Использование bat-файлов для устранения последствий вредоносных программ

Обновлено: 20.11.2024

Самораспространяющаяся программа-вымогатель, написанная в пакетном режиме для Windows, атакует русскоязычные страны

В последнее время многие пользователи в русскоязычных странах получили электронные письма, подобные приведенному ниже сообщению. В нем говорится, что были внесены некоторые изменения в «соглашение», и жертва должна проверить их, прежде чем подписывать документ.

К сообщению прикреплен zip-файл, содержащий загрузчик на Javascript. Во вложении содержится простой загрузчик, который загружает несколько файлов в %TEMP% и запускает один из них.

Файлы имеют вложение .btc, но это обычные исполняемые файлы.< /p>

coherence.btc — это GetMail v1.33
spoolsv.btc — это Blat v3.2.1
lsass.btc – это Email Extractor v1.21
null.btc – это исполняемый файл gpg
day.btc – это iconv.dll, библиотека, необходимая для запуска исполняемого файла gpg< br /> tobi.btc — дамп паролей браузера v2.5
sad.btc удален из Sysinternals
paybtc.bat — это длинный пакетный файл Windows, запускающий сам вредоносный процесс и его репликацию

После загрузки всех доступных инструментов открывается документ с предполагаемым документом для просмотра и подписания. Однако документ содержит бессмысленные символы и сообщение на английском языке: «ЭТОТ ДОКУМЕНТ БЫЛ СОЗДАН В НОВОЙ ВЕРСИИ MICROSOFT WORD».

Пока пользователь просматривает документ, показанный выше, полезная нагрузка paybtc.bat уже работает в фоновом режиме и выполняет следующие вредоносные операции:

Полезная нагрузка использует исполняемый файл gpg для создания новой пары открытого и закрытого ключей на основе параметров genky.btc. Эта операция создает несколько файлов. Наиболее интересными являются pubring.gpg и secring.gpg.

Затем он импортирует открытый ключ, жестко закодированный в файле paybtc.bat. Этот ключ называется HckTeam. Secring.gpg шифруется жестко запрограммированным открытым ключом, а затем переименовывается в KEY.PRIVATE. Все остатки исходного secring.gpg надежно удаляются с помощью sdelete. Если кто-то хочет получить исходный ключ secring.gpg, он должен владеть соответствующим закрытым ключом (HckTeam). Однако этот ключ известен только злоумышленникам.

После этого программа-вымогатель сканирует все диски и шифрует все файлы с определенными расширениями. Ключ шифрования — это ранее сгенерированный открытый ключ с именем cryptpay. Требуемые расширения файлов: *.xls *.xlsx *.doc *.docx *.xlsm *.cdr *.slddrw *.dwg *.ai *.svg *.mdb *.1cd *.pdf *.accdb *.zip *.rar *.max *.cd *jpg. После шифрования файлы добавляются в расширение «paycrypt@gmail.com». Чтобы расшифровать эти файлы до их исходного состояния, необходимо знать закрытый ключ cryptpay, однако этот ключ был зашифрован открытым ключом HckTeam. Только владелец закрытого ключа HckTeam может расшифровать его.

Список путей ко всем зашифрованным файлам хранится в файле UNIQUE.BASE. Из этого файла удаляются пути без интересных путей (к этим путям относятся следующие: windows temp recycle program appdata роуминг Временный Интернет com_ Intel Общий < em>Ресурсы).
Этот файл зашифрован открытым ключом cryptpay и хранится в UNIQUE.PRIVATE. Чтобы расшифровать этот файл, злоумышленникам нужен закрытый ключ cryptpay, который ранее был зашифрован с помощью открытого ключа HckTeam. Это означает, что только владелец закрытого ключа HckTeam может расшифровать UNIQUE.PRIVATE.

