Blog

Ce este ransomware-ul și cum să îl preveniți și să îl eliminați

Ce este ransomware-ul și cum să îl preveniți și să îl eliminați



Trebuie să aflați mai multe despre ransomware, inclusiv despre cum să preveniți ransomware și cum să îl eliminați în urma unei infecții? În această postare, explorăm în detaliu de ce ransomware-ul este o amenințare periculoasă de securitate pentru companii și persoane deopotrivă. De asemenea, oferim strategii direcționate pe care le puteți utiliza chiar acum pentru a reduce riscul de a fi lovit de ransomware, precum și următorii pași în cazul în care vă infectați cu malware de criptare.

Ce este ransomware-ul?

Odinioară o formă rară și obscură de malware, ransomware-ul are acum un impact imens asupra aproape tuturor. Acest număr de atacuri ransomware a crescut cu 150% între 2019 și 2020. Deși reprezintă doar aproximativ 15% din toate atacurile cibernetice, ransomware-ul este, de asemenea, unul dintre cele mai scumpe, fiecare atac costând companiile aproape 2 milioane de dolari pentru a remedia .



Cu aceste tipuri de atacuri care fac titluri aproape zilnic, asta ridică o întrebare legitimă:Ce este un atac ransomware?

La un nivel de bază, ransomware-ul este doar o altă formă de malware. Este un program rău intenționat menit să infecteze și să perturbe funcționarea normală a unui sistem informatic.



Cu toate acestea, există două caracteristici cheie ale ransomware-ului care îl deosebesc de majoritatea celorlalte forme de malware:

  • În loc să fure date, ransomware-ul este conceput pentru a vă împiedica să le accesați
  • În loc să vândă sau să folosească datele tale furate, infractorii cibernetici încearcă să te oblige să plătești o răscumpărare pentru a recâștiga accesul la datele tale.

Acolo unde malware-ul s-a concentrat în mod tradițional pe furtul de date, ransomware-ul este vorba despre extorcare. În afară de aceasta, metodele pe care infractorii cibernetici le folosesc pentru a infecta computerele cu ransomware sunt aceleași ca orice alt malware.

Așa fiind, ați putea fi infectat cu ransomware dacă:

  • Descărcați-l dintr-un atașament sau un link de e-mail rău intenționat
  • Încărcați-l pe aparat de pe o unitate flash USB sau DVD
  • Descărcați-l în timp ce vizitați un site web corupt

Hackerii pot încărca, de asemenea, ransomware într-un sistem dacă pirata un sistem folosind forța brută sau dacă folosesc acreditări de conectare furate.

Cum funcționează ransomware-ul?

Funcția lui Ranswomare este relativ simplă. Există mai multe tipuri de modele de ransomware, dar toate sunt în esență programe de criptare. Odată instalat pe un sistem, programul execută și criptează tipul de fișiere pe care a fost programat să le ținte.

Ocazional, autorii de ransomware ar putea viza doar o selecție de tipuri de fișiere, cum ar fi documente Word sau foi Excel. Cu toate acestea, de cele mai multe ori, hackerii adoptă o abordare largă care implică criptarea fiecărui fișier dintr-un sistem sau server.

Cum știu dacă am un ransomware?

Pierderea accesului la fișierele de sistem este un semn clar al unui atac ransomware. Ransomware-ul oprește anumite funcții ale sistemului sau interzice accesul la fișiere. În cazul mașinilor Windows, de obicei, vă dezactivează capacitatea de a accesa meniul de pornire (în acest fel nu puteți accesa programe antivirus sau nu puteți încerca să reveniți la modul sigur).

Ransomware-ul nu are niciun scop decât dacă atacatorul arată clar că sunteți infectat și oferă instrucțiuni despre cum să vă deblocați sistemul. Având în vedere acest lucru, majoritatea ransomware-urilor vor veni cu un mesaj (pe ecran sau trimis prin e-mail) că sistemul dvs. a fost criptat. Acest mesaj include de obicei cererea de răscumpărare și informații despre cum să plătească răscumpărarea (de obicei în Bitcoin sau altă criptomonedă).

S-ar putea să vezi ceva de genul acesta:

ecran de blocare ransomware
Sursa: Panda Security

Din nou, criptarea este metoda de bază pentru scriitorii de ransomware. Acest tip de malware criptează fișierele de pe dispozitiv, astfel încât acestea să nu poată fi deschise fără cheia de decriptare sau parola corespunzătoare. Numai atacatorul va avea aceste informații (deși uneori nu o fac ).

Orice fișier poate fi criptat cu ransomware, deși majoritatea ransomware-urilor nu vor încerca să cripteze toate tipurile de fișiere. Unele forme mai noi de criptare ransomware au ajuns chiar la criptarea fișierelor partajate în rețea de asemenea, o dezvoltare periculoasă pentru afaceri în special.

Până când nu ștergeți ransomware-ul de pe computer (sau plătiți răscumpărarea cerută și sperați că criminalul fie îl șterge pentru dvs., fie vă oferă cheia de decriptare), nu veți avea acces la acele fișiere sau sisteme critice. Unele ransomware vă vor cere chiar să plătiți într-un anumit interval de timp, altfel fișierele vor rămâne blocate pentru totdeauna sau virusul vă va șterge complet hard diskul.

