نصائح مفيدة

Ransomware virus إزالة ، فتح

Pin
Send
Share
Send
Send


"فك تشفير الملفات" ، "استعادة قاعدة بيانات 1C" ، "حذف فيروس ransomware" - تعج Yandex بمثل هذه الإعلانات ، وتستجيب لطلبات المستخدمين الذين أصبحوا ضحايا للمتسللين. من الضروري فقط القيادة في محرك البحث: "إزالة فيروس ransomware." حتى DarkNet مليء بمقترحات لشراء فدية ضارة - سعر الإصدار هو بضع مئات من الدولارات فقط ، ويمكن أن يكون الربح أكثر من ذلك بكثير.

ومؤخراً ، أثارت شبكة الإنترنت أنباء ظهور فيروس جديد لفدية Djvu ransomware. تقوم البرامج الضارة حرفيًا في بضع خطوات بإخضاع جهاز كمبيوتر مصاب وتهدئة يقظة المستخدم ، متنكرا في زي تحديث نظام Windows. والآن يتم حظر عمل الجهاز ، ويتم عرض رسالة القراصنة على الشاشة تطالب بفدية لإلغاء القفل بعرض سخرية: ادفع بسرعة - سنقدم خصمًا. لم يتم العثور على طريقة لاسترداد البيانات دون مساعدة من المتسللين ، تقول الرسالة عن "deja vu" الغدرا. لكن الخبراء في مجال الأمن السيبراني ، هذا الخبر لم يكن مروعًا ولم يكن مفاجئًا. وهذا ليس خبرا لهم. هناك مئات الآلاف من فيروسات التشفير ، و Djvu هو مجرد ترقية أخرى للبرامج الضارة (برامج ضارة) لعائلة معينة. وبصفة خاصة بالنسبة للملف الشخصي ، صنع الخبراء أعلى 5 من هذه العائلات وأخبروا كيف يعمل المتطرفون الإلكترونيون وكيفية التعامل معهم.

ديجا فو ضجة كبيرة

Djvu ينتمي إلى عائلة STOP Ransomware. ظهرت التقارير الأولى عن برامج ضارة جديدة في منتصف ديسمبر من العام الماضي. يقول جميع الخبراء الذين تمت مقابلتهم في بروفايل "ديجا فو" نفسه ليست فريدة. الملامح المميزة للعائلة مثيرة للاهتمام ، لكنها معروفة منذ وقت طويل. لا يقوم هؤلاء أحصنة طروادة بتشفير البيانات فحسب ، بل أيضًا إخفاء تصرفاتهم كبرنامج قانوني ، مما يؤدي إلى تحويل انتباه الضحية ومنعها من طلب المساعدة من خلال موارد الإنترنت المختلفة.

هذه هي الطريقة التي يتصرف بها DNS Changer Trojan ، الذي أصاب 4 ملايين جهاز في عام 2011 ، على سبيل المثال ، أليكسي نوفيكوف ، مدير مركز PT Expert لأمن التكنولوجيات الإيجابية ، على سبيل المثال. وهاجم فيروس Conficker عشرات الملايين من أجهزة الكمبيوتر قبل 10 سنوات ، مما عطل خدمة التحديث وخدمة Windows Defender.

أوضح الخبير أن "الفيروس ينتشر جنبًا إلى جنب مع برنامج مصمم للقضاء على البرامج (ما يسمى الكراك) ، مع امتدادات إعلانية للمتصفحات".

بشكل عام ، أصبحت الفدية معروفة في نهاية الثمانينيات من القرن الماضي ، عندما ظهر فيروس الإيدز (أو PC Cyborg) ، أخبروا Group-IB ، وهي شركة متخصصة في منع الهجمات الإلكترونية. اختبأ الفيروس الدلائل والملفات المشفرة وطلب 200 دولار "لتجديد الترخيص". الأكثر شيوعًا هو CryptoLocker ، الذي أصاب أكثر من ربع مليون جهاز كمبيوتر في دول الاتحاد الأوروبي منذ عام 2013. وفي مايو 2017 ، هاجمت WannaCry Ransomware 200 ألف جهاز كمبيوتر في 150 دولة حول العالم. قدّر الضرر بحوالي مليار دولار ، لكن حتى هذا قد علّم عددًا قليلاً من الناس كيفية عمل نسخة احتياطية من البيانات ، يشكو الخبراء.

قال سيرجي نيكيتين ، نائب رئيس معمل علوم الحاسب الآلي Group-IB ، إن هناك مئات التعديلات المختلفة لفيروسات الفدية كل يوم. "لم يكن هناك أسبوع لم يتصل بنا عميلان أو ثلاثة من رانسومواري به ،" يقول ويذكر: "فيروسات رانسومواري هي آفة حقيقية". مرة أخرى في عام 2016 ، سجلت الشركة أن عدد هجمات الفدية مقارنة بالعام السابق زاد 100 مرة. ووفقًا لإحصائيات Kaspersky Lab ، في الربع الثالث من العام الماضي ، فإن منتجات هذه الشركة وحدها "تحمي أكثر من 250 ألف مستخدم فريد من أحصنة طروادة التشفير".

وفقًا لـ Positive Technologies ، في العام الماضي ، كان متوسط ​​نسبة الإصابات من قِبل المشفرين من جميع أنواع الهجمات الإلكترونية 12٪ كل ثلاثة أشهر. يقول سيرجي نيكيتين ، إن عدد الفيروسات لا طائل منه ، فهناك المئات من التعديلات المختلفة لفيروسات الفدية كل يوم ، فهي تتطور وتتطور لتتجاوز محركات مكافحة الفيروسات.

Ransomware طروادة للإيجار

تطور مجرمي الإنترنت

يتطور الابتزاز الإلكتروني بنشاط في جميع أنحاء العالم. في روسيا ، سجل خبراء Group-IB نمو هذا النوع من الهجوم منذ الربيع الماضي. تؤكد أبحاث DarkNet الشعبية المتزايدة بشكل غير مباشر للابتزاز ، وهو تحليل للخدمات الإجرامية التي أجراها خبراء التقنيات الإيجابية في العام الماضي. وفقًا لهذه الدراسة ، يتم حساب 12٪ من جميع إعلانات البرامج الضارة بواسطة المشفرين. متوسط ​​تكلفة الفيروس هو 270 دولار فقط. "قد تتكلف بعض الأدوات ما بين 3-5 آلاف دولار ، ولكن هناك ما هو أكثر من ذلك" ، يعطي سيرجي نيكيتين مثالاً. "بنفس الطريقة ، تبيع DarkNet مجموعة من الحسابات لمختلف الخوادم وتسجيلات الدخول وكلمات المرور ، إلخ. في كثير من الأحيان ، يشتري الأشرار قواعد البيانات هذه ويبدأوا فقط في السير عليها وتشفير كل شيء على التوالي ، ثم يرون من يدفع."

في الوقت نفسه ، يتحسن سوق الهاكرز لـ "الخدمات" ، في محاولة لزيادة دخله. لذلك ، مؤخرًا ، بدأ أليكسي نوفيكوف "برنامجًا تابعًا" خاصًا من مطوري برامج الفدية ينتشر في DarkNet. ينقل البائع إلى المشتري ملف تشفير شخصي ورابط للوصول إلى حسابك الشخصي. يعرض هذا المكتب إحصائيات حول العقد المصابة والمدفوعات التي تم إجراؤها. مهمة المشتري هي نشر طروادة.

"عندما يدفع ضحية الهجمات التي تستخدم هذه النسخة من طروادة الفدية ، يقوم البائع بتحويل المبلغ إلى الموزع مطروحًا منه حصته" ، يوضح الخبير. هذه هي الطريقة التي تنتشر بها فدية GandCrab ، Tantalus ، Aleta ، Princess ، Rapid ، Scarab ، Sphinx ، Lovecraft ، Onyonlock وغيرها. "الخبير الفدية GandCrab ، الذي كان يستخدم على نطاق واسع في العام الماضي ، جلب أكثر من 700،000 دولار للمهاجمين فقط في أبريل - مايو 2018 ،" استشهد الخبير مثال على أرباح المهاجمين.

تم وصف المخطط القياسي للإصابة بفيروس Ransomware بواسطة Sergey Nikitin. يتلقى المستخدمون قائمة بريدية ومرفقات مفتوحة ورسائل مصابة بفيروس يسرق عمليات تسجيل الدخول وكلمات المرور من ذاكرة الوصول العشوائي وينتشر إلى أجهزة كمبيوتر أخرى. ويوضح الخبير أن مثل هذه السلسلة من الإجراءات الخبيثة تؤدي إلى حقيقة أنه يمكن تشفير الشركة ، على سبيل المثال ، قاعدة 1C وسيستكمل العمل. "يحدث أن الأشرار أول دراسة البنية التحتية للضحايا ،" يتابع. "على سبيل المثال ، إذا وجدوا خادمًا احتياطيًا ، فسوف يطلبون فدية واحدة لفك تشفيره (بعد كل شيء ، باستخدام النسخ الاحتياطية يمكنك استعادة كل شيء آخر) ، وبناءً على ذلك ، فإن جهاز كمبيوتر غير ذي شأن ، سيتكلف أقل بكثير."

هجمات محددة ظهرت أيضا. في كثير من الأحيان ، يلتقط المهاجمون كلمات المرور لسطح المكتب البعيد الذي تركه مسؤولو النظام لراحتهم. بعد ذلك ، تذهب كلمات المرور هذه إلى Darknet ، حيث يمكن لأي شخص شرائها. في عدد كبير من الحالات ، حدثت العدوى من خلال تسوية أولية للخوادم ومحطات العمل ، يضيف أليكسي نوفيكوف. يقول: "غالبًا ما يتم تشفير الخوادم ، لأنها تتصل مباشرة بالإنترنت ، وقد وصل الفيروس إلى محطات العمل من خلال المراسلات المخادعة". تذكر أن التصيد الاحتيالي هو أحد أكثر أنواع الاحتيال الإلكتروني شيوعًا عندما تنتشر مزيفة المتسللين تحت ستار المواقع الرسمية القانونية.

بالإضافة إلى ذلك ، يلاحظ الخبراء أنه حدث في الآونة الأخيرة تحول نوعي لصالح انتشار الهجمات من هذا النوع. يقول سيرجي نيكيتين: "بدأت فيروسات التشفير تستخدم التشفير القوي غير المتماثل (خوارزمية RSA ، على سبيل المثال ، تم اختبارها جيدًا من قِبل الجميع ، وبالتأكيد لا يمكن تصدعها)". - بالإضافة إلى ذلك ، بدأت بعض هذه الفيروسات في تلقي وظائف "الديدان". إنهم يسرقون أسماء المستخدمين وكلمات المرور ويستخدمونها لتشفير أجهزة الكمبيوتر الأخرى على الويب. "

إن استخدام التشفير غير المتماثل هو المشكلة الأكثر أهمية - عادة ما يكون من المستحيل فك تشفير الفيروس من تلقاء نفسه. يشرح الخبير أنه باستخدام التشفير المتماثل للمعلومات ، يمكن اكتشاف المفتاح السري. غير المتماثلة ينطوي على إنشاء مفتاحين - العام والخاص. بمساعدة الأول ، يعلم الجميع أن التشفير يتم ، والثاني لفك التشفير هو فقط للمتسللين. علاوة على ذلك ، يأخذ المهاجمون خوارزميات تشفير قوية لمنع البيانات من المكتبات الرسمية. والمتسللين كتابة الخوارزميات لفك التشفير أنفسهم. ولكن نظرًا لأن الطلب أكبر كثيرًا على برامج التشفير ، فإن فك التشفير يولي اهتمامًا أقل ، ويتم تصحيح هذه البرامج بشكل أسوأ وأقل ارتباطًا.

إعادة الشراء: دفع أم لا دفع؟

وإذا كان من المستحيل فك التشفير ، فستضطر الفدية إلى الدفع؟ يقول أليكسي نوفيكوف إن الفدية يتم تعيينها بواسطة موزعي برامج الفدية عادةً بمفردهم وتتراوح قيمتها بين 200 و 500 دولار. ولكن كقاعدة عامة ، يتم طلب فدية في عملات البيتكوين. على سبيل المثال ، لفك تشفير فيروس بيتيا ، الذي هاجم أوكرانيا في عام 2017 وألحق الضرر في وقت واحد بعدد من الشركات في روسيا والولايات المتحدة والهند وأستراليا ، طلب المهاجمون 100 بيتكوين ، والتي بلغت في ذلك الوقت 250 ألف دولار.

يعلن الخبراء بالإجماع: إنه لا يستحق دفع ثمن الابتزاز ، لأن هذا يعني رعاية أنشطتهم "الإبداعية". ولكن ماذا لو تم تشفير خادم النسخ الاحتياطي واستعادة البيانات لم تعد ممكنة؟ لكن حتى لو اتبع المبتزون ذلك ، فليس هناك ما يضمن إلغاء القفل ، كما يقول سيرجي نيكيتين. فيما يلي السيناريوهات الأكثر شيوعًا. يمكن للمجرمين إما زيادة سعر الفدية ، أو عدم الاتصال بالضحية على الإطلاق بعد الدفع ، أو ترك "إشارة مرجعية" في النظام ، مما سيتيح تكرار خدعة الابتزاز بعد مرور بعض الوقت. غالبًا ما يحدث أنه بعد تحويل الأموال ، يقوم المتسللون بإرسال برنامج فك تشفير ، لكنه لا يعمل. يحدث هذا بالتحديد لأن لا أحد يستثمر حقًا في تطوير فك التشفير ، إنه أمر غير مربح.

وفقًا لبحث شركة IBM ، دفع ما يصل إلى 70٪ من الشركات الأمريكية التي شملتها الدراسة فدية لاستعادة بياناتها. يقول أليكسي نوفيكوف إن الشركات الروسية تفعل ذلك كثيرًا. في الوقت نفسه ، غالباً ما تتعرض الشركات الصغيرة والمتوسطة للهجوم. يوضح سيرجي نيكيتين: "يمكن للشركات الكبيرة تحمل تكاليف حماية الصناديق الرملية". تحدث العدوى بشكل رئيسي من خلال القوائم البريدية. ويوضح الخبير أن "الصندوق الرملي" نفسه يفتح الحروف والمرفقات ، وينظر فيما سيحدث. إذا بدأ التشفير ، فلن تصل الرسالة ببساطة إلى المستلم. تكاليف مثل هذا الصندوق الرمل من 1 مليون إلى 10 ملايين روبل. من الواضح أنه لا يمكن لأي شخص تحمل كلفته.

ولكن بالنسبة للأشخاص ذوي الدخل المتوسط ​​، هناك طرق لتجنب الابتزاز الإلكتروني. إذا كانت الإصابة قد حدثت بالفعل ، فعليك محاولة العثور على الأداة المساعدة المناسبة لفك تشفير البيانات الموجودة على البوابة المجانية التي تم إنشاؤها خصيصًا NoMoreRansom.org ، كما ينصح خبير مكافحة الفيروسات في Kaspersky Lab Orkhan Mammadov. بالإضافة إلى ذلك ، هناك مجموعة من العروض من شركات مختلفة للمساعدة في فك تشفير البيانات وإزالة الفيروس. لكن هذا يحذر سيرجي نيكيتين ، وهو الوسطاء المعتادون الذين يتصلون بالمجرمين والمساومة معهم بخصم. نتيجة لذلك ، فإن الضحية لن تدفع 100 ٪ ، ولكن 90 ٪ من الفدية. لا يمكنك إلقاء اللوم على هؤلاء الوسطاء بسبب التواطؤ ، فهم يتصرفون بشكل قانوني ، ويبرمون اتفاقات مع الضحايا لتقديم "خدمات استشارية".

الطريقة الأكثر موثوقية لمنع الابتزاز هي منعه. إليك بعض التوصيات من Orkhan Mammadov: قم بتنزيل البرنامج من مصادر موثوقة فقط ، ولا تفتح مرفقات البريد الإلكتروني المشبوهة ، ولا تتبع الارتباطات المشبوهة ، حتى لو تم إرسالها إليك من الأصدقاء ، ومراقبة تحديثات البرامج إلى أحدث إصدار ، واستخدام حلول أمان قوية ، واستخدام كلمات مرور معقدة حسابات ، والنسخ الاحتياطي للبيانات الهامة بانتظام وتخزينها بشكل منفصل.

ويمكنك تأمين نفسك ضد مخاطر الإنترنت ، تنصح أليكسي نوفيكوف. "في هذه الحالة ، قد يكون شراء بوليصة تأمين أرخص من دفع فدية أو الإنفاق على إعادة بناء البنية التحتية بعد هجوم مشفر هائل" ، يوصي الخبير.

ما هو فيروس رانسومواري ، كيف يبدو؟

Ransomware هي برامج ضارة تم تصميمها للحصول على فدية من الضحية ، وعادة ما تكون هذه الأموال.

عندما تقوم بتشغيل الكمبيوتر بدلاً من سطح المكتب المعتاد ، تظهر لافتة (شاشة البداية) على شاشة الشاشة بالكامل مع نص يتطلب فدية للوصول إلى الكمبيوتر. هذه المشكلة تشل الكمبيوتر تمامًا ، وتمنعك من اتخاذ أي إجراءات. بشكل عام ، لا يمكن القيام بأي شيء حتى تتم إزالة فيروس ransomware.

هجوم الفيروس على وزارة الشؤون الداخلية

في 12 مايو ، وقع هجوم فيروسي كبير على أجهزة كمبيوتر المستخدمين في جميع أنحاء العالم ، والغرض منه هو تثبيت برامج ضارة تتطلب فدية للوصول إلى جهاز كمبيوتر. تعرضت العديد من أجهزة الكمبيوتر في جميع أنحاء العالم لفيروس WannaCry ، مما يعني "أريد أن أبكي" باللغة الإنجليزية. لذلك ، لإلغاء تأمين الفيروس ، كان من الضروري دفع 300 دولار ، وبعد ذلك ، من المفترض ، يمكن استخدام الكمبيوتر دون مشاكل. في ما ، ينبغي أن تأتي الأموال في عملة البيتكوين المشفرة.

ومن بين الضحايا وزارة الصحة ووزارة الطوارئ و هاجم الفيروس وزارة الشؤون الداخلية ولم يتجاوز Megafon و Vimpelcom ، في محاولة لمهاجمة سبيربنك. في أوروبا ، عانت بريطانيا العظمى من أيدي مجرمي الإنترنت ، حيث أصيبت 50 مستشفى وإسبانيا والبرتغال بالشلل. لقد هاجم الفيروس في جميع أنحاء العالم أكثر من 200 ألف جهاز كمبيوتر في 150 دولة.

كيفية إزالة فيروس الفدية

لإزالة فيروس ransomware من جهاز الكمبيوتر ، يجب اتباع خوارزمية خاصة من الإجراءات.