Когда мы отображаем список всех доступных ключей (параметр --list-keys) в нашей тестовой среде, мы видим два открытых ключа; один из них жестко запрограммирован в файле paybtc.bat (HckTeam), второй создан недавно и уникален для конкретного компьютера (cryptpay) .

Затем выполняется Дамп пароля браузера (переименованный в ttl.exe). Украденные пароли веб-сайтов хранятся в файле ttl.pwd.

Затем злоумышленнику отправляется файл ttl.pwd с адресом электронной почты и паролем, жестко запрограммированными в файле bat.

Программа GetMail используется позже для чтения электронных писем из учетной записи пользователя и извлечения контактов. Программа-вымогатель распространится на эти контакты.

С украденными паролями вирус затем запускает coherence.exe (переименованная в утилиту GetMail), которая представляет собой утилиту для получения электронной почты через POP3. Вирус знает только имя пользователя и пароль, но не домен, поэтому требуется несколько попыток перебора всех основных почтовых провайдеров, чтобы найти единственную недостающую часть информации. Если электронная почта загружается во время брутфорса, это подтверждает две вещи: 1. домен, который использует жертва, и 2. тот факт, что пароль работает. Затем вирус загружает последние 100 писем, извлекает адреса электронной почты «От» и запускает простую команду для фильтрации определенных адресов, таких как автоматические электронные письма.

Затем создаются десять вариантов электронного письма, каждый с одной настраиваемой ссылкой.

Все ссылки указывают на разные файлы, но после распаковки мы получаем исходный загрузчик JavaScript.

Вирус теперь имеет поддельное электронное письмо с вредоносной ссылкой, адресами для его отправки, а также адресом электронной почты и паролем отправителя. Другими словами, все, что нужно для распространения.

Распространение осуществляется с помощью программы Blat, переименованной в spoolsv.btc. Последний шаг вируса — удалить все временные файлы — больше ничего не понадобится.

В прошлом мы регулярно загрязняли руки программами-вымогателями, которые обычно представляли собой очень запутанный исполняемый файл. Этот случай был совсем другим. Это было интересно главным образом потому, что оно было написано исключительно в пакетном файле и опиралось на множество утилит с открытым исходным кодом и / или свободно доступных сторонних утилит. Кроме того, самовоспроизведение по электронной почте было чем-то, что мы обычно не видим.

аваст! продукты безопасности обнаруживают эту программу-вымогатель и защищают от нее наших пользователей. Убедитесь, что ваши друзья и семья также защищены. Скачайте Аваст! Бесплатный антивирус прямо сейчас.

Загрузчик Javascript (JS:Downloader-COB)

Вымогатель BAT (BV:Ransom-E [Trj])

Этот анализ был проведен совместно Яромиром Хорейси и Хонзой Зика.

Благодарим вас за использование avast! Антивирус и рекомендовать нас своим друзьям и семье. Чтобы быть в курсе всех последних новостей, развлечений и информации о конкурсах, следите за нами на Facebook, Twitter и Google+. Владельцы бизнеса — ознакомьтесь с продуктами для бизнеса.

Это мой первый вклад! И поскольку я хочу дать что-то значимое, а также просто поболтать, этот репозиторий представляет собой набор забавных маленьких вирусов, которые наносят сокрушительный удар.

Если вы что-нибудь знаете о хакерстве, вы знаете, что пакетные файлы обычно являются отбросами мира хакеров. Большинство руководств покажут вам, как создавать «вирусы», которые являются не чем иным, как розыгрышем и не вызывают у создателя ничего, кроме смеха. , что нормально, но если вы действительно хотите, чтобы что-то действительно нанесло непоправимый ущерб, эти розыгрыши не помогут.

Итак, вот несколько настоящих пакетных файловых вирусов, включенных в этот репозиторий:

Отключить.bat
Shutdowns.bat
сбойpc.bat
system_meltdown.bat

Обратите внимание, что вышеупомянутые вирусы используют файл autorun.inf для использования функции автозапуска и могут легко заразить машину Windows, и их эффект может быть разрушительным. Каждый файл .bat потенциально может разрушить компьютер, если он запускается отдельно. Я настроил их все на автозапуск, гарантируя невосстановимый конечный результат.

