Център за борба с компютърни вируси

В частност Ransomeware (криптиращ вирус искащ откуп)

Компютърен център за борба с вируси „ИЗТОК“ е тясно специализиран за противодействие на вируси и зловреден софтуер. Зловредния код ежедневно застрашават компютрите с Windows операционна с-ма. Компютърните вируси отдавна представляват трън в задника на всяка компютърна техника под Windows създател на който е компанията Майкрософт. Напоследък вирусите се превърнаха в огромен проблем поради свръх разпространението на рансамуер – криптиращи вируси искащи откуп в биткоин.

Какво представлява вируса наречен Рансамуер?

Рансъмуер е вид зловреден код, който спира и ограничава достъпа на потребителите до компютърната система, или заключва екрана на системата, или заключва файлове на потребителя чрез криптиране и иска откуп да бъде платен, за да предостави на потребителя ключ и декриптор. Съществуват множество модерни рансъмуер вариации, категоризирани като крипто-рансъмуер. Тези вируси криптират определени типове файлове в заразените системи като принуждават потребителите да платят откуп чрез определени тайни методи за разплащане, за  получаване на ключ за декриптиране.

Откуп, цени и начин на плащане

Цените за откупа варират в зависимост от рансъмуер вариантите и различните валути. Благодарение на анонимността чрез предлаганите услуги от cryptocurrencies, рансъмуер операторите обикновено определят откупа и търсят плащания в bitcoins. Последните рансъмуер варианти имат изброени алтернативни възможности за плащане,чрез Amazon подарък карти. Трябва да се отбележи обаче, че плащането на откупа на хакерите не гарантира, че потребителя непременно ще получи ключа за декриптиране или инструмента за отключване за да си възвърне достъпа до заразената система и заключените файлове.

Заразяване с Рансъмуер и поведение при заразяване

Потребителите могат да се сблъскат с тази заплаха по различни начини. Рансъмуер-а може да попадне в системата на Windows, когато без да иска потребителя посещава злонамерена и компрометирана страница в интернет. Когато кликнете някъде или опитате да изтеглите нещо, то може да съдържа зловреден софтуер. Някои рансъмуери е известно че се разпространяват под форма на прикачени файлове към нежелани съобщения имейл наречени още спам, изтеглени от злонамерени страници чрез malvertisements, или приложения комплекти инсталатори върху уязвими системи.

След като бъде изпълнен зловредния код в системата, рансъмуера може  да заключите екрана на компютъра, или в случай на крипто-рансъмуер, да криптира предварително определени файлове, според техните разширения. При първия сценарий се появява изображение на цял екран с уведомление на екрана на заразената система, която не позволява на жертвите да ползват системата. Този екран показва също инструкции за това как потребителя може да плати откупа. Вторият тип рансъмуер вирус не позволява достъп до файлове за потенциално критични или ценни файлове, като документи, електронни таблици, снимки. Криптират се лични файлове и папки (например, съдържанието на папката „Десктоп“ и „Моите документи“ – документи, електронни таблици, снимки, видео, музика, бази данни). Файловете се изтриват, след като са криптирани и обикновено в същата папка се появява текстов файл при вече недостъпните файловете с инструкции за плащане. Може да видите на екрана си заключване, но не всички варианти показват едно и също. Вместо това ще забележите проблем само, когато се опитате да отворите файловете си. При отваряне те ще дадат грешка. Много често в края на името на файла след оригиналното му разширение се появява допълнително разширение което се слага от вируса след криптиране. Този вид се нарича рансъмуер „файл Encryptor“. Така например, CryptoLocker е файл Encryptor.

Заключване на екрана на Windows

„Заключване“ на екрана (извежда снимка на екрана на компютъра, която блокира всички други прозорци с искане за плащане на откуп. Личните файлове не са криптирани. Този вид рансъмуер се нарича  „WinLocker“.

Налице е също така „MBR рансъмуер“. The Master Boot Record (MBR) е раздел на твърдия диск на компютъра, който позволява на операционната система да се зареди. MBR рансъмуер променя MBR на компютъра така, че нормалния процес на зареждане се прекъсва и вместо това на екрана се появява искане за откуп.

Кои операционни системи са податливи на този вид атака?

Както при много видове зловреден софтуер по-голямата част от рансъмуера е насочена към операционната система Microsoft Windows.

Кои са най-често срещани файлови екстенжъни в края на файла?

Примерни разширения, които се слагат от вирусите са: . .xyz, .aaa, .abc, .ccc, .vvv, .micro, ecc, .ezz, .exx, .zzz, .encrypted, .locked, .crypto, .xxx, .ttt, .mp3, _crypt, .crypt , .crypz, .cryp1 .crinf, .r5a, .good, .LOL!, .OMG!, .RDM, .XRNT, .XTBL,, .pzdc, .RRK, .toxcrypt, .magic,.crjoker, .0x0, .bleep, .1999, .vault, .SUPERCRYPT, .CTBL, .CTB2, .locky и други. Постоянно се появяват нови варианти.

Важно! Как да процедираме ако сме жертва на криптовирус?

В нашия център за борба с вируси сме помогнали на много хора, които са станали жертви на тези вируси и чиито важни файлове са били заключени от вирусите. С успех декриптираме по-голямата част от познатите до момента крипто вируси рансамуер. Ако сте пострадали от такъв вирус и не можете да отворите файловете си е най-добре да следвате следните инструкции:

1. Ако сте забелязали, че някои файлове не се отварят и дават грешка при отваряне свалете последната бета версия на Malwarebytes Antiransomeware от тук и я инсталирайте и активирайте на компютъра си. Тя автоматично ще сложи в карантина вируса, който активно криптира на вашата система и по този начин ще прекрати процеса на криптиране.
2. Проверете вида на вашия вирус, както и дали има декриптори за него. Това може да направите като използвате следната страница за идентифициране на вируса: ID RANSOMEWARE.
3. От същата страница ще може да разберете дали има надежда вашите файлове да бъдат възстановени чрез декриптиране.
4. Проверете също така дали компанията Trend Micro предлага декриптиране за вашия вирус от тук . Изтеглете декриптора и пробвайте да декриптирате файловете си.