Имя вирусов, которые не изменяют файлы, а создают копии файлов с расширением exe

Обновлено: 21.11.2024

Один из наиболее распространенных способов передачи компьютерных вирусов – это вложенные файлы. Чтобы защитить вас и ваших получателей от компьютерных вирусов, Outlook блокирует отправку и получение определенных типов файлов (таких как .exe и определенные файлы баз данных) в виде вложений. Если вам нужно отправить один из этих типов файлов получателю электронной почты, мы рекомендуем использовать OneDrive и вместо этого отправить получателю ссылку на файл.

Примечание. Если вы используете учетную запись Microsoft Exchange, администратор вашего почтового сервера может разблокировать определенные типы файлов. Обратитесь к администратору за дополнительной помощью.

Безопасный обмен файлами

Существует несколько способов отправки и получения заблокированного файла. Вы можете сохранить файл в облаке и отправить ссылку на файл, использовать утилиту сжатия файлов, например WinZip, или даже переименовать файл с другим расширением, а затем попросить получателя изменить имя обратно на исходное имя после получения файла. .

Сохраните файл в облаке.
Если вам нужно отправить файл, заблокированный Outlook, самый простой способ отправить файл — загрузить его в OneDrive или на защищенный сетевой сервер общего доступа, например SharePoint. Затем пришлите ссылку на файл. Если вам нужно получить заблокированный файл, попросите отправителя загрузить файл в OneDrive или SharePoint и отправить вам ссылку. Получив ссылку, вы можете открыть папку с файлом и скачать файл.

Примечание. Для OneDrive и OneDrive для бизнеса вам нужно будет попросить отправителя отправить вам только ссылку на файл, а не прикреплять файл к электронному письму с помощью OneDrive. Чтобы получить ссылку для общего доступа в OneDrive, выделите файл и выберите «Получить ссылку» в строке меню.

Используйте утилиту сжатия файлов.
Используйте утилиту сжатия, например WinZip, для создания сжатого файла архива с другим расширением имени файла. Outlook не распознает эти расширения имен файлов как потенциальные угрозы. Поэтому он не блокирует новое вложение. Доступно множество сторонних утилит сжатия. Вы можете щелкнуть правой кнопкой мыши любой файл в Windows 7, Windows 8 или Windows 10 и выбрать «Отправить в сжатую (заархивированную) папку». При этом создается файл с тем же именем, что и у исходного файла, но с расширением .zip.

Переименовать файл
Вы можете переименовать файл (или попросить отправителя переименовать файл), чтобы использовать расширение, которое Outlook не блокирует. Например, вы можете переименовать file.exe в file.docx. После отправки (или получения) переименованного файла сохраните его и переименуйте с исходным расширением, выполнив следующие действия.

Найдите вложение в сообщении электронной почты.

Щелкните правой кнопкой мыши вложение и выберите "Копировать".

Щелкните правой кнопкой мыши рабочий стол и выберите "Вставить".

Щелкните правой кнопкой мыши вставленный файл и выберите "Переименовать".

Переименуйте файл, чтобы использовать исходное расширение имени файла, например .exe.

Заблокированные типы файлов в Outlook

Если вы используете учетную запись Microsoft Exchange Server и администратор Exchange Server настроил ваши параметры безопасности Outlook, ваш администратор может помочь вам. Попросите администратора настроить параметры безопасности вашего почтового ящика, чтобы принимать вложения, заблокированные Outlook.

Если вы не используете учетную запись Exchange Server, существует расширенная процедура, с помощью которой можно разблокировать некоторые типы файлов. Эта процедура включает в себя редактирование реестра в Windows. Дополнительные сведения о разблокировке типов файлов вложений см. в статье службы поддержки Microsoft о заблокированных вложениях в Outlook.

<р>2. Репликация является преднамеренной, а не просто побочным эффектом.

<р>3. По крайней мере, некоторые из репликантов также являются вирусами по этому определению.

<р>4. Вирус должен прикрепиться к хосту в том смысле, что выполнение хоста подразумевает выполнение вируса.

Итак, мы видим, что определение компьютерного вируса очень близко соответствует определению биологического вируса.

Какие основные типы вирусов существуют? Наверх
Существует несколько основных типов вирусов: вирусы загрузочного сектора, файловые инфекторы и макровирусы. Согласно нашему определению, черви технически не являются вирусами, поскольку они не атакуют хост-программу, но поскольку они стали настолько распространенными, мы обсудим их здесь.

