Вірус-шыфравальшчык: як вылечыць і расшыфраваць файлы? Расшыфроўка файлаў пасля віруса-шыфравальшчыка

Самі па сабе вірусы як кампутарная пагроза сёння нікога не здзіўляюць. Але калі раней яны ўздзейнічалі на сістэму ў цэлым, выклікаючы збоі ў яе працаздольнасці, сёння, са з'яўленнем такой разнавіднасці, як вірус-шыфравальшчык, дзеянні пранікальнай пагрозы датычацца больш карыстацкіх дадзеных. Ён уяўляе сабой, быць можа, нават большую пагрозу, чым дэструктыўныя для Windows выкананыя прыкладання або шпіёнскія аплеты.

Што такое вірус-шыфравальшчык?

Сам па сабе код, прапісаны ў самокопирующемся вірусе, мяркуе шыфраванне практычна ўсіх карыстацкіх дадзеных адмысловымі крыптаграфічнымі алгарытмамі, ня тое, што закранае сістэмныя файлы аперацыйнай сістэмы.

Спачатку логіка ўздзеяння віруса многім была не зусім зразумелая. Усё праяснілася толькі тады, калі хакеры, якія стваралі такія аплеты, пачалі патрабаваць за аднаўленне пачатковай структуры файлаў грошы. Пры гэтым сам пракраўся вірус-шыфравальшчык расшыфраваць файлы ў сілу сваіх асаблівасцяў не дазваляе. Для гэтага патрэбен адмысловы дэшыфратар, калі хочаце, код, пароль або алгарытм, патрабаваны для аднаўлення шуканага змесціва.

Прынцып пранікнення ў сістэму і працы кода віруса

Як правіла, «падчапіць» такую гадасць ў Інтэрнэце досыць цяжка. Асноўнай крыніцай распаўсюду «заразы» з'яўляецца электронная пошта на ўзроўні усталяваных на канкрэтным кампутарным тэрмінале праграм накшталт Outlook, Thunderbird, The Bat і т. Д. Заўважым адразу: паштовых інтэрнэт-сервераў гэта не датычыцца, паколькі яны маюць досыць высокую ступень абароны, а доступ да карыстацкіх дадзеных магчымы хіба што на ўзроўні хмарных сховішчаў.

Іншая справа - дадатак на кампутарным тэрмінале. Вось тут-то для дзеяння вірусаў поле настолькі шырокае, што і ўявіць сабе немагчыма. Праўда, тут таксама варта зрабіць агаворку: у большасці выпадкаў вірусы маюць на мэце буйныя кампаніі, з якіх можна «садраць» грошы за прадастаўленне кода расшыфроўкі. Гэта і зразумела, бо не толькі на лакальных камп'ютарных тэрміналах, але і на серверах такіх фірмаў можа захоўвацца не тое што цалкам канфідэнцыйная інфармацыя, але і файлы, так бы мовіць, у адным экзэмпляры, якія не падлягаюць знішчэнню ні ў якім разе. І тады расшыфроўка файлаў пасля віруса-шыфравальшчыка становіцца досыць праблематычнай.

Вядома, і радавы карыстач можа падвергнуцца такой атацы, але ў большасці выпадкаў гэта малаверагодна, калі выконваць найпростыя рэкамендацыі па адкрыцці укладанняў з пашырэннямі невядомага тыпу. Нават калі паштовы кліент вызначае ўкладанне з пашырэннем .jpg як стандартны графічны файл, спачатку яго абавязкова трэба праверыць штатным антывірусным сканарам, устаноўленых у сістэме.

Калі гэтага не зрабіць, пры адкрыцці падвойным клікам (стандартны метад) запусціцца актывацыя кода, і пачнецца працэс шыфравання, пасля чаго той жа Breaking_Bad (вірус-шыфравальшчык) не толькі будзе немагчымае выдаліць, але і файлы пасля ліквідацыі пагрозы аднавіць не ўдасца.