Ceea ce ați citit mai sus este o explicație la nivel înalt. Dacă aveți nevoie de o explicație tehnică mai detaliată a modului în care funcționează ransomware-ul pentru a cripta datele, vă recomandăm acest post mediu excelent pe vârf de la Tarcisio Marinho.

Legate de: Cum să porniți Windows 7/8/10/11 în modul sigur

Tipuri de ransomware

Ransomware-ul există încă din anii 1980, dar multe atacuri de astăzi folosesc ransomware bazat pe troianul mai modern Cryptolocker. Ransomware-ul de criptare a fișierelor este din ce în ce mai răspândit tipul. În plus, mulți hackeri folosesc acum tehnici de dublă criptare care folosesc două tipuri de malware pentru a bloca fișierele.

Conform Malwarebytes , există mai multe categorii de ransomware pe care le puteți întâlni în continuare:

Criptarea ransomware-ului

Cryptolocker
Dacă ransomware-ul își găsește drumul pe mașina dvs., probabil că va fi de tipul criptării. Criptarea ransomware-ului devine rapid cel mai comun tip, datorită rentabilității ridicate a investiției pentru infractorii cibernetici care îl folosesc și a cât de dificil este să spargeți criptarea sau să eliminați malware-ul. Acesta este un favorit printre hackeri, deoarece majoritatea instrumentelor antivirus pur și simplu nu funcționează pentru a o preveni și nu pot elimina eficient criptarea după o infecție.

Criptarea ransomware-ului va cripta complet fișierele de pe sistemul dvs. și vă va interzice accesul la ele până când veți plăti o răscumpărare, de obicei sub formă de Bitcoin. Unele dintre aceste programe sunt, de asemenea, sensibile la timp și vor începe să ștergă fișierele până când răscumpărarea este plătită, crescând sentimentul de urgență de a plăti.

Despre acest tip de ransomware, Adam Kujawa, directorul Malwarebytes Labs, avea asta de spus : „Este prea târziu odată ce te-ai infectat. Joc încheiat.'

Backup-ul online poate fi de mare ajutor în recuperarea fișierelor criptate. Majoritatea serviciilor de backup online includ versiunea, astfel încât să puteți accesa versiunile anterioare ale fișierelor și nu cele criptate

Articole de sperietoare

Articole de sperietoare
Sursa: Colegiul Sf. Scolastica

Scareware este un program malware care încearcă să vă convingă că aveți un virus de computer care trebuie eliminat imediat. Apoi va încerca să vă facă să eliminați virusul cumpărând un program malware sau un program de eliminare suspect și de obicei fals. Scareware-ul este extrem de neobișnuit în zilele noastre, dar unii dintre acești viruși încă există în sălbăticie. Multe vizează telefoanele mobile.

Un virus scareware de obicei nu criptează fișierele, deși poate încerca să vă blocheze accesul la unele programe (cum ar fi scanere și dispozitive de eliminare a virușilor). Cu toate acestea, scareware este cel mai ușor de scăpat. De fapt, în cele mai multe cazuri, puteți elimina scareware-ul folosind programe standard de eliminare a virușilor sau alte metode fără a intra Modul sigur (deși acest lucru poate fi totuși necesar sau recomandat).

Blocarea ecranului (sau virușii ecranului de blocare)

blocarea ecranului

Blocajele de ecran vor afișa un ecran de avertizare care vă limitează capacitatea de a accesa funcțiile și fișierele computerului. Acestea pot fi instalate pe computer sau pot exista într-un browser web. De obicei, vor veni cu un mesaj care pretinde că reprezintă o organizație de aplicare a legii și vor încerca să vă convingă că vă veți confrunta cu consecințe legale grave dacă nu plătiți imediat o amendă.

Acest tip de virus poate fi instalat în numeroase moduri, inclusiv prin vizitarea site-urilor web compromise sau făcând clic pe și descărcarea unui fișier infectat conținut într-un e-mail. Când este instalat direct pe un computer, poate fi necesar să efectuați o repornire hard pentru a recâștiga accesul la sistem. Cu toate acestea, este posibil să descoperiți că sunteți în continuare întâmpinați cu mesajul de blocare a ecranului, chiar și atunci când sistemul de operare se încarcă din nou.

Blocajele de ecran tind să vă blocheze din meniu și alte setări de sistem, dar nu blochează întotdeauna accesul la fișierele dvs. Unele dintre metodele de atac primare ale malware-ului vă împiedică să accesați cu ușurință software-ul de eliminare a virușilor și, uneori, vă pot împiedica chiar să reporniți computerul din interfața de utilizator.


