpöly! Kaiken tämän ovat kirjoittaneet viruksen kehittäjät itse houkutellakseen potentiaalisia, anteeksi vain, "imikkejä". Mutta tavallisen käyttäjän standardien mukaan maksettavat summat ovat melko vakavia: sadasta useisiin tuhansiin tai kymmeniin tuhansiin euroihin tai dollareihin.

Katsotaanpa nyt tämän tyyppisiä uusimpia virustyyppejä, jotka on tallennettu suhteellisen äskettäin. Kaikki ne ovat käytännössä samanlaisia ​​ja eivät kuulu vain salaajien luokkaan, vaan myös ns. lunnasohjelmien ryhmään. Joissakin tapauksissa he toimivat oikein (kuten paycrypt) lähettäen näennäisesti virallisia yritystarjouksia tai viestejä, että joku välittää käyttäjän tai organisaation turvallisuudesta. Tällainen salaava virus yksinkertaisesti johtaa käyttäjää harhaan viestillään. Jos hän tekee pienimmänkin toimenpiteen maksaakseen, se on siinä - "avioero" on täydellinen.

XTBL virus

Tämä suhteellisen uusi versio voidaan luokitella lunnasohjelmien klassiseksi versioksi. Tyypillisesti se saapuu järjestelmään sähköpostiviesteillä, jotka sisältävät liitetiedostoja, mikä on vakiona Windowsin näytönsäästäjille. Järjestelmä ja käyttäjä ajattelevat, että kaikki on hyvin ja aktivoivat liitteen katselun tai tallennuksen.

Valitettavasti tämä johtaa surullisiin seurauksiin: tiedostojen nimet muunnetaan merkkijoukoksi ja .xtbl lisätään päätunnisteeseen, minkä jälkeen lähetetään viesti haluttuun sähköpostiosoitteeseen mahdollisesta salauksen purkamisesta määritetyn summan maksamisen jälkeen. (yleensä 5 tuhatta ruplaa).

CBF virus

Tämän tyyppinen virus kuuluu myös genren klassikoihin. Se tulee näkyviin järjestelmään sähköpostin liitetiedostojen avaamisen jälkeen ja nimeää sitten käyttäjätiedostot uudelleen ja lisää loppuun tunnisteen, kuten .nochance tai .perfect.

Valitettavasti tämän tyyppisen kiristysohjelmaviruksen salauksen purkaminen koodin sisällön analysoimiseksi edes siinä vaiheessa, kun se ilmestyy järjestelmään, ei ole mahdollista, koska toimintojensa jälkeen se tuhoutuu itsestään. Jopa se, mitä monet uskovat olevan universaali työkalu, kuten RectorDecryptor, ei auta. Jälleen käyttäjä saa kirjeen, jossa vaaditaan maksua, jolle annetaan kaksi päivää.

Breaking_Bad virus

Tämäntyyppinen uhka toimii samalla tavalla, mutta nimeää tiedostot uudelleen vakioversiossa ja lisää .breaking_bad-tunnisteen laajennukseen.

Tilanne ei rajoitu tähän. Toisin kuin aikaisemmat virukset, tämä voi luoda toisen laajennuksen - .Heisenberg, joten kaikkia tartunnan saaneita tiedostoja ei aina ole mahdollista löytää. Joten Breaking_Bad (lunnasohjelmavirus) on melko vakava uhka. Muuten, on tapauksia, joissa jopa Kaspersky Endpoint Security 10 -lisenssipaketti missaa tämän tyyppisen uhan.

Virus [sähköposti suojattu]

Tässä on toinen, kenties vakavin uhka, joka kohdistuu enimmäkseen suuriin kaupallisiin organisaatioihin. Pääsääntöisesti jollekin osastolle tulee kirje, joka sisältää näennäisesti muutoksia toimitussopimukseen tai jopa pelkän laskun. Liite voi sisältää tavallisen .jpg-tiedoston (kuten kuvan), mutta useammin suoritettavan script.js-tiedoston (Java-sovelman).

Kuinka purkaa tämän tyyppisen salausviruksen salaus? Sen perusteella, että siellä käytetään jotain tuntematonta RSA-1024-algoritmia, ei mitenkään. Nimen perusteella voit olettaa, että tämä on 1024-bittinen salausjärjestelmä. Mutta jos joku muistaa, nykyään 256-bittistä AES:tä pidetään edistyneimpana.

Encryptor virus: kuinka desinfioida ja purkaa tiedostoja virustorjuntaohjelmistolla

Toistaiseksi ei ole löydetty ratkaisuja tämäntyyppisten uhkien tulkitsemiseen. Jopa sellaiset virustorjunta-alan mestarit kuin Kaspersky, Dr. Web ja Eset eivät löydä avainta ongelman ratkaisemiseksi, kun järjestelmä on saastunut salaavalla viruksella. Miten tiedostot desinfioidaan? Useimmissa tapauksissa on suositeltavaa lähettää pyyntö virustorjuntakehittäjän viralliselle verkkosivustolle (muuten vain, jos järjestelmällä on tämän kehittäjän lisensoitu ohjelmisto).

Tässä tapauksessa sinun on liitettävä useita salattuja tiedostoja sekä niiden "terveitä" alkuperäisiä, jos sellaisia ​​​​on. Yleisesti ottaen harvat ihmiset tallentavat kopioita tiedoista, joten heidän poissaolonsa ongelma vain pahentaa jo ennestään epämiellyttävää tilannetta.

Mahdollisia tapoja tunnistaa ja poistaa uhka manuaalisesti

Kyllä, skannaus perinteisillä virustorjuntaohjelmilla tunnistaa uhat ja jopa poistaa ne järjestelmästä. Mutta mitä tehdä tiedolla?

Jotkut yrittävät käyttää salauksenpurkuohjelmia, kuten jo mainittua RectorDecryptor (RakhniDecryptor) -apuohjelmaa. Huomaa heti: tämä ei auta. Ja Breaking_Bad-viruksen tapauksessa siitä voi olla vain haittaa. Ja siksi.

Tosiasia on, että ihmiset, jotka luovat tällaisia ​​viruksia, yrittävät suojella itseään ja antaa ohjeita muille. Käytettäessä salauksenpurkuapuohjelmia virus voi reagoida siten, että koko järjestelmä "lentää" ja tuhoaa täydellisesti kaikki tietoihin tallennetut tiedot. Kovalevyt tai loogisissa osioissa. Tämä on niin sanotusti suuntaa-antava opetus kaikkien niiden rakentamiseksi, jotka eivät halua maksaa. Voimme luottaa vain virallisiin virustorjuntalaboratorioihin.

Kardinaalit menetelmät

Kuitenkin, jos asiat ovat todella huonosti, joudut uhraamaan tiedot. Päästäksesi kokonaan eroon uhasta, sinun on alustettava koko kiintolevy, mukaan lukien virtuaaliset osiot, ja asennettava sitten käyttöjärjestelmä uudelleen.

Valitettavasti muuta ulospääsyä ei ole. Edes tiettyyn tallennettuun palautuspisteeseen asti ei ole apua. Virus saattaa kadota, mutta tiedostot pysyvät salattuina.

Jälkisanan sijaan

Lopuksi on syytä huomata, että tilanne on tämä: lunnasohjelmavirus tunkeutuu järjestelmään, tekee likaisen työnsä eikä kukaan paranna sitä. tunnetuilla menetelmillä. Virustentorjuntatyökalut eivät olleet valmiita tämäntyyppisiin uhkiin. On sanomattakin selvää, että virus on mahdollista havaita altistuksen jälkeen tai poistaa se. Mutta salatut tiedot pysyvät rumia. Haluaisin siis toivoa, että virustoparhaat mielet löytävät ratkaisun, vaikka salausalgoritmien perusteella se tulee olemaan erittäin vaikeaa. Muista vain Enigma-salauskone, joka Saksan laivastolla oli toisen maailmansodan aikana. Parhaat kryptografit eivät pystyneet ratkaisemaan viestien salauksen purkamisalgoritmin ongelmaa ennen kuin saivat laitteen käsiinsä. Näin asiat ovat täälläkin.