Вот краткий учебник! Давайте попробуем создать реальный пакетный файл вируса, чтобы получить полный доступ к другому компьютеру. ПРИМЕЧАНИЕ. Пользователя придется обмануть, чтобы он открыл файл, требующий прав администратора.

Первый шаг — открыть блокнот и ввести:

ПОМНИТЕ: Когда коробка открывается, НЕ ЗАКРЫВАЙТЕ ЕЕ! Скопируйте имя компьютера, откройте cmd и введите: ping .

Вот и все! Как только вы получите IP-адрес, скопируйте его, введите в RDP и войдите в систему как winsystem.

ПРИМЕЧАНИЕ. Замените элементы указанными элементами (да).

Это может быть обнаружено антивирусом, но если вы соедините обычный файл .bat с другим файлом, троян может быть обнаружен с низким уровнем обнаружения.

Помните, что все обязанности вы несете на свой страх и риск. Пожалуйста, используйте его только в исследовательских целях. Не скачивайте это!

Будьте осторожны, чтобы не заразить себя при доступе к вредоносным программам и экспериментах с ними!

О нас

Будьте осторожны, чтобы не заразить себя при доступе к вредоносному ПО и экспериментах с ним.

Твитнуть

Вирус .bat представляет собой программу-вымогатель для хранения данных, основанную на коде печально известной программы-вымогателя Dharma. Как и его предшественники, вирус .bat портит компьютерные системы с целью шифрования ценных файлов и шантажа жертв, заставляя их платить выкуп. Существенным отличием вируса-вымогателя .bat от его предшественников является расширение, добавляемое к зашифрованным файлам.

Вначале программа-вымогатель создает в системе несколько вредоносных файлов. Затем он начинает выполнять их в заранее определенном порядке. Делая это, он повреждает основные настройки системы, нарушает безопасность системы и, в конечном итоге, кодирует целевые файлы с помощью алгоритма шифрования AES-256. В результате все поврежденные файлы остаются недоступными до тех пор, пока их код не будет возвращен в исходное состояние. Их можно узнать по последовательности расширений, добавленных к их именам: адрес электронной почты и расширение .bat.

Для вымогательства выкупа вирус-вымогатель .bat отбрасывает сообщение с требованием выкупа и загружает его на экран. Имейте в виду, что даже успешная выплата выкупа не гарантирует восстановления файлов .bat.

Если вы хотите эффективно удалить вирус-вымогатель .bat, воспользуйтесь нашим руководством по удалению. К концу вы также будете знать, как восстанавливать файлы .bat.

SpyHunter — это приложение для Windows, предназначенное для сканирования, идентификации, удаления и блокировки вредоносных программ, потенциально нежелательных программ (ПНП) и других объектов. Купив полную версию, вы сможете мгновенно удалить обнаруженное вредоносное ПО. Дополнительная информация о SpyHunter / Помощь в удалении SpyHunter

Примечание для пользователей Mac!
В случае, если ваш Mac был заражен вирусом .bat или вы подозреваете, что на нем запущены другие угрозы, вы можете следовать подробным инструкциям по обнаружению и удалению вирусов Mac, чтобы вы могли сохранить устройство в чистоте и безопасности.

Распространение вируса-вымогателя .bat

Вирус .bat — это новая программа-вымогатель для хранения данных, которая была выпущена в ходе активных атак против пользователей компьютеров по всему миру. Угроза может заключаться в использовании обычной тактики распространения для заражения компьютерных систем.

Один из самых простых способов для преступников распространить полезную нагрузку вируса-вымогателя .bat — прикрепить его к сообщениям электронной почты, которые позже публикуются в ходе активных кампаний атак. Метод позволяет хакерам рассылать вирус большим спискам потенциальных жертв. Вложения к вредоносным спам-сообщениям обычно содержат документы Word или файлы других типов, которые пользователи без колебаний открывают. После открытия на целевом хосте эти скомпрометированные файлы запускают полезную нагрузку программы-вымогателя и заражают устройство криптовирусом .bat. Еще одна тактика заражения, связанная с электронными письмами, — это вставка гиперссылок в содержимое сообщений. Ссылки обычно помечаются как ведущие на знакомый веб-сайт или файл, представляющий интерес для пользователя.

Компьютерные преступники, стоящие за этой новой программой-вымогателем, могут использовать вредоносные сайты или загрузочные порталы для распространения вредоносных программ различных типов, включая вирус .bat.Популярным вариантом является использование зараженных документов, которые могут быть разных типов – электронные таблицы, форматированные текстовые документы, презентации и базы данных. Они модифицированы для запуска вируса после запуска встроенных сценариев. Обычно, когда файлы открываются, пользователям предлагается запустить макросы (скрипты). Если это будет сделано, заражение последует.

Сайты, контролируемые хакерами, представляют собой специализированные порталы, созданные вручную или автоматически преступниками, создавшими вирус .bat. Они могут либо напрямую распространять угрозу, инициируя различные сценарии или автоматизированные операции, либо ссылаться на такие экземпляры. Перенаправления обычно вызваны взаимодействием с электронной почтой, рекламными сетями или другими действиями в Интернете. Однако одним из основных источников является наличие угонщиков браузера. Это вредоносные надстройки, созданные для самых популярных веб-браузеров — Mozilla Firefox, Google Chrome, Internet Explorer, Opera, Microsoft Edge и Safari. После установки они не только заражают пользователей вредоносной программой, но и перенаправляют жертв на контролируемый хакерами сайт. В зависимости от конфигурации угонщики браузера также могут украсть конфиденциальную информацию, такую как любые сохраненные пароли, учетные данные, историю, закладки, данные форм и настройки.

Влияние вируса-вымогателя .bat

В момент запуска вируса-вымогателя .bat на вашем компьютере операционная система последнего подвергается множеству вредоносных модификаций. Поскольку угроза основана на коде печально известного шифровальщика Dharma, все вредоносные действия, которые он выполняет, направлены на достижение определенного этапа атаки — шифрования данных.

Под угрозой могут быть некоторые ключи реестра, теневые копии томов и важные системные процессы.

Вот некоторые общие папки, где вирус .bat может скрывать вредоносные файлы и объекты:

%UserProfile%\AppData\Roaming\
%AppData%
%LocalAppData%
%ProgramData%
%Темп%

Учтите, что для ручного удаления существующих вредоносных записей требуется большой опыт работы с компьютером. В то же время вам нужно очистить свою систему, если вы хотите снова использовать ее безопасно. Поэтому, если вы не чувствуете себя достаточно комфортно при выполнении действий по удалению вручную, вы можете воспользоваться помощью расширенного инструмента для удаления вредоносных программ, который найдет вредоносные записи и удалит их за вас всего за несколько минут.

Для достижения своей основной цели программа-вымогатель .bat активирует специальный модуль шифрования, который повреждает целевые файлы, используя сложные алгоритмы шифрования, такие как AES, RSA и Salsa20. В конце процесса шифрования программа-вымогатель добавляет к именам всех поврежденных файлов одноименное расширение — .bat. Наряду с этим конкретным расширением в именах поврежденных файлов также будет отображаться адрес электронной почты.

