Вирус-вымогатель, как вылечить и расшифровать файлы
Обновлено: 21.11.2024
Если на ваш компьютер попала программа-вымогатель, не паникуйте. Вот несколько вещей, которые вы можете сделать.
Заражение программами-вымогателями может быть очень опасным. Если вы видите на экране компьютера сообщение о том, что компьютер заблокирован или что ваши файлы зашифрованы, не паникуйте. Вместо этого сделайте глубокий вдох, сядьте и обдумайте варианты.
Существует ряд шагов, которые вы можете предпринять, чтобы попытаться восстановить контроль над вашей системой Windows и файлами, прежде чем вам нужно будет решить, будете ли вы платить выкуп.
Узнайте, какая у вас программа-вымогатель
Во-первых, вам нужно определить, пострадали ли вы от программы-вымогателя-шифровальщика, программы-вымогателя, блокирующей экран, или от чего-то, что просто притворяется программой-вымогателем. Проверьте, можете ли вы получить доступ к файлам или папкам, например к элементам на рабочем столе или в папке «Мои документы».
Если вы не можете обойти записку с требованием выкупа, которую видите на экране, скорее всего, вы заражены программой-вымогателем, блокирующей экран, что не так уж и плохо. Если вы видите уведомление от полиции, ФБР или Налогового управления США, в котором говорится, что вас поймали на просмотре порнографии или при подаче ложных налогов, и вы должны заплатить «штраф», это, как правило, тоже программа-вымогатель, блокирующая экран. р>
Если вы можете просматривать каталоги или приложения, но не можете открывать обычные офисные файлы, фильмы, фотографии или электронные письма, значит, у вас есть программа-вымогатель-шифровальщик, что гораздо хуже.
Если вы можете и перемещаться по системе, и читать большинство файлов, то вы, вероятно, видите что-то поддельное, которое просто пытается запугать вас и заставить заплатить. Вы можете игнорировать записку о выкупе. Попробуйте закрыть веб-браузер. Если вы не можете, нажмите одновременно клавиши Control, Shift и Esc, чтобы открыть диспетчер задач, выберите вкладку «Приложение», щелкните правой кнопкой мыши приложение браузера и выберите «Завершить задачу».
Должны ли вы платить выкуп?
Большинство экспертов по безопасности, а также сама Microsoft не советуют платить выкуп. Нет никакой гарантии, что вы получите свои файлы обратно, если заплатите, а оплата только поощряет новые атаки программ-вымогателей. (Не платите выкуп за программу-вымогатель, блокирующую экран, потому что ее почти всегда можно обойти.)
Однако, когда вам нужно восстановить юридические, медицинские или деловые документы, ценные семейные фотографии или другие важные файлы, 300 долларов США или около того выглядят приемлемым вариантом, и большинство преступников-вымогателей разблокируют файлы после уплаты выкупа. Поэтому мы предпочли бы оставаться нейтральными в вопросе о том, является ли выплата выкупа целесообразной или морально приемлемой.
Как бороться с шифровальщиками
Поскольку шифрующие программы-вымогатели являются наиболее распространенными и наиболее опасными, мы сначала рассмотрим их. Выполните каждый из этих шагов по порядку, даже если вы знаете, что недавно создавали резервные копии своих файлов. Остановитесь, когда вам удастся восстановить файлы.
<р>1. Отключите вашу машину от любых других и от любых внешних дисков. Если вы в сети, отключитесь. Вы не хотите, чтобы программа-вымогатель распространялась на другие устройства в вашей локальной сети или на службы синхронизации файлов, такие как Dropbox. <р>2. Используйте смартфон или камеру, чтобы сфотографировать записку о выкупе, представленную на вашем экране. Если вы можете сделать скриншот, сделайте и это. Вы захотите подать заявление в полицию позже, после того, как выполните все эти шаги. <р>3. Используйте антивирусное или антивредоносное программное обеспечение для удаления программы-вымогателя с компьютера, но только делайте это, если вы полны решимости не платить выкуп. (В противном случае подождите, пока вы не восстановите свои файлы.) Возможно, вам придется перезагрузиться в безопасном режиме, одновременно нажав кнопку питания и клавишу S на клавиатуре.Удаление программы-вымогателя не приведет к расшифровке ваших файлов и может снизить ваши шансы вернуть файлы, заплатив выкуп. Но это позволит вам выполнить все следующие шаги без риска того, что программа-вымогатель зашифрует новые файлы или попытается помешать процессу восстановления.
<р>4. Посмотрите, сможете ли вы восстановить удаленные файлы. Многие виды программ-вымогателей с шифрованием копируют ваши файлы, шифруют копии, а затем удаляют оригиналы. К счастью, часто можно легко восстановить удаленные файлы с помощью таких инструментов, как бесплатный ShadowExplorer или платная загрузка для восстановления данных. <р>5. Выясните, с каким именно штаммом шифровальщика-вымогателя вы имеете дело. Если программа-вымогатель не сообщает свое имя, попробуйте онлайн-инструмент Crypto Sheriff или онлайн-инструмент ID Ransomware. Оба позволяют загружать зашифрованные файлы, а затем сообщают, можно ли отменить шифрование. (Во многих случаях это невозможно.) <р>6. Посмотрите, есть ли доступные инструменты расшифровки. Если вы уже знаете название штамма программы-вымогателя, перейдите к списку инструментов дешифрования на веб-сайте No More Ransom и посмотрите, есть ли подходящий дешифратор. (Две верхние записи в списке, Rakhni и Rannoh, могут расшифровывать несколько штаммов.) Список не в алфавитном порядке, и новые дешифраторы добавляются в конец списка.Если вы не видите то, что вам нужно, попробуйте другие веб-сайты, на которых собраны дешифраторы программ-вымогателей:
Вы также можете попробовать страницы дешифраторов отдельных антивирусных компаний для совершенно новых инструментов, которые еще не перенесены на агрегированные страницы:
Макафи:
<р>7. Восстановите файлы из резервной копии. Если вы регулярно выполняете резервное копирование затронутой машины, вы сможете восстановить файлы из резервной копии.Однако вы также должны убедиться, что файлы резервных копий не были зашифрованы. Подключите резервный диск к другому компьютеру или войдите в одну из лучших облачных служб резервного копирования, чтобы проверить состояние файлов. (Вы также должны убедиться, что у вас есть установочный носитель и/или лицензионные ключи для всех сторонних приложений.)
Если все в порядке, вам нужно полностью стереть диск, выполнить чистую установку операционной системы, а затем восстановить файлы из резервной копии.
Вы также можете просто восстановить файлы с резервного диска без очистки и переустановки ОС. Это может показаться меньшим количеством проблем, но это не очень хорошая идея — вы можете оставить следы программы-вымогателя на компьютере даже после выполнения полной антивирусной проверки.
Если эти методы не сработают, вам придется сделать выбор: заплатить выкуп или отдать файлы.
<р>8. Если вы собираетесь платить выкуп, сначала договоритесь. Многие заметки о программах-вымогателях содержат инструкции о том, как связаться с преступниками, запускающими вредоносное ПО. Если это так, свяжитесь с ними и торгуйтесь за меньший выкуп. Это срабатывает чаще, чем вы думаете.После согласования установленной цены следуйте инструкциям по оплате. Нет никакой гарантии, что ваши файлы действительно будут освобождены, но более изощренные преступники-вымогатели обычно держат свое слово.
<р>9. Откажитесь от файлов и переустановите операционную систему. Если вы предпочитаете просто резать наживку, то вам следует сделать полную очистку и переустановку операционной системы. Windows 10 позволяет сбросить настройки многих устройств, но с другими операционными системами вам придется использовать установочные диски или USB-накопители. <р>10. Напишите заявление в полицию. Звучит бессмысленно, но это необходимый юридический шаг, если вы хотите подать страховой иск или иск, связанный с вашей инфекцией. Это также поможет властям отслеживать уровень заражения и его распространение.Особое примечание о черве-вымогателе Petya
Червь-вымогатель Petya, сильно поразивший Европу в конце июня 2017 года, необычен. После заражения он перезагружает компьютер и пытается перезаписать главную загрузочную запись жесткого диска Windows. Если вы можете остановить процесс перезагрузки, вы можете предотвратить это.
Если основная загрузочная запись была перезаписана, вы увидите примечание о выкупе ниже:
В Petya есть модуль резервного копирования, который шифрует файлы, если стереть основную загрузочную запись не удается. Если это произошло с вашей машиной, следуйте обычным инструкциям по обращению с шифровальщиками-вымогателями.
Что бы вы ни делали, не пытайтесь заплатить выкуп за червя Петя. Вредоносная программа написана таким образом, что зашифрованные данные невозможно восстановить, а единственный контактный адрес электронной почты, указанный на экране выкупа вредоносной программы, был отключен соответствующим поставщиком услуг электронной почты.
Как бороться с программами-вымогателями, блокирующими экран
Программы-вымогатели, блокирующие экран, не так распространены, как несколько лет назад, но время от времени все еще возникают. Выполните следующие действия, чтобы удалить его.
<р>1. Отключите вашу машину от любых других и от любых внешних дисков. Если вы в сети, отключитесь. Вы не хотите, чтобы программа-вымогатель распространялась на другие устройства в вашей локальной сети. <р>2. Используйте смартфон или камеру, чтобы сфотографировать записку о выкупе, представленную на вашем экране. Если вы можете сделать скриншот, сделайте и это. Вы захотите подать заявление в полицию позже, после того, как выполните все эти шаги. <р>3. Перезагрузите компьютер в безопасном режиме, одновременно нажав кнопку питания и клавишу S на клавиатуре. Когда компьютер перезагрузится, запустите антивирусную программу, чтобы удалить программу-вымогатель. <р>4. Попробуйте восстановить систему, если безопасный режим не работает. Большинство компьютеров Windows позволяют откатить состояние компьютера до последнего известного исправного состояния.В Windows 7 перезагрузите компьютер, нажав клавишу F8, чтобы открыть меню дополнительных параметров загрузки. Выберите «Восстановить компьютер», войдите в систему, используя свой пароль, и выберите «Восстановление системы».
В Windows 8, 8.1 или 10 перезагрузите компьютер, удерживая нажатой клавишу Shift, чтобы перейти к экрану восстановления. Выберите «Устранение неполадок», затем «Дополнительные параметры», затем «Восстановление системы».
Если вы не можете открыть экраны восстановления, но у вас есть установочный диск или USB-накопитель для этой версии Windows, перезагрузитесь с него и вместо установки операционной системы выберите «Восстановить компьютер».
<р>5. Запустите антивирусное программное обеспечение еще раз, чтобы очистить вашу систему. <р>6. Напишите заявление в полицию. Звучит бессмысленно, но это необходимый юридический шаг, если вы хотите подать страховой иск или иск, связанный с вашей инфекцией.Это также поможет властям отслеживать уровень заражения и его распространение.
Андрей Попов / Getty Images
В центре внимания ОГО: программа-вымогатель
Определение программ-вымогателей
Программы-вымогатели – это разновидность вредоносного ПО, которое шифрует файлы жертвы. Затем злоумышленник требует от жертвы выкуп за восстановление доступа к данным после оплаты.