    قم بإيقاف تشغيل الكمبيوتر. تذكر ما فعلته على الكمبيوتر في اليوم السابق: قد يكون عرض موارد غير آمنة وتنزيل بعض البرامج وتثبيتها ، بما في ذلك عرض الصور والصور وتشغيل مقاطع الفيديو. إذا كان الكمبيوتر موجودًا على الشبكة المحلية ، فمن الممكن تمامًا ضبط الفيروس على الشبكة. نحن نقطع الاتصال بالشبكة المحلية ، أي أننا نسحب السلك من بطاقة الشبكة على الكمبيوتر. للحصول على فحص الكمبيوتر الأكثر اكتمالًا وعالي الجودة ، قم بتنزيل الأداة Dr.Web Curelt المساعدة على محرك أقراص فلاش USB. يمكنك القيام بذلك على أي كمبيوتر آخر لديه إمكانية الوصول إلى الإنترنت. تنزيل Dr.Web Curelt.

فتح رانسومواري

    قم ببدء تشغيل الكمبيوتر في الوضع الآمن. للقيام بذلك ، يجب أن تضغط على الفور على الزر F8 عدة مرات عند تشغيل الكمبيوتر. أدخل محرك أقراص فلاش USB مع أداة Dr.Web Curelt وانسخه إلى أي مجلد على القرص الصلب. قم بتشغيل الأداة المساعدة ، وانتظر حتى يقوم الكمبيوتر بمسح جميع الفيروسات وإزالتها. بعد التحقق من التمهيد في الوضع العادي. إذا كان التنزيل ناجحًا - تهانينا ، لقد قمت بإزالة فيروس ransomware!

ومع ذلك ، لا نفرح في وقت مبكر. مجرد إزالة الفيروس يعني إلحاق الهزيمة به في حالة معينة. بمعنى آخر ، خلال الهجوم التالي ، سيتصل الفيروس بالتأكيد إلى جهاز الكمبيوتر الخاص بك مرة أخرى.

كيفية إزالة فيروس WannaCry؟

في هذه الحالة ، بعد تحميل Windows مباشرةً ، تحتاج إلى الانتقال إلى قائمة البرامج المثبتة ومعرفة ما إذا كان كل شيء على ما يرام ، ما إذا كان هناك أي شيء مشبوه ، أو ربما برامج وتطبيقات تم تثبيتها مؤخرًا وغير مألوفة.

ولكن من الأفضل القيام بذلك باستخدام برنامج Uninstall Tool - وهو برنامج قوي للغاية لا يسمح لك بحذف البرامج فحسب ، ولكن أيضًا مسح كل آثار تواجده على الكمبيوتر تمامًا. بشكل عام ، إذا لم يكن لديك هذا البرنامج ، فلا يمكنك حتى محاولة إلقاء نظرة على القائمة القياسية لبرامج Windows المثبتة في لوحة التحكم ، لأن الفيروس لن يعلن عن نفسه وعلى الأرجح لن تجد أي شيء هناك. تنزيل أداة إلغاء التثبيت.

بعد التحقق من البرامج والملفات الموجودة على جهاز الكمبيوتر - إذا لم يتم فقد أي شيء ، وإذا لم يتم تغيير أسماء الملفات والمستندات ، فمن الضروري وضع حماية جيدة من الفيروسات لتوفير الحماية الدائمة لجهاز الكمبيوتر الخاص بالمستخدم. يمكن لبرنامج مكافحة الفيروسات الجيد أن يمنع الفيروس من دخول الكمبيوتر مرة أخرى.

بالطبع ، مثل هذا الحادث واسع الانتشار. هجوم الفيروس اليوم هو الأكثر ضخامة في التاريخ. وعلى الأرجح هذا ليس هو الحد. تُظهر هذه التجربة مدى تعرضنا لشبكة الإنترنت لجرائم الإنترنت ، ولكن في الوقت نفسه نعتمد على تكنولوجيا الكمبيوتر والتكنولوجيا والإلكترونيات.

ربما أصبح الإنترنت الآن في ذروة شعبيته ، وكلما زاد انتشاره ، زاد جذب مجرمي الشبكات والمتسللين. ربما يكون السبيل الوحيد للخروج من هذا الوضع هو إصلاح جذري للشبكة العالمية بأكملها.

شاهد الفيديو: How To Recover Your Ransomware Encrypted Data Files For Free (قد 2022).

Pin
Send
Share
Send
Send