Вирус загрузочного сектора – это вирус, который находится на части диска компьютера и считывается только при загрузке компьютера, когда вирус загружается в память. Вирусы загрузочного сектора часто распространяются через гибкие диски, у которых также есть загрузочный сектор, который может быть заражен. Если зараженная дискета остается в дисководе при загрузке компьютера, вирус загружается в память и может распространиться на другие диски и компьютеры. Известным вирусом загрузочного сектора является вирус Микеланджело.

Файловые инфекторы, как следует из их названия, «заражают» файлы на компьютере, присоединяясь к исполняемым файлам.Они делают это, либо добавляя свой код к файлу, либо перезаписывая части кода файла. Это имя также используется для описания вирусов, которые не прикрепляются к файлу, а ассоциируют себя с именем файла. Вирус «Ромео и Джульетта», который недавно распространился по университетскому городку, имеет часть, заражающую файлы. Этот файловый заразитель берет файлы с определенными расширениями, такими как .jpg или .doc, создает вирусный файл с тем же именем, но с расширением .exe, чтобы пользователь мог непреднамеренно запустить код вируса, когда он пытается открыть один из своих файлов. документы.

Многочастный вирус сочетает в себе черты вируса загрузочного сектора и вируса-заражателя файлов. В большинстве случаев зараженный файл используется для заражения загрузочного сектора.

Макровирусы появились относительно недавно, но, по оценкам экспертов, они являются наиболее распространенным типом вирусов. Макрос — это набор инструкций в приложении, которые можно использовать для автоматизации задач. Хотя это звучит относительно безобидно, макросы часто могут выполнять системные операции, такие как создание или удаление файлов или запись в уже существующие файлы, и, таким образом, могут нанести большой ущерб. Большинство макросов написано для Microsoft Word и Excel. Они часто работают, заражая шаблон для нового документа. Поэтому каждый раз, когда создается новый документ, вирус реплицируется и запускается. Макросы особенно опасны, потому что они часто могут быть кроссплатформенными, в отличие от большинства вирусов, которые написаны только для ПК.

Черви распространяются по компьютерным сетям и отличаются от вирусов тем, что у них нет основного файла. Однако сегодня черви обычно распространяются через электронную почту. Часто к электронному письму прилагается вложение, и когда пользователь открывает вложение, червь запускается. Черви обычно пытаются рассылать свои копии всем в адресных книгах пользователей. Эта тактика гарантирует, что червь будет распространяться, поскольку многие неосведомленные пользователи компьютеров откроют любое вложение, если оно отправлено кем-то, кого они знают. Как правило, вложению дается имя, предназначенное для того, чтобы обмануть пользователя, заставив его думать, что он открывает файл другого типа. Например, недавний вирус «Анна Курникова» использовал вложение с именем «AnnaKournikova.jpg.vbs». Некоторые пользователи не заметят расширение .vbs (обозначающее скрипт Visual Basic) и откроют вложение, ожидая увидеть фотографию Анны Курниковой. Однако еще более пугает то, что теперь существуют вирусы, которые могут запускаться на компьютере пользователя, даже если пользователь не открывает вложение. Эти вирусы используют функцию многих программ электронной почты для отображения встроенного HTML-кода в теле сообщения электронной почты и используют дыру в безопасности в Microsoft Outlook и Outlook Express, которая позволяет копировать файлы на компьютер пользователя без его участия. знания или согласия. Вирус Ромео и Джульетты является таким вирусом. Однако пользователи могут защитить себя от этих вирусов, установив исправления безопасности. Помимо уничтожения файлов на зараженных компьютерах, некоторые черви просто рассылают по электронной почте столько своих копий, что это приводит к выходу из строя почтовых серверов, что доставляет большие неудобства школам и компаниям.

Что такое стелс-вирус? А как насчет полиморфного вируса? Какие еще формы вирусов существуют? Популярные
Вирусы-невидимки — это вирусы, активно пытающиеся скрыться от антивирусного программного обеспечения. Они делают это, беря на себя некоторые системные функции, так что даже если вирус изменил часть жесткого диска, например, он вернет правильную, незараженную версию, чтобы его нельзя было обнаружить

Полиморфные вирусы — это вирусы, которые слегка изменяются при каждом запуске. Они предназначены для поражения антивирусных сканеров, которые ищут определенные строки кода для идентификации вирусов. Некоторые вирусописатели написали наборы инструментов, чтобы начинающие пользователи могли писать свои собственные вирусы. Один из таких инструментов называется «Dark Avenger's Mutation Engine» и создает полиморфные вирусы.