Пользователям показываются инструкции о том, как заплатить за получение ключа дешифрования. Затраты могут варьироваться от нескольких сотен до тысяч долларов и выплачиваться киберпреступникам в биткойнах.
Как работает программа-вымогатель
Существует несколько путей, по которым программы-вымогатели могут получить доступ к компьютеру. Одной из самых распространенных систем доставки является фишинговый спам — вложения, которые приходят жертве в электронном письме, маскируясь под файл, которому следует доверять. После загрузки и открытия они могут завладеть компьютером жертвы, особенно если у них есть встроенные инструменты социальной инженерии, которые обманом заставляют пользователей разрешить административный доступ. Некоторые другие, более агрессивные формы программ-вымогателей, такие как NotPetya, используют бреши в системе безопасности для заражения компьютеров, не обманывая пользователей.
Существует несколько действий, которые может выполнить вредоносное ПО после захвата компьютера жертвы, но, безусловно, наиболее распространенным действием является шифрование некоторых или всех файлов пользователя. Если вам нужны технические подробности, Infosec Institute подробно изучил, как несколько разновидностей программ-вымогателей шифруют файлы. Но самое главное, что нужно знать, это то, что в конце процесса файлы не могут быть расшифрованы без математического ключа, известного только злоумышленнику. Пользователю предоставляется сообщение, объясняющее, что его файлы теперь недоступны и будут расшифрованы только в том случае, если жертва отправит злоумышленнику платеж в биткойнах, который невозможно отследить.
В некоторых формах вредоносного ПО злоумышленник может выдать себя за правоохранительный орган, который выключает компьютер жертвы из-за наличия на нем порнографии или пиратского программного обеспечения и требует уплаты «штрафа», возможно, чтобы заставить жертв с меньшей вероятностью сообщит о нападении властям. Но большинство атак не заботятся об этом предлоге. Существует также вариант, называемый leakware или doxware, в котором злоумышленник угрожает опубликовать конфиденциальные данные на жестком диске жертвы, если не будет выплачен выкуп. Но поскольку поиск и извлечение такой информации представляет собой очень сложную задачу для злоумышленников, программы-вымогатели с шифрованием являются наиболее распространенным типом.
Кто является целью программ-вымогателей?
Существует несколько способов, которыми злоумышленники выбирают организации, на которые они нацелены с помощью программ-вымогателей. Иногда это зависит от возможности: например, злоумышленники могут нацеливаться на университеты, потому что у них, как правило, есть небольшие группы безопасности и разрозненная база пользователей, которые много обмениваются файлами, что облегчает проникновение в их защиту.
С другой стороны, некоторые организации являются заманчивыми целями, потому что они, скорее всего, быстро заплатят выкуп. Например, правительственным учреждениям или медицинским учреждениям часто требуется немедленный доступ к своим файлам. Юридические фирмы и другие организации, владеющие конфиденциальными данными, могут быть готовы платить за то, чтобы не сообщать о компрометации, и эти организации могут быть особенно чувствительны к атакам с использованием программ утечки.
Но не думайте, что вы в безопасности, если вы не подходите под эти категории: как мы уже отмечали, некоторые программы-вымогатели автоматически и без разбора распространяются по Интернету.
Как защититься от программ-вымогателей
Существует ряд защитных мер, которые можно предпринять, чтобы предотвратить заражение программами-вымогателями. Эти шаги, безусловно, являются хорошей практикой безопасности в целом, поэтому их выполнение улучшит вашу защиту от всех видов атак:
- Обновляйте свою операционную систему с помощью исправлений и обновлений, чтобы уменьшить количество уязвимостей, которые можно использовать.
- Не устанавливайте программное обеспечение и не предоставляйте ему права администратора, если вы точно не знаете, что это такое и для чего оно предназначено.
- Установите антивирусное программное обеспечение, которое обнаруживает вредоносные программы, такие как программы-вымогатели, по мере их поступления, и программное обеспечение для внесения в белый список, которое в первую очередь предотвращает выполнение неавторизованных приложений.
- И, конечно же, часто и автоматически создавайте резервные копии своих файлов! Это не остановит атаку вредоносного ПО, но может значительно уменьшить ущерб, нанесенный ею.
Удаление программ-вымогателей
Если ваш компьютер заражен программой-вымогателем, вам необходимо восстановить контроль над ним. У Стива Рэгана из CSO есть отличное видео, демонстрирующее, как это сделать на компьютере с Windows 10:
В видео есть все подробности, но важные шаги заключаются в следующем:
- Перезагрузите Windows 10 в безопасном режиме.
- Установите программное обеспечение для защиты от вредоносных программ.
- Просканируйте систему, чтобы найти программу-вымогатель
- Восстановить компьютер до предыдущего состояния
Однако важно помнить: хотя выполнение этих шагов может удалить вредоносное ПО с вашего компьютера и вернуть его под ваш контроль, оно не будет расшифровывать ваши файлы. Их преобразование в нечитаемость уже случилась, а если вредоносное ПО вообще сложное, расшифровать его без доступа к ключу, которым владеет злоумышленник, будет математически невозможно. Фактически, удалив вредоносное ПО, вы исключили возможность восстановления ваших файлов, заплатив злоумышленникам требуемый выкуп.
Факты и цифры о программах-вымогателях
Программы-вымогатели — это большой бизнес. В программах-вымогателях много денег, и рынок быстро расширялся с начала десятилетия. В 2017 году программы-вымогатели привели к убыткам в размере 5 миллиардов долларов как с точки зрения выплаченных выкупов, так и с точки зрения потерь времени на восстановление после атак. Это в 15 раз больше, чем в 2015 году. В первом квартале 2018 года только одна программа-вымогатель, SamSam, получила выкуп в размере 1 млн долларов.