Blocarea ecranului este un alt motiv bun pentru care este extrem de important să aveți backup în cloud. În timp ce dispozitivul de blocare a ecranului nu criptează sau șterge fișierele, s-ar putea să fiți nevoit să efectuați o restaurare a sistemului. Este posibil ca restaurarea sistemului să nu șteargă fișierele importante, dar le va readuce la o stare anterioară. În funcție de stările restaurate, acest lucru poate duce în continuare la o mulțime de date pierdute sau de progres. Backup-urile online regulate vor ajuta la prevenirea pierderii de date pe care efectuarea unei restaurări a sistemului nu o garantează, mai ales dacă virusul s-a ascuns pe sistemul dvs. de mult mai mult decât v-ați imaginat.

Cum să preveniți ransomware

Decriptarea fișierelor criptate cu ransomware este incredibil de dificilă. Cu excepția cazului în care plătiți răscumpărarea și primiți cheia de decriptare de la atacator(NU SE RECOMANDĂ), decriptarea ransomware-ului este efectiv imposibilă Majoritatea ransomware-urilor din zilele noastre vor folosi metode de criptare AES sau RSA, ambele fiind imposibil de spart din punct de vedere funcțional cu metode de forță brută.

Pentru a o pune în perspectivă, guvernul SUA folosește și standarde de criptare AES. Informațiile despre cum să creați acest tip de criptare sunt cunoscute pe scară largă, la fel ca și dificultatea de a o sparge.

Cea mai bună metodă de a lupta împotriva ransomware-ului este eliminarea riscului de infecție. Costul considerabil și dificultatea decriptării fără a plăti o răscumpărare înseamnă că cea mai bună strategie este prevenirea.

Protecția împotriva ransomware-ului poate fi realizată prin susținerea punctelor slabe din sistemul, rețeaua sau organizația dvs. și prin modificarea tipului de comportamente care vă expun riscul unui atac ransomware.

Cele mai bune practici de prevenire a ransomware

  • Investește în backup solid pentru date. Acest lucru este greu de subestimat. Backup-ul datelor este cel mai bun lucru pe care îl puteți face. Chiar dacă sunteți lovit de ransomware, a avea o copie de siguranță eficientă și consecventă a datelor înseamnă că datele dvs. vor fi în siguranță, indiferent de tipul de ransomware cu care sunteți atacat.
  • Investește în software antivirus eficient. În acest caz, nu doriți doar programe de curățare malware sau viruși, ci software care vă va monitoriza în mod activ și vă va alerta asupra amenințărilor, inclusiv în interiorul browserelor web. În acest fel, veți primi notificări pentru link-uri suspecte sau veți fi redirecționat departe de site-urile web rău intenționate unde poate fi găzduit ransomware.
  • Nu faceți niciodată clic pe linkuri de e-mail suspecte. Cele mai multe ransomware se răspândesc prin e-mail. Când deveniți un obicei de a nu face niciodată clic pe linkuri suspecte, vă reduceți semnificativ riscul de a descărca ransomware și alți viruși.
  • Protejați computerele conectate la rețea. Unele ransomware funcționează prin scanarea activă a rețelelor și accesarea oricăror computere conectate care permit accesul de la distanță. Asigurați-vă că toate computerele din rețeaua dvs. au accesul de la distanță dezactivat sau utilizează metode puternice de protecție pentru a evita accesul ușor.
  • Păstrați software-ul la zi. Actualizările pentru Windows și alte sisteme de operare și aplicații corectează adesea vulnerabilitățile de securitate cunoscute. Actualizarea în timp util poate ajuta la reducerea riscului de susceptibilitate la programe malware, inclusiv ransomware.
  • Investește în instrumente de protecție împotriva ransomware. Deosebit de util pentru întreprinderile mici și pentru administratorii de rețea pentru a monitoriza și a răspunde la amenințările emergente. Multe instrumente antivirus includ acum soluții anti-ransomware care detectează utilizarea analizei comportamentale pentru a opri rularea virușilor ransomware.inainte deei încep procesul de criptare.

Ce trebuie să faceți dacă prindeți ransomware la mijlocul criptării

Criptarea este un proces intensiv în resurse care necesită o cantitate semnificativă de putere de calcul. Dacă aveți noroc, este posibil să puteți captura ransomware la mijlocul criptării. Pentru aceasta este nevoie de un ochi atent și de a ști cum arată (și uneori sună) o cantitate neobișnuit de mare de activitate. Ransomware-ul va funcționa în mod obișnuit ca un proces de fundal pentru a evita detectarea, ceea ce face mai ușor să pierdeți activitatea rău intenționată înainte de a o opri.

În plus, virusul care face criptarea se va ascunde probabil în interiorul unui alt program sau va avea un nume de fișier modificat care este făcut să pară inofensiv. Este posibil să nu puteți spune care program efectuează acțiunea. Cu toate acestea, dacă descoperiți ceea ce credeți că este un virus ransomware în mijlocul criptării fișierelor, iată câteva opțiuni:

Puneți computerul în modul de hibernare

Acest lucru va opri orice proces care rulează și va crea o imagine rapidă de memorie a computerului și a fișierelor (și salvate pe hard disk). Nu reporniți computerul și nu îl scoateți din hibernare. În acest mod, un specialist în computere (fie de la departamentul dumneavoastră IT, fie de la o companie de securitate angajată) poate monta dispozitivul pe un alt computer într-un mod numai citire și poate evalua situația. Aceasta include recuperarea fișierelor necriptate.

Suspendați operațiunea de criptare

Dacă puteți identifica care operație este vinovată, poate doriți să încercați să suspendați acea operațiune.

În Windows, aceasta implică deschiderea Gestionar de sarcini (CTRL + ALT + DEL) și căutăm operațiuni suspecte. În special, căutați operațiuni care par să scrie mult pe disc. Pentru utilizatorii de macOS, puteți face acest lucru de laMonitor de activitate(CMD + SHIFT + U, apoi deschideți folderul Utilități pentru a găsi Monitorul de activitate).

Puteți suspenda operațiunile de acolo. Este mai bine să suspendați operațiunea în loc să o omorâți, deoarece acest lucru vă permite să investigați procesul mai detaliat pentru a vedea ce se întâmplă de fapt. În acest fel, puteți determina mai bine dacă aveți ransomware pe mâini.

Dacă descoperiți că este un ransomware, verificați ce fișiere a atacat programul. Este posibil să îl găsiți în procesul de criptare a anumitor fișiere. Este posibil să puteți copia aceste fișiere înainte ca procesul de criptare să se încheie și să le mutați într-o locație sigură.

Puteți găsi alte sugestii grozave din partea profesioniștilor în securitate și computer Schimb de stive .

Eliminarea ransomware-ului: Cum să eliminați software-ul și blocajele de ecran (virusuri de blocare a ecranului)

Locker-urile de ecran sunt mai greu de eliminat decât scareware-ul, dar nu reprezintă o problemă la fel de mare ca ransomware-ul de criptare a fișierelor. Virușii Scareware și lock-screen nu sunt atacatori perfecți și pot fi adesea eliminați cu ușurință, cu un cost mic sau deloc.

Dintre opțiunile disponibile pentru eliminarea virușilor de blocare a ecranului, luați în considerare acestea două:

  1. Efectuați o scanare completă a sistemului utilizând un agent de curățare a malware la cerere de renume
  2. Efectuați o restaurare a sistemului până la un punct înainte ca software-ul de alarmă sau blocarea ecranului să înceapă să apară mesaje.

Să ne uităm la ambele în detaliu.

Opțiunea 1: Efectuați o scanare completă a sistemului

Acesta este un proces destul de simplu, dar înainte de a efectua o scanare a sistemului, este important să alegeți un agent de curățare de malware la cerere de renume. Un astfel de agent de curățare este Zemana Anti-Malware. Utilizatorii Windows ar putea folosi chiar și instrumentul Windows Security (fost Windows Defender) încorporat, deși ocazional este mai puțin eficient decât software-ul antivirus al unei terțe părți.

Pentru a efectua scanarea completă a sistemului utilizând Zemana Anti-Malware, procedați în felul următor:

  • Deschideți ecranul de pornire Zemana Anti-Malware.

Ecranul de pornire Zemana Anti-Malware

  • Din ecranul de start, schimbați tipul de scanare înAdânc

Înainte de a rula o scanare, vă recomandăm să setați un punct de restaurare. Setarea unui punct de restaurare este o bună practică pentru scanările de viruși, în general, în cazul în care apare o eroare critică în timpul procesului de scanare. Scanarea dvs. de viruși poate eticheta și elimina unele fișiere sau programe care nu sunt probleme (extensiile Chrome apar adesea ca problematice, de exemplu), făcând necesară o restaurare a sistemului pentru a le recupera.

Pe un computer Windows:

  • Introduceți'punct de restaurare'.
  • SelectațiCreați un punct de restauraredin Panoul de control.
  • SelectațiCrea, apoi tastați o descriere a punctului de restaurare, cum ar fi „scanare pre-malware”
  • În plus, poate doriți să mergeți laConfigurațipentru a porniProtecția sistemului. Acest lucru va începe să creeze automat puncte de restaurare în viitor și vă va permite să alegeți cât spațiu este dedicat copiilor de rezervă

Pe un computer macOS:

Nu este nevoie! Computerul dvs. macOS creează automat puncte de restaurare folosind Time Machine.

Cu punctul de restaurare securizat, acum puteți face clic peScaneaza acumpentru a începe scanarea programelor malware.

Fișierele de clasificare Zemana Anti-Malware

În cazul meu, o scanare recentă a sistemului Zemana a dezvăluit un potențial deturnare DNS. Da! (De asemenea, a clasificat greșit câteva programe ca fiind malware și adware, așa că aveți grijă să verificați ce fișiere curățați și puneți în carantină corect.)

zemana

Pentru a efectua o scanare completă a sistemului utilizând Windows Security, procedați în felul următor:

  • Efectuați o căutare rapidă a sistemului pentru„Securitate Windows”
  • AccesSecuritate Windowsși faceți clic pe pictograma scut din stânga
  • Click peOpțiuni de scanare
  • Schimba cuScanare completă
  • Click peScaneaza acum

Microsoft își îmbunătățește continuu software-ul antivirus Windows încorporat, dar încă nu este o soluție la fel de bună ca o opțiune de instrumente terță parte la cerere, cum ar fi Zemana sau multe alte programe antivirus de înaltă calitate. Rețineți că orice instrument AV terță parte pe care îl instalați va dezactiva automat Securitatea Windows.