Как видно из их названий, быстрые и медленные вирусы пытаются избежать обнаружения, либо быстро заражая все файлы в системе, либо медленно заражая их. Быстрые заразители часто используют антивирусное программное обеспечение, поэтому при запуске сканирования каждый раз, когда антивирусное программное обеспечение открывает файл для его сканирования, вирус заражает этот файл. После завершения сканирования каждый файл, к которому прикоснулась антивирусная программа, будет заражен. Медленные инфицирующие используют противоположный подход. Они заражают файл только при его изменении или создании. Это сделано для того, чтобы время модификации файлов казалось пользователю законным.

Разрозненные вирусы заражают только изредка, чтобы избежать обнаружения. Например, вирус, который заражает только 20-й раз при запуске файла, будет разреженным заразителем.

Бронированные вирусы — это вирусы, которые усложняют разборку.Исследователям антивирусов часто приходится дизассемблировать код вируса, чтобы узнать, как он работает и как его победить. Бронированные вирусы намеренно усложняют этот процесс, чтобы снизить вероятность обнаружения контрмер.

Одним из способов, которым пользователь может заподозрить зараженную программу, является внезапное увеличение размера файла, поскольку вирус прикрепил свой код к файлу программы. Cavity-вирусы пытаются обойти это, внедряясь в пустое пространство, которое иногда существует в программах. Таким образом, зараженный файл сохраняет постоянный размер.

Некоторое антивирусное программное обеспечение имеет компонент, который работает в фоновом режиме и постоянно сканирует файлы в системе. Туннельный вирус пытается установить себя под антивирусным программным обеспечением, напрямую перехватывая обработчики прерываний ОС, тем самым избегая обнаружения.

Что такое «троянские кони»? А "капельницы"? Какое отношение они имеют к вирусам? Наверх
Как и в Илиаде Гомера, троянский конь — это программа, которая имеет некоторые скрытые, как правило, вредоносные функции, которые пользователь не ожидает и о которых не знает. Одной из функций может быть запуск вируса. Некоторые трояны кажутся антивирусными программами, но на самом деле сами выполняют вирусный код. Однако общепринятое различие между вирусами и троянскими программами заключается в том, что троянские программы не размножаются самостоятельно.

Дропперы — это программы, которые устанавливают вирусы на компьютеры. Часто цель состоит в том, чтобы сам дроппер не был заражен вирусом и, следовательно, не мог быть обнаружен антивирусным программным обеспечением. Некоторые дропперы также имеют компонент, который может подключаться к Интернету и загружать обновления для вируса. Такой дроппер есть у вируса MTX.

Итак, мы видим, что существует множество типов вирусов, и между авторами вирусов и исследователями антивирусов ведется постоянная борьба за то, чтобы оставаться впереди друг друга. Однако бдительность и надлежащие методы обеспечения безопасности могут защитить от любого компьютерного вируса.

Крис Хоффман

Крис Хоффман
Главный редактор

Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times и Reader's Digest, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в новостных агентствах, таких как Би-би-си. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.

Большинство людей знают, что файлы .exe потенциально опасны, но это не единственное расширение файлов, с которым следует остерегаться в Windows. Существует множество других потенциально опасных расширений файлов — больше, чем вы могли ожидать.

Так зачем мне знать, какие файлы опасны?

Важно знать, какие расширения файлов потенциально опасны, когда решаете, безопасно ли открывать файл, прикрепленный к электронному письму или загруженный из Интернета. Даже файлы экранных заставок могут быть опасны в Windows.

Когда вы сталкиваетесь с одним из этих файлов, вы должны быть особенно осторожны, чтобы убедиться, что вы защищены. Просканируйте с помощью предпочитаемого вами антивирусного продукта или даже загрузите его в такую ​​службу, как VirusTotal, чтобы убедиться в отсутствии вирусов или вредоносных программ.

Очевидно, что у вас всегда должно быть запущено и активно антивирусное программное обеспечение, которое защищает вас в фоновом режиме, но знание некоторых необычных расширений файлов может быть полезным для предотвращения чего-то плохого.

Почему расширение файла потенциально опасно?