Документы
Архивы
Резервные копии
Базы данных
Изображения
Видео
Музыка

В конце атаки вирус-вымогатель .bat сбрасывает файл с запиской о выкупе, чтобы вымогать плату за восстановление файлов. Этот файл может содержать следующий текст:

ВСЕ ФАЙЛЫ ЗАШИФРОВАНЫ “RSA1024”
ВСЕ ВАШИ ФАЙЛЫ БЫЛИ ЗАШИФРОВАНЫ. ЕСЛИ ВЫ ХОТИТЕ ИХ ВОССТАНОВИТЬ, НАПИШИТЕ НАМ НА ЭЛЕКТРОННУЮ ПОЧТУ [email protected]
В ПИСЬМЕ ПИШИТЕ СВОЙ ID, ВАШ ID 1E857D00
ЕСЛИ ВАМ НЕ ОТВЕТИЛИ, НАПИШИТЕ НА ЭЛЕКТРОННУЮ ПОЧТУ: [email protected]
ВАШ СЕКРЕТНЫЙ КЛЮЧ БУДЕТ ХРАНИТЬСЯ НА СЕРВЕРЕ 7 ДНЕЙ, ПОСЛЕ 7 ДНЕЙ ОН МОЖЕТ БЫТЬ ПЕРЕЗАПИСАН ДРУГИМИ КЛЮЧАМИ, НЕ ТРЯТЬ ВРЕМЯ, ЖДАТЬ ВАШЕ ПИСЬМО
БЕСПЛАТНАЯ РАСШИФРОВКА ДЛЯ ДОКАЗАТЕЛЬСТВ
Вы можете отправьте нам до 1 файла для бесплатной расшифровки. Общий размер файлов должен быть менее 1 Мб (не в архиве), файлы не должны содержать ценной информации. (базы данных, резервные копии, большие листы Excel и т. д.)
ПРОЦЕСС РАСШИФРОВКИ:
Когда вы убедитесь в возможности расшифровки, переведите деньги на наш биткойн-кошелек. Как только мы получим деньги, мы вышлем вам:
1. Программа расшифровки.
2. Подробная инструкция по расшифровке.
3. И индивидуальные ключи для расшифровки ваших файлов.
!ВНИМАНИЕ!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать свои данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к повышению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенников.

Посоветуйте не платить выкуп, так как впоследствии хакеры могут отправить вам сломанный ключ дешифрования или вообще не отвечать вам.

Удалить вирус .bat Virus Ransomware и восстановить ПК

Обратите внимание, что уплата запрошенного выкупа киберпреступникам на самом деле не решает вашу проблему с криптовирусом .bat. По сути, вы только подталкиваете хакеров к дальнейшему распространению программ-вымогателей такого рода. Вместо этого вы должны немедленно устранить угрозу и только потом искать дополнительные способы восстановления ваших данных.

ВНИМАНИЕ! Ручное удаление вируса .bat вируса-вымогателя требует знакомства с системными файлами и реестрами. Случайное удаление важных данных может привести к необратимому повреждению системы. Если вас не устраивают ручные инструкции, загрузите мощное средство защиты от вредоносных программ, которое просканирует вашу систему на наличие вредоносных программ и безопасно очистит ее для вас.

.bat вирус Вирус-вымогатель — шаги по удалению вручную

Запустите ПК в безопасном режиме с сетью

Это позволит изолировать все файлы и объекты, созданные программой-вымогателем, чтобы их можно было эффективно удалить. Приведенные ниже шаги применимы ко всем версиям Windows.

<р>1. Нажмите клавишу WIN + R

<р>2. Появится окно «Выполнить». В нем напишите msconfig и нажмите Enter

<р>3. Появится окно конфигурации. В нем выберите вкладку Boot

<р>4. Отметьте параметр «Безопасная загрузка», а затем перейдите в раздел «Сеть» под ним, чтобы также отметить его.

<р>5. Применить -> ОК

Показать скрытые файлы

Некоторые программы-вымогатели скрывают свои вредоносные файлы в Windows, поэтому все файлы, хранящиеся в системе, должны быть видны.

<р>1. Откройте Мой компьютер/Этот компьютер

<р>2. Windows 7

<р>3. Windows 8/10

<р>4. Нажмите «Применить», а затем кнопку «ОК».

