Πώς να αφαιρέσετε την επέκταση enigma από αρχεία. Βοήθεια θεραπείας για τον ιό κρυπτογράφησης πώς να θεραπεύσετε και να αποκρυπτογραφήσετε αρχεία. Έχει εγκατασταθεί λάθος έκδοση του Unknown Apple II File
Οι σύγχρονες τεχνολογίες επιτρέπουν στους χάκερ να βελτιώνουν συνεχώς τις μεθόδους απάτης τους εναντίον απλών χρηστών. Κατά κανόνα, το λογισμικό ιών που διεισδύει στον υπολογιστή χρησιμοποιείται για αυτούς τους σκοπούς. Οι ιοί κρυπτογράφησης θεωρούνται ιδιαίτερα επικίνδυνοι. Η απειλή είναι ότι ο ιός εξαπλώνεται πολύ γρήγορα, κρυπτογραφώντας αρχεία (ο χρήστης απλά δεν θα μπορεί να ανοίξει ούτε ένα έγγραφο). Και αν είναι αρκετά απλό, τότε είναι πολύ πιο δύσκολο να αποκρυπτογραφήσετε τα δεδομένα.
Τι να κάνετε εάν ένας ιός έχει κρυπτογραφημένα αρχεία στον υπολογιστή σας
Οποιοσδήποτε μπορεί να δεχθεί επίθεση από ransomware, ακόμη και οι χρήστες που διαθέτουν ισχυρό λογισμικό προστασίας από ιούς. Τα Trojan κρυπτογράφησης αρχείων διατίθενται σε μια ποικιλία κωδικών που μπορεί να είναι πέρα από τις δυνατότητες ενός antivirus. Οι χάκερ καταφέρνουν ακόμη και να επιτεθούν σε μεγάλες εταιρείες με παρόμοιο τρόπο που δεν έχουν φροντίσει για την απαραίτητη προστασία των πληροφοριών τους. Έτσι, έχοντας πάρει ένα πρόγραμμα ransomware στο διαδίκτυο, πρέπει να λάβετε μια σειρά από μέτρα.
Τα κύρια σημάδια μόλυνσης είναι η αργή λειτουργία του υπολογιστή και οι αλλαγές στα ονόματα των εγγράφων (μπορούν να φανούν στην επιφάνεια εργασίας).
- Κάντε επανεκκίνηση του υπολογιστή σας για να σταματήσει η κρυπτογράφηση. Κατά την ενεργοποίηση, μην επιβεβαιώσετε την εκκίνηση άγνωστων προγραμμάτων.
- Εκτελέστε το πρόγραμμα προστασίας από ιούς εάν δεν έχει δεχτεί επίθεση από ransomware.
- Σε ορισμένες περιπτώσεις, τα σκιερά αντίγραφα θα βοηθήσουν στην επαναφορά πληροφοριών. Για να τα βρείτε, ανοίξτε τις «Ιδιότητες» του κρυπτογραφημένου εγγράφου. Αυτή η μέθοδος λειτουργεί με κρυπτογραφημένα δεδομένα από την επέκταση Vault, για την οποία υπάρχουν πληροφορίες στην πύλη.
- Κάντε λήψη της πιο πρόσφατης έκδοσης του βοηθητικού προγράμματος για την καταπολέμηση των ιών ransomware. Τα πιο αποτελεσματικά προσφέρονται από την Kaspersky Lab.
Ιοί Ransomware το 2016: παραδείγματα
Κατά την καταπολέμηση οποιασδήποτε επίθεσης ιών, είναι σημαντικό να κατανοήσετε ότι ο κώδικας αλλάζει πολύ συχνά, συμπληρωμένος με νέα προστασία προστασίας από ιούς. Φυσικά, τα προγράμματα ασφαλείας χρειάζονται λίγο χρόνο μέχρι ο προγραμματιστής να ενημερώσει τις βάσεις δεδομένων. Επιλέξαμε τους πιο επικίνδυνους ιούς κρυπτογράφησης των τελευταίων εποχών.
Ishtar Ransomware
Το Ishtar είναι ένα ransomware που εκβιάζει χρήματα από τον χρήστη. Ο ιός παρατηρήθηκε το φθινόπωρο του 2016, μολύνοντας έναν τεράστιο αριθμό υπολογιστών χρηστών από τη Ρωσία και μια σειρά από άλλες χώρες. Διανέμεται μέσω email, το οποίο περιέχει συνημμένα έγγραφα (εγκαταστάτες, έγγραφα κ.λπ.). Στα δεδομένα που έχουν μολυνθεί από τον κρυπτογραφητή Ishtar δίνεται το πρόθεμα "ISHTAR" στο όνομά του. Η διαδικασία δημιουργεί ένα έγγραφο δοκιμής που υποδεικνύει πού να πάτε για να αποκτήσετε τον κωδικό πρόσβασης. Οι επιτιθέμενοι απαιτούν από 3.000 έως 15.000 ρούβλια για αυτό.
Ο κίνδυνος του ιού Ishtar είναι ότι σήμερα δεν υπάρχει αποκρυπτογραφητής που θα βοηθούσε τους χρήστες. Οι εταιρείες λογισμικού προστασίας από ιούς χρειάζονται χρόνο για να αποκρυπτογραφήσουν όλο τον κώδικα. Τώρα μπορείτε μόνο να απομονώσετε σημαντικές πληροφορίες (εάν είναι ιδιαίτερης σημασίας) σε ένα ξεχωριστό μέσο, περιμένοντας την κυκλοφορία ενός βοηθητικού προγράμματος που μπορεί να αποκρυπτογραφήσει έγγραφα. Συνιστάται η επανεγκατάσταση του λειτουργικού συστήματος.
Νεϊτρίνο
Ο κρυπτογραφητής Neitrino εμφανίστηκε στο Διαδίκτυο το 2015. Η αρχή της επίθεσης είναι παρόμοια με άλλους ιούς παρόμοιας κατηγορίας. Αλλάζει τα ονόματα των φακέλων και των αρχείων προσθέτοντας "Neitrino" ή "Neutrino". Ο ιός είναι δύσκολο να αποκρυπτογραφηθεί, δεν το αναλαμβάνουν όλοι οι εκπρόσωποι των εταιρειών προστασίας από ιούς, αναφέροντας έναν πολύ περίπλοκο κώδικα. Ορισμένοι χρήστες ενδέχεται να επωφεληθούν από την επαναφορά ενός σκιώδους αντιγράφου. Για να το κάνετε αυτό, κάντε δεξί κλικ στο κρυπτογραφημένο έγγραφο, μεταβείτε στην καρτέλα "Ιδιότητες", "Προηγούμενες εκδόσεις", κάντε κλικ στην "Επαναφορά". Θα ήταν καλή ιδέα να χρησιμοποιήσετε ένα δωρεάν βοηθητικό πρόγραμμα από την Kaspersky Lab.
Wallet ή .wallet.
Ο ιός κρυπτογράφησης Wallet εμφανίστηκε στα τέλη του 2016. Κατά τη διαδικασία μόλυνσης, αλλάζει το όνομα των δεδομένων σε "Όνομα..πορτοφόλι" ή κάτι παρόμοιο. Όπως οι περισσότεροι ιοί ransomware, εισέρχεται στο σύστημα μέσω συνημμένων σε μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται από εισβολείς. Δεδομένου ότι η απειλή εμφανίστηκε πολύ πρόσφατα, τα προγράμματα προστασίας από ιούς δεν την προσέχουν. Μετά την κρυπτογράφηση, δημιουργεί ένα έγγραφο στο οποίο ο απατεώνας υποδεικνύει το email για επικοινωνία. Επί του παρόντος, οι προγραμματιστές λογισμικού προστασίας από ιούς εργάζονται για να αποκρυπτογραφήσουν τον κώδικα του ιού ransomware. [email προστατευμένο]. Οι χρήστες που έχουν δεχθεί επίθεση μπορούν μόνο να περιμένουν. Εάν τα δεδομένα είναι σημαντικά, συνιστάται να τα αποθηκεύσετε σε μια εξωτερική μονάδα δίσκου εκκαθαρίζοντας το σύστημα.
Αίνιγμα
Ο ιός Enigma ransomware άρχισε να μολύνει τους υπολογιστές των Ρώσων χρηστών στα τέλη Απριλίου 2016. Χρησιμοποιείται το μοντέλο κρυπτογράφησης AES-RSA, το οποίο βρίσκεται στους περισσότερους ιούς ransomware σήμερα. Ο ιός διεισδύει στον υπολογιστή χρησιμοποιώντας ένα σενάριο που εκτελεί ο χρήστης ανοίγοντας αρχεία από ένα ύποπτο email. Δεν υπάρχει ακόμα κανένα καθολικό μέσο για την καταπολέμηση του ransomware Enigma. Οι χρήστες με άδεια προστασίας από ιούς μπορούν να ζητήσουν βοήθεια στον επίσημο ιστότοπο του προγραμματιστή. Βρέθηκε επίσης ένα μικρό "παραθυράκι" - Windows UAC. Εάν ο χρήστης κάνει κλικ στο "Όχι" στο παράθυρο που εμφανίζεται κατά τη διαδικασία μόλυνσης από ιό, θα μπορεί στη συνέχεια να επαναφέρει πληροφορίες χρησιμοποιώντας σκιερά αντίγραφα.