Când ai de-a face cu ransomware pentru blocarea ecranului , poate fi necesar să intrați Modul sigur pentru ca dispozitivele de eliminare a virușilor la cerere să funcționeze sau pentru a rula corect restaurarea sistemului. Chiar și unele programe de sperietură vă pot împiedica uneori să vă deschideți programele de eliminare a virușilor, dar de obicei nu vă pot împiedica să faceți acest lucru în timp ce sunteți în modul sigur. Dacă întâmpinați probleme la repornirea computerului în modul Safe (o posibilitate distinctă dacă aveți un bloc de ecran), consultați ghidul nostru pe Cum să porniți Windows în modul sigur .

Opțiunea 2: Efectuați o restaurare a sistemului

O altă opțiune este să efectuați o restaurare a sistemului până la un punct înainte ca software-ul de alarmă sau blocarea ecranului să înceapă să apară mesaje. Dacă utilizați Windows, această opțiune este disponibilă numai dacă aveți computerul setat să creeze puncte de restaurare a sistemului la intervale prestabilite sau dacă ați efectuat manual această acțiune.

(Cei care accesează acest ghid ca măsură preventivă împotriva ransomware-ului ar trebui să se refere la Opțiunea 1, unde vorbim despre cum să creăm puncte de restaurare pe Windows.)

Dacă nu aveți niciun punct de restaurare recent pentru computerul dvs. Windows (sau oricare), această opțiune nu vă va fi de ajutor dacă în prezent lucrați cu o infecție cu virus.

restaurarea sistemului

  • Dacă arată că aveți deja o copie de rezervă, selectați fișierele de rezervă din cel mai recent punct de restaurare sau din orice punct de restaurare doriți.

restaurarea sistemului

Procesul de restaurare a copiei de rezervă poate dura câteva minute, mai ales dacă cantitatea de date restaurată este semnificativă. Cu toate acestea, aceasta ar trebui să vă restaureze sistemul de fișiere la un punct înainte ca virusul să fie descărcat și instalat.

Rețineți că atât o scanare, cât și o restaurare pot avea timpi de reacție întârziați, așa că este o idee bună să faceți ambele.

Universitatea Indiana oferă, de asemenea, o bază de cunoștințe utilă, cu câteva metode avansate pentru mai deranjant scareware . De asemenea, vă recomandăm să consultați Ghid complet pentru programele malware și prevenirea Windows . Vă va ghida prin procesul de eliminare a programelor malware și cum arată acest proces cu mai multe programe diferite.

Eliminare ransomware: Cum să eliminați ransomware-ul de criptare a fișierelor

Odată ce ransomware-ul criptat intră în sistemul dvs., aveți probleme dacă doriți să păstrați orice date nesalvate sau orice nu a fost făcută o copie de rezervă (cel puțin fără să plătiți din nas pentru asta). A plăti răscumpărarea este tentant, dar nu este întotdeauna eficient. Conform raportului Sophos 2021 State of Ransomware, companiile care au plătit o răscumpărare de obicei doar s-au returnat aproximativ 65% din datele lor . Doar 8% au primit înapoi toate datele care au fost deținute pentru răscumpărare.

Având în vedere riscurile plății răscumpărării, dacă sunteți lovit de o bucată urâtă de ransomware de criptare, nu intrați în panică și dacă puteți evita deloc acest lucru,nu încurajați hackerii ransomware plătind.Aveți două opțiuni alternative pentru eliminarea ransomware-ului:

  • Angajați un serviciu profesional de eliminare a ransomware: Dacă aveți bugetul necesar pentru a angaja un profesionist și decideți că recuperarea fișierelor merită banii, acesta ar putea fi cel mai bun curs de acțiune. Multe companii, inclusiv Recuperare dovedită a datelor și Cytelligence , specializată în furnizarea de servicii de eliminare a ransomware. Rețineți că unele taxă chiar dacă eliminarea nu reușește, în timp ce altele nu.
  • Încercați să eliminați singur ransomware-ul: Acest lucru este de obicei gratuit și poate fi o opțiune mai bună dacă nu aveți resursele pentru a angaja un profesionist. Recuperarea fișierelor dvs. va implica, de obicei, mai întâi eliminarea programelor malware și apoi utilizarea unui instrument pentru a decripta fișierele.

Dacă doriți să rezolvați singur problema, încercați acești pași:

Pasul 1: Rulați un antivirus sau un dispozitiv de eliminare a programelor malware pentru a scăpa de virusul de criptare


Notă importantă:Eliminarea virusului ransomware de criptare nu este același lucru cu decriptarea fișierelor. Dacă ați fost lovit de ransomware, va trebui totuși să decriptați sau să restaurați fișierele folosind alte instrumente.