Агульныя наступствы пранікнення ўсіх вірусаў такога тыпу

Як ужо гаварылася, большасць вірусаў гэтага тыпу пранікаюць у сістэму праз электронную пошту. Ну вось, дапусцім, у буйную арганізацыю, на канкрэтны зарэгістраваны мэйл прыходзіць ліст з утрыманнем накшталт «Мы змянілі кантракт, скан ва ўкладанні» або «Вам адпраўлена накладная па адгрузцы тавару (копія там-то)». Натуральна, нічога не падазравалы супрацоўнік адкрывае файл і ...

Ўсе карыстацкія файлы на ўзроўні офісных дакументаў, мультымедыя, спецыялізаваных праектаў AutoCAD ці яшчэ якіх-небудзь архіважны дадзеных маментальна зашыфроўваць, прычым, калі кампутарны тэрмінал знаходзіцца ў лакальнай сеткі, вірус можа перадавацца і далей, шыфруючыся дадзеныя на іншых машынах (гэта становіцца прыкметным адразу па «тармажэння» сістэмы і завісання праграм або запушчаных ў дадзены момант прыкладанняў).

Па заканчэнні працэс шыфравання сам вірус, мабыць, адсылае своеасаблівую справаздачу, пасля чаго кампаніі можа прыйсці паведамленне аб тым, што ў сістэму пракралася такая-то і такая-то пагроза, і што расшыфраваць яе можа толькі такая-то арганізацыя. Звычайна гэта датычыцца віруса paycrypt@gmail.com. Далей ідзе патрабаванне аплаціць паслугі па дэшыфроўкі з прапановай адпраўкі некалькіх файлаў на электронную пошту кліента, часцей за ўсё якая з'яўляецца фіктыўнай.

Шкоду ад уздзеяння кода

Калі хто яшчэ не зразумеў: расшыфроўка файлаў пасля віруса-шыфравальшчыка - працэс досыць працаёмкі. Нават калі не «весціся» на патрабаванні зламыснікаў і паспрабаваць задзейнічаць афіцыйныя дзяржаўныя структуры па барацьбе з кампутарнымі злачынствамі і іх прадухіленні, звычайна нічога талковага не атрымліваецца.

Калі выдаліць усе файлы, вырабіць аднаўленне сістэмы і нават скапіяваць арыгінальныя дадзеныя са здымнага носьбіта (натуральна, калі такая копія маецца), усё роўна пры актываванай вірусе ўсё будзе зашыфравана нанова. Так што асабліва спакушацца не варта, тым больш што пры ўстаўцы той жа флэшкі ў USB-порт карыстальнік нават не заўважыць, як вірус зашифрует дадзеныя і на ёй. Вось тады сапраўды праблем процьма.

Першынец у сямействе

Цяпер звернем увагу на першы вірус-шыфравальшчык. Як вылечыць і расшыфраваць файлы пасля ўздзеяння выкананага кода, зняволенага ва ўкладанні электроннай пошты з прапановай знаёмства, у момант яго з'яўлення ніхто яшчэ не думаў. Ўсведамленне маштабаў бедства прыйшло толькі з часам.

Той вірус меў рамантычнае назву «I Love You». Нічога не падазравалы юзэр адкрываў ўкладанне ў мэсэдж «элетронки» і атрымліваў цалкам невоспроизводимые файлы мультымедыя (графіка, відэа і аўдыё). Тады, праўда, такія дзеянні выглядалі больш дэструктыўнымі (нанясенне шкоды карыстацкім медыя-бібліятэкам), ды і грошай за гэта ніхто не патрабаваў.

Самыя новыя мадыфікацыі

Як бачым, эвалюцыя тэхналогій стала досыць прыбытковым справай, асабліва калі ўлічыць, што многія кіраўнікі буйных арганізацый маментальна бягуць аплачваць дзеянні па дешифрации, зусім не думаючы пра тое, што так можна пазбавіцца і грошай, і інфармацыі.

Дарэчы сказаць, не глядзіце на ўсе гэтыя «левыя» пасты ў Інтэрнэце, маўляў, "я аплаціў / аплаціла патрабаваную суму, мне даслалі код, усё аднавілася". Лухта! Усё гэта пішуць самі распрацоўшчыкі віруса з мэтай прыцягнення патэнцыйных, прабачце, «лохаў». А бо, па мерках радавога юзэра, сумы для аплаты дастаткова сур'ёзныя: ад сотні да некалькіх тысяч ці дзясяткаў тысяч еўра ці даляраў.

Цяпер паглядзім на найноўшыя тыпы вірусаў такога тыпу, якія былі зафіксаваныя адносна нядаўна. Усе яны практычна падобныя і ставяцца не толькі да катэгорыі шыфравальшчыкам, але яшчэ і да групы так званых вымагальнікаў. У некаторых выпадках яны дзейнічаюць больш карэктна (накшталт paycrypt), быццам бы сылаючы афіцыйныя дзелавыя прапановы або паведамленні пра тое, што хтосьці клапоціцца пра бяспеку карыстальніка ці арганізацыі. Такі вірус-шыфравальшчык сваім паведамленнем проста ўводзіць юзера у зман. Калі той распачне хоць нейкае дзеянне па аплаце, усе - «развод» будзе па поўнай.

вірус XTBL

Адносна нядаўна які з'явіўся вірус XTBL можна аднесці да класічнага варыянту шыфравальшчыка. Як правіла, ён пранікае ў сістэму праз паведамленні электроннай пошты, якія змяшчаюць ўкладанні ў выглядзе файлаў з пашырэннем .scr, якое з'яўляецца стандартным для скрынсэйвера Windows. Сістэма і карыстальнік думаюць, што ўсё ў парадку, і актывуюць прагляд або захаванне ўкладанні.

Нажаль, гэта прыводзіць да сумных наступстваў: імёны файлаў пераўтворацца ў набор сімвалаў, а да асноўнага пашырэнню дадаецца яшчэ .xtbl, пасля чаго на шуканы адрас пошты прыходзіць паведамленне аб магчымасці дэшыфроўкі пасля аплаты паказанай сумы (звычайна 5 тысяч рублёў).

вірус CBF

Дадзены тып віруса таксама ставіцца да класікі жанру. З'яўляецца ён у сістэме пасля адкрыцця укладанняў электроннай пошты, а затым пераназывае карыстацкія файлы, дадаючы ў канцы пашырэнне накшталт .nochance або .perfect.

На жаль, расшыфроўка віруса-шыфравальшчыка такога тыпу для аналізу змесціва кода нават на стадыі яго з'яўлення ў сістэме не ўяўляецца магчымай, паколькі пасля завяршэння сваіх дзеянняў ён вырабляе самаліквідацыю. Нават такое, як лічаць многія, універсальны сродак, як RectorDecryptor, не дапамагае. Зноў жа карыстачу прыходзіць ліст з патрабаваннем аплаты, на што даецца два дні.

вірус Breaking_Bad

Гэты тып пагроз працуе па той жа схеме, але пераназывае файлы ў стандартным варыянце, дадаючы да пашырэння .breaking_bad.

Гэтым сітуацыя не абмяжоўваецца. У адрозненне ад папярэдніх вірусаў, гэты можа ствараць і яшчэ адно пашырэнне - .Heisenberg, так што знайсці ўсе заражаныя файлы не заўсёды можна. Так што Breaking_Bad (вірус-шыфравальшчык) з'яўляецца дастаткова сур'ёзнай пагрозай. Дарэчы сказаць, вядомыя выпадкі, калі нават ліцэнзійны пакет Kaspersky Endpoint Security 10 прапускае пагрозу гэтага тыпу.

вірус paycrypt@gmail.com

Вось яшчэ адна, мабыць, самая сур'ёзная пагроза, якая накіравана большай часткай на буйныя камерцыйныя арганізацыі. Як правіла, у нейкі аддзел прыходзіць ліст, якое змяшчае быццам бы змены да дамовы аб пастаўцы, ці нават проста накладная. Ўкладанне можа ўтрымліваць звычайны файл .jpg (тыпу выява), але часцей - выкананы скрыпт .js (Java-аплет).

Як расшыфраваць вірус-шыфравальшчык гэтага тыпу? Мяркуючы па тым, што там ужываецца нейкі невядомы алгарытм RSA-1024, ніяк. Калі зыходзіць з назвы, можна меркаваць, што гэта 1024-бітная сістэма шыфравання. Але, калі хто памятае, сёння самой дасканалай лічыцца 256-бітная AES.

Вірус-шыфравальшчык: як вылечыць і расшыфраваць файлы пры дапамозе антывіруснага ПА

На сённяшні дзень для расшыфроўкі пагроз такога тыпу рашэнняў пакуль не знойдзена. Нават такія мэтры ў галіне антывіруснай абароны, як Kaspersky, Dr. Web і Eset, не могуць знайсці ключ да вырашэння праблемы, калі ў сістэме натаптаў вірус-шыфравальшчык. Як вылечыць файлы? У большасці выпадкаў прапануецца адправіць запыт на афіцыйны сайт распрацоўніка антывіруса (дарэчы, толькі пры наяўнасці ў сістэме ліцэнзійнага ПА гэтага распрацоўніка).

Пры гэтым трэба прымацаваць некалькі зашыфраваных файлаў, а таксама іх "здаровыя" арыгіналы, калі такія маюцца. У цэлым жа, па вялікім рахунку мала хто захоўвае копіі дадзеных, так што праблема іх адсутнасці толькі пагаршае і без таго бесстароннюю сітуацыю.

Магчымыя спосабы ідэнтыфікацыі і ліквідацыі пагрозы ўручную

Так, сканаванне звычайнымі антывірусамі пагрозы вызначае і нават выдаляе іх з сістэмы. Але што рабіць з інфармацыяй?

Некаторыя спрабуюць выкарыстоўваць праграмы-дэшыфратары накшталт згаданай ужо ўтыліты RectorDecryptor (RakhniDecryptor). Адзначым адразу: гэта не дапаможа. А ў выпадку з вірусам Breaking_Bad так і зусім можа толькі нашкодзіць. І вось чаму.

Справа ў тым, што людзі, якія ствараюць такія вірусы, спрабуюць засцерагчы сябе і даць настаўленьне іншым. Пры выкарыстанні ўтыліт для дэшыфроўкі вірус можа адрэагаваць такім чынам, што ўся сістэма «зляціць», прычым з поўным знішчэннем ўсіх дадзеных, якія захоўваюцца на жорсткіх дысках ці ў лагічных раздзелах. Гэта, так бы мовіць, паказальны ўрок у навучанне ўсім тым, хто не хоча плаціць. Застаецца спадзявацца толькі на афіцыйныя антывірусныя лабараторыі.

кардынальныя метады

Зрэшты, калі ўжо справы зусім дрэнныя, прыйдзецца інфармацыяй ахвяраваць. Каб цалкам пазбавіцца ад пагрозы, трэба адфарматаваць ўвесь вінчэстар, уключаючы віртуальныя раздзелы, пасля чаго усталяваць «аперацыёнку» зноўку.

На жаль, іншага выйсця няма. Нават адкат сістэмы да пэўнай захаванай пункту аднаўлення не дапаможа. Вірус, можа быць, і знікне, але файлы так і застануцца зашыфраванымі.

замест пасляслоўя

У заключэнне варта адзначыць, што сітуацыя такая: вірус-шыфравальшчык пранікае ў сістэму, робіць сваю чорную справу і не лечыцца ніякімі вядомымі спосабамі. Антывірусныя сродкі абароны апынуліся не гатовыя да такога тыпу пагроз. Само сабой зразумела, што выявіць вірус пасля яго ўздзеяння або выдаліць можна. Але зашыфраваная інфармацыя так і застанецца ў непрывабным выглядзе. Так што хочацца спадзявацца, што лепшыя розумы кампаній-распрацоўшчыкаў антывіруснага ПА ўсё ж такі знойдуць рашэнне, хоць, мяркуючы па алгарытмах шыфравання, зрабіць будзе вельмі няпроста. Успомніць хоць бы шыфравальную машыну Enigma, якая ў часы Другой сусветнай вайны была ў нямецкага флоту. Лепшыя крыптаграфіі не маглі вырашыць праблему алгарытму для дэшыфроўкі паведамленняў, пакуль не набылі прыладу ў свае рукі. Дык вось яно як і тут.