Γρανίτης
Ένας νέος ιός ransomware, ο Granit, εμφανίστηκε στο Διαδίκτυο το φθινόπωρο του 2016. Η μόλυνση συμβαίνει σύμφωνα με το ακόλουθο σενάριο: ο χρήστης εκκινεί το πρόγραμμα εγκατάστασης, το οποίο μολύνει και κρυπτογραφεί όλα τα δεδομένα στον υπολογιστή, καθώς και τις συνδεδεμένες μονάδες δίσκου. Η καταπολέμηση του ιού είναι δύσκολη. Για να το αφαιρέσετε, μπορείτε να χρησιμοποιήσετε ειδικά βοηθητικά προγράμματα από την Kaspersky, αλλά δεν μπορέσαμε ακόμη να αποκρυπτογραφήσουμε τον κώδικα. Ίσως η επαναφορά προηγούμενων εκδόσεων των δεδομένων θα βοηθήσει. Επιπλέον, ένας ειδικός που έχει μεγάλη εμπειρία μπορεί να αποκρυπτογραφήσει, αλλά η υπηρεσία είναι ακριβή.
Ο Τάισον
Εντοπίστηκε πρόσφατα. Είναι μια επέκταση του ήδη γνωστού ransomware no_more_ransom, για το οποίο μπορείτε να μάθετε στον ιστότοπό μας. Φτάνει σε προσωπικούς υπολογιστές μέσω email. Πολλοί εταιρικοί υπολογιστές δέχθηκαν επίθεση. Ο ιός δημιουργεί ένα έγγραφο κειμένου με οδηγίες ξεκλειδώματος, προσφέροντας να πληρώσει «λύτρα». Το Tyson ransomware εμφανίστηκε πρόσφατα, επομένως δεν υπάρχει ακόμη κλειδί ξεκλειδώματος. Ο μόνος τρόπος για να επαναφέρετε πληροφορίες είναι να επιστρέψετε τις προηγούμενες εκδόσεις εάν δεν είχαν διαγραφεί από ιό. Μπορείτε, φυσικά, να ρισκάρετε μεταφέροντας χρήματα στον λογαριασμό που έχουν καθορίσει οι εισβολείς, αλλά δεν υπάρχει καμία εγγύηση ότι θα λάβετε τον κωδικό πρόσβασης.
Σπορά
Στις αρχές του 2017, αρκετοί χρήστες έγιναν θύματα του νέου ransomware Spora. Όσον αφορά την αρχή λειτουργίας του, δεν διαφέρει πολύ από τους ομολόγους του, αλλά διαθέτει πιο επαγγελματικό σχεδιασμό: οι οδηγίες για την απόκτηση κωδικού πρόσβασης είναι καλύτερα γραμμένες και ο ιστότοπος φαίνεται πιο όμορφος. Ο ιός ransomware Spora δημιουργήθηκε σε γλώσσα C και χρησιμοποιεί έναν συνδυασμό RSA και AES για την κρυπτογράφηση των δεδομένων του θύματος. Κατά κανόνα, οι υπολογιστές στους οποίους χρησιμοποιήθηκε ενεργά το λογιστικό πρόγραμμα 1C δέχθηκαν επίθεση. Ο ιός, που κρύβεται κάτω από το πρόσχημα ενός απλού τιμολογίου σε μορφή .pdf, αναγκάζει τους υπαλλήλους της εταιρείας να τον εκτοξεύσουν. Δεν έχει βρεθεί ακόμη θεραπεία.
1C.Drop.1
Αυτός ο ιός κρυπτογράφησης 1C εμφανίστηκε το καλοκαίρι του 2016, διακόπτοντας το έργο πολλών λογιστικών τμημάτων. Αναπτύχθηκε ειδικά για υπολογιστές που χρησιμοποιούν λογισμικό 1C. Μόλις στον υπολογιστή μέσω ενός αρχείου σε ένα email, ζητά από τον κάτοχο να ενημερώσει το πρόγραμμα. Όποιο κουμπί και να πατήσει ο χρήστης, ο ιός θα αρχίσει να κρυπτογραφεί αρχεία. Οι ειδικοί του Dr.Web εργάζονται σε εργαλεία αποκρυπτογράφησης, αλλά δεν έχει βρεθεί ακόμη λύση. Αυτό οφείλεται στον πολύπλοκο κώδικα, ο οποίος μπορεί να έχει αρκετές τροποποιήσεις. Η μόνη προστασία έναντι του 1C.Drop.1 είναι η επαγρύπνηση του χρήστη και η τακτική αρχειοθέτηση σημαντικών εγγράφων.
da_vinci_code
Ένα νέο ransomware με ασυνήθιστο όνομα. Ο ιός εμφανίστηκε την άνοιξη του 2016. Διαφέρει από τους προκατόχους του στον βελτιωμένο κώδικα και την ισχυρή λειτουργία κρυπτογράφησης. Το da_vinci_code μολύνει τον υπολογιστή χάρη σε μια εφαρμογή εκτέλεσης (συνήθως επισυνάπτεται σε ένα email), την οποία ο χρήστης εκκινεί ανεξάρτητα. Το εργαλείο κρυπτογράφησης da Vinci αντιγράφει το σώμα στον κατάλογο και το μητρώο του συστήματος, διασφαλίζοντας την αυτόματη εκκίνηση όταν τα Windows είναι ενεργοποιημένα. Στον υπολογιστή κάθε θύματος εκχωρείται ένα μοναδικό αναγνωριστικό (βοηθά στην απόκτηση κωδικού πρόσβασης). Είναι σχεδόν αδύνατο να αποκρυπτογραφήσετε τα δεδομένα. Μπορείτε να πληρώσετε χρήματα σε εισβολείς, αλλά κανείς δεν εγγυάται ότι θα λάβετε τον κωδικό πρόσβασης.
[email προστατευμένο] / [email προστατευμένο]
Δύο διευθύνσεις email που συχνά συνοδεύονταν από ιούς ransomware το 2016. Χρησιμεύουν για τη σύνδεση του θύματος με τον εισβολέα. Επισυνάπτονταν διευθύνσεις για διάφορους τύπους ιών: da_vinci_code, no_more_ransom και ούτω καθεξής. Συνιστάται ιδιαίτερα να μην επικοινωνείτε ή να μην μεταφέρετε χρήματα σε απατεώνες. Οι χρήστες στις περισσότερες περιπτώσεις μένουν χωρίς κωδικούς πρόσβασης. Έτσι, δείχνοντας ότι το ransomware των εισβολέων λειτουργεί, δημιουργώντας έσοδα.
Breaking Bad
Εμφανίστηκε στις αρχές του 2015, αλλά εξαπλώθηκε ενεργά μόνο ένα χρόνο αργότερα. Η αρχή της μόλυνσης είναι πανομοιότυπη με άλλα ransomware: εγκατάσταση αρχείου από email, κρυπτογράφηση δεδομένων. Τα συμβατικά προγράμματα προστασίας από ιούς, κατά κανόνα, δεν παρατηρούν τον ιό Breaking Bad. Ορισμένος κώδικας δεν μπορεί να παρακάμψει το UAC των Windows, αφήνοντας τον χρήστη με την επιλογή να επαναφέρει προηγούμενες εκδόσεις εγγράφων. Καμία εταιρεία που αναπτύσσει λογισμικό προστασίας από ιούς δεν έχει παρουσιάσει ακόμη αποκρυπτογράφηση.
XTBL
Ένα πολύ κοινό ransomware που έχει προκαλέσει προβλήματα σε πολλούς χρήστες. Μόλις μπει στον υπολογιστή, ο ιός αλλάζει την επέκταση αρχείου σε .xtbl μέσα σε λίγα λεπτά. Δημιουργείται ένα έγγραφο στο οποίο ο εισβολέας εκβιάζει χρήματα. Ορισμένες παραλλαγές του ιού XTBL δεν μπορούν να καταστρέψουν αρχεία για ανάκτηση συστήματος, γεγονός που σας επιτρέπει να ανακτήσετε σημαντικά έγγραφα. Ο ίδιος ο ιός μπορεί να αφαιρεθεί από πολλά προγράμματα, αλλά η αποκρυπτογράφηση εγγράφων είναι πολύ δύσκολη. Εάν είστε κάτοχος ενός εγκεκριμένου προγράμματος προστασίας από ιούς, χρησιμοποιήστε τεχνική υποστήριξη επισυνάπτοντας δείγματα μολυσμένων δεδομένων.
Κουκαράτσα
Το ransomware Cucaracha ανακαλύφθηκε τον Δεκέμβριο του 2016. Ο ιός με ένα ενδιαφέρον όνομα κρύβει αρχεία χρήστη χρησιμοποιώντας τον αλγόριθμο RSA-2048, ο οποίος είναι εξαιρετικά ανθεκτικός. Το antivirus της Kaspersky το χαρακτήρισε ως Trojan-Ransom.Win32.Scatter.lb. Το Kukaracha μπορεί να αφαιρεθεί από τον υπολογιστή έτσι ώστε να μην μολυνθούν άλλα έγγραφα. Ωστόσο, τα μολυσμένα σήμερα είναι σχεδόν αδύνατο να αποκρυπτογραφηθούν (πολύ ισχυρός αλγόριθμος).
Πώς λειτουργεί ένας ιός ransomware;
Υπάρχει ένας τεράστιος αριθμός ransomware, αλλά όλα λειτουργούν με παρόμοια αρχή.
- Πρόσβαση σε προσωπικό υπολογιστή. Συνήθως, χάρη σε ένα συνημμένο αρχείο σε ένα email. Η εγκατάσταση ξεκινά από τον ίδιο τον χρήστη ανοίγοντας το έγγραφο.
- Μόλυνση αρχείου. Σχεδόν όλοι οι τύποι αρχείων είναι κρυπτογραφημένοι (ανάλογα με τον ιό). Δημιουργείται ένα έγγραφο κειμένου που περιέχει επαφές για την επικοινωνία με τους εισβολείς.
- Ολοι. Ο χρήστης δεν μπορεί να έχει πρόσβαση σε κανένα έγγραφο.
Παράγοντες ελέγχου από δημοφιλή εργαστήρια
Η ευρεία χρήση του ransomware, το οποίο αναγνωρίζεται ως η πιο επικίνδυνη απειλή για τα δεδομένα των χρηστών, έχει γίνει ώθηση για πολλά εργαστήρια προστασίας από ιούς. Κάθε δημοφιλής εταιρεία παρέχει στους χρήστες της προγράμματα που τους βοηθούν να καταπολεμήσουν το ransomware. Επιπλέον, πολλά από αυτά βοηθούν στην αποκρυπτογράφηση εγγράφων και στην προστασία του συστήματος.
Kaspersky και ιοί ransomware
Ένα από τα πιο διάσημα εργαστήρια κατά των ιών στη Ρωσία και τον κόσμο προσφέρει σήμερα τα πιο αποτελεσματικά εργαλεία για την καταπολέμηση των ιών ransomware. Το πρώτο εμπόδιο στον ιό ransomware θα είναι το Kaspersky Endpoint Security 10 με τις πιο πρόσφατες ενημερώσεις. Το πρόγραμμα προστασίας από ιούς απλά δεν θα επιτρέψει στην απειλή να εισέλθει στον υπολογιστή (αν και μπορεί να μην σταματήσει τις νέες εκδόσεις). Για την αποκρυπτογράφηση πληροφοριών, ο προγραμματιστής παρουσιάζει πολλά δωρεάν βοηθητικά προγράμματα: XoristDecryptor, RakhniDecryptor και Ransomware Decryptor. Βοηθούν στην εύρεση του ιού και στην επιλογή του κωδικού πρόσβασης.
Ο Δρ. Ιστός και ransomware
Αυτό το εργαστήριο συνιστά τη χρήση του προγράμματος προστασίας από ιούς, το κύριο χαρακτηριστικό του οποίου είναι η δημιουργία αντιγράφων ασφαλείας αρχείων. Η αποθήκευση με αντίγραφα εγγράφων προστατεύεται επίσης από μη εξουσιοδοτημένη πρόσβαση από εισβολείς. Οι κάτοχοι του αδειοδοτημένου προϊόντος Dr. Η λειτουργία Web είναι διαθέσιμη για να ζητήσετε βοήθεια από την τεχνική υποστήριξη. Είναι αλήθεια ότι ακόμη και έμπειροι ειδικοί δεν μπορούν πάντα να αντισταθούν σε αυτό το είδος απειλής.
ESET Nod 32 και ransomware
Ούτε αυτή η εταιρεία έμεινε στην άκρη, παρέχοντας στους χρήστες της καλή προστασία από τη διείσδυση ιών στον υπολογιστή. Επιπλέον, το εργαστήριο κυκλοφόρησε πρόσφατα ένα δωρεάν βοηθητικό πρόγραμμα με ενημερωμένες βάσεις δεδομένων - Eset Crysis Decryptor. Οι προγραμματιστές λένε ότι θα βοηθήσει στην καταπολέμηση ακόμη και του πιο πρόσφατου ransomware.
Η γερμανική μηχανή κρυπτογράφησης ονομάστηκε "Riddle" όχι για χάρη των λέξεων. Υπάρχουν θρύλοι γύρω από την ιστορία της σύλληψης και της αποκωδικοποίησης των ραδιοφωνικών υποκλοπών και ο κινηματογράφος συμβάλλει σε μεγάλο βαθμό σε αυτό. Μύθοι και αλήθεια για τον γερμανικό κωδικοποιητή υπάρχουν στο υλικό μας.
Είναι γνωστό ότι η υποκλοπή μηνυμάτων από τον εχθρό μπορεί να αντιμετωπιστεί μόνο με αξιόπιστη προστασία ή κρυπτογράφηση τους. Η ιστορία της κρυπτογράφησης πηγαίνει πίσω αιώνες - ένας από τους πιο διάσημους κρυπτογράφησης ονομάζεται κρυπτογράφηση του Καίσαρα. Στη συνέχεια, έγιναν προσπάθειες να μηχανοποιηθεί η διαδικασία κρυπτογράφησης και αποκρυπτογράφησης: ο δίσκος Alberti, που δημιουργήθηκε τη δεκαετία του '60 του 15ου αιώνα από τον Leon Battista Alberti, συγγραφέα του Treatise on Ciphers, ενός από τα πρώτα βιβλία για την τέχνη της κρυπτογράφησης και της αποκρυπτογράφησης. , έφτασε σε εμάς.
Η μηχανή Enigma που χρησιμοποιούσε η Γερμανία κατά τον Β' Παγκόσμιο Πόλεμο δεν ήταν μοναδική. Αλλά διέφερε από παρόμοιες συσκευές που υιοθετήθηκαν από άλλες χώρες ως προς τη σχετική απλότητα και την ευρεία χρήση του: μπορούσε να χρησιμοποιηθεί σχεδόν παντού - τόσο στο πεδίο όσο και σε ένα υποβρύχιο. Η ιστορία του Enigma χρονολογείται από το 1917, όταν ο Ολλανδός Hugo Koch έλαβε δίπλωμα ευρεσιτεχνίας για αυτό. Η δουλειά της ήταν να αντικαταστήσει μερικά γράμματα με άλλα χρησιμοποιώντας περιστρεφόμενους κυλίνδρους.
Γνωρίζουμε την ιστορία της αποκωδικοποίησης της μηχανής Enigma κυρίως από υπερπαραγωγές του Χόλιγουντ για υποβρύχια. Ωστόσο, αυτές οι ταινίες, σύμφωνα με τους ιστορικούς, έχουν ελάχιστα κοινά με την πραγματικότητα.
Για παράδειγμα, η ταινία του 2000 U-571 αφηγείται την ιστορία μιας μυστικής αποστολής από Αμερικανούς ναυτικούς να συλλάβουν μια μηχανή κρυπτογράφησης Enigma στο γερμανικό υποβρύχιο U-571. Η δράση διαδραματίζεται το 1942 στον Βόρειο Ατλαντικό. Παρά το γεγονός ότι η ταινία είναι θεαματική, η ιστορία που λέγεται σε αυτήν δεν ανταποκρίνεται καθόλου σε ιστορικά γεγονότα. Το υποβρύχιο U-571 ήταν στην πραγματικότητα σε υπηρεσία με τη Ναζιστική Γερμανία, αλλά βυθίστηκε το 1944 και οι Αμερικανοί κατάφεραν να συλλάβουν τη μηχανή Enigma μόνο στο τέλος του πολέμου και αυτό δεν έπαιξε σοβαρό ρόλο στην προσέγγιση της Νίκης . Παρεμπιπτόντως, στο τέλος της ταινίας οι δημιουργοί αναφέρουν ιστορικά σωστά γεγονότα σχετικά με τη σύλληψη του κωδικοποιητή, αλλά εμφανίστηκαν με την επιμονή του συμβούλου της ταινίας, ενός Άγγλου στην καταγωγή. Από την άλλη, ο σκηνοθέτης της ταινίας, Τζόναθαν Μόστοου, είπε ότι η ταινία του «είναι ένα έργο τέχνης». 
Οι ευρωπαϊκές ταινίες προσπαθούν να διατηρήσουν την ιστορική ακρίβεια, αλλά υπάρχει και ένα μερίδιο καλλιτεχνικής μυθοπλασίας σε αυτές. Η ταινία Enigma του Michael Apted του 2001 αφηγείται την ιστορία του μαθηματικού Tom Jericho, ο οποίος πρέπει να λύσει τον ενημερωμένο κώδικα μιας γερμανικής μηχανής κρυπτογράφησης σε μόλις τέσσερις ημέρες. Φυσικά, στην πραγματική ζωή χρειάστηκε πολύ περισσότερος χρόνος για να αποκρυπτογραφηθούν οι κωδικοί. Αρχικά, αυτό έγινε από την πολωνική κρυπτολογική υπηρεσία. Και μια ομάδα μαθηματικών - Marian Rejewski, Henryk Zygalski και Jerzy Rozicki - που μελετούσαν αχρησιμοποίητα γερμανικά κρυπτογράφηση, διαπίστωσαν ότι ο λεγόμενος κώδικας ημέρας, που άλλαζε κάθε μέρα, αποτελούνταν από τις ρυθμίσεις του πίνακα διανομής, τη σειρά εγκατάστασης των ρότορων , τις θέσεις των δακτυλίων και τις αρχικές ρυθμίσεις του ρότορα . Αυτό συνέβη το 1939, ακόμη και πριν από την κατάληψη της Πολωνίας από τη ναζιστική Γερμανία. Επίσης, το πολωνικό «Bureau of Ciphers», που δημιουργήθηκε ειδικά για να «καταπολεμήσει» το Enigma, είχε στη διάθεσή του αρκετά αντίγραφα μιας μηχανής εργασίας, καθώς και μιας ηλεκτρομηχανικής μηχανής Bomba, η οποία αποτελούνταν από έξι ζευγαρωμένες γερμανικές συσκευές, οι οποίες βοηθούσαν στην εργασία με κωδικούς. Ήταν αυτή που αργότερα έγινε το πρωτότυπο για την Bombe, την εφεύρεση του Alan Turing.
Η πολωνική πλευρά μπόρεσε να μεταφέρει τις εξελίξεις της στις βρετανικές υπηρεσίες πληροφοριών, οι οποίες οργάνωσαν περαιτέρω εργασίες για να σπάσουν το «αίνιγμα». Παρεμπιπτόντως, οι Βρετανοί ενδιαφέρθηκαν για πρώτη φορά για το Enigma στα μέσα της δεκαετίας του '20, ωστόσο, εγκατέλειψαν γρήγορα την ιδέα της αποκρυπτογράφησης του κώδικα, θεωρώντας προφανώς ότι ήταν αδύνατο να το κάνουν. Ωστόσο, με την έναρξη του Β' Παγκοσμίου Πολέμου, η κατάσταση άλλαξε: σε μεγάλο βαθμό χάρη στη μυστηριώδη μηχανή, η Γερμανία έλεγχε το μισό του Ατλαντικού και βύθισε ευρωπαϊκές νηοπομπές με τρόφιμα και πυρομαχικά. Υπό αυτές τις συνθήκες, η Μεγάλη Βρετανία και άλλες χώρες του αντιχιτλερικού συνασπισμού έπρεπε οπωσδήποτε να διεισδύσουν στο αίνιγμα του Αίνιγμα.
Ο Sir Alistair Dennison, επικεφαλής του State Code and Cipher School, το οποίο βρισκόταν στο τεράστιο κάστρο Bletchley Park 50 μίλια από το Λονδίνο, συνέλαβε και πραγματοποίησε τη μυστική επιχείρηση Ultra, απευθυνόμενος σε ταλαντούχους αποφοίτους του Cambridge και της Oxford, μεταξύ των οποίων ήταν ο διάσημος κρυπτογράφος και μαθηματικός Άλαν Τούρινγκ. Το έργο του Turing για το σπάσιμο των κωδικών της μηχανής Enigma είναι το θέμα της ταινίας του 2014 The Imitation Game. Πίσω στο 1936, ο Turing ανέπτυξε μια αφηρημένη υπολογιστική "μηχανή Turing", η οποία μπορεί να θεωρηθεί ένα μοντέλο υπολογιστή - μια συσκευή ικανή να λύσει οποιοδήποτε πρόβλημα παρουσιάζεται με τη μορφή ενός προγράμματος - μια ακολουθία ενεργειών. Στη σχολή κωδικών και κρυπτογράφησης, ηγήθηκε της ομάδας Hut 8, υπεύθυνη για την κρυπτανάλυση των επικοινωνιών του Γερμανικού Ναυτικού, και ανέπτυξε μια σειρά από μεθόδους για να σπάσει τον γερμανικό κρυπτογράφηση. Εκτός από τον όμιλο του Τούρινγκ, 12 χιλιάδες εργαζόμενοι εργάζονταν στο Bletchley Park. Χάρη στη σκληρή δουλειά τους μπόρεσαν να αποκρυπτογραφηθούν οι κωδικοί Enigma, αλλά δεν ήταν δυνατό να σπάσουν όλοι οι κωδικοί. Για παράδειγμα, ο κρυπτογράφησης Triton λειτούργησε με επιτυχία για περίπου ένα χρόνο και ακόμη και όταν τον έσπασαν οι "μάγκες από το Bletchley", δεν έφερε το επιθυμητό αποτέλεσμα, καθώς πέρασε πολύς χρόνος από τη στιγμή που υποκλοπή της κρυπτογράφησης μέχρι τη μετάδοση των πληροφοριών. στους Βρετανούς ναύτες.
Το θέμα είναι ότι, με εντολή του Winston Churchill, όλα τα υλικά αποκρυπτογράφησης ελήφθησαν μόνο από τους επικεφαλής των υπηρεσιών πληροφοριών και τον Sir Stuart Menzies, ο οποίος ήταν επικεφαλής της MI6. Τέτοιες προφυλάξεις λήφθηκαν για να μην αντιληφθούν οι Γερμανοί ότι οι κωδικοί είχαν σπάσει. Ταυτόχρονα, αυτά τα μέτρα δεν λειτουργούσαν πάντα, τότε οι Γερμανοί άλλαξαν τις ρυθμίσεις του Enigma, μετά από τις οποίες ξεκίνησαν εκ νέου οι εργασίες αποκρυπτογράφησης.
Το Imitation Game αγγίζει επίσης το θέμα της σχέσης μεταξύ Βρετανών και Σοβιετικών κρυπτογράφων. Το επίσημο Λονδίνο δεν ήταν πραγματικά σίγουρο για την ικανότητα ειδικών από τη Σοβιετική Ένωση, ωστόσο, με προσωπική εντολή του Ουίνστον Τσόρτσιλ, στις 24 Ιουλίου 1941, τα υλικά με τη σφραγίδα Ultra μεταφέρθηκαν στη Μόσχα. Είναι αλήθεια ότι για να αποκλειστεί η πιθανότητα αποκάλυψης όχι μόνο της πηγής πληροφοριών, αλλά και ότι η Μόσχα θα μάθαινε για την ύπαρξη του Bletchley Park, όλα τα υλικά συγκαλύφθηκαν ως πληροφορίες πληροφοριών. Ωστόσο, η ΕΣΣΔ έμαθε για την εργασία για την αποκρυπτογράφηση του Enigma το 1939 και τρία χρόνια αργότερα, ο σοβιετικός κατάσκοπος John Cairncross μπήκε στην υπηρεσία της Κρατικής Σχολής Κωδικών και Κωδικών, ο οποίος έστελνε τακτικά όλες τις απαραίτητες πληροφορίες στη Μόσχα.
Πολλοί άνθρωποι αναρωτιούνται γιατί η ΕΣΣΔ δεν αποκρυπτογράφησε τις ραδιοφωνικές υποκλοπές του γερμανικού "Riddle", αν και τα σοβιετικά στρατεύματα κατέλαβαν δύο τέτοιες συσκευές το 1941 και στη μάχη του Στάλινγκραντ η Μόσχα είχε τρεις ακόμη συσκευές στη διάθεσή της. Σύμφωνα με τους ιστορικούς, η έλλειψη σύγχρονου ηλεκτρονικού εξοπλισμού στην ΕΣΣΔ εκείνη την εποχή είχε αντίκτυπο.
Παρεμπιπτόντως, ένα ειδικό τμήμα του Cheka, που ασχολείται με την κρυπτογράφηση και την αποκρυπτογράφηση, συγκλήθηκε στην ΕΣΣΔ στις 5 Μαΐου 1921. Οι υπάλληλοι του τμήματος είχαν πολλές όχι πολύ διαφημιζόμενες νίκες, για προφανείς λόγους - το τμήμα εργάστηκε για πληροφορίες και αντικατασκοπεία. Για παράδειγμα, η αποκάλυψη διπλωματικών κωδίκων ορισμένων χωρών ήδη στη δεκαετία του '20. Δημιούργησαν επίσης τον δικό τους κρυπτογράφηση - τον περίφημο «ρωσικό κώδικα», τον οποίο, όπως λένε, κανείς δεν μπόρεσε να αποκρυπτογραφήσει.
Οι ίδιοι οι ιοί ως απειλή υπολογιστή δεν εκπλήσσουν κανέναν σήμερα. Αλλά αν προηγουμένως επηρέαζαν το σύστημα στο σύνολό του, προκαλώντας διαταραχές στην απόδοσή του, σήμερα, με την εμφάνιση μιας τέτοιας ποικιλίας όπως ο ιός κρυπτογράφησης, οι ενέργειες μιας διεισδυτικής απειλής επηρεάζουν περισσότερα δεδομένα χρήστη. Αποτελεί ίσως ακόμη μεγαλύτερη απειλή από τις εκτελέσιμες εφαρμογές που είναι καταστροφικές για τα Windows ή μικροεφαρμογές spyware.
Τι είναι ένας ιός ransomware;
Ο ίδιος ο κώδικας, γραμμένος σε έναν αυτοαντιγραφόμενο ιό, περιλαμβάνει την κρυπτογράφηση όλων σχεδόν των δεδομένων χρήστη με ειδικούς κρυπτογραφικούς αλγόριθμους, χωρίς να επηρεάζονται τα αρχεία συστήματος του λειτουργικού συστήματος.
Στην αρχή, η λογική της επίδρασης του ιού δεν ήταν απολύτως σαφής σε πολλούς. Όλα έγιναν ξεκάθαρα μόνο όταν οι χάκερ που δημιούργησαν τέτοιες μικροεφαρμογές άρχισαν να απαιτούν χρήματα για να επαναφέρουν την αρχική δομή του αρχείου. Ταυτόχρονα, ο ίδιος ο κρυπτογραφημένος ιός δεν σας επιτρέπει να αποκρυπτογραφήσετε αρχεία λόγω των χαρακτηριστικών του. Για να το κάνετε αυτό, χρειάζεστε έναν ειδικό αποκρυπτογραφητή, αν θέλετε, έναν κωδικό, έναν κωδικό πρόσβασης ή έναν αλγόριθμο που απαιτείται για την επαναφορά του επιθυμητού περιεχομένου.
Η αρχή της διείσδυσης στο σύστημα και η λειτουργία του κώδικα ιών
Κατά κανόνα, είναι αρκετά δύσκολο να "μαζέψεις" τέτοια χάλια στο Διαδίκτυο. Η κύρια πηγή εξάπλωσης της «λοίμωξης» είναι το ηλεκτρονικό ταχυδρομείο σε επίπεδο προγραμμάτων που είναι εγκατεστημένα σε ένα συγκεκριμένο τερματικό υπολογιστή όπως το Outlook, το Thunderbird, το The Bat κ.λπ. Ας σημειώσουμε αμέσως: αυτό δεν ισχύει για διακομιστές αλληλογραφίας Διαδικτύου, καθώς έχουν αρκετά υψηλό βαθμό προστασίας και η πρόσβαση στα δεδομένα χρήστη είναι δυνατή μόνο σε επίπεδο
Ένα άλλο πράγμα είναι μια εφαρμογή σε τερματικό υπολογιστή. Εδώ είναι τόσο ευρύ το πεδίο δράσης των ιών που είναι αδύνατο να φανταστεί κανείς. Είναι αλήθεια ότι εδώ αξίζει επίσης να κάνετε μια κράτηση: στις περισσότερες περιπτώσεις, οι ιοί στοχεύουν μεγάλες εταιρείες από τις οποίες μπορούν να «ξεκόψουν» χρήματα για την παροχή ενός κωδικού αποκρυπτογράφησης. Αυτό είναι κατανοητό, επειδή όχι μόνο σε τοπικά τερματικά υπολογιστών, αλλά και σε διακομιστές τέτοιων εταιρειών, τα αρχεία μπορούν να αποθηκευτούν, ούτως ή άλλως, σε ένα μόνο αντίγραφο, το οποίο δεν μπορεί να καταστραφεί σε καμία περίπτωση. Και στη συνέχεια η αποκρυπτογράφηση αρχείων μετά από έναν ιό ransomware γίνεται αρκετά προβληματική.
Φυσικά, ένας συνηθισμένος χρήστης μπορεί να υποβληθεί σε μια τέτοια επίθεση, αλλά στις περισσότερες περιπτώσεις αυτό είναι απίθανο αν ακολουθήσετε τις απλούστερες συστάσεις για το άνοιγμα συνημμένων με επεκτάσεις άγνωστου τύπου. Ακόμα κι αν ένα πρόγραμμα-πελάτης email εντοπίσει ένα συνημμένο με επέκταση .jpg ως τυπικό αρχείο γραφικών, πρέπει πρώτα να ελεγχθεί ως τυπικά εγκατεστημένο στο σύστημα.
Εάν δεν γίνει αυτό, όταν το ανοίξετε με διπλό κλικ (τυπική μέθοδος), θα ξεκινήσει η ενεργοποίηση του κώδικα και θα ξεκινήσει η διαδικασία κρυπτογράφησης, μετά την οποία ο ίδιος Breaking_Bad (ιός κρυπτογράφησης) όχι μόνο θα είναι αδύνατο να αφαιρεθεί, αλλά και τα αρχεία δεν θα μπορούν να αποκατασταθούν μετά την εξάλειψη της απειλής.
Γενικές συνέπειες της διείσδυσης όλων των ιών αυτού του τύπου
Όπως ήδη αναφέρθηκε, οι περισσότεροι ιοί αυτού του τύπου εισέρχονται στο σύστημα μέσω email. Λοιπόν, ας υποθέσουμε ότι ένας μεγάλος οργανισμός λαμβάνει μια επιστολή σε ένα συγκεκριμένο συστημένο email με περιεχόμενο όπως "Έχουμε αλλάξει τη σύμβαση, επισυνάπτεται σαρωμένο αντίγραφο" ή "Σας έχει αποσταλεί ένα τιμολόγιο για την αποστολή των αγαθών (ένα αντίγραφο εκεί)." Όπως είναι φυσικό, ο ανυποψίαστος υπάλληλος ανοίγει τον φάκελο και...
Όλα τα αρχεία χρήστη σε επίπεδο εγγράφων γραφείου, πολυμέσων, εξειδικευμένων έργων AutoCAD ή οποιωνδήποτε άλλων αρχειακών δεδομένων κρυπτογραφούνται άμεσα και εάν το τερματικό του υπολογιστή βρίσκεται σε τοπικό δίκτυο, ο ιός μπορεί να μεταδοθεί περαιτέρω, κρυπτογραφώντας δεδομένα σε άλλα μηχανήματα (αυτό γίνεται αντιληπτό αμέσως μετά το «φρενάρισμα» του συστήματος και το πάγωμα των προγραμμάτων ή των εφαρμογών που εκτελούνται αυτήν τη στιγμή).
Στο τέλος της διαδικασίας κρυπτογράφησης, ο ίδιος ο ιός προφανώς στέλνει ένα είδος αναφοράς, μετά από την οποία η εταιρεία μπορεί να λάβει ένα μήνυμα ότι η συγκεκριμένη απειλή έχει διεισδύσει στο σύστημα και ότι μόνο η συγκεκριμένη οργάνωση μπορεί να την αποκρυπτογραφήσει. Αυτό συνήθως περιλαμβάνει έναν ιό. [email προστατευμένο]. Ακολουθεί η απαίτηση πληρωμής για υπηρεσίες αποκρυπτογράφησης με προσφορά αποστολής πολλών αρχείων στο email του πελάτη, η οποία είναι τις περισσότερες φορές εικονική.
Βλάβη από την έκθεση στον κώδικα
Αν κάποιος δεν το έχει καταλάβει ακόμα: η αποκρυπτογράφηση αρχείων μετά από έναν ιό ransomware είναι μια αρκετά απαιτητική διαδικασία. Ακόμα κι αν δεν ενδώσετε στις απαιτήσεις των επιτιθέμενων και προσπαθήσετε να εμπλέξετε επίσημες κρατικές υπηρεσίες στην καταπολέμηση και την πρόληψη εγκλημάτων ηλεκτρονικών υπολογιστών, συνήθως δεν βγαίνει τίποτα καλό από αυτό.
Εάν διαγράψετε όλα τα αρχεία, δημιουργήσετε και ακόμη και αντιγράψετε τα πρωτότυπα δεδομένα από αφαιρούμενα μέσα (φυσικά, εάν υπάρχει τέτοιο αντίγραφο), όλα θα εξακολουθήσουν να κρυπτογραφούνται ξανά εάν ενεργοποιηθεί ο ιός. Επομένως, δεν πρέπει να αυταπατάτε πολύ, ειδικά επειδή όταν εισάγετε την ίδια μονάδα flash σε μια θύρα USB, ο χρήστης δεν θα παρατηρήσει καν πώς ο ιός θα κρυπτογραφήσει τα δεδομένα σε αυτήν. Τότε δεν θα έχεις κανένα πρόβλημα.
Πρωτότοκος στην οικογένεια
Τώρα ας στρέψουμε την προσοχή μας στον πρώτο ιό κρυπτογράφησης. Τη στιγμή της εμφάνισής του, κανείς δεν είχε σκεφτεί ακόμη πώς να θεραπεύσει και να αποκρυπτογραφήσει αρχεία αφού είχε εκτεθεί σε έναν εκτελέσιμο κώδικα που περιέχεται σε ένα συνημμένο email με μια προσφορά γνωριμιών. Η επίγνωση του μεγέθους της καταστροφής ήρθε μόνο με τον καιρό.
Αυτός ο ιός είχε το ρομαντικό όνομα "Σ 'αγαπώ". Ένας ανυποψίαστος χρήστης άνοιξε ένα συνημμένο σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου και έλαβε αρχεία πολυμέσων που δεν μπορούσαν να αναπαραχθούν εντελώς (γραφικά, βίντεο και ήχος). Τότε, ωστόσο, τέτοιες ενέργειες έμοιαζαν πιο καταστροφικές (βλάβη στις βιβλιοθήκες μέσων των χρηστών) και κανείς δεν ζήτησε χρήματα για αυτό.
Οι νεότερες τροποποιήσεις
Όπως βλέπουμε, η εξέλιξη της τεχνολογίας έχει γίνει μια αρκετά κερδοφόρα επιχείρηση, ειδικά αν σκεφτεί κανείς ότι πολλοί διευθυντές μεγάλων οργανισμών τρέχουν αμέσως να πληρώσουν για τις προσπάθειες αποκρυπτογράφησης, χωρίς να σκέφτονται καθόλου ότι θα μπορούσαν να χάσουν χρήματα και πληροφορίες.
Παρεμπιπτόντως, μην κοιτάτε όλες αυτές τις «λανθασμένες» δημοσιεύσεις στο Διαδίκτυο, λέγοντας: «Πλήρωσα/πλήρωσα το απαιτούμενο ποσό, μου έστειλαν έναν κωδικό, όλα αποκαταστάθηκαν». Ανοησίες! Όλα αυτά είναι γραμμένα από τους ίδιους τους προγραμματιστές του ιού για να προσελκύσουν πιθανούς, με συγχωρείτε, «κορόιδα». Όμως, σύμφωνα με τα πρότυπα ενός απλού χρήστη, τα ποσά που πρέπει να πληρώσει είναι αρκετά σοβαρά: από εκατοντάδες έως πολλές χιλιάδες ή δεκάδες χιλιάδες ευρώ ή δολάρια.
Ας δούμε τώρα τους νεότερους τύπους ιών αυτού του τύπου, που καταγράφηκαν σχετικά πρόσφατα. Όλοι τους είναι πρακτικά παρόμοια και ανήκουν όχι μόνο στην κατηγορία των κρυπτογραφητών, αλλά και στην ομάδα των λεγόμενων ransomware. Σε ορισμένες περιπτώσεις, ενεργούν πιο σωστά (όπως το paycrypt), φαινομενικά στέλνοντας επίσημες επιχειρηματικές προσφορές ή μηνύματα ότι κάποιος ενδιαφέρεται για την ασφάλεια του χρήστη ή του οργανισμού. Ένας τέτοιος ιός κρυπτογράφησης απλώς παραπλανά τον χρήστη με το μήνυμά του. Αν κάνει έστω και την παραμικρή ενέργεια για να πληρώσει, αυτό είναι - το «διαζύγιο» θα είναι πλήρες.
Ιός XTBL
Αυτό το σχετικά πρόσφατο μπορεί να ταξινομηθεί ως κλασική έκδοση ransomware. Συνήθως, εισέρχεται στο σύστημα μέσω μηνυμάτων email που περιέχουν συνημμένα αρχεία, το οποίο είναι τυπικό για προφύλαξη οθόνης των Windows. Το σύστημα και ο χρήστης πιστεύουν ότι όλα είναι καλά και ενεργοποιούν την προβολή ή την αποθήκευση του συνημμένου.
Δυστυχώς, αυτό οδηγεί σε θλιβερές συνέπειες: τα ονόματα των αρχείων μετατρέπονται σε ένα σύνολο χαρακτήρων και το .xtbl προστίθεται στην κύρια επέκταση, μετά το οποίο αποστέλλεται ένα μήνυμα στην επιθυμητή διεύθυνση email σχετικά με τη δυνατότητα αποκρυπτογράφησης μετά την πληρωμή του καθορισμένου ποσού (συνήθως 5 χιλιάδες ρούβλια).
Ιός CBF
Αυτός ο τύπος ιού ανήκει επίσης στους κλασικούς του είδους. Εμφανίζεται στο σύστημα μετά το άνοιγμα των συνημμένων email και, στη συνέχεια, μετονομάζει τα αρχεία χρήστη, προσθέτοντας μια επέκταση όπως .nochance ή .perfect στο τέλος.
Δυστυχώς, η αποκρυπτογράφηση ενός ιού ransomware αυτού του τύπου για την ανάλυση των περιεχομένων του κώδικα ακόμη και στο στάδιο της εμφάνισής του στο σύστημα δεν είναι δυνατή, αφού μετά την ολοκλήρωση των ενεργειών του αυτοκαταστρέφεται. Ακόμη και αυτό που πολλοί πιστεύουν ότι είναι ένα καθολικό εργαλείο όπως το RectorDecryptor δεν βοηθά. Και πάλι, ο χρήστης λαμβάνει μια επιστολή που απαιτεί πληρωμή, για την οποία δίνονται δύο ημέρες.
Breaking_Bad virus
Αυτός ο τύπος απειλής λειτουργεί με τον ίδιο τρόπο, αλλά μετονομάζει τα αρχεία στην τυπική έκδοση, προσθέτοντας το .breaking_bad στην επέκταση.
Η κατάσταση δεν περιορίζεται σε αυτό. Σε αντίθεση με τους προηγούμενους ιούς, αυτός μπορεί να δημιουργήσει μια άλλη επέκταση - .Heisenberg, επομένως δεν είναι πάντα δυνατό να βρείτε όλα τα μολυσμένα αρχεία. Επομένως, το Breaking_Bad (ιός ransomware) είναι μια αρκετά σοβαρή απειλή. Παρεμπιπτόντως, υπάρχουν περιπτώσεις όπου ακόμη και το πακέτο άδειας χρήσης Kaspersky Endpoint Security 10 δεν έχει αυτόν τον τύπο απειλής.
Ιός [email προστατευμένο]
Εδώ είναι μια άλλη, ίσως η πιο σοβαρή απειλή, η οποία απευθύνεται κυρίως σε μεγάλους εμπορικούς οργανισμούς. Κατά κανόνα, κάποιο τμήμα λαμβάνει μια επιστολή που περιέχει φαινομενικά αλλαγές στη συμφωνία προμήθειας ή ακόμα και απλώς ένα τιμολόγιο. Το συνημμένο μπορεί να περιέχει ένα κανονικό αρχείο .jpg (όπως μια εικόνα), αλλά πιο συχνά - ένα εκτελέσιμο script.js (εφαρμογή Java).
Πώς να αποκρυπτογραφήσετε αυτόν τον τύπο ιού κρυπτογράφησης; Κρίνοντας από το γεγονός ότι κάποιος άγνωστος αλγόριθμος RSA-1024 χρησιμοποιείται εκεί, δεν υπάρχει περίπτωση. Με βάση το όνομα, μπορείτε να υποθέσετε ότι πρόκειται για ένα σύστημα κρυπτογράφησης 1024-bit. Αλλά, αν θυμάται κανείς, σήμερα το 256-bit AES θεωρείται το πιο προηγμένο.
Ιός κρυπτογράφησης: πώς να απολυμάνετε και να αποκρυπτογραφήσετε αρχεία χρησιμοποιώντας λογισμικό προστασίας από ιούς
Μέχρι σήμερα, δεν έχουν βρεθεί ακόμη λύσεις για την αποκρυπτογράφηση απειλών αυτού του τύπου. Ακόμη και τέτοιοι πλοίαρχοι στον τομέα της προστασίας από ιούς όπως ο Kaspersky, ο Dr. Το Web και η Eset δεν μπορούν να βρουν το κλειδί για την επίλυση του προβλήματος όταν το σύστημα έχει μολυνθεί από έναν ιό κρυπτογράφησης. Πώς να απολυμάνετε τα αρχεία; Στις περισσότερες περιπτώσεις, προτείνεται να στείλετε ένα αίτημα στον επίσημο ιστότοπο του προγραμματιστή προστασίας από ιούς (παρεμπιπτόντως, μόνο εάν το σύστημα διαθέτει άδεια χρήσης λογισμικού από αυτόν τον προγραμματιστή).
Σε αυτήν την περίπτωση, πρέπει να επισυνάψετε πολλά κρυπτογραφημένα αρχεία, καθώς και τα «υγιή» πρωτότυπά τους, εάν υπάρχουν. Γενικά, σε γενικές γραμμές, λίγοι άνθρωποι αποθηκεύουν αντίγραφα δεδομένων, επομένως το πρόβλημα της απουσίας τους επιδεινώνει μόνο μια ήδη δυσάρεστη κατάσταση.
Πιθανοί τρόποι αναγνώρισης και εξάλειψης της απειλής με μη αυτόματο τρόπο
Ναι, η σάρωση με συμβατικά προγράμματα προστασίας από ιούς εντοπίζει τις απειλές και τις αφαιρεί ακόμη και από το σύστημα. Τι να κάνουμε όμως με τις πληροφορίες;
Μερικοί προσπαθούν να χρησιμοποιήσουν προγράμματα αποκρυπτογράφησης όπως το ήδη αναφερθέν βοηθητικό πρόγραμμα RectorDecryptor (RakhniDecryptor). Ας σημειώσουμε αμέσως: αυτό δεν θα βοηθήσει. Και στην περίπτωση του ιού Breaking_Bad, μόνο κακό μπορεί να κάνει. Και να γιατί.
Γεγονός είναι ότι οι άνθρωποι που δημιουργούν τέτοιους ιούς προσπαθούν να προστατεύσουν τον εαυτό τους και να παρέχουν καθοδήγηση σε άλλους. Όταν χρησιμοποιείτε βοηθητικά προγράμματα αποκρυπτογράφησης, ο ιός μπορεί να αντιδράσει με τέτοιο τρόπο ώστε ολόκληρο το σύστημα να καταρρεύσει, με την πλήρη καταστροφή όλων των δεδομένων που είναι αποθηκευμένα σε σκληρούς δίσκους ή λογικά διαμερίσματα. Αυτό, ας πούμε, είναι ένα ενδεικτικό μάθημα για την οικοδόμηση όλων όσων δεν θέλουν να πληρώσουν. Μπορούμε να βασιστούμε μόνο σε επίσημα εργαστήρια προστασίας από ιούς.
Βασικές μέθοδοι
Ωστόσο, εάν τα πράγματα είναι πραγματικά άσχημα, θα πρέπει να θυσιάσετε πληροφορίες. Για να απαλλαγείτε εντελώς από την απειλή, πρέπει να διαμορφώσετε ολόκληρο τον σκληρό δίσκο, συμπεριλαμβανομένων των εικονικών κατατμήσεων, και στη συνέχεια να εγκαταστήσετε ξανά το λειτουργικό σύστημα.
Δυστυχώς δεν υπάρχει άλλη διέξοδος. Ακόμη και μέχρι ένα συγκεκριμένο αποθηκευμένο σημείο επαναφοράς δεν θα βοηθήσει. Ο ιός μπορεί να εξαφανιστεί, αλλά τα αρχεία θα παραμείνουν κρυπτογραφημένα.
Αντί για υστερόλογο
Εν κατακλείδι, αξίζει να σημειωθεί ότι η κατάσταση είναι η εξής: ένας ιός ransomware διεισδύει στο σύστημα, κάνει τη βρώμικη δουλειά του και δεν θεραπεύεται με καμία γνωστή μέθοδο. Τα εργαλεία προστασίας από ιούς δεν ήταν έτοιμα για τέτοιου είδους απειλές. Είναι αυτονόητο ότι είναι δυνατός ο εντοπισμός ενός ιού μετά την έκθεση ή η αφαίρεσή του. Αλλά οι κρυπτογραφημένες πληροφορίες θα παραμείνουν αντιαισθητικές. Θα ήθελα λοιπόν να ελπίζω ότι τα καλύτερα μυαλά των εταιρειών ανάπτυξης λογισμικού προστασίας από ιούς θα βρουν ακόμα μια λύση, αν και, αν κρίνουμε από τους αλγόριθμους κρυπτογράφησης, θα είναι πολύ δύσκολο να γίνει. Απλά θυμηθείτε τη μηχανή κρυπτογράφησης Enigma που είχε το Γερμανικό Ναυτικό κατά τον Β' Παγκόσμιο Πόλεμο. Οι καλύτεροι κρυπτογράφοι δεν μπορούσαν να λύσουν το πρόβλημα ενός αλγορίθμου για την αποκρυπτογράφηση μηνυμάτων μέχρι να πάρουν στα χέρια τους τη συσκευή. Έτσι είναι και εδώ τα πράγματα.
Επιλέξτε τη Διεύθυνση "K" του Ρωσικού Υπουργείου Εσωτερικών και υποβάλετε μια ηλεκτρονική αίτηση.
Δείτε επίσης άρθρα του Ποινικού Κώδικα της Ρωσικής Ομοσπονδίας:
Τέχνη. 272 "Παράνομη πρόσβαση σε πληροφορίες υπολογιστή"
Τέχνη. 273 "Δημιουργία, χρήση και διανομή κακόβουλων προγραμμάτων υπολογιστή"
Πληροφορίες σχετικά με το ransomware
Αυτό το crypto ransomware κρυπτογραφεί δεδομένα χρησιμοποιώντας τον αλγόριθμο AES-128 και στη συνέχεια απαιτεί 0,4291 BTC (περίπου 200 $ USD) για να πάρει πίσω τα αρχεία.
© Genealogy: Enigma > Enigma 2
Επικεντρώθηκε στις ρωσόφωνες χώρες, γιατί το σημείωμα λύτρων είναι γραμμένο στα ρωσικά και ο ιστότοπος λύτρων έχει ρωσική διεπαφή.
Enigma ransomware διαγράφει σκιώδη αντίγραφα αρχείων με την εντολή:
vssadmin διαγραφή σκιών / όλων / αθόρυβη
Το Enigma Ransomware διανέμεται μέσω συνημμένων HTML που περιέχουν όλα όσα χρειάζονται για να δημιουργήσετε ένα εκτελέσιμο αρχείο, να το αποθηκεύσετε στον σκληρό σας δίσκο και να το εκτελέσετε. Όταν ανοίγετε ένα συνημμένο HTML, το πρόγραμμα περιήγησης εκκινεί και εκτελεί την ενσωματωμένη JavaScript, η οποία δημιουργεί ένα αυτόνομο αρχείο που ονομάζεται " Πιστοποιητικό εγγραφής ιδιωτικής επιχείρησης.js".
Ένα σενάριο που εκκινείται από τον χρήστη δημιουργεί ένα εκτελέσιμο αρχείο με το όνομα .exe, το οποίο εκκινείται αυτόματα για εκτέλεση. Δημιουργείται από μια σειρά byte που είναι αποθηκευμένα σε ένα αρχείο JavaScript.
Μετά την εκτέλεση, το εκτελέσιμο αρχείο αρχίζει να κρυπτογραφεί δεδομένα στον υπολογιστή του θύματος και προσθέτει την επέκταση στα ήδη κρυπτογραφημένα .αίνιγμα. Για παράδειγμα, το αρχείο test.jpg θα μοιάζει με test.jpg.enigma .
Όταν ολοκληρωθεί η διαδικασία κρυπτογράφησης, θα εκτελέσει το αρχείο %USERPROFILE%\Desktop\enigma.hta, το οποίο χρησιμεύει για την εμφάνιση της σημείωσης λύτρων κάθε φορά που εκκινούνται τα Windows. Λέει τι συνέβη με τα αρχεία και παρέχει έναν σύνδεσμο προς έναν ιστότοπο Tor για να πληρώσετε τα λύτρα.
Περιεχόμενα του σημειώματος λύτρων (στα ρωσικά):
Κρυπτογραφήσαμε σημαντικά αρχεία στον υπολογιστή σας: έγγραφα, βάσεις δεδομένων, φωτογραφίες, βίντεο, κλειδιά.
Τα αρχεία κρυπτογραφούνται χρησιμοποιώντας τον αλγόριθμο AES 128 (Advanced Encryption Standard - Wikipedia) με ένα ιδιωτικό κλειδί που μόνο εμείς γνωρίζουμε.
Τα κρυπτογραφημένα αρχεία έχουν την επέκταση .ENIGMA. Είναι Αδύνατη η αποκρυπτογράφηση αρχείων χωρίς ιδιωτικό κλειδί.
Εάν θέλετε να επαναφέρετε τα αρχεία:
1) Εγκαταστήστε το Tor Browser Tor Project: Anonymity Online
2) Βρείτε στην επιφάνεια εργασίας σας το κλειδί για πρόσβαση στον ιστότοπο ENIGMA_(ο αριθμός κλειδιού σας).RSA
3) Μεταβείτε στον ιστότοπο xxxx//f6lohswy737xq34e.onion στο πρόγραμμα περιήγησης Tor και συνδεθείτε χρησιμοποιώντας το ENIGMA_ (ο αριθμός κλειδιού σας).RSA
4) Ακολουθήστε τις οδηγίες στον ιστότοπο και κατεβάστε τον αποκρυπτογραφητή.
Εάν ο κύριος ιστότοπος δεν είναι διαθέσιμος, δοκιμάστε το HTTP: xxxx//ohj63tmbsod42v3d.onion/
Η διαδικασία κρυπτογράφησης δημιουργεί τα ακόλουθα αρχεία:
%Temp%\testttt.txt - Εντοπισμός σφαλμάτων αρχείου για να επιλύσετε το πρόβλημα με τον περιγραφέα και να δημιουργήσετε το εκτελέσιμο αρχείο ransomware.
%AppData%\testStart.txt - Αρχείο εντοπισμού σφαλμάτων που υποδεικνύει ότι η κρυπτογράφηση ξεκίνησε και ήταν επιτυχής.
%UserProfile%\Desktop\allfilefinds.dat - Λίστα κρυπτογραφημένων αρχείων.
%UserProfile%\Desktop\enigma.hta - Ένα αρχείο κατά την εκκίνηση των Windows που χρησιμοποιείται για την εμφάνιση σημείωσης λύτρων.
%UserProfile%\Desktop\ENIGMA_.RSA - Ένα μοναδικό κλειδί που σχετίζεται με τον υπολογιστή του θύματος για να συνδεθείτε στον ιστότοπο πληρωμής.
%UserProfile%\Desktop\enigma_encr.txt - Το κείμενο της σημείωσης λύτρων.
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe - Εκτελέσιμο αρχείο του ransomware.
Για να πληρώσετε τα λύτρα, πρέπει να ανοίξετε έναν ειδικό ιστότοπο TOR που δημιουργήθηκε από προγραμματιστές ransomware. Η διεύθυνσή του βρίσκεται στο σημείωμα λύτρων και απαιτεί τη λήψη του αρχείου ENIGMA_.RSA για να συνδεθείτε στο σύστημα πληρωμών.
Μόλις συνδεθεί, το θύμα θα δει πόσα Bitcoin πρέπει να σταλούν ως λύτρα, καθώς και τη διεύθυνση Bitcoin του παραλήπτη. Αυτός ο ιστότοπος προσφέρει στο θύμα να αποκρυπτογραφήσει ένα αρχείο δωρεάν για να αποδείξει ότι η αποκρυπτογράφηση είναι πράγματι δυνατή.
Λίστα επεκτάσεων αρχείων που υπόκεινται σε κρυπτογράφηση αρχείων:
.1cd, .2d, .3dc, .7z, .aes, .asm, .asp, .asp, .aspx, .avi, .bat, .bmp, .bz, .bz2, .bza, .bzip, .bzip2 , .cad, .cd, .cdr, .cmd, .cpp, .crt, .csr, .csv, .czip, .dat, .dbf, .dif, .djv, .djvu, .doc, .docb, . docm, .docx, .dwg, .fla, .gif, .gz, .gz, .gz2, .gza, .gzi, .gzip, .hdoc, .html, .hwp, .java, .jpeg, .jpg, .key, .kwm, .lzma, .max, .mdb, .mdb, .mkv, .mml, .mov, .mpeg, .mpg, .MYD, .MYI, .odg, .odp, .ods, .odt , .odt, .otg, .otp, .ots, .ott, .pas, .pem, .php, .php, .png, .pot, .potm, .potx, .ppam, .pps, .ppsm, . ppsx, .ppt, .ppt, .pptm, .pptx, .pptx, .psd, .rar, .rtf, .rtf, .slk, .sln, .sql, .sqlite, .sqlite, .sqlite3, .sqlited .sqx, .sqz, .srep, .stc, .std, .sti, .stw, .swf, .sxc, .sxi, .sxm, .sxw, .tar, .taz, .tbk, .tbz, .tbz2 , .tg, .tgz, .tif, .tiff, .tlz, .tlzma, .tsk, .tx_, .txt, .txz, .tz, .uc2, .uot, .vbs, .vdi, .wks, . wmv, .xlc, .xlm, .xls, .xlsb, .xlsm, .xlsx, .xlsx, .xlt, .xltm, .xltx, .xlw, .xz, .zi, .zip, .zip, .zipx, .zix (151 επεκτάσεις).
Λίστα επεκτάσεων αρχείων που υπόκεινται σε διαγραφή:
.aba, .abf, .abk, .acp, .as4, .asd, .ashbak, .asvx, .ate, .ati, .bac, .bak, .bak, .bak~, .bak2, .bak3, . bakx, .bbb, .bbz, .bck, .bckp, .bcm, .bk1, .bk1, .bkc, .bkf, .bkp, .bks, .blend1, .blend2, .bm3, .bpa, .bpb, .bpm, .bpn, .bps, .bup, .bup, .cbk, .cbu, .ck9, .crds, .da0, .dash, .dba, .dbk, .diy, .dna, .dov, .fbc , .fbf, .fbk, .fbk, .fbu, .fbw, .fh, .fhf, .flka, .flkb, .fpsx, .ftmb, .ful, .fza, .gb1, .gb2, .gbp, . gho, .ghs, .icf, .ipd, .iv2i, .jbk, .jdc, .kb2, .lcb, .llx, .mbk, .mbw, .mddata, .mdinfo, .mem, .mig, .mpb, .mv_, .nb7, .nba, .nbak, .nbd, .nbd, .nbf, .nbf, .nbi, .nbk, .nbs, .nbu, .nco, .nfb, .nfc, .npf, .nps , .nrbak, .nrs, .nwbak, .obk, .oeb, .old, .onepkg, .ori, .orig, .paq, .pbb, .pbj, .qba, .qbb, .qbk, .qbm, . qbmb, .qbmd, .qbx, .qic, .qsf, .rbc, .rbf, .rbk, .rbs, .rdb, .rgmb, .rmbak, .rrr, .sbb, .sbs, .sbu, .skb, .sn1, .sn2, .sna, .sns, .spf, .spg, .spi, .srr, .stg, .sv$, .sv2i, .tbk, .tdb, .tig, .tis, .tlg, . tlg, .tmr, .trn, .ttbk, .uci, .v2i, .vbk, .vbm, .vpcbackup, .vrb, .wbb, .wbcat, .win, .win, .wjf, .wpb, .wspak, .xlk, .yrcbck (168 επεκτάσεις).
Ransomware Enigma Ransomware: Στόχευση ρωσόφωνων χρηστών
Το νέο Enigma Ransomware κρυπτογραφεί δεδομένα χρησιμοποιώντας τον αλγόριθμο AES-128 και στη συνέχεια απαιτεί 0,4291 BTC (περίπου 200 $ USD) για να πάρει πίσω τα αρχεία Αυτό το ransomware πιθανότατα στοχεύει ρωσόφωνες χώρες. το σημείωμα εκβιασμού είναι γραμμένο στα ρωσικά και η σελίδα του ιστότοπου για την πληρωμή των λύτρων έχει διεπαφή στη ρωσική γλώσσα. Αξίζει να σημειωθεί ότι αυτό το ransomware, αν και θα έπρεπε, δεν διαγράφει πάντα τόμους σκιωδών αντιγράφων αρχείων, ώστε το θύμα να μπορεί να τους χρησιμοποιήσει για να επαναφέρει τα αρχεία του.
Εικ.1. Ρωσικό σημείωμα λύτρων
Το Enigma Ransomware εξαπλώνεται μέσω συνημμένων HTML, που περιέχει όλα τα απαραίτητα για να δημιουργήσετε ένα εκτελέσιμο αρχείο, να το αποθηκεύσετε στον σκληρό σας δίσκο και μετά να το εκκινήσετε για εκτέλεση. Όταν ανοίγετε ένα συνημμένο HTML, το πρόγραμμα περιήγησης θα εκκινήσει και θα εκτελέσει την ενσωματωμένη JavaScript, η οποία θα δημιουργήσει ένα αυτόνομο αρχείο που ονομάζεται "Certificate of Incorporation.js".
Μόλις συνδεθεί, το θύμα θα δει πόσα bitcoin πρέπει να σταλούν ως λύτρα, καθώς και τη διεύθυνση Bitcoin του παραλήπτη. Αυτός ο ιστότοπος προσφέρει στο θύμα να αποκρυπτογραφήσει ένα αρχείο δωρεάν για να αποδείξει ότι η αποκρυπτογράφηση είναι πράγματι δυνατή.
Υπάρχει επίσης μια μίνι συνομιλία υποστήριξης, μέσω της οποίας το θύμα μπορεί να μιλήσει με τους προγραμματιστές του κακόβουλου λογισμικού. Μετά τη λήψη της πληρωμής, θα εμφανιστεί ένας σύνδεσμος για τη λήψη του αποκρυπτογραφητή.
Αρχεία που σχετίζονται με το Enigma Ransomware:
%Temp%\testtttt.txt
%AppData%\testStart.txt
%UserProfile%\Desktop\allfilefinds.dat
%UserProfile%\Desktop\enigma.hta
%UserProfile%\Desktop\ENIGMA_807.RSA
%UserProfile%\Desktop\enigma_encr.txt
%UserProfile%\Downloads\3b788cd6389faa6a3d14c17153f5ce86.exe
Εγγραφές μητρώου που σχετίζονται με το Enigma Ransomware:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgram.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MyProgramOk %UserProfile%\Desktop\enigma.hta