Consultați din nou instrucțiunile de eliminare a programelor malware/virușilor furnizate în secțiunea de eliminare a software-ului/blocarea de ecran de mai sus. Procesul de eliminare în acest pas va fi același, cu o singură excepție: VĂ ÎNCURAJĂM CU FOARTE SĂ ÎNCĂRTĂȚI ACEST VIRUS ÎN MOD SEGURU FĂRĂ ACCES LA REȚEA.

Există șansa ca ransomware-ul de criptare a fișierelor pe care l-ați contractat să vă compromită și conexiunea la rețea. Unele variante trebuie să comunice înapoi cu un server gazdă; întreruperea acestei comunicări poate ajuta la prevenirea acțiunilor ulterioare din partea hackerului care a infectat sistemul.

Eliminarea malware-ului este importantăprimul paspentru a face față acestei probleme. Multe programe de încredere vor funcționa în acest caz, dar nu toate programele antivirus sunt concepute pentru a elimina tipul de malware care criptează fișierele. Puteți verifica eficacitatea programului de eliminare a programelor malware căutând site-ul său web sau contactând asistența pentru clienți.

Pasul 2: Încercați să vă decriptați fișierele folosind un instrument gratuit de decriptare a ransomware

Din nou, ar trebui să faci tot ce poți pentru a evita să plătești o răscumpărare. Următorul tău pas va fi să încerci un instrument de decriptare a ransomware. Din păcate, nu există nicio garanție că va exista un instrument de decriptare a ransomware care funcționează cu ransomware-ul care va infecta sistemul. Este posibil să aveți o variantă care încă nu a fost spartă

Kaspersky Labs, McAfee și alte câteva organizații operează un site web numit Gata cu răscumpărare! de unde oricine poate descărca și instala dispozitive de decriptare a ransomware sau poate identifica ransomware.

Ghid de eliminare a ransomware-ului nu mai există răscumpărare

Kaspersky oferă, de asemenea decriptoare gratuite de ransomware pe site-ul său.

În primul rând, vă sugerăm să utilizați Gata cu Ransom Crypto Sheriff instrument pentru a evalua ce tip de ransomware aveți și dacă există un decriptor care să vă ajute la decriptarea fișierelor. Funcționează așa:

  • Selectați și încărcați două fișiere criptate de pe computer
  • Furnizați o adresă URL a site-ului web, o adresă de e-mail sau o adresă de ceapă sau o adresă bitcoin dată în cererea de răscumpărare
  • Dacă nu au fost furnizate informații în cerere, încărcați fișierul .txt sau .html cu nota de răscumpărare

Crypto Sheriff.

Crypto Sheriff va procesa aceste informații în baza de date pentru a determina dacă există o soluție. Dacă nu este oferită nicio sugestie, nu renunțați încă. Este posibil ca unul dintre decriptoare să funcționeze în continuare, deși ar putea fi necesar să le descărcați pe fiecare. Acesta va fi un proces lent și anevoios, dar ar putea merita să vedeți acele fișiere decriptate.

Suita completă de instrumente de decriptare poate fi găsită sub Fila Instrumente de decriptare pe No More Ransom! site-ul web.

Rularea decriptoarelor de fișiere este de obicei simplă. Majoritatea decriptoarelor vin cu un ghid de utilizare de la dezvoltatorul instrumentului (mulți sunt de la Emsisoft, Kaspersky Labs, Check Point sau Trend Micro). Fiecare proces poate fi ușor diferit, așa că veți dori să citiți ghidul de utilizare în format PDF pentru fiecare, acolo unde este disponibil.

Iată un exemplu de proces pe care l-ați urma pentru a decripta ransomware-ul Philadelphia:

  • Alegeți un fișier criptat pe sistemul dvs. și o versiune a acelui fișier care este în prezent necriptat (dintr-o copie de rezervă). Plasați aceste două fișiere în propriul folder de pe computer.
  • Descărcați Decriptor Philadelphia și mutați executabilul în același folder cu fișierele asociate.
  • Selectați perechea de fișiere și apoi trageți și plasați fișierele pe executabilul decriptor. Decriptorul va începe apoi să determine cheile corecte necesare pentru a decripta fișierul.
  • Acest proces poate dura timp, în funcție de complexitatea programului

Decriptor Philadelphia

  • Odată finalizat, veți primi cheia de decriptare pentru toate fișierele criptate de ransomware.

Decriptor Philadelphia

  • Decriptorul vă va cere apoi să acceptați un acord de licență și vă va oferi opțiuni pentru ce unități să decriptați fișierele. Puteți schimba locația în funcție de locul în care sunt găzduite fișierele în prezent, precum și de alte opțiuni care pot fi necesare, în funcție de tipul de ransomware. Una dintre aceste opțiuni include de obicei capacitatea de a păstra fișierele criptate
  • Veți primi un mesaj în interfața de utilizare a decriptorului după ce fișierele au fost decriptate

Din nou, este posibil ca acest proces să nu funcționeze, deoarece este posibil să aveți ransomware pentru care nu este disponibil niciun decriptor. Totuși, având în vedere că există multe decriptoare disponibile, cel mai bine este să mergeți pe această cale înainte de a plăti bani pentru serviciile de decriptare și cu mult înainte de a lua în considerare o plată de răscumpărare.