Войти в диспетчер задач Windows и остановить вредоносные процессы

<р>1. Нажмите следующую комбинацию клавиш: CTRL+SHIFT+ESC

<р>2. Перейти к процессам

<р>3. Когда вы обнаружите подозрительный процесс, щелкните его правой кнопкой мыши и выберите «Открыть расположение файла»

<р>4. Вернитесь в диспетчер задач и завершите вредоносный процесс. Щелкните правой кнопкой мыши еще раз и выберите «Завершить процесс».

<р>5. Далее следует перейти в папку, в которой находится вредоносный файл, и удалить его

Восстановить реестр Windows

<р>1. Снова введите одновременно комбинацию клавиш WIN+R

<р>2. В поле напишите regedit и нажмите Enter

<р>3. Введите CTRL+F, а затем введите имя вредоносного ПО в поле типа поиска, чтобы найти вредоносный исполняемый файл

<р>4. Если вы обнаружили ключи реестра и значения, связанные с именем, вам следует удалить их, но будьте осторожны, чтобы не удалить законные ключи

Восстановить зашифрованные файлы

ВНИМАНИЕ! Все файлы и объекты, связанные с вирусом-вымогателем .bat, должны быть удалены с зараженного ПК перед любыми попытками восстановления данных. В противном случае вирус может зашифровать восстановленные файлы. Кроме того, настоятельно рекомендуется создавать резервные копии всех зашифрованных файлов, хранящихся на внешних носителях.

<р>1. Использовать имеющиеся резервные копии

<р>2. Используйте профессиональное программное обеспечение для восстановления данных

Stellar Phoenix Data Recovery — специализированный инструмент, который может восстанавливать разделы, данные, документы, фотографии и еще 300 типов файлов, утерянных в результате различных инцидентов и повреждений.

Что такое вирус .bat файлов? Что такое программа-вымогатель Dharma? Можно ли восстановить файлы, зашифрованные вирусом .bat files?

Вирус-вымогатель Dharma вернулся с новым вариантом криптовируса. Текущая версия программы-вымогателя семейства Dharma шифрует файлы, добавляя к ним расширение .bat, что делает их недоступными. Он также может добавлять уникальный идентификационный номер, как это делают предыдущие версии. Все зашифрованные файлы получат новое расширение как вторичное. Программа-вымогатель оставляет записку с требованием выкупа, в которой жертвам даны инструкции о том, как они якобы могут восстановить свои файлы.

Обзор угроз

Файловый вирус .bat (Dharma) — обновление, июнь 2019 г.

.bat Files Virus, как вариант программы-вымогателя Dharma, по-прежнему не имеет доступного инструмента для расшифровки, но все больше людей заражают свои компьютеры криптовирусом. Некоторые из них могут спутать этот вирус с другим, который использует пакетные файлы (.bat), который также является типом программы-вымогателя.К сожалению, пользователи без резервных копий ничего не могут сделать, кроме как сохранять свои зашифрованные файлы и ждать расшифровщика. Программы восстановления данных и переименование определенных файлов, таких как .mp3, могут работать, как сообщают пользователи, но это практически бесполезно, учитывая личные и деловые файлы, которые люди хотят восстановить. Любые новости, связанные с файловым вирусом .bat, будут освещаться в этой статье и обновляться.

Вирус файлов .bat (Dharma) — как я его получил и какой ущерб он нанес?

Вирус с файлами .bat может распространять инфекцию через дроппер полезной нагрузки, который инициирует вредоносный сценарий для этой программы-вымогателя. Он распространяется по Интернету, и вы можете увидеть обнаружение такого файла в сервисе VirusTotal справа от этого текста. .bat Files Virus также может распространять свой файл полезной нагрузки в социальных сетях и службах обмена файлами. Бесплатное программное обеспечение, которое можно найти в Интернете, может быть представлено как полезное, поскольку оно также скрывает вредоносный скрипт для криптовируса. Ознакомьтесь с советами по предотвращению программ-вымогателей на нашем форуме.

.bat Files Virus — это криптовирус, который шифрует ваши файлы и показывает примечание о программе-вымогателе. Вот как выглядит записка о выкупе:

Там написано следующее:

Ни при каких обстоятельствах вы НЕ должны платить какую-либо сумму выкупа.

Файловый вирус .bat может быть настроен на удаление всех теневых копий томов из операционной системы Windows с помощью следующей команды:

→vssadmin.exe удалить тени /all /Quiet

Если ваше компьютерное устройство было заражено этой программой-вымогателем и ваши файлы заблокированы, прочтите эту статью, чтобы узнать, как вы можете восстановить свои файлы до нормального состояния.

Удалить вирус .bat файлов (Dharma)

Если ваш компьютер заражен файловым вирусом .bat, у вас должен быть небольшой опыт удаления вредоносных программ. Вы должны избавиться от этой программы-вымогателя как можно быстрее, прежде чем она сможет распространиться дальше и заразить другие компьютеры. Вы должны удалить программу-вымогатель и следовать пошаговым инструкциям, приведенным ниже.

Цецо Михайлов

Цецо Михайлов — технолог, любит все, что связано с технологиями, и следит за последними новостями, связанными с технологиями. Ранее он работал в сфере ИТ системным администратором и специалистом по ремонту компьютеров. Имея дело с вредоносными программами с подросткового возраста, он полон решимости распространять информацию о последних угрозах, связанных с компьютерной безопасностью.

Если у вас есть компьютер и вы просматриваете веб-страницы, вы являетесь мишенью вредоносных программ или вредоносных программ. Эти программы предназначены для нанесения ущерба и/или кражи вашей личной информации. Типичными примерами вредоносного ПО являются вирусы, которые могут удалять файлы или информацию о каталогах, шпионские программы, которые могут собирать данные из компьютерной системы без вашего ведома, и черви, которые могут размножаться и туннелировать через память вашего компьютера и жесткий диск.

Вредоносное ПО может заразить ваш компьютер несколькими способами, но один из наиболее распространенных — через вложение электронной почты. Например, вы можете получить электронное письмо от неизвестного пользователя с предложением открыть неизвестный файл.

Если вы откроете файл, он может запустить вредоносный код, который может установить вредоносное ПО или запустить деструктивные сценарии на вашем компьютере. Поэтому разумно прислушаться к предупреждению, которое Windows отображает при открытии неизвестных файлов или запуске непроверенных приложений.

Лучший способ защитить себя от атаки вредоносного ПО через электронную почту — не открывать неизвестные вложения электронной почты. Если вы получили электронное письмо от неизвестного отправителя и к нему есть вложение, нет причин его открывать.

Конечно, люди также могут отправлять вам подлинные вложения электронной почты, которые можно безопасно открывать. Поэтому полезно знать, какие типы файлов (и расширения файлов) потенциально опасны.

Ниже приведен список из 10 распространенных типов файлов Windows, которые могут представлять для вас угрозу.

1. .EXE

Файлы EXE являются одним из самых популярных типов файлов в Windows. Он содержит исполняемую программу, которую можно легко запустить, дважды щелкнув файл.

Опасность: популярность EXE-файлов среди пользователей, важность для файловой системы Windows и простота использования делают их лучшим выбором для атаки вредоносного ПО. Обычный способ доставки — через вложение электронной почты, которое запускает вирус при открытии файла.

COM-файл — это исполняемая программа, которая была исходным типом программы, запускаемой MS-DOS. Его также можно запустить в Windows. Он сохраняется в двоичном формате и похож на файл EXE.

Опасность: COM-файл обычно используется для выполнения набора инструкций. Если он содержит вредоносное ПО и будет открыт, инструкции будут выполнены, что нанесет вред вашему компьютеру.

3. .BAT

BAT-файл — это пакетный файл DOS, используемый для выполнения команд с помощью командной строки Windows (cmd.exe). Он содержит серию (или «партию») команд, которые выполняются по порядку. Файлы BAT чаще всего используются для запуска программ и утилит обслуживания в Windows.

Опасность: BAT-файл содержит ряд строковых команд, которые будут выполняться при его открытии, что делает его хорошим вариантом для злоумышленников-программистов.

4. .CMD

Опасность: файл CMD – это популярный тип файлов для написания вредоносных программ. Его можно использовать для удаления данных в каталоге или для репликации себя и повторного открытия программы для истощения ресурсов компьютера, что замедляет работу и приводит к сбою системы (форк-бомба).

5. .MSI

Файл MSI — это пакет установщика Windows, который содержит информацию об установке для определенного установщика. Он часто используется для обновлений Windows и установщиков стороннего программного обеспечения.

Опасность. Поскольку файлы MSI обычно заслуживают доверия и обычно используются для установки программного обеспечения, обнаружить вредоносные файлы может быть сложно. Это обеспечивает оптимальный путь для доставки и установки вирусов на ваш компьютер.

6. .VB/.VBS

Файлы VB и VBS представляют собой сценарии Virtual Basic, написанные на языке сценариев VBScript. Они содержат код, который может выполняться в Windows или Internet Explorer с помощью хоста сценариев Windows (Wscript.exe).

Опасность. Эти сценарии идеально подходят для сокрытия вирусов и других вредоносных программ. Они часто доставляются в виде неизвестного вложения электронной почты, которое запускается при открытии.

7. .WS/.WSF

Файлы WS и WSF представляют собой файлы Window Script, еще один формат сценариев, поддерживаемый Windows. Они содержат исполняемые сценарии для Windows, использующие код JScript или VBScript. Они запускаются при открытии, если установлен Windows Scripting Host (WSH) 2.0 или более поздней версии.

Опасность: файлы WS и WSF обычно доставляются в виде вложений электронной почты, поэтому не открывайте файл WS или WSF, если вы не можете проверить его целостность.

8. .SCF

Файл SCF — это команда проводника Windows, используемая для выполнения таких действий, как перемещение вверх или вниз по каталогу или отображение рабочего стола. Его можно запустить через Internet Explorer.

Опасность: поскольку файл является командным файлом проводника Windows, его можно использовать, чтобы указать проводнику Windows выполнять команды, опасные для вашего компьютера.

9. .SCR

Файл SCR представляет собой файл заставки для Windows, используемый для отображения векторной графики или текстовой анимации, воспроизведения слайд-шоу, анимации или видео, и может включать звуковые эффекты, когда компьютер неактивен в течение заданного периода времени.

Опасность: файлы скринсейверов содержат исполняемый код, что позволяет программистам скрывать внутри них вредоносный код. Поскольку файлы SCR обычно используются для заставок, распознать вредоносный файл может быть сложно.

10. .PIF

Обычно файл PIF содержит информацию, определяющую, как должна работать программа на базе MS-DOS. Его также можно использовать в качестве ярлыка для исполняемого файла, аналогичного файлу .LNK.

Опасность: Windows анализирует файлы PIF с помощью функции ShellExecute и может запускать их как исполняемые программы. Поэтому файл PIF можно использовать для передачи вирусов или других вредоносных скриптов.

Итак, как избежать вредоносного ПО?

В век цифровых технологий вредоносное ПО всегда представляет угрозу. Вы можете быть целью, знаете ли вы это или нет. Поэтому крайне важно знать о потенциально опасных форматах файлов. И помните — не открывайте вложения электронной почты от неизвестных пользователей! Также рекомендуется использовать антивирусное программное обеспечение, которое может обнаруживать и удалять вредоносные программы до того, как они смогут запуститься.

Читайте также: