Virus-shifrlovchi: fayllarni shifrlash va shifrlash qanday? Kriptografik virusdan so'ng fayllarni shifrlash

O'z navbatida, viruslar kompyuter tahdidi sifatida bugun hech kimni ajablantirmaydi. Ammo oldinroq ular butun tizimga ta'sir ko'rsatgan bo'lsa, bugungi kunda bunday virus versiyasi paydo bo'lishi bilan buzilish holatlariga olib keladigan bo'lsa, bu tahdidlarning xatti-harakatlari ko'proq foydalanuvchi ma'lumotlariga tegishli. Ehtimol, Windows executable dasturlari yoki josuslarga qarshi dastur ilovalari uchun buzg'unchilikdan ko'ra ko'proq xavf tug'dirish mumkin.

Kriptografik virus nima?

O'z-o'zidan nusxa ko'chirish virusida yozilgan kodning o'zi deyarli barcha foydalanuvchi ma'lumotlarini operatsion tizim fayllariga ta'sir qilmaydigan maxsus kriptografik algoritmlarni shifrlashni o'z ichiga oladi.

Avvalo, virusga ta'sir qilish mantig'i ko'pchilik uchun aniq emas edi. Barcha bunday dasturlarni yaratgan xakerlar faqat fayllarning dastlabki tuzilishini tiklash uchun pul talab qila boshlagach, tozalanadi. Bunday holatda, shifrlangan shifrlangan fayllar uning xususiyatlaridan kelib chiqqan holda fayllarni parolini rad etadi. Buni amalga oshirish uchun kerakli kodni, parolni yoki siz izlayotgan tarkibni tiklash uchun zarur bo'lgan algoritmni o'z ichiga olishi kerak.

Tizimga kirish va virus kodi ishlash printsipi

Odatda Internetda bunday mujmallikni "olish" juda qiyin. "Og'irlik" tarqatishning asosiy manbai - Outlook, Thunderbird, The Bat, va hokazo. Kabi muayyan kompyuter terminalida o'rnatilgan dastur darajasida elektron pochta. Bir vaqtning o'zida qayd eting: Internet pochta serveri bunga taalluqli emas, chunki ular etarli darajadagi himoya darajasiga ega Foydalanuvchi ma'lumotlariga faqat bulutli saqlash darajasida erishish mumkin .

Yana bir narsa - bu kompyuter terminalidagi dastur. Bu erda, viruslar harakati uchun, maydon juda keng, tasavvur qilishning iloji yo'q. To'g'ri, bu erda ham rezervasyon qilish kerak: aksariyat hollarda viruslar katta kompaniyalarga qaratilgan bo'lib, undan kodni parolni uzatish uchun pulni yechish mumkin. Bu shuni anglash mumkinki, nafaqat mahalliy kompyuter terminallari, balki bunday kompaniyalarning serverlari ham butunlay maxfiy axborotni emas, balki fayllarni, shu bilan birga, har qanday holatda halokatga duch kelmaydigan yagona nusxada ham saqlanishi mumkin. Keyinchalik kriptografik virusdan so'ng fayllarni parolini olish juda muammoli bo'ladi.

Tabiiyki, o'rtacha foydalanuvchi bunday hujumga duch kelishi mumkin, ammo aksariyat hollarda noma'lum tipdagi qo'shimchalarni ochish uchun eng oddiy tavsiyalarni ko'rib chiqsangiz, bu mumkin emas. Pochta mijozi kengaytmani .jpg faylini standart grafik fayldagi biriktirma bilan belgilasa ham, avval tizimda o'rnatilgan oddiy antivirus brauzerini tekshirish kerak.

Agar buni qilmasangiz, uni ikki marta bosish bilan ochganingizda (standart usulda) kod faollashtiriladi va shifrlash jarayoni boshlanadi, bundan keyin o'sha Breaking_Bad faqat o'chirilishi mumkin emas, lekin tahdid yo'q qilinganidan so'ng fayllarni saqlab bo'lmaydi.

Ushbu turdagi barcha viruslarning tarqalishining umumiy natijalari

Yuqorida aytib o'tilganidek, ushbu turdagi viruslarning aksariyati elektron pochta orqali tizimga kirib boradi. Xullas, "Biz kontraktni o'zgartirdik, qo'shimchani sinab ko'rdik" yoki "Siz yuklarni jo'natish uchun hujjat (u erda nusxa)" kabi yirik tarkibga ro'yxatdan o'tgan tashkilotga maktub yo'llaymiz. Tabiiyki, shubhali bir ishchi faylni ochadi va ...

Ofis hujjatlari, multimedia, maxsus AutoCAD loyihalari yoki boshqa arxivlangan ma'lumotlar darajasida barcha foydalanuvchilar fayllari bir zumda shifrlangan va agar kompyuter terminali mahalliy tarmoqda bo'lsa, virusni boshqa qurilmalarga uzatishi mumkin, boshqa qurilmalardagi ma'lumotlarni shifrlash mumkin (bu darhol paydo bo'ladi) "Tormozlash" tizimi va hozirda dasturlarni ishga tushirish yoki ishlayotgan dasturlar).

Shifrlash jarayoni tugaganidan so'ng, virus o'ziga o'xshagan hisobot yuboradi, shundan keyin kompaniya shunday tahdidlar tizimga kirib borganligi haqida xabar olishi mumkin va faqat bunday tashkilot buni hal qilishi mumkin. Odatda, bu paycrypt@gmail.com uchun amal qiladi. Keyinchalik, mijozning elektron pochtasiga bir nechta fayllarni yuborish taklifi bilan parolni parollarni uzatish xizmatlarini to'lash talabi mavjud.

Kod ta'siridan zarar

Agar kimdir tushunmasa: kriptografik virusdan so'ng fayllarni parolini chiqarib yuborish - bu jarayon juda og'ir. Agar siz bezovtalanuvchilarning talablariga javob bermasangiz va rasmiy davlat tuzilmalarini kompyuter jinoyatchiligiga qarshi kurashda va ularning oldini olishda ishtirok etishga harakat qilsangiz ham, odatda, hech qanday ahamiyatga molik narsa yo'q.

Agar barcha fayllarni o'chirib tashlasangiz, tizimni qayta tiklashingiz va hatto olinadigan axborot vositasidan asl nusxasini nusxalashingiz (albatta, agar bunday nusxa mavjud bo'lsa), barchasi virus bilan faollashadi, hammasi shifrlanib qoladi. Shuning uchun, ayniqsa, flesh-diskni USB-portga ulaganda siz o'zingizni aldashingiz shart emas, foydalanuvchi virusi qanday ma'lumotlarni shifrlashini sezmaydi. Bu sizning muammolaringiz bo'lmaganda aniq bo'ladi.

Oilada birinchi tug'ilgan

Keling, birinchi kriptografik virusga e'tibor qaratsak. Fayllarni shifrlash va shifrlash qanday amalga oshirilishi mumkin bo'lgan kodning ta'siridan keyin, qanday qilib tanishish taklifi bilan elektron pochta ilovasiga qo'shilgani, uning ko'rinishi vaqtida hech kim o'ylamasligi kerak. Ofatning miqdori haqida bilish faqat vaqt bilan keldi.

Virusda "Men sizni sevaman" romantik nomi bor edi. Tasdiqlanmagan foydalanuvchi e-mail ilovasini ochdi va butunlay takrorlanadigan multimedia fayllarini (grafik, video va audio) oldi. Keyinchalik, bunday harakatlar ko'proq zarar etkazuvchi (foydalanuvchining media-kutubxonalariga zarar etkazish) ko'rinishida edi va unga hech kim pul talab qilmadi.

Eng yangi o'zgarishlar

Ko'rib turganimizdek, texnologiya evolyutsiyasi juda foydali ish bo'lib chiqdi. Ayniqsa yirik tashkilotlarning ko'pgina rahbarlari parolni bekor qilish uchun to'lovlarni to'lashga qodir.

Aytmoqchi, internetdagi barcha "chap" postlarni ko'rib chiqmanglar, ular: "Men to'langan pulni to'ldirdim / to'ldirdim, kod yuborildi, hamma narsa tiklandi", deyishadi. Nonsense! Bularning barchasi virusni ishlab chiquvchilar tomonidan potentsial, afsuslantiruvchi, "sucker" larni jalb qilish uchun yozilgan. Va, odatdagidek, odatiy foydalanuvchining me'yorlariga ko'ra, to'lovlar miqdori jiddiy: yuzdan bir necha minggacha yoki o'n minglab evro yoki dollar.

Keling, yaqinda qayd etilgan ushbu turdagi viruslarning eng yangi turlarini ko'rib chiqaylik. Ularning barchasi deyarli o'xshash va faqat kriptografiya kategoriyasiga emas, balki bir guruh gastarbayterlarga ham murojaat qiladi. Ba'zi holatlarda, foydalanuvchilarning yoki tashkilotning xavfsizligi haqida g'amxo'rlik qilayotgan odamlarning takliflari yoki xabarlarini rasmiy ravishda yuborayotganlari kabi, ular to'g'ri ishlaydi (paycrypt kabi). Bu kabi virus-shifrlovchi foydalanuvchini aldab qo'yadi. Agar u hatto eng kichik ishni to'lashi kerak bo'lsa, hamma - "ajrashish" to'la bo'ladi.

XTBL virusi

Nisbatan yaqin XTBL virusi kriptografik vositaning klassik versiyasiga biriktirilishi mumkin. Qoidaga ko'ra, u tizimga Windows sxemasi uchun standart bo'lgan .scr kengaytmali fayllar ko'rinishidagi qo'shimchali elektron pochta xabarlari orqali kiradi. Tizim va foydalanuvchi hamma narsani tartibda deb hisoblaydi va qo'shimchani ko'rishni yoki saqlashni faollashtiradi.

Afsuski, buning oqibati juda yomon bo'ladi: fayl nomlari bir belgilar majmuasiga aylantiriladi, va .xtbl asosiy kengaytma qo'shiladi, keyin belgilangan miqdorni (odatda 5 ming rubl) to'ldirgandan keyin parolni ochish imkoniyati haqidagi xabar kerakli pochta manziliga keladi.

CBF virusi

Ushbu turdagi virus ham janrning klassiklariga tegishli. E-mail qo'shimchalari ochilgandan so'ng tizimda paydo bo'ladi va keyinchalik foydalanuvchi fayllarini qayta nomlaydi va oxirida .nochance yoki .perfect kabi kengaytmalar qo'shiladi.

Afsuski, kodning mazmunini tahlil qilish uchun tizimning bunday ko'rinishdagi bosqichida ham, bunday xatti-harakatlar sodir bo'lgandan so'ng, o'z-o'zidan tugatilganligi sababli, ushbu turdagi virus-shifrlarni o'chirib tashlash mumkin emas. Hatto ko'pchilik ishonganidek, RectorDecryptor kabi universal vosita ham yordam bermaydi. Shunga qaramasdan, foydalanuvchi ikki kunga berilgan to'lovni so'rab maktub oladi.

Breaking_Bad viruslari

Bunday tahdidlar bir xil tarzda ishlaydi, lekin fayllarni standart versiyada o'zgartiradi, kengaytmani qo'shadi .breaking_bad.

Bu holat cheklangan emas. Avvalgi viruslardan farqli o'laroq, bu yana bitta kengaytmani yaratishi mumkin - Xeysenberg, shuning uchun ham barcha virusli fayllarni topish mumkin emas. Breaking_Bad (virus-shifrlovchi) juda jiddiy tahdid. Aytgancha, Kasperskiy Endpoint Security 10 litsenziyali paketini hatto bunday tahdiddan mahrum qilgan holatlar ham mavjud.

Virus paycrypt@gmail.com

Bu erda, ehtimol, katta tijorat tashkilotlariga yo'naltirilgan eng jiddiy tahdid. Odatda, ba'zi bir idoraga maktub keladi, bu esa ta'minot shartnomasi yoki hatto yuk tashish shartnomasini o'zgartirishni o'z ichiga oladi. Qo'shimchada muntazam .jpg fayl (tasvir turi) bo'lishi mumkin, lekin tez-tez bajariladigan .js skripti (Java ilovasi).

Ushbu turdagi kriptografik virusni qanday kodlash mumkin? RSA-1024 noma'lum algoritmidan foydalanilganiga qaramay, har qanday tarzda. Agar nomdan boshlasak, bu 1024 bitli shifrlash tizimi deb taxmin qilishimiz mumkin. Ammo, agar kimdir esida bo'lsa, bugungi kunda 256-bit AES eng mukammal hisoblanadi.

Virus-shifrlovchi: antivirus dasturi yordamida fayllarni shifrlash va parolini qanday tuzatish mumkin

Bugungi kunda tahdidlarni hal qilish uchun ushbu turdagi echim topilmadi. Hatto Kasperskiy kabi antiviruslarni himoya qilish sohasidagi bunday magistrlar, doktor Sts. Veb va Eset, virusni shifrlangan tizimni meros qilib olganida muammoni hal qilishning kalitini topa olmaydi. Fayllarni qanday davolash mumkin? Aksariyat hollarda antivirusni ishlab chiquvchining rasmiy saytiga talabnoma yuborish taklif qilinadi (faqat bu tizimda ushbu ishlab chiquvchining litsenzion dasturiy ta'minoti mavjud bo'lsa).

Bunday holatda, agar mavjud bo'lsa, bir nechta shifrlangan fayllarni, shuningdek, ularning "sog'lom" asl nusxalarini biriktirishingiz kerak. Umuman olganda, ko'pchilik odamlar ma'lumotlarning nusxalarini saqlab turishadi, shuning uchun ularning yo'qligi muammosi faqatgina yoqimsiz vaziyatni yanada kuchaytiradi.

Tahdidlarni qo'lda aniqlash va yo'q qilishning mumkin bo'lgan usullari

Ha, odatdagidek xavfli antiviruslarni skanerlash tizimi ularni tizimdan aniqlaydi va hatto ularni yo'q qiladi. Ammo, nima haqida ma'lumot bor?

Ayrimlar, RectorDecryptor (RakhniDecryptor) kabi yuqorida tilga olingan dastur kabi parol hal dasturlarini ishlatishga harakat qiladi. Zudlik bilan e'tibor bering: bu yordam bermaydi. Va Breaking_Bad virusi holida, u juda ko'p zarar etkazishi mumkin. Va shuning uchun ham.

Aslini olganda, bunday viruslarni yaratgan insonlar o'zlarini himoya qilishga va boshqalarga ta'lim berishga harakat qilishadi. Shifrlash uchun utilitlardan foydalanganda, virus butun tizim "uchib ketadi" va qattiq disklarda yoki mantiqiy bo'limlarda saqlangan barcha ma'lumotlarni to'liq yo'q qilish bilan javob berishi mumkin. Bu, aytsak, to'lashni istamaganlarning barchasiga ta'lim berish uchun ibratli darsdir. Bu faqat rasmiy anti-virus laboratoriyalariga tayanadi.

Kardinal usullar

Biroq, agar narsalar juda yomon bo'lsa, siz ma'lumotni qurbon qilishingiz kerak bo'ladi. To'liq tahdiddan qutilish uchun barcha qattiq disklarni, jumladan, virtual qismlarni formatlashingiz va operatsion tizimni qayta tiklashingiz kerak.

Afsuski, boshqa yo'l yo'q. Tizimni ma'lum bir saqlangan tiklash nuqtasiga qaytarish ham yordam bermaydi. Virus yo'qolishi mumkin, ammo fayllar shifrlangan bo'lib qoladi.

So'zning o'rniga

Xulosa qilib aytish mumkinki, vaziyat shunday: virus-shifrlovchi tizimga kirib boradi, uning qora materiyasini bajaradi va ma'lum usullar bilan ishlamaydi. Antivirusni himoyalash bunday tahdidga tayyor emas edi. Hech bo'lmasa, uning ta'siridan keyin uni aniqlash yoki uni yo'q qilish mumkinligini aytish mumkin. Lekin shifrlangan ma'lumotlar yoqimsiz bo'lib qoladi. Shu bois, antivirus dasturiy ta'minot kompaniyalari eng yaxshi ongini hal qilish yo'llarini topishiga umid qilishni istardim, garchi, shifrlash algoritmlariga qarab, juda qiyin bo'ladi. Eng muhimi, Ikkinchi jahon urushi paytida German dengiz flotida bo'lgan Enigma shifrlash mashinasini esga oling. Eng yaxshi kriptografiya vositalari xabarlarni uzatish uchun algoritm muammosini o'z qo'llariga olmaguncha hal qila olmadi. Bu erda hamma narsa bor.