Opțiune de copiere de rezervă: ștergeți sistemul și efectuați o restaurare completă a datelor dintr-o copie de rezervă a datelor

Pașii 1 și 2 funcționează numai atunci când sunt utilizați împreună. Dacă oricare dintre ele nu funcționează pentru dvs., va trebui să urmați acest pas. Sperăm că aveți deja o copie de rezervă solidă și fiabilă a datelor. Dacă da, nu cedați tentației de a plăti răscumpărarea. În schimb, solicitați unui profesionist IT să vă restaureze fișierele și sistemul din backupul datelor.

Acesta este și un motiv pentru care backup și restaurare fără metal sunt importante. Există șanse mari ca profesionistul dvs. IT să aibă nevoie pentru a efectua restaurarea completă a metalului gol pentru dvs. Aceasta nu include doar fișierele dvs. personale, ci și sistemul dvs. de operare, setările și programele. De asemenea, utilizatorii Windows ar putea avea nevoie să ia în considerare o resetare completă a sistemului la setările din fabrică.

Microsoft oferă câteva strategii (în mare parte preventive) pentru organizațiile mai mari cu ajutorul său Proiect de atenuare a ransomware operat de om .

Istoria ransomware-ului

După cum am menționat, ransomware-ul nu este un concept nou și există de mulți ani. Deși cronologia de mai jos nu este o listă exhaustivă de ransomware, vă oferă o idee bună despre cum a evoluat această formă de atac de-a lungul timpului.

  • 1989 – Troianul „Aids”, alias PC Cyborg, devine primul caz cunoscut de ransomware pe orice sistem computerizat.
  • 2006 – După o pauză de un deceniu, ransomware-ul revine în masă odată cu apariția Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip și MayArchive. Toate se remarcă prin utilizarea algoritmilor sofisticați de criptare RSA.
  • 2008 – Gpcode.AK ajunge la fața locului. Folosind chei RSA pe 1024 de biți, este nevoie de un efort masiv, dincolo de mijloacele majorității utilizatorilor, pentru a sparge.
  • 2010 – WinLock îi lovește pe utilizatorii din Rusia, pisând display-urile cu porno până când utilizatorul face un apel de 10 USD la un număr cu tarif premium.
  • 2011 – Un troian fără nume blochează mașinile Windows, direcționând vizitatorii către un set fals de numere de telefon prin care își pot reactiva sistemele de operare.
  • 2012 – Reveton informează utilizatorii că aparatul lor a fost folosit pentru a descărca materiale cu drepturi de autor sau pornografie infantilă și solicită plata unei „amenzi”.
  • 2013 – Sosirea infamului CryptoLocker. Creșterea nivelului de criptare, este incredibil de greu de ocolit.
  • 2013 – Apare dulapul, cerând plata a 150 USD către un card de credit virtual.
  • 2013 – Greu de detectat, CryptoLocker 2.0 adaugă utilizarea Tor pentru un anonimat suplimentar pentru codificatorul criminal care l-a creat.
  • 2013 – Cryptorbit adaugă, de asemenea, utilizarea Tor în repertoriul său și codifică primii 1.024 de biți ai fiecărui fișier. De asemenea, instalează un miner Bitcoin pentru a mulge victimele pentru un profit suplimentar.
  • 2014 – CTB-Locker vizează în principal mașinile din Rusia.
  • 2014 – O altă dezvoltare semnificativă, CryptoWall infectează mașinile prin reclame pe site-uri web infectate și reușește să afecteze miliarde de fișiere din întreaga lume.
  • 2014 – O bucată de ransomware ceva mai prietenoasă, Cryptoblocker evită fișierele Windows și vizează fișierele cu dimensiunea mai mică de 100 MB.
  • 2014 – SynoLocker vizează dispozitivele Synology NAS, criptând fiecare fișier pe care îl găsește pe ele.
  • 2014 – TorrentLocker utilizează e-mailuri spam pentru a se răspândi, cu diferite regiuni geografice vizate în același timp. De asemenea, copiează adresele de e-mail din agenda utilizatorilor afectați și trimite spam și către acele părți.
  • 2015 – O altă piesă de ransomware greu de detectat, CryptoWall 2.0 folosește Tor pentru anonimat și ajunge în diferite moduri.
  • 2015 – TeslaCrypt și VaultCrypt pot fi descrise ca ransomware de nișă prin faptul că vizează anumite jocuri.
  • 2015 – CryptoWall 3.0 se îmbunătățește față de predecesorul său, fiind împachetat în kituri de exploatare.
  • 2015 – CryptoWall 4.0 adaugă un alt strat la criptarea sa prin amestecarea numelor fișierelor criptate.
  • 2015 – Următorul nivel de ransomware vede Chimera nu numai că criptează fișierele, ci și le publică online atunci când răscumpărările nu sunt plătite.
  • 2016 – Locky sosește pe scenă, numit în primul rând pentru că îți redenumește toate fișierele importante, astfel încât acestea să aibă o extensie .locky.
  • 2016 – Situat pe BitTorrent, KeRanger este primul ransomware cunoscut care este complet funcțional pe Mac OS X.
  • 2016 - Numit după răufăcătorul Bond din Casino Royale care răpește interesul amoros al obligațiunilor pentru a stoarce bani, programul LeChiffre profită de computerele la distanță prost securizate din rețelele accesibile. Apoi se conectează și rulează manual pe acele sisteme.
  • 2016 – Jigsaw va cripta și apoi va șterge fișierele progresiv până când răscumpărarea este plătită. După 72 de ore, toate fișierele vor fi șterse.
  • 2016 – Ransomware-ul SamSam vine complet cu o funcție de chat live pentru a ajuta victimele să plătească răscumpărarea.
  • 2016 – Ransomware-ul Petya utilizează popularitatea serviciilor de partajare a fișierelor în cloud, distribuându-se prin Dropbox.
  • 2016 – Primul vierme ransomware sosește sub formă de ZCryptor, care infectează și hard disk-urile externe și unitățile flash atașate la mașină.
  • 2017 – Crysis vizează unitățile fixe, detașabile și de rețea și utilizează metode puternice de criptare care sunt greu de spart cu capabilitățile de calcul de astăzi.
  • 2017– WannaCry este răspândit prin e-mailuri de phishing și prin sisteme de rețea. În mod unic, WannaCry folosește o ușă din spate furată NSA pentru a infecta sistemele, precum și o altă vulnerabilitate în Windows care a fost corectată cu o lună înainte de lansarea malware-ului (mai multe detalii mai jos).
  • 2018– Ransomware-ul Ryuk apare și devine rapid cel mai rău ransomware care a ajuns pe piață, devenind mai mare și mai devastator decât WannaCry. Potrivit Trend Micro, Ryuk avea cea mai mare cerere de răscumpărare de orice criptator, la 12,5 milioane USD.
  • 2019– Orașul Baltimore este lovit de o variantă de ransomware numită RobinHood în luna mai. Aproape fiecare server folosit de oraș a fost scos offline. Hackerii au cerut 13 Bitcoin, care la acea vreme erau în jur de 76.000 USD, dar la acest moment al scrierii (iulie 2021) valorează peste 428.000 USD. Sistemul orașului nu a fost complet restaurat până la sfârșitul lunii. Spre meritul său, Baltimore nu a plătit răscumpărarea, dar mai târziu a declarat că remedierea ransomware a costat orașul 18 milioane de dolari .
  • 2020– În mai 2020, furnizorul de servicii IT Cognizant a fost lovit de un atac ransomware atât de mare încât a costat compania între 50 de milioane de dolari până la 70 de milioane de dolari în venituri. Aceasta a fost în special o dublă amenințare „Maze”, deoarece hackerii nu numai că au criptat datele, ci și au creat o copie a datelor lui Cognizant și apoi au amenințat că vor scurge datele dacă cerințele lor nu erau îndeplinite.
  • 2021– Anul acesta a apărut o nouă amenințare. În mai, Colonial Pipeline, o companie responsabilă cu transportul de combustibil pentru un procent mare din Coasta de Est a SUA, a fost lovită de un atac ransomware datorită unui parola compromisă . Atacul a avut ca rezultat reducerea capacității de combustibil în peste o duzină de state și peste două săptămâni de lipsă de combustibil pentru milioane de oameni. A fost prima dată când infrastructura importantă a unei țări a suferit un atac ransomware. Ulterior, Colonial Pipeline a recunoscut că a plătit răscumpărarea, dar într-un caz rar, guvernul SUA a recuperat ulterior o majoritatea banilor de răscumpărare .

Întrebări frecvente despre ransomware

Puteți elimina ransomware-ul?

Da, puteți elimina ransomware. Software-ul antivirus poate șterge ransomware de pe computer sau sistem. Cu toate acestea, eliminarea ransomware-ului nu va decripta niciun fișier care a fost criptat de virusul ransomware care v-a infectat sistemul.

Cum ajunge ransomware-ul pe computerul tău?

Ransomware-ul poate ajunge pe computer în același mod ca și alte programe malware. Vectorii de atac obișnuiți includ:

  • Instalarea fișierelor infectate
  • Făcând clic pe link-uri de pe site-uri web infectate
  • Conectarea unităților USB necunoscute la computer
  • Hackerea contului sau a sistemului din cauza securității slabe a parolei
  • Atacurile cu forță brută din partea hackerilor

Ar trebui să plătiți ransomware?

Nu, nu ar trebui să plătiți răscumpărarea dacă vă infectați cu ransomware. Plata răscumpărărilor nu numai că încurajează acest tip de atac, dar poate să nu aibă ca rezultat eliberarea fișierelor dvs. Poate fi, de asemenea, excepțional de scump.

Ce se întâmplă dacă primesc un ransomware?

Dacă primiți un ransomware pe computer sau în rețea, malware-ul va începe să vă cripteze fișierele. În cele din urmă, vă va bloca în afara sistemului și va solicita plata (adesea prin criptomonedă) pentru eliberarea fișierelor printr-o cheie de decriptare.

^