Эти расширения файлов потенциально опасны, поскольку они могут содержать код или выполнять произвольные команды. Файл .exe потенциально опасен, потому что это программа, которая может делать все что угодно (в рамках функции контроля учетных записей Windows). Медиафайлы, такие как изображения .JPEG и музыкальные файлы .MP3, не представляют опасности, поскольку не могут содержать код. (Были случаи, когда созданное со злым умыслом изображение или другой мультимедийный файл могли использовать уязвимость в приложении для просмотра, но такие проблемы встречаются редко и быстро устраняются.)

Имея это в виду, важно знать, какие типы файлов могут содержать код, скрипты и другие потенциально опасные вещи.

Программы

.EXE — исполняемый программный файл. Большинство приложений, работающих в Windows, представляют собой файлы .exe.

.PIF — файл информации о программе для программ MS-DOS. Пока .Файлы PIF не должны содержать исполняемый код. Windows будет рассматривать файлы .PIF так же, как файлы .EXE, если они содержат исполняемый код.

.APPLICATION — установщик приложения, развернутый с помощью технологии Microsoft ClickOnce.

.GADGET — файл гаджета для технологии гаджетов рабочего стола Windows, представленной в Windows Vista.

.MSI — файл установщика Microsoft. Они устанавливают другие приложения на ваш компьютер, хотя приложения также могут быть установлены с помощью файлов .exe.

.MSP — файл исправления установщика Windows. Используется для исправления приложений, развернутых с помощью файлов .MSI.

.SCR — хранитель экрана Windows. Заставки Windows могут содержать исполняемый код.

.HTA — HTML-приложение. В отличие от HTML-приложений, запускаемых в браузерах, файлы .HTA запускаются как доверенные приложения без изолированной программной среды.

.CPL — файл панели управления. Все утилиты, находящиеся в панели управления Windows, представляют собой файлы .CPL.

.MSC — файл консоли управления Microsoft. Такие приложения, как редактор групповой политики и инструмент управления дисками, представляют собой файлы .MSC.

.JAR — файлы .JAR содержат исполняемый код Java. Если у вас установлена ​​среда выполнения Java, файлы .JAR будут запускаться как программы.

Скрипты

.BAT — пакетный файл. Содержит список команд, которые будут выполняться на вашем компьютере, если вы его откроете. Первоначально использовался MS-DOS.

.CMD — пакетный файл. Аналогичен .BAT, но это расширение файла было введено в Windows NT.

.VB, .VBS — файл VBScript. Выполнит включенный в него код VBScript, если вы его запустите.

.VBE — зашифрованный файл VBScript. Похож на файл VBScript, но не так просто сказать, что на самом деле будет делать файл, если вы его запустите.

.JS — файл JavaScript. Файлы .JS обычно используются веб-страницами и безопасны при запуске в веб-браузерах. Однако Windows будет запускать файлы .JS вне браузера без песочницы.

.JSE — зашифрованный файл JavaScript.

.WS, .WSF — файл сценария Windows.

.WSC, .WSH — управляющие файлы компонента сценария Windows и хоста сценария Windows. Используется вместе с файлами сценариев Windows.

.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 — сценарий Windows PowerShell. Запускает команды PowerShell в порядке, указанном в файле.

.MSH, .MSH1, .MSH2, .MSHXML, .MSH1XML, .MSH2XML — файл сценария Monad. Позже Monad была переименована в PowerShell.

Ярлыки

.SCF — командный файл проводника Windows. Может передавать потенциально опасные команды проводнику Windows.

.LNK — ссылка на программу на вашем компьютере. Файл ссылки потенциально может содержать атрибуты командной строки, которые могут выполнять опасные действия, например удалять файлы без запроса.

.INF — текстовый файл, используемый AutoRun. При запуске этот файл потенциально может запускать опасные приложения, с которыми он поставляется, или передавать опасные параметры программам, входящим в состав Windows.

Другое

.REG — файл реестра Windows. Файлы .REG содержат список записей реестра, которые будут добавлены или удалены при их запуске. Вредоносный REG-файл может удалить важную информацию из вашего реестра, заменить ее ненужными данными или добавить вредоносные данные.

Макросы Office

.DOC, .XLS, .PPT — документы Microsoft Word, Excel и PowerPoint. Они могут содержать вредоносный код макроса.

.DOCM, .DOTM, .XLSM, .XLTM, .XLAM, .PPTM, .POTM, .PPAM, .PPSM, .SLDM — новые расширения файлов, представленные в Office 2007. Буква M в конце расширения файла указывает, что документ содержит макросы. Например, файл .DOCX не содержит макросов, а файл .DOCM может содержать макросы.

Это не исчерпывающий список. Существуют и другие типы расширений файлов, такие как .PDF, которые имеют ряд проблем с безопасностью. Однако для большинства типов файлов, указанных выше, их просто невозможно защитить. Они существуют для запуска произвольного кода или команд на вашем компьютере.

Как будто количества потенциально опасных расширений файлов, которые нужно отслеживать, недостаточно, уязвимость в Windows позволяет злоумышленникам маскировать программы поддельными расширениями файлов.

  • › Как можно заразиться через браузер и как себя защитить
  • › Как вылечиться от вирусной инфекции: 3 вещи, которые вам нужно сделать
  • › Что такое «целевой фишинг» и как он уничтожает крупные корпорации?
  • › Как заставить Windows показывать расширения файлов
  • › Что такое расширение файла?
  • › Как запретить Google Chrome блокировать загрузки
  • › Почему в Windows больше вирусов, чем в Mac и Linux
  • › QWERTY-клавиатура — самая большая неразгаданная тайна технологий

Антивирусные институты, такие как AV-TEST, ежедневно регистрируют около 400 000 новых вредоносных программ. И это новые образцы, но если объединить данные уже обнаруженного вредоносного ПО, ситуация становится достаточно массовой и создает чрезвычайно опасный ландшафт. Вот почему пользователи должны знать о методах заражения их компьютеров, о которых они не замечают, и о том, как защитить себя от таких вредоносных действий.

Эти методы различаются, но есть одно узкое место, которое является их слабостью: все они используют одни и те же типы файлов Windows для успешного заражения. В этой статье мы покажем вам, какие типы файлов чаще всего используются для заражения компьютеров вредоносными программами, оставаясь при этом незамеченными.

Какие наиболее популярные расширения файлов используются для заражения?

Или какие типы файлов уязвимы для компьютерных вирусов? Существует множество типов исполняемых файлов, сценариев, программных файлов, которыми можно манипулировать, и даже вредоносных ярлыков. Однако чаще всего киберпреступники выбирают те, которые особенно легко скрыть от антивирусных программ и загрузить полезную нагрузку своего вредоносного ПО, оставаясь при этом незамеченными.

Исполняемые файлы .EXE

Являются ли файлы EXE опасными? Исполняемые файлы, которые чаще всего ассоциируются с вредоносными программами, печально известны тем, что распространяются как вредоносные вложения электронной почты. Однако, поскольку этот метод становится все более и более устаревшим, поскольку большинство провайдеров электронной почты блокируют эти вложения, исполняемые файлы часто распространяются как поддельные установки, обновления или другие типы, казалось бы, законных программ со встроенным вредоносным кодом. Они также архивируются, чтобы избежать обнаружения антивирусом. Однако исполняемые файлы имеют решающее значение, когда речь идет о настройке действий вредоносного ПО. Это связано с тем, что они имеют множество функций, которые выполняют фактические вредоносные действия после завершения заражения. Вот почему они чаще ассоциируются с основной полезной нагрузкой различных вредоносных программ, чем используются в качестве фактического файла заражения. Но тем не менее, не рассчитывайте, что .exe может быть не вредоносным, только из-за этого.

.DOC, .DOCX, .DOCM и другие файлы Microsoft Office

Этот тип файлов в последнее время стал очень эффективным методом заражения жертв. Основной причиной этого является использование вредоносных макросов, встроенных в сами документы. Это позволяет обойти любое антивирусное программное обеспечение и программное обеспечение для защиты вложений электронной почты, как прогулку в парке, если используется правильный запутанный код. Однако сложная часть заражения жертв с помощью этих методов заключается в том, чтобы заставить их нажать кнопку «Включить контент», а кибер-мошенники, такие как те, кто стоит за трояном ZeuS, обычно используют инструкции в документе, как на изображении ниже:

Файлы приложений .HTA, .HTML и .HTM

В последнее время стало известно, что файлы этих конкретных типов связаны с несколькими вариантами программ-вымогателей. Самый известный из них называется Cerber Ransomware, и этот вирус был классифицирован как наиболее эффективное вредоносное ПО против последней версии ОС Windows 10, в первую очередь из-за набора эксплойтов, связанного с методом заражения через эти файлы. Сами файлы представляют собой веб-приложения в формате HTML, которые обычно ведут на внешний хост, с которого полезная нагрузка вредоносного ПО загружается на компьютер жертвы.

Файлы .JS и .JAR

Эти типы вредоносных файлов печально известны тем, что содержат вредоносный код JavaScript, который и вызывает фактическое заражение. Обычно заражение JavaScript также может быть вызвано автоматической загрузкой этих файлов без ведома в результате нажатия на вредоносный URL-адрес. .Файлы JS используются уже довольно давно, но получившая популярность в последнее время связана с вирусами-вымогателями, такими как Locky Ransomware, который до сих пор остается криптовирусом, наносящим наибольший ущерб компьютерным системам за все время.

Файлы сценариев .VBS и .VB

Файлы сценариев Windows Visual Basic особенно опасны, поскольку за последние несколько лет они были связаны не только с одним или двумя вирусами, но и с большинством известных вредоносных программ. Начиная с программ-вымогателей Cerber и Locky, использующих файлы .vbs в своей рассылке спама по электронной почте, файлы .vbs также подвергались некоторым действиям в связи с печально известными троянскими инфекциями. Основным выбором этих конкретных файлов для заражения является скорость заражения и навыки хакера для создания кода в среде Visual Basic. VBS также является типом файла, который можно легко запутать и который можно принять за законное сообщение электронной почты, если он находится в архиве.

.PDF файлы Adobe Reader

Киберпреступники стараются не связывать файлы .PDF со сценариями и кодами, прежде всего потому, что они очень часто дают сбой. Однако как тут, кажется, есть способ, который стал весьма печально известным и широко распространенным. Он включает в себя отправку файлов .PDF в качестве вложений к спам-сообщениям, и эти файлы .PDF скрывают в себе вредоносные документы, которые на самом деле содержат вредоносные макросы. Эта стратегия «начала документа» до сих пор оставалась эффективной против неопытных жертв и является основным фактором, ответственным за распространение угрозы, известной как Jaff Ransomware.

На самом деле жертва открывает вредоносный файл .PDF, в который встроен документ Microsoft Word. Однако, как показано на рисунках выше, документы побуждают жертву извлечь вредоносный файл .docm, что, в свою очередь, вызывает заражение. Очень хитрая тактика, особенно опасная для быстрых кликеров.

Архивные файлы .SFX

Когда мы обсуждаем вредоносные файлы и заражение вредоносным ПО, важно упомянуть .SFX — типы самораспаковывающихся архивных файлов, которые также использовались основными семействами вредоносных программ для заражения компьютеров. То, как они работают, очень похоже на установочные программы Windows, прежде всего потому, что эти типы файлов в определенных архивах содержат вредоносную полезную нагрузку вируса, и когда они выполняются, ими можно манипулировать для автоматического и незаметного извлечения полезной нагрузки в фоновом режиме. Более сложные файлы .SFX даже запрограммированы своим кодом или извлеченными файлами полезной нагрузки на самоудаление после завершения операции.

Пакетные файлы .BAT

Несмотря на то, что эти файлы, содержащие команды, встречаются не так часто, они являются одними из самых распространенных из когда-либо используемых, в первую очередь из-за командной строки Windows и ее влияния на компьютер. При правильном обращении пакетные файлы могут вставлять административные команды, которые могут выполнять различные вредоносные действия, начиная от удаления файлов на вашем компьютере и заканчивая подключением к сторонним хостам и загрузкой вредоносных программ непосредственно на ваш компьютер.

Файлы .DLL

Файлы DLL в основном известны как файлы библиотеки динамической компоновки и часто являются системными файлами Microsoft, но вредоносное ПО находит способы внедрить свою собственную скомпрометированную версию с вредоносными функциями в сам файл DLL. В конечном итоге это приводит к тому, что вредоносное ПО начинает выполнять различные вредоносные действия, такие как удаление файлов Windows, выполнение файлов от имени администратора на скомпрометированном компьютере, а также выполнение различных типов изменений в редакторе реестра Windows. Это может привести к появлению сообщений об ошибках DLL на вашем ПК, но большинство вирусов проходят через большие масштабы, чтобы жертва не увидела эти ошибки.

Временные файлы .TMP

Файлы типа TMP — это временные файлы, в которых хранятся данные на вашем компьютере, пока вы используете программу. В мире вредоносных программ файлы TMP в основном используются для хранения информации, дополняющей саму инфекцию. Эта информация связана с действиями, которые будет выполнять вредоносное ПО, и часто используется с основной целью позволить вредоносному ПО собирать информацию, которая затем передается киберпреступникам путем копирования и отправки самого файла без вашего ведома. Удаление .Файл TMP может нарушить активность вредоносного ПО, но самые сложные вирусы не дадут пользователю на это разрешения или не создадут резервную копию, которая будет использоваться параллельно.

Файлы Python .PY

Эти типы файлов чаще всего используются, когда действуют вирусы-вымогатели. Это означает, что они написаны на Python и их основная цель может состоять в том, чтобы быть модулями, которые используются для шифрования файлов на вашем компьютере (документы, видео, изображения). ) и сделать их невозможными для повторного открытия. Зашифрованные файлы этого вируса-вымогателя создаются с помощью таких скриптов Python, которые при наличии программного обеспечения могут использовать их для шифрования файлов. Кроме того, было обнаружено, что код некоторых вредоносных программ полностью написан на языке Python, а это означает, что вирус использует его для всех аспектов своей деятельности.

Пользовательские типы файлов

Эти типы файлов могут создаваться исключительно для данного вируса и использоваться для разных целей, но их основная цель состоит в том, чтобы помочь различным программным вирусам, заражающим файлы с расширением, например, выполнять различные действия на компьютере. жертвы. Файлы могут иметь собственные расширения, которые могут быть абсолютно любыми, например, .virus .fun и т. д.

Другими яркими примерами вирусных расширений являются все расширения, используемые программами-вымогателями для блокировщиков данных. Самая популярная на данный момент программа-вымогатель, получившая название Stop DJVU Ransomware, выпускает новые файлы с такими расширениями почти каждую неделю. Вот список расширений программ-вымогателей, связанных с этой неприятной инфекцией:

Другие типы файлов, используемые вирусами

Имейте в виду, что вирусы используют множество различных типов файлов, которые в противном случае считаются законными, чтобы вредоносное ПО функционировало должным образом. Некоторые из этих файлов поначалу могут быть законными, но содержать в себе вредоносный компонент, который срабатывает при выполнении. К таким типам файлов относятся следующие:

  • .INF — еще один формат текстовых файлов.
  • .LNK или ярлыки, которые могут привести к заражению вирусом.
  • Файлы типов .SCF, принадлежащие Проводнику Windows.
  • Файлы .MSI или установщики MSI.
  • .MSP, которые являются установщиками исправлений.
  • Тип файла .GADGET или гаджеты рабочего стола Windows.
  • .PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2, также известные как сценарии оболочки.

С какими еще вредоносными файлами вы можете столкнуться

Несмотря на то, что эти файлы встречаются не так часто, ими все же можно манипулировать, чтобы заразить ваш компьютер, и они по-прежнему заражают компьютеры в настоящее время. Это другие потенциально вредоносные объекты, которые вы должны сканировать перед открытием:

Программы:

Файлы .MSI — типы файлов установщика, которые используются для размещения различных программ на компьютере. Они часто используются в качестве установок для различных программ, а также могут распространять вредоносное ПО в виде установки программы, которую вы пытаетесь установить.

Файлы .MSP — файлы, которые также относятся к типу установщика, однако они больше ориентированы на исправление уже установленного программного обеспечения, а это означает, что вредоносное ПО здесь может выдавать себя за поддельное исправление, загруженное в Интернете.

Файлы .GADGET — эти вредоносные файлы используются в основном с гаджетом рабочего стола Windows. Поэтому, если вы используете версию Windows с плавающими гаджетами на рабочем столе, вам следует обратить внимание на эти файлы. Когда Windows Vista впервые представила гаджеты, многие эксплойты привели к заражению неисправленных систем троянскими программами и другими вирусами.

Файлы сценария:

Файлы .CMD — также файлы командной строки Windows, которые могут вставлять вредоносные команды на ваш компьютер.

Файлы .VBE — зашифрованные файлы VBS.

Файлы .JSE — зашифрованные файлы JavaScript.

.PS1, .PS1XML, .PS2, .PS2XML, .PSC1, .PSC2 — файлы сценариев Windows PowerShell, которые при программировании могут автоматически запускать прямые команды PowerShell в системе Windows, если они выполняются с правами администратора. Особо опасно.

Вредоносные ярлыки:

Ярлыки .LNK — ярлыки, обычно используемые для связи с программой, расположенной локально на компьютере. Однако при правильном программном обеспечении и функциях он может выполнять на зараженном компьютере множество вредоносных действий, например удалять важные файлы.

Файлы .INF. Эти текстовые файлы обычно не носят опасного характера, но их также можно использовать для запуска приложения. И если это приложение вредоносное, это делает их также опасными.

Файлы .SCF. Эти типы файлов используются для создания помех проводнику Windows и могут быть изменены для выполнения действий в проводнике, которые в конечном итоге могут привести к заражению. Но действия могут быть и после заражения.

Заключение, предотвращение и защита

Одно дело знать, какие типы файлов могут в конечном итоге привести к заражению вашего компьютера, и совсем другое — научиться защищать себя. Поскольку сцена вредоносных программ очень динамична и меняется ежедневно, могут быть заражения, к которым вы все еще можете быть не готовы. Вот почему мы решили создать эти общие советы, которые помогут значительно повысить вашу защиту и осведомленность о вредоносных программах:

Совет 1. Обязательно установите соответствующее защитное программное обеспечение.

Совет 2. Узнайте, как безопасно хранить важные файлы и тем самым защитить их от программ-шифровальщиков и других вредоносных программ.

Совет 3. Узнайте, как защитить компьютер от вредоносных сообщений электронной почты.

Совет 4. Всегда проверяйте загруженный файл. Для архивов вы можете использовать службу Zip-e-Zip, а для различных типов файлов и веб-ссылок, которые вы считаете вредоносными, вы можете использовать онлайн-сканер VirusTotal. Обе услуги абсолютно бесплатны.

Совет 5. Если вас это устраивает, используйте песочницу. Это очень эффективный метод изоляции вредоносных программ в зашифрованном коде песочницы, даже если у вас нет надлежащей защиты. Хорошей программой для начала является Sandboxie.

Вентислав Крастев

Вентислав является экспертом по кибербезопасности в SensorsTechForum с 2015 года. Он исследует, охватывает и помогает жертвам последних заражений вредоносным ПО, а также тестирует и анализирует программное обеспечение и новейшие технические разработки. Венцислав, также получивший высшее образование в области маркетинга, также увлечен изучением новых изменений и инноваций в области кибербезопасности, которые меняют правила игры. Изучив управление цепочками создания стоимости, сетевое администрирование и компьютерное администрирование системных приложений, он нашел свое истинное призвание в индустрии кибербезопасности и твердо верит в обучение каждого пользователя вопросам безопасности и защиты в Интернете.

Один из моих пользователей заразил свой ноутбук DProtect Online Agent. Это похоже на вирусы FBI и SpamHouse, но мне не посчастливилось иметь дело с ними раньше.

На этой неделе я перезагрузился в безопасном режиме и восстановил ПК до более раннего состояния, я посмотрел и отключил подозрительные элементы автозагрузки, перезапустил, и все вроде бы хорошо.

Этот вирус переименовывал КАЖДЫЙ файл в своей папке с документами и добавлял к ним расширение .html. при переименовании файла вручную все они кажутся поврежденными.

У кого-нибудь есть лучший способ избавиться от нежелательного расширения файла .html?

Угрозы кибербезопасности и потребность в надежном резервном копировании

2022-03-29 18:00:00 UTC Вебинар Вебинар: Spanning — угрозы кибербезопасности и потребность в надежном резервном копировании Сведения о событии Просмотреть все события

Я скачал и запустил это:

Он расшифровал около 2000 файлов.

25 ответов

Я нашел это после быстрого поиска

Я не пробовал, но кажется логичным, что это сработает

РЕДАКТИРОВАТЬ: я протестировал параметр командной строки и смог изменить расширение папки, полной файлов PNG, на JPG и наоборот. Так что теоретически вы можете просто сгруппировать файлы по типу, которым они должны быть, и сделать это. Останутся ли они коррумпированными или нет, это уже другая история, в зависимости от того, что сделал вирус

EDIT2: Что касается удаления вируса, обычно лучше всего загрузиться с какого-либо живого компакт-диска, прежде чем пытаться удалить файлы. Вы можете использовать загрузочный компакт-диск Hiren или аналогичный продукт. Если вы загружаетесь в режиме Mini XP, вы можете использовать несколько инструментов для удаления вируса, а затем, как только вы сможете безопасно загрузиться на свой рабочий стол, используйте комбинацию Malwarebytes, CCleaner, HiJackThis или Combofix.

Но, вероятно, лучше всего и наиболее эффективно просто стереть/изменить образ после того, как вы сохранили нужные файлы

Читайте также: