Заражение компьютера вирусом-шифровальщиком WANNACASH и устранение последствий его деятельности

Случай с компьютером, зараженным вирусом-вымогателем wannacash. Как это повлияло на сохраненные данные? Файлы, зашифрованные программой-вымогателем, можно было восстановить | Overclockers.ru — крупнейший в России информационный сайт, посвященный компьютерам, мобильным устройствам, компьютерным играм, электромобилям и информационным технологиям.

Заражение компьютера вирусом-шифровальщиком WANNACASH и устранение последствий его деятельности

Некоторое время назад ко мне обратился знакомый (назовем его неуспешным пользователем) с большой проблемой на его компьютере. Скорее со своими данными, которые хранились на жестких дисках этого компьютера. Нет, эта статья не о поломке компонентов компьютера, а о невнимательности, невнимательности пользователей при использовании Интернета и вирусах, очевидно, компьютерных вирусах.

реклама

Для безопасности своего компьютера он использовал антивирус ESET NOD32 и активировал его с помощью пробных лицензионных ключей, которые он нашел в Интернете на различных сайтах, после того, как истек срок действия предыдущих ключей. И в один из хороших дней после истечения срока действия следующего ключа на одном из сайтов он скачал архив под названием «Ключи для ESET на 365 дней». Открыл архив, и ни о чем плохом не подумав, а надеясь только на лучшее, двойным щелчком левой кнопки мыши открыл этот злополучный файл. И да, этот файл открывался как обычный текстовый документ, в котором был указан лицензионный ключ, этот ключ у него нельзя было скопировать, он вводил вручную в поле ввода, но этот ключ действительно оказался недействительным. Вздохнув, неудачливый пользователь продолжал искать нужный ему ключ на огромных просторах Интернета. Но он не обратил внимания, когда открыл вышеупомянутый злополучный файл с расширением EXE».

И с этого момента его компьютер запустил удивительный процесс преобразования файлов с использованием алгоритма «AES-256-битное шифрование», а знаменитый ESET NOD32 вообще не среагировал. Но неудавшийся пользователь этого не заметил и занялся своей насущной проблемой, потом еще и еще. Пока его внимание не было обращено на появившийся из ниоткуда на рабочем столе текстовый файл под названием «Как расшифровать .txt файлы», содержащий запросы злоумышленников.

реклама

Он открыл его, прочитал, спросил жену, не шутит ли она. И когда я проверил свои папки с фотографиями и документами и увидел, что произошло, ноги у меня подкосились.

реклама

После того, как я связался со мной, я сначала спросил его, делал ли он резервную копию данных. На что он посмотрел на меня с изумлением. Затем я спросил, сделал ли он архивную копию своих данных. На что он ответил, что если бы он сделал копию, он бы не связался со мной.

Прежде всего, необходимо было удалить вирус из системы (пожалуй, это единственное, что можно было сделать эффективно). Скачал подходящий сканер Kaspersky Virus Removal Tool).

реклама

Он провел сканирование, и вирус был обнаружен и успешно удален.

Я перезагрузил систему, снова просканировал, и вирус исчез. Первая задача выполнена.

Следующей задачей было восстановление данных. Прежде всего, я пробовал различные программы для восстановления данных (r-studio, hetman partition recovery, recuva и другие, не буду перечислять их все), чтобы это сделать. Я надеялся, что в процессе шифрования зашифрованные файлы не будут перезаписывать исходные файлы на жестком диске или, по крайней мере, значительная их часть не будет перезаписана. Но нет, почти все исходные файлы были перезаписаны зашифрованными (как будто вирус специально записал зашифрованные файлы поверх исходных). Таким образом, мы смогли восстановить около 1% файлов, не представляющих никакой ценности для их владельца. Надежда на то, что у зашифрованных архивов есть простой пароль, очень быстро исчезла. Попытка угадать пароль с помощью Advanced Archive Password Recovery не удалась.

Пришлось обратиться за помощью в антивирусную лабораторию. Я начал с «Лаборатории Касперского», обратился к ним с просьбой и описанием проблемы, они попросили прислать им несколько зашифрованных файлов, соответствующих их исходным файлам (несколько незашифрованных файлов были найдены в электронном письме владельца и были загружены оттуда) и тело вируса. Все это было отправлено им, и от них последовал неутешительный ответ.

Затем я пошел в антивирусную лабораторию ESET, где, помимо прочего, они также попросили у меня данные лицензии на их продукт, которых там не было. И, узнав об их отсутствии, отказались от продолжения диалога.

Следующий звонок был в техподдержку «Доктор Веб», где сразу попросили заплатить.

Ну потому что я все это рассказываю. И к тому, что многие пользователи, зная об угрозе заражения своих компьютеров и возможности необратимой потери данных, а в конечном итоге и возможного выхода из строя своих жестких дисков, по-прежнему небрежно относятся к надежности своих данных и не делают резервных копий. И они не хотят учиться на чужих ошибках, а предпочитают все проверять сами. Теперь герою этой статьи предстоит принять решение об оплате услуг по расшифровке своих файлов, если это возможно.

И я хочу напомнить пользователям об элементарных и эффективных мерах по обеспечению безопасности их данных. Это создает архивные копии своих данных.

Какой носитель является наиболее надежным для хранения данных — тема отдельной статьи. Здесь я просто поделюсь, как реализую архивирование архивных копий моих данных и здесь нет ничего нового. Я храню свои резервные копии на внешнем жестком диске (т.е. HDD, а не SSD).

Надеюсь, моя статья будет вам полезна. Как вы храните свои данные? А что ты об этом думаешь? Напишите в комментариях.

Несмотря на то, что многие пользователи скептически относятся к антивирусу и считают, что никогда не заразятся «заразой», количество вредоносных программ с каждым годом растет. И если раньше они только причиняли боль, то теперь им нужны ваши деньги, ваши счета и ваши ИТ-ресурсы. | Overclockers.ru — крупнейший в России информационный сайт, посвященный компьютерам, мобильным устройствам, компьютерным играм, электромобилям и информационным технологиям.

Первый шаг — обезопасить свои электронные кошельки

Для этого вам необходимо использовать надежные пароли, двухфакторную аутентификацию и не хранить пароли в браузере.

Почему бы вам не хранить важные пароли в своем браузере? В блоге «Полезные секреты Mozilla Firefox: работа с сотнями вкладок, сохранение в PDF, резервное копирование и восстановление» я писал о простой программе MozBackup, которая делает снимок браузера, открывая его на новом компьютере или после переустановки Windows.

Точно так же вредоносное ПО, попадающее на ваш компьютер, может получить доступ к вашим электронным кошелькам, почте и социальным сетям, минуя двухфакторную аутентификацию.

Поэтому пароли нужно хранить в памяти, в диспетчере паролей или даже в сжатом текстовом файле в архиве с паролем.

Второй шаг: убедитесь, что вы используете антивирус

Компьютерный вирус — компьютерный вирус Компьютерный вирус — это тип компьютерной программы, которая при запуске размножается, изменяя другие компьютерные программы и

Дизайн

Запчасти

Допустимый компьютерный вирус должен содержать процедуру поиска, которая обнаруживает новые файлы или новые диски, которые являются полезными целями для заражения. Во-вторых, каждый компьютерный вирус должен содержать подпрограмму для копирования себя в программу, обнаруженную подпрограммой поиска. Три основных части вируса:

Механизм заражения Также называемый вектором инфекции, это способ распространения или размножения вируса. У вирусов обычно есть процедура сканирования, которая обнаруживает новые файлы или новые диски, которые нужно заразить. Триггер Также известная как логическая бомба, это скомпилированная версия, которая может быть запущена в любое время в исполняемом файле при запуске вируса, который определяет событие или условие для запуска или доставки вредоносной полезной нагрузки, такой как конкретная дата, конкретная время, конкретное присутствие другой программы, емкость диска превышает определенный предел или двойной щелчок, который открывает определенный файл. Полезная нагрузка «Полезная нагрузка» — это фактическое тело или данные, которые служат злонамеренным целям вируса. Активность полезной нагрузки может быть очевидной (например, потому что она замедляет или «замораживает» систему), поскольку большую часть времени «полезная нагрузка» сама по себе является вредоносной или иногда неразрушающей, но распространяющейся активностью, называемой вирусом розыгрыша .

Стадии вируса — это жизненный цикл компьютерного вируса, описываемый по аналогии с биологией. Этот жизненный цикл можно разделить на четыре фазы:

Фаза приостановки На этