Virus-encryptor: làm thế nào để chữa bệnh và giải mã các tập tin? Giải mã tệp sau khi vi rút mã hoá

Bản thân họ, virus là một mối đe dọa máy tính không làm bất ngờ bất cứ ai ngày nay. Nhưng nếu trước đó chúng ảnh hưởng đến toàn bộ hệ thống, gây ra trục trặc trong khả năng hoạt động của nó, ngày nay, với sự ra đời của một phiên bản như một bộ mã hoá virus, hành động xâm nhập các mối đe dọa liên quan đến nhiều dữ liệu người dùng hơn. Đó có thể là mối đe dọa lớn hơn các ứng dụng thực thi của Windows hoặc các phần mềm gián điệp.

Vi rút mã hoá là gì?

Bản thân mã viết bằng một virus tự sao chép liên quan đến việc mã hóa gần như tất cả các dữ liệu người dùng với các thuật toán mật mã đặc biệt không ảnh hưởng đến các tập tin hệ thống của hệ điều hành.

Thoạt đầu, logic của việc tiếp xúc với nhiều loại virut không hoàn toàn rõ ràng. Tất cả chỉ được làm sạch khi các hacker tạo ra các applet đó bắt đầu yêu cầu tiền khôi phục cấu trúc ban đầu của các tệp. Trong trường hợp này, các chương trình mã hóa virus xâm nhập sẽ giải mã các tập tin do tính năng của nó không cho phép. Để làm điều này, bạn cần một bộ giải mã đặc biệt, nếu muốn, mã, mật khẩu hoặc thuật toán cần thiết để khôi phục lại nội dung bạn đang tìm kiếm.

Nguyên tắc thâm nhập vào hệ thống và công việc của mã virus

Theo quy định, khá khó để "nhặt" muck trên Internet. Nguồn gốc phân phối "lây nhiễm" là e-mail ở cấp độ của các chương trình cài đặt trên một máy tính cụ thể như Outlook, Thunderbird, The Bat, vv Lưu ý ngay: máy chủ thư điện tử không quan tâm đến điều này, bởi vì chúng có một mức độ bảo vệ đủ cao và truy cập Đối với dữ liệu người dùng chỉ có thể ở cấp lưu trữ đám mây.

Một điều nữa là ứng dụng trên máy tính. Ở đây, sau đó, đối với hành động của virus, lĩnh vực này là quá rộng mà không thể tưởng tượng được. Đúng, ở đây, cũng cần phải bảo lưu: trong hầu hết các trường hợp, virus là nhằm vào các công ty lớn, từ đó có thể "lấy đi" tiền để cung cấp mã giải mã. Điều này có thể hiểu được, bởi vì không chỉ các máy tính cục bộ mà còn các máy chủ của các công ty như vậy có thể lưu trữ không chỉ thông tin bí mật hoàn toàn mà còn các tập tin, như vậy để nói, trong một bản duy nhất, không bị hủy trong mọi trường hợp. Và sau đó giải mã các tập tin sau khi virus mã hóa trở nên khá khó hiểu.

Tất nhiên, người dùng trung bình có thể bị tấn công như vậy, nhưng trong hầu hết các trường hợp, điều này không xảy ra nếu người ta quan sát những gợi ý đơn giản nhất để mở các tệp đính kèm với phần mở rộng của loại không xác định. Ngay cả khi ứng dụng thư định nghĩa tệp đính kèm có đuôi .jpg là một tệp đồ họa tiêu chuẩn, trước hết phải kiểm tra với một trình quét vi-rút quét thường xuyên được cài đặt trong hệ thống.

Nếu bạn không làm điều này, khi bạn mở nó với một cú đúp (phương pháp tiêu chuẩn), mã sẽ được kích hoạt, và quá trình mã hóa sẽ bắt đầu, và sau đó Breaking_Bad cùng sẽ không chỉ có thể gỡ cài đặt, nhưng bạn sẽ không thể phục hồi các tập tin sau khi các mối đe dọa đã được loại bỏ.

Các hậu quả tổng thể của sự xâm nhập của tất cả các loại virus này

Như đã đề cập, hầu hết các loại virut này xâm nhập vào hệ thống qua e-mail. Vâng, giả sử một lá thư có nội dung như "Chúng tôi đã thay đổi hợp đồng, quét trong tệp đính kèm" hoặc "Bạn đã gửi một vận đơn gửi hàng (bản sao)" đến một tổ chức đã đăng ký lớn. Đương nhiên, một nhân viên không nghi ngờ sẽ mở tập tin và ...

Tất cả các tệp tin người dùng ở các tài liệu văn phòng, đa phương tiện, các dự án chuyên ngành AutoCAD hoặc bất kỳ dữ liệu lưu trữ nào khác đều được mã hóa ngay lập tức, và nếu máy tính ở trên mạng cục bộ, virus có thể được truyền đi xa hơn, mã hóa dữ liệu trên các máy khác "Phanh" hệ thống và treo chương trình hoặc chạy các ứng dụng tại thời điểm này).

Khi kết thúc quá trình mã hóa, bản thân virus dường như gửi một loại báo cáo, sau đó công ty có thể nhận được tin nhắn rằng mối đe dọa như vậy và đã xâm nhập vào hệ thống và chỉ có một tổ chức như vậy mới có thể giải mã nó. Thông thường điều này áp dụng cho paycrypt@gmail.com. Sau đó, có nhu cầu thanh toán cho dịch vụ giải mã với đề xuất gửi nhiều tệp tới e-mail của khách hàng, thường là hư cấu nhất.

Tác hại từ ảnh hưởng của mã

Nếu bất cứ ai khác không hiểu: giải mã các tập tin sau khi virus cryptographic - quá trình này là khá tốn kém. Ngay cả khi bạn không "đối phó" với nhu cầu của những kẻ xâm nhập và cố gắng liên quan đến cơ cấu chính thức của nhà nước trong cuộc chiến chống tội phạm máy tính và công tác phòng ngừa của họ thì thường không có gì đáng giá.

Nếu bạn xóa tất cả các tệp tin, hãy thực hiện khôi phục hệ thống và thậm chí sao chép dữ liệu ban đầu từ phương tiện di động (tất nhiên, nếu có một bản sao), tất cả các virus cùng kích hoạt sẽ được mã hóa lại. Vì vậy, không cần phải dụ dỗ chính mình, đặc biệt là khi chèn cùng một ổ đĩa flash vào cổng USB, người dùng thậm chí sẽ không nhận thấy virus mã hóa dữ liệu trên nó như thế nào. Đó là khi chính xác bạn sẽ không gặp vấn đề.

Sinh ra trong gia đình

Bây giờ hãy chú ý đến vi-rút mã hoá đầu tiên. Làm thế nào để khắc phục và giải mã các tập tin sau khi tác động của mã thực thi, đính kèm trong một e-mail đính kèm với cung cấp của người quen, tại thời điểm xuất hiện của nó, không ai nghĩ. Nhận thức về mức độ thảm họa chỉ đến với thời gian.

Loại virus này có một cái tên lãng mạn "I Love You". Người dùng không nghi ngờ đã mở tập tin đính kèm e-mail và nhận được các tập tin đa phương tiện hoàn toàn không thể tái tạo được (đồ hoạ, video và âm thanh). Tuy nhiên, những hành động như thế lại có vẻ tàn phá hơn (làm hại đến các thư viện phương tiện của người dùng) và không ai đòi hỏi tiền cho nó.

Sửa đổi mới nhất

Như chúng ta có thể thấy, sự tiến triển của công nghệ đã trở thành một ngành kinh doanh có lợi nhuận, đặc biệt khi mà nhiều nhà lãnh đạo của các tổ chức lớn ngay lập tức chạy để trả tiền cho các hành động giải mã, hoàn toàn không nghĩ rằng có thể mất cả tiền lẫn thông tin.

Nhân tiện, không nhìn vào tất cả các "trái" bài viết trên Internet, họ nói, "Tôi trả tiền / trả số tiền yêu cầu, tôi đã được gửi một mã số, mọi thứ đã được khôi phục." Vô nghĩa! Tất cả điều này được viết bởi các nhà phát triển của vi rút để thu hút tiềm năng, xin lỗi, "suckers." Và sau tất cả, theo tiêu chuẩn của người dùng thông thường, số tiền thanh toán là khá nghiêm trọng: từ hàng trăm đến vài nghìn hoặc hàng chục ngàn euro hoặc đô la.

Bây giờ chúng ta hãy quan sát những loại virus mới nhất thuộc loại này, được xác định tương đối gần đây. Tất cả chúng đều thực tế tương tự và không chỉ đối với các nhà mật mã, mà còn đối với một nhóm những người bị đe dọa. Trong một số trường hợp, chúng hoạt động chính xác hơn (như paycrypt), dường như đưa ra các đề xuất kinh doanh chính thức hoặc thông điệp mà ai đó quan tâm đến sự an toàn của người dùng hoặc tổ chức. Một trình mã hóa virus với thông điệp của nó chỉ gây hiểu nhầm cho người dùng. Nếu anh ta có thậm chí một hành động nhỏ nhất về thanh toán, tất cả mọi người - "ly hôn" sẽ đầy đủ.

XTBL Virus

Virus XTBL gần đây có thể được cho là do phiên bản cổ điển của nhà mật mã. Theo nguyên tắc, nó xâm nhập vào hệ thống thông qua các thư điện tử có chứa tệp đính kèm dưới dạng tệp có phần mở rộng .scr, đây là tiêu chuẩn cho trình bảo vệ màn hình Windows. Hệ thống và người sử dụng nghĩ rằng mọi thứ đều theo thứ tự, và kích hoạt xem hoặc lưu tập tin đính kèm.

Than ôi, điều này dẫn đến hậu quả đáng buồn: tên tập tin được chuyển đổi sang tập ký tự, và .xtbl được thêm vào phần mở rộng chính, sau đó thông báo về khả năng giải mã sau khi thanh toán số tiền cụ thể (thường là 5.000 rúp) đến địa chỉ thư mong muốn.

Virus CBF

Loại virus này cũng thuộc về các tác phẩm kinh điển của thể loại. Nó xuất hiện trong hệ thống sau khi mở tập tin đính kèm e-mail, và sau đó đổi tên các tập tin người dùng, thêm vào cuối một phần mở rộng như .nochance hoặc .perfect.

Thật không may, không thể giải mã được một bộ mã hoá virus loại này để phân tích nội dung của mã, ngay cả ở giai đoạn xuất hiện trong hệ thống, vì không thể thực hiện được việc tự thanh toán sau khi hoàn thành hành động. Ngay cả như vậy, như nhiều người tin rằng, một công cụ phổ quát, như RectorDecryptor, không giúp gì. Một lần nữa, người sử dụng nhận được một lá thư yêu cầu thanh toán, được đưa ra trong hai ngày.

Virus Breaking_Bad

Kiểu đe dọa này hoạt động theo cùng một cách, nhưng đổi tên các tệp trong phiên bản chuẩn, thêm vào phần mở rộng .breaking_bad.

Tình huống này không giới hạn. Không giống như các virus trước đây, nó có thể tạo ra một phần mở rộng nữa - .Heisenberg, vì vậy không phải lúc nào cũng có thể tìm thấy tất cả các tệp bị nhiễm bệnh. Vì vậy, Breaking_Bad (virus-encryptor) là một mối đe dọa khá nghiêm trọng. Nhân tiện, có trường hợp ngay cả một gói được cấp phép Kaspersky Endpoint Security 10 bỏ lỡ loại mối đe dọa này.

Virus paycrypt@gmail.com

Đây là một mối đe dọa nghiêm trọng nhất, được chỉ đạo chủ yếu ở các tổ chức thương mại lớn. Theo quy định, một bức thư đến một số bộ phận, có vẻ như có những thay đổi đối với hợp đồng cung cấp, hoặc thậm chí vận tải đường biển. Tài liệu đính kèm có thể chứa tệp .jpg thông thường (loại hình ảnh), nhưng thường là tập tin thực thi .js (Java applet).

Làm thế nào để giải mã một vi-rút mã hoá loại này? Xử lý bởi thực tế là có được sử dụng một số thuật toán không rõ RSA-1024, trong bất kỳ cách nào. Nếu chúng ta bắt đầu từ tên, chúng ta có thể giả định rằng đây là một hệ thống mã hóa 1024-bit. Tuy nhiên, nếu ai đó nhớ, hôm nay AES 256-bit được xem là hoàn hảo nhất.

Bộ mã hóa virus: cách khắc phục và giải mã các tệp bằng phần mềm chống vi-rút

Cho đến nay, để giải mã các mối đe dọa, loại giải pháp này vẫn chưa được tìm thấy. Ngay cả những bậc thầy như vậy trong lĩnh vực bảo vệ chống virus, như Kaspersky, Dr.Sc. Web và Eset, không thể tìm ra chìa khóa để giải quyết vấn đề khi bộ mã hóa virut thừa hưởng hệ thống. Làm thế nào để chữa các tập tin? Trong hầu hết các trường hợp, bạn nên gửi yêu cầu tới trang web chính thức của nhà phát triển phần mềm chống virus (bằng cách này, chỉ khi có phần mềm được cấp phép của nhà phát triển này trong hệ thống).

Trong trường hợp này, bạn cần phải đính kèm một số tệp được mã hóa, cũng như bản gốc "lành mạnh" của chúng, nếu có. Nói chung, nói chung, rất ít người giữ bản sao của dữ liệu, vì vậy vấn đề vắng mặt của họ chỉ làm trầm trọng thêm tình huống khó chịu.

Có thể xác định và loại bỏ các mối đe dọa bằng tay

Vâng, việc quét bằng các chương trình chống vi-rút thông thường sẽ xác định và thậm chí loại bỏ chúng khỏi hệ thống. Nhưng còn thông tin thì sao?

Một số người cố gắng sử dụng các chương trình giải mã như tiện ích RectorDecryptor (RakhniDecryptor) đã đề cập. Lưu ý ngay lập tức: điều này không giúp. Và trong trường hợp virus Breaking_Bad, nó chỉ có thể làm hại nhiều. Và đó là lý do tại sao.

Thực tế là những người tạo ra các virus như vậy cố gắng tự bảo vệ mình và hướng dẫn cho người khác. Khi sử dụng các tiện ích để giải mã, virus có thể phản ứng theo cách mà toàn bộ hệ thống "bay" và với sự hủy diệt hoàn toàn của tất cả các dữ liệu được lưu trữ trên đĩa cứng hoặc trong phân vùng hợp lý. Đây là, như vậy để nói, một bài học trình diễn để xây dựng cho tất cả những người không muốn trả tiền. Nó vẫn chỉ dựa vào các phòng thí nghiệm chống virus chính thức.

Phương pháp Cardinal

Tuy nhiên, nếu mọi việc thực sự tồi tệ, bạn sẽ phải hy sinh thông tin. Để hoàn toàn thoát khỏi mối đe dọa, bạn cần định dạng toàn bộ ổ đĩa cứng, bao gồm phân vùng ảo, và sau đó cài đặt lại hệ điều hành.

Thật không may, không có cách nào khác. Ngay cả việc cuộn lại hệ thống sang một điểm khôi phục được lưu lại sẽ không giúp ích gì. Vi rút có thể biến mất, nhưng các tập tin sẽ vẫn được mã hóa.

Thay vì một phần sau

Để kết luận, cần lưu ý rằng tình hình như sau: bộ mã hoá virus xâm nhập vào hệ thống, chất đen của nó và không được điều trị bằng bất kỳ phương pháp nào. Bảo vệ chống vi rút đã không sẵn sàng cho loại mối đe dọa này. Nó đi mà không nói rằng có thể phát hiện một vi-rút sau khi có hiệu lực hoặc để xóa nó. Tuy nhiên, thông tin mật mã sẽ vẫn không hấp dẫn. Vì vậy, tôi muốn hy vọng rằng những suy nghĩ tốt nhất của các công ty phần mềm chống virus sẽ tìm ra một giải pháp, mặc dù, xét theo các thuật toán mã hóa, nó sẽ rất khó khăn để làm. Nhớ lại ít nhất là chiếc máy mã hóa Enigma, thuộc về hải quân Đức trong Thế chiến II. Các nhà mật mã giỏi nhất không thể giải quyết được vấn đề của thuật toán để giải mã tin nhắn cho đến khi họ đưa thiết bị vào tay của chính họ. Vậy là mọi thứ ở đây.