Некоторые рынки особенно подвержены атакам программ-вымогателей и выплате выкупа. Многие громкие атаки программ-вымогателей произошли в больницах или других медицинских организациях, которые становятся заманчивыми целями: злоумышленники знают, что, когда на кону буквально стоят жизни, эти предприятия, скорее всего, просто заплатят относительно небольшой выкуп, чтобы проблема исчезла. По оценкам, 45% атак программ-вымогателей нацелены на организации здравоохранения, и, наоборот, 85% заражений вредоносными программами в организациях здравоохранения являются программами-вымогателями. Еще одна заманчивая отрасль? Сектор финансовых услуг, в котором, как однажды заметил Уилли Саттон, находятся деньги. По оценкам, в 2017 году 90 % финансовых учреждений подверглись атаке программ-вымогателей.
Ваше программное обеспечение для защиты от вредоносных программ не обязательно защитит вас. Программы-вымогатели постоянно пишутся и настраиваются разработчиками, поэтому их сигнатуры часто не обнаруживаются обычными антивирусными программами. На самом деле, целых 75 % компаний, ставших жертвами программ-вымогателей, использовали на зараженных компьютерах современные средства защиты конечных точек.
Программы-вымогатели уже не так распространены, как раньше. Если вы хотите немного хороших новостей, вот что: количество атак программ-вымогателей, после резкого взрыва в середине 10-х годов, пошло на спад, хотя первоначальные цифры были достаточно высоки, чтобы до сих пор. Но в первом квартале 2017 года атаки программ-вымогателей составили 60% полезной нагрузки вредоносных программ; теперь она снизилась до 5 процентов.
Программы-вымогатели снижаются?
Что стоит за этим резким падением? Во многом это экономическое решение, основанное на выбранной киберпреступником валюте: биткойн. Получение выкупа от жертвы всегда было удачным или неудачным; они могут не решить платить или даже если захотят, они могут быть недостаточно знакомы с биткойнами, чтобы понять, как на самом деле это сделать.
Как отмечает «Лаборатория Касперского», снижение числа программ-вымогателей сопровождалось ростом числа так называемых вредоносных программ криптомайнинга, которые заражают компьютер-жертву и используют его вычислительную мощность для создания (или майнинга) на языке криптовалют) биткойн без ведома владельца. Это удобный способ использования чужих ресурсов для получения биткойнов, который позволяет избежать большинства трудностей, связанных с получением выкупа, и стал еще более привлекательным в качестве кибератаки, поскольку цена биткойнов резко выросла в конце 2017 года.
Однако это не означает, что угроза миновала. Существует два различных типа атакующих программ-вымогателей: «товарные» атаки, которые пытаются без разбора заразить компьютеры одним лишь объемом и включают так называемые платформы «программы-вымогатели как услуга», которые преступники могут арендовать; и целевые группы, ориентированные на особо уязвимые сегменты рынка и организации. Вы должны быть начеку, если вы относитесь к последней категории, даже если большой бум программ-вымогателей уже прошел.
Поскольку в течение 2018 года цена биткойна падала, анализ затрат и выгод для злоумышленников может измениться. В конечном счете, использование программ-вымогателей или вредоносных программ для криптомайнинга является бизнес-решением для злоумышленников, говорит Стив Гробман, главный технический директор McAfee. «Поскольку цены на криптовалюту падают, естественно наблюдать возврат [к программам-вымогателям]».
Должны ли вы платить выкуп?
Если ваша система была заражена вредоносным ПО и вы потеряли важные данные, которые не можете восстановить из резервной копии, должны ли вы платить выкуп?
Говоря теоретически, большинство правоохранительных органов призывают вас не платить злоумышленникам-вымогателям, исходя из логики, что это только побуждает хакеров создавать больше программ-вымогателей. Тем не менее, многие организации, пострадавшие от вредоносного ПО, быстро перестают думать с точки зрения «большего блага» и начинают проводить анализ затрат и выгод, сопоставляя цену выкупа со стоимостью зашифрованных данных.Согласно исследованию Trend Micro, хотя 66 % компаний заявляют, что они никогда не будут платить выкуп из принципа, на практике 65 % действительно платят выкуп, когда их атакуют.
Злоумышленники, занимающиеся программами-вымогателями, удерживают цены на относительно низком уровне — обычно от 700 до 1300 долларов США. Это сумма, которую компании обычно могут позволить себе заплатить в кратчайшие сроки. Некоторые особо сложные вредоносные программы обнаруживают страну, в которой работает зараженный компьютер, и корректируют выкуп в соответствии с экономикой этой страны, требуя больше от компаний в богатых странах и меньше от компаний из бедных регионов.
За быстрые действия часто предлагаются скидки, чтобы побудить жертв платить быстро, прежде чем слишком много думать об этом. Как правило, цена устанавливается таким образом, чтобы она была достаточно высокой, чтобы оправдать затраты времени преступника, но достаточно низкой, чтобы она часто была дешевле, чем та, которую жертва должна была бы заплатить за восстановление своего компьютера или восстановление потерянных данных. Имея это в виду, некоторые компании начинают включать потенциальную необходимость выплаты выкупа в свои планы обеспечения безопасности: например, некоторые крупные британские компании, которые в остальном не связаны с криптовалютой, держат некоторое количество биткойнов в резерве специально для выплаты выкупа.
Здесь следует помнить о паре непростых моментов, учитывая, что люди, с которыми вы имеете дело, конечно же, преступники. Во-первых, программа-вымогатель может вообще не шифровать ваши данные; убедитесь, что вы не имеете дело с так называемым «пугающим ПО», прежде чем отправлять кому-либо деньги. Во-вторых, оплата злоумышленникам не гарантирует, что вы вернете свои файлы. Иногда преступники просто берут деньги и убегают, а в вредоносные программы могут даже не встраиваться функции расшифровки. Но любое такое вредоносное ПО быстро завоюет репутацию и не принесет дохода, поэтому в большинстве случаев — по оценке Гэри Сокрайдера, главного специалиста по безопасности в Arbor Networks, — в 65–70% случаев злоумышленники проникают внутрь и ваши данные восстанавливаются. .
Примеры программ-вымогателей
Хотя программы-вымогатели технически существуют с 90-х годов, они стали популярными только в последние пять лет или около того, в основном из-за доступности неотслеживаемых способов оплаты, таких как биткойн. Вот некоторые из самых злостных нарушителей:
- CryptoLocker, атака 2013 года, положила начало современному веку программ-вымогателей и заразила до 500 000 компьютеров.
- TeslaCrypt нацеливалась на игровые файлы и постоянно совершенствовалась во время террора.
- SimpleLocker была первой широко распространенной атакой программ-вымогателей, ориентированной на мобильные устройства.
- WannaCry автономно распространялся с компьютера на компьютер с помощью EternalBlue — эксплойта, разработанного АНБ и затем украденного хакерами. также использовал EternalBlue и, возможно, был частью направленной Россией кибератаки на Украину.
- Locky начал распространяться в 2016 году и был "схож по способу атаки с печально известным банковским программным обеспечением Dridex". Вариант, Osiris, был распространен через фишинговые кампании.
- Leatherlocker впервые был обнаружен в 2017 году в двух приложениях для Android: Booster & Cleaner и Wallpaper Blur HD. Вместо того, чтобы шифровать файлы, он блокирует главный экран, чтобы предотвратить доступ к данным.
- Wysiwye, также обнаруженный в 2017 году, сканирует Интернет в поисках открытых серверов протокола удаленного рабочего стола (RDP). Затем он пытается украсть учетные данные RDP для распространения по сети.
- Cerber оказался очень эффективным, когда он впервые появился в 2016 году и принес злоумышленникам 200 000 долларов в июле того же года. Он воспользовался уязвимостью Microsoft для заражения сетей.
- В 2017 году BadRabbit распространился среди медиакомпаний Восточной Европы и Азии.
- SamSam существует с 2015 года и нацелена в первую очередь на организации здравоохранения.
- Ryuk впервые появился в 2018 году и используется для целенаправленных атак на уязвимые организации, например больницы. Он часто используется в сочетании с другими вредоносными программами, такими как TrickBot.
- Maze – относительно новая группа программ-вымогателей, известная тем, что публикует украденные данные, если жертва не платит за их расшифровку.
- RobbinHood — еще один вариант EternalBlue, который в 2019 году поставил на колени город Балтимор, штат Мэриленд.
- GandCrab может быть самой прибыльной программой-вымогателем. Разработчики, продавшие программу киберпреступникам, заявляют, что по состоянию на июль 2019 года жертвам было выплачено более 2 миллиардов долларов США.
- Sodinokibi нацелен на системы Microsoft Windows и шифрует все файлы, кроме файлов конфигурации. Это связано с GandCrab
- Thanos — новейшая программа-вымогатель в этом списке, обнаруженная в январе 2020 года. Она продается как программа-вымогатель как услуга. Это первая программа, использующая технологию RIPlace, позволяющую обойти большинство методов защиты от программ-вымогателей.
Этот список будет только увеличиваться. Следуйте приведенным здесь советам, чтобы защитить себя.
Программы-вымогатели, шифрующие ваши файлы, разрушительны.Это может привести к необратимой потере данных и повреждению компьютера. Если программа-вымогатель поразит ваш компьютер, вы можете попробовать альтернативные решения для восстановления файлов, зашифрованных программой-вымогателем.
4 метода восстановления файлов, зашифрованных программами-вымогателями
Способ 1. Восстановление из резервной копии
Это работает, только если включена опция «История файлов». Если он отключен, включите его, чтобы можно было восстановить файлы из резервной копии.
- Нажмите "Пуск".
- Откройте настройки.
- Нажмите «Обновление и безопасность».
- Нажмите «Резервное копирование» → «Резервное копирование с использованием истории файлов».
- Нажмите "Дополнительные параметры".
- Нажмите «Восстановить файлы из текущей версии» в самом низу.
- Появится всплывающее окно, введите имя файла, который вы хотите восстановить.
- Выберите из различных версий файлов, предоставляемых Windows.
- Нажмите кнопку "Восстановить".
Это один из способов восстановления файлов, зашифрованных программами-вымогателями. Более безопасным способом резервного копирования файлов является облачное хранилище, которое позволяет получить к ним доступ через Интернет.
Способ 2. Восстановление системы
Еще один способ восстановить файлы, зашифрованные программами-вымогателями, — это восстановление системы. Создание точки восстановления системы может отличаться в зависимости от вашей операционной системы. В Windows 10 вы можете выполнить следующие действия для восстановления системы компьютера.
- Нажмите "Пуск".
- Выберите Обновление и безопасность > Восстановление.
- Нажмите "Расширенный запуск".
- Нажмите «Устранение неполадок» → «Дополнительные параметры» → «Восстановление системы».
- Нажмите «Далее», затем выберите системную точку, которая поможет восстановить файлы, зашифрованные программами-вымогателями.
- Нажмите «Далее» и дождитесь завершения восстановления системы.
В случае, если восстановление системы не помогло решить проблему, существует другой способ восстановления файлов, зашифрованных программами-вымогателями.
Способ 3. Программное обеспечение для восстановления данных
ПО для восстановления данных также помогает восстановить файлы, зашифрованные программами-вымогателями. Если вам не удалось создать резервную копию файлов или на компьютере нет точки восстановления, программное обеспечение для восстановления данных может избавить вас от проблем.
Вы можете загрузить программное обеспечение для восстановления данных, например EaseUS. Он сканирует нужный диск, чтобы восстановить файлы, зашифрованные программами-вымогателями. Вы также можете скачать MiniTool Power, который позволяет сканировать определенные файлы, чтобы сузить поиск. В Интернете доступно другое программное обеспечение для восстановления данных. Выбирайте лучшее для себя.
Способ № 4. Инструменты расшифровки
Несмотря на то, что некоторые программы-вымогатели не поддаются шифрованию, шанс восстановить файлы, зашифрованные программами-вымогателями, с помощью инструментов дешифрования по-прежнему высок. Одно из программ, которые вы можете скачать, — это бесплатный инструмент для расшифровки программ-вымогателей от Quick Heal. Он хорош для расшифровки различных программ-вымогателей, таких как Ninja Ransomware, Apocalypse и других. Вы также можете бесплатно скачать GIBON Ransomware Decryptor от Bleeping Computer. После загрузки инструмента дешифрования просто следуйте инструкциям на экране, чтобы завершить установку, и вы сможете приступить к расшифровке файлов, зашифрованных программой-вымогателем.
После того как файлы будут успешно разблокированы, никогда не позволяйте программам-вымогателям снова заразить компьютер. Он может вернуться, если вы оставите компьютер уязвимым. Если на момент заражения не установлено программное обеспечение безопасности, установите надежное антивирусное программное обеспечение. Но если уже установлено программное обеспечение для защиты от вредоносных программ, скорее всего, оно не смогло обнаружить программу-вымогатель. С учетом сказанного лучше инвестировать в лучшее программное обеспечение для обеспечения безопасности.
Защитное программное обеспечение, такое как Comodo Advanced Endpoint Protection, обеспечивает наилучшую защиту от программ-вымогателей. Прошли те времена, когда программы-вымогатели полагались на исполняемый файл для достижения своей цели. Сегодня большинство программ-вымогателей стали бесфайловыми, а это означает, что их шансы попасть в компьютер выше. Важно иметь многоуровневую систему безопасности. Вот из чего состоит Comodo Advanced Endpoint Protection.
7 уровней безопасности
Comodo Antivirus — обнаруживает известные вредоносные программы, такие как трояны, шпионские программы, программы-вымогатели, вирусы и черви. Comodo Antivirus мгновенно обнаруживает вредоносное ПО, замаскированное под подлинный файл, что предотвращает заражение компьютера.
Valkyrie — это облачная вердикт-платформа, которая защищает компьютер от новейших угроз, даже если пользователь еще не обновил защитное программное обеспечение.
Автоматическое сдерживание — это технология на основе изолированной программной среды, построенная на основе запрета по умолчанию, которая создает угрозы нулевого дня на каждом конечном устройстве. Он содержит более 1 000 000 000 ненадежных файлов без каких-либо сообщений о заражении.
HIPS (Host Intrusion Prevention System) — передовая защита от бесфайловых вредоносных программ, которая отслеживает память и реестр компьютера на предмет несанкционированного изменения. С распространением бесфайлового вредоносного ПО лучше беречь память компьютера, потому что удаление безфайлового вредоносного ПО практически невозможно и может потребовать переустановки ОС. HIPS также защищает клавиатуру и жесткий диск от прямого доступа.
Брандмауэр — фильтрует сетевой трафик и передачу данных, предотвращая проникновение входящих и исходящих угроз. Он также отслеживает активные приложения на конечных устройствах.
VirusScope — передовая технология машинного обучения, состоящая из нескольких сканеров. Эта модель обучается на различных данных, извлеченных как из вредоносного, так и из доверенного программного обеспечения, чтобы мгновенно определять модели поведения.
Фильтрация веб-сайтов — позволяет заносить в белый и черный списки определенные URL-адреса, чтобы запретить пользователям доступ к ненадежным веб-сайтам.
Comodo Advanced Endpoint Protection устанавливается быстро и легко. После установки у вас будет полная защита от программ-вымогателей. Нажмите здесь, чтобы скачать.
Атака программы-вымогателя использует вредоносное ПО для шифрования систем и данных с целью получения выкупа за расшифровку файлов. При атаке программ-вымогателей киберпреступники держат в заложниках ваши данные и системы. Если у вас нет стратегии защиты данных, атака программы-вымогателя может привести к катастрофической утечке данных и нарушению непрерывности бизнеса. Читайте дальше, чтобы узнать, как создать стратегию восстановления данных программы-вымогателя, включая пять методов восстановления файлов, зашифрованных программой-вымогателем.
Из этой статьи вы узнаете:
Что такое атака программы-вымогателя?
Атака программы-вымогателя – это атака, осуществляемая с помощью вредоносного ПО, которое шифрует ваши системы и данные. Злоумышленники требуют выкуп за расшифровку ваших данных, что позволит вам снова получить к ним доступ. Часто злоумышленники просят оплату в криптовалюте, поскольку она анонимна и менее отслеживаема. Требуемый выкуп может быть небольшим или крупным.
Самый эффективный способ защитить свои системы от программ-вымогателей – предотвратить их установку. Следующий лучший способ — предвидеть, как он может попасть в ваши системы и какие данные, вероятно, будут атакованы. Это поможет сфокусировать защиту и обеспечить резервное копирование данных перед атакой.
Чтобы разработать надежную стратегию защиты данных, часто проще всего начать с ваших данных и работать с ними. Следующие шаги помогут вам разработать надежную стратегию восстановления данных программ-вымогателей.
- Проведите инвентаризацию данных. Создайте инвентаризацию своих данных, чтобы определить, как данные должны быть классифицированы и где они хранятся. Категории могут включать критические, ценные, регулируемые или частные. Когда у вас есть инвентарь, вы можете определить, как данные должны быть защищены, и вы можете инициировать резервное копирование данных.
- Определите свои конечные точки. Вам нужно знать, где находятся ваши конечные точки, чтобы определить, откуда может прийти заражение программами-вымогателями. Как и в случае с вашими данными, вы можете классифицировать конечные точки, чтобы определить приоритет и обеспечить надлежащую защиту важных конечных точек.
- Определите свой план восстановления: создайте план восстановления данных программы-вымогателя для всех ресурсов и данных, отдавая приоритет критически важным. Вы должны иметь возможность восстанавливать или перестраивать все активы, желательно из основной резервной копии или образа.
- Защитите свои резервные копии. Резервные копии полезны только в том случае, если они безопасны и доступны. Вы должны убедиться, что ваши резервные копии защищены так же, как ваши системы и данные, чтобы вы могли восстанавливать данные из резервных копий и чтобы восстанавливаемые данные были надежными.
- Дублирование данных за пределами сайта. Вы должны хранить по крайней мере одну копию данных в автономном режиме, за пределами сайта или в обоих случаях. Это гарантирует, что даже если локальные резервные копии зашифрованы программой-вымогателем, вы все равно сможете восстановить данные. При хранении этих копий убедитесь, что данные защищены так же, как и для основной копии.
5 методов восстановления файлов, зашифрованных программами-вымогателями
Если вы уже пострадали от программы-вымогателя, существует несколько способов восстановить зашифрованные файлы программы-вымогателя, вместо того чтобы платить злоумышленнику.
1. Восстановить из резервной копии
Самый быстрый способ восстановления после программ-вымогателей – просто восстановить систему из резервных копий. Чтобы этот метод работал, у вас должна быть последняя версия ваших данных и приложений, которые не содержат программы-вымогателя, которой вы в настоящее время заражены. Перед восстановлением обязательно устраните программу-вымогатель. Обычно это делается путем сброса систем к заводским настройкам по умолчанию.
2. Восстановление системы Windows
Если вы используете системы Windows, вы можете восстановить данные с помощью утилиты восстановления системы Windows. Этот инструмент хранит резервные копии на определенный момент времени для ваших устройств Windows, к которым вы можете вернуться при необходимости.
Чтобы использовать эту утилиту, откройте Панель управления и выберите Система и безопасность. Далее выберите «Резервное копирование и восстановление». Когда вы выбираете «Восстановить файлы из резервной копии», вы попадаете в мастер, который поможет вам завершить процесс.
3. Версии файлов Windows
В качестве альтернативы восстановлению системы в Windows предусмотрена возможность восстановления отдельных версий файлов. Эта функция может помочь вам с определенными зашифрованными файлами. Чтобы эта функция работала, целевой файл должен быть включен в предыдущую точку восстановления, резервную копию Windows или историю файлов.
Чтобы восстановить предыдущие версии файлов в Windows:
- Щелкните правой кнопкой мыши файл, который хотите восстановить, и выберите "Свойства".
- Выберите вкладку "Предыдущие версии".
- Выберите из списка точек восстановления версию, которую хотите восстановить. Вы можете проверить версию, выбрав Просмотр из вариантов.
- После того как вы проверили свою версию, вы можете либо создать копию (используя Копировать) файла в том же каталоге, что и зашифрованный файл, либо перезаписать зашифрованный файл (используя Восстановить).
Программное обеспечение для восстановления данных
Если вы не пытаетесь восстановить устройство Windows или просто хотите использовать стороннее решение, вы можете попробовать использовать программное обеспечение для восстановления данных. Это программное обеспечение может быть полезно, если у вас нет резервных копий или точек восстановления для восстановления. Если вам нужно восстановить файлы программ-вымогателей, вы можете использовать специальные решения для резервного копирования программ-вымогателей.
Вы можете использовать программное обеспечение для восстановления данных, чтобы:
- Извлечение поврежденных или удаленных данных с устройств хранения
- Восстановление разделов жесткого диска или деформатирование дисков.
Эти решения работают как с данными, созданными системой, так и с данными, сохраненными пользователями, и могут восстанавливать данные с большинства устройств хранения. Сюда входят флэш-накопители, жесткие диски, внешние хранилища и ленточные накопители. Это программное обеспечение также может помочь вам восстановить поврежденные или ошибочно удаленные данные. Несколько популярных решений: Stellar Recovery, Prosoft Data Rescue и Disk Drill.
5. Инструменты для расшифровки программ-вымогателей
В зависимости от типа программы-вымогателя, которой вы заражены, вам могут быть доступны инструменты дешифрования. Эти инструменты просто взламывают шифрование программ-вымогателей, размещенное в ваших файлах и системах, с помощью алгоритмов, разработанных экспертами по безопасности.
Эти инструменты можно найти в Интернете из нескольких источников, включая проект No More Ransomware. Однако перед загрузкой любого инструмента убедитесь, что источник является надежным. Доступно множество поддельных инструментов, которые содержат дополнительное вредоносное ПО. Резервное копирование, устойчивое к программам-вымогателям, от Cloudian
Cloudian® HyperStore® – это объектное хранилище большой емкости, которое поможет вам хранить данные таким образом, чтобы они были устойчивы к программам-вымогателям, и с легкостью восстанавливались после атак.
HyperStore может хранить до 1,5 петабайт в устройстве шасси 4U, что позволяет хранить до 18 петабайт в одной стойке центра обработки данных. HyperStore поставляется с полностью избыточным питанием и охлаждением, а также функциями повышения производительности, включая твердотельные накопители емкостью 1,92 ТБ для метаданных и порты Ethernet 10 Гбит/с для быстрой передачи данных.
Облачные устройства хранения могут быть развернуты:
- В качестве цели резервного копирования для приложений защиты данных, включая Rubrik, Commvault и VERITAS.
- Как корпоративное решение для синхронизации и совместного использования, позволяющее клиентским системам синхронизировать данные и хранить копии важных файлов в центральном репозитории.
- Как файловый сервер, используемый клиентскими системами для прямого сохранения важных файлов.
- Запись после многократного чтения (WORM). Cloudian гарантирует, что данные после записи не могут быть изменены или удалены до тех пор, пока не пройдет указанное время. Поскольку данные нельзя изменить, их нельзя зашифровать, что сделает программы-вымогатели неэффективными. WORM доступен как системная функция безопасных устройств хранения данных Cloudian.
- Управление версиями данных. Cloudian создает новую копию данных при внесении изменений, сохраняя при этом исходную копию в течение определенного периода времени. Если вредоносная программа шифрует файл, копия незашифрованного файла все еще существует.
Подробнее о решениях Cloudian для резервного копирования программ-вымогателей.
Подробнее о восстановлении данных программ-вымогателей
Можно еще многое узнать о восстановлении данных программ-вымогателей. Чтобы продолжить исследование, просмотрите остальные наши блоги о защите данных:
Соблюдение правил защиты данных
Правила защиты данных применяют методы, которые гарантируют, что организации несут юридическую ответственность за защиту данных пользователей и клиентов. Некоторые правила применяются на местном уровне, в то время как другие применяются в зависимости от отрасли. В этой статье объясняется, что такое защита данных, включая краткий обзор GDPR, а также рассматриваются основные методы и технологии, которые могут помочь вам добиться соответствия требованиям.
Доступность данных: обеспечение непрерывности бизнес-операций
Практики и технологии обеспечения доступности данных позволяют добиться производительности, необходимой для обеспечения непрерывности бизнеса.В этой статье объясняются основные методы защиты данных, которые могут помочь вам справиться с проблемами доступности данных и обеспечить доступность операций. Включая введение в основные понятия, такие как конфиденциальность, целостность и доступность (CIA).
Как обеспечить безопасное хранение данных
Репозитории хранения данных могут содержать различные типы данных, некоторые из которых более важны, чем другие. Вот почему стратегии безопасности хранения данных часто требуют определения приоритетов данных до того, как будут реализованы действия. После того, как данные оценены и расставлены по приоритетам, могут быть выполнены соответствующие меры безопасности данных. В этой статье описаны основные подходы к обеспечению безопасности данных и популярные инструменты.
Шифрование данных: введение
Практики и технологии шифрования данных позволяют организациям брать данные и шифровать их до тех пор, пока они не станут бессмысленными. Данным назначается ключ шифрования, который может расшифровать и снова сделать данные доступными для чтения. Шифрование теперь является обязательной и неотъемлемой частью стратегий защиты данных, реализуемых как при хранении, так и при передаче. В этой статье объясняются основные понятия шифрования.
Непрерывная защита данных
Непрерывная защита данных (CDP) или непрерывное резервное копирование — это процесс резервного копирования данных при каждом изменении. Процессы CDP помогают организациям вести непрерывный журнал изменений данных, гарантируя, что во время аварий всегда будет актуальная версия данных по умолчанию. В этой статье объясняется, как работает CDP, включая основные понятия и ключевые плюсы и минусы.
Защита данных в облаке: проблемы и рекомендации
Хотя многие считают, что поставщики облачных услуг несут исключительную ответственность за защиту данных в облаке, это не совсем верно. Поставщики облачных услуг работают в рамках модели общей ответственности, которая обычно определяет, что поставщик обеспечивает безопасность инфраструктуры облака, а пользователи облака несут ответственность за защиту данных, хранящихся в облачных средах. В этой статье объясняются основные проблемы защиты данных и предлагаются рекомендации по обеспечению безопасности и соответствия требованиям.
См. наши дополнительные руководства по основным темам, связанным с утечкой данных:
Мы разработали подробные руководства по нескольким другим темам защиты данных, которые также могут быть полезны при изучении мира резервного копирования данных. Также см. полное руководство по утечке данных .
Руководство по резервному копированию данных
Резервное копирование данных имеет решающее значение для обеспечения возможности восстановления организаций после различных типов потери данных. Узнайте, как успешно применять методы резервного копирования данных.
Посмотрите лучшие статьи в нашем руководстве по резервному копированию данных:
Руководство по защите данных
Защита данных основана на таких технологиях, как защита от потери данных (DLP), хранилище со встроенной защитой данных, брандмауэры, шифрование и защита конечных точек. Узнайте, в чем разница между защитой данных и конфиденциальностью данных и как использовать передовой опыт для обеспечения постоянной защиты ваших данных.
Посмотрите основные статьи нашего руководства по защите данных:
Руководство по управлению медицинскими данными
Управление медицинскими данными (HDM), также известное как управление медицинской информацией (HIM), представляет собой систематизированную организацию медицинских данных в цифровой форме. Узнайте, что такое управление данными о здоровье, какие типы данных оно охватывает, уникальные проблемы и рекомендации по хранению петабайт данных о здоровье.
Читайте также: