Вирус, который шифрует данные.

Антивирусы, файерволы, антишпионы, шифрование и другие полезные вещи помогающие обезопасить Ваш компьютер

Вирус, который шифрует данные.

Сообщение Lector692 » 26 фев 2015, 00:07

Не давно появился вирус, который шифрует данные с помощью RSA алгоритма. Вылечить его не возможно. Попадает в систему при помощи скачивания музыки, фильмов с подозрительных сайтов. Чтобы избежать проблемы, советую применять антивирусы и хранить нужные данный на съёмных носителях.
Lector692
Чайник
 
Сообщений: 7
Зарегистрирован: 25 фев 2015, 23:36

Re: Вирус, который шифрует данные.

Сообщение yuliyaskiba » 07 май 2015, 10:27

Что значит вылечить его невозможно? А удалить то вирус можно каким-нибудь способом? Что касается антивирусных программ, то каждый уважающий свой компьютер пользователь обязательно установит любую из доступных программ. Без антивирусника сейчас никто не работает. А вот на съемные носители постоянно скидывать информацию проблематично. Нет, конечно, если файл очень-очень важный, то тут о неудобствах думать не будешь, придется ежедневно сохранять его на флешке. Но до этого руки пользователя не всегда доходят.
Аватар пользователя
yuliyaskiba
Продвинутый Юзер
 
Сообщений: 722
Зарегистрирован: 01 май 2012, 11:37

Re: Вирус, который шифрует данные.

Сообщение logos-oleg » 18 май 2015, 14:07

Запуск исполняемого файла, который загружает тело зловреда RSA-1024 происходит от имени пользователя, поэтому антивирусы почти никогда не успевают среагировать, хотя должны. Ищет и шифрует документы, за расшифровку просит денег. Основной защитой, как писалось является резервное копирование файлов. В случае шифрования можно использовать утилиту Касперского RakhniDecrypto, но она эффективна далеко не всегда. Так же на сайте Доктора Вэба, есть раздел для борьбы с шифровальщиками, где описаны различные способы лечения и они даже предлагают услугу по дешифрации. Еще полу вариант-на шифровку нужно время, есть случаи, когда пользователи при начале шифровки успевали понять неладное и обесточивали компьютер, что помогало. Но RSA-1024 без ключа расшифровать практически невозможно.
Поэтому защитой может быть сам пользователь, который всегда должен помнить не нужно лазить по Интернет- помойкам, особенно качать оттуда, что либо.Такую наклонность пресекает антивирус Нортон, который просто блокирует все загрузки с недостоверного источника. Не нужно открывать письма с неизвестных источников и так далее.
logos-oleg
Чайник
 
Сообщений: 10
Зарегистрирован: 12 апр 2015, 20:36

Re: Вирус, который шифрует данные.

Сообщение Вальд » 01 июн 2015, 12:11

Я недавно столкнулся с таким вирусом. И появился он не "недавно", это раз. Такой тип вредоносного ПО известен, по-моему, с 2004 года. Этот тип вирусов (decryptor или troyan-ransom) нацелен на шифрование файлов пользовательских расширений (txt,doc,docx,xls,mp3 и т.п.). Пораженные файлы меняют имена и расширения. После чего открыть файл пользовательскими средствами невозможно. При этом на рабочем столе (как вариант- в виде обоев) появляется текст, вымогающий деньги (перешлите деньги на счёт и т.п.). Сейчас за расшифровку вымогатели требуют от 2 до 5 тыс.руб. Различают эти вирусы на пользовательском уровне по расширению. Мой клиент "поймал" вирус, оставляющий расширение xbtl.

Пример сообщения от вымогателя, появившийся в файле read.me на рабочем столе клиента:
Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
D8326B3ABF448E7DF4EF|0
на электронный адрес decoder1112@gmail.com или deshifrovka@india.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.


All the important files on your computer were encrypted.
To decrypt the files you should send the following code:
D8326B3ABF448E7DF4EF|0
to e-mail address decoder1112@gmail.com or deshifrovka@india.com .
Then you will receive all necessary instructions.
All the attempts of decryption by yourself will result only in irrevocable loss of your data.


Вирус я ему пролечил, там, по сути, ничего архисложного. Но вот расшифровать данные я не смог. И вряд ли кто пока сможет. RSA шифрование глубиной 1024 бита - это серьёзно. Спецы на лабе Касперского пока что разводят руками. Хотя на сайте Касперов лежит три дешифровщика для предыдущих версий этого вируса. У dr.Web что-то лежало похожее. Но увы, против xbtl неэффективное.

Возможно, этого козла\козлов управление К возьмёт рано или поздно за жопу или же спецы из лаборатории Касперского напишут дешифратор. Клиенту я посоветовал залить его зашифрованные документы в архив и ждать. Как сломать шифрование такой глубины в экономически оправданные сроки - лично я ХЗ. Более того, я вообще сильно сомневаюсь, что смогу это сделать в любой срок.

Вот ссылка на странички закачки бесплатных расшифровщиков на лабе Касперского, если вдруг кому пригодится:

http://support.kaspersky.ru/viruses/disinfection/8547
http://support.kaspersky.ru/viruses/sms

Источник заражения в 2014 году - рассылка писем с "вложениями", вроде как на Java написанных. Основной источник заражения в 2015 году (пока что) установка непонятного ПО с сайтов сомнительного содержания.

ПЫСЫ.

В Рунете есть много рекламы IT-фирм, занимающихся расшифровкой файлов (при наличии "живого" исходного вируса). Просят от 1.5 до 5 тыс. руб. Правда, сомневаюсь я что-то в них... :geek:
Аватар пользователя
Вальд
Продвинутый Юзер
 
Сообщений: 482
Зарегистрирован: 24 ноя 2012, 08:36
Откуда: Earth

Re: Вирус, который шифрует данные.

Сообщение KostyanPro » 30 ноя 2016, 12:37

Пролечить вирус и расшифровать данные - немного разные вещи. Сам вирус может удалить даже шимпанзе, а вот восстановить данные будет уже сложнее. Некоторые антивирусы предлагают функции расшифровки, но вот только это не расшифровка, а простой перекуп ключей шифрования у мошенников. Типа, если наш софт облажался то вот вам пожалуйста. Подобная практика была у Dr.Web, но только если вы владели платной версией антивируса до того, как произошла атака вируса. Касперский занимается борьбой с такими вирусами. и периодически публикует дешифраторы на отдельные вирусы. Также неплохо справляются такие фирмы как TrendMicro, EmsiSoft, MalwareHunterTeam и еще несколько. Для тех кому лень гуглить - вот инструкции по удалению вирусов шифровальщиков:
http://ru.pcfixhelp.net/virus/1139-kak-udalit-virus-shifrovalshchik
а вот - статья о восстановлении данных:
http://ru.pcfixhelp.net/virus/1134-kak-vosstanovit-fajly-zashifrovannye-virusom
KostyanPro
 
Сообщений: 1
Зарегистрирован: 30 ноя 2016, 12:29


Вернуться в Компьютерная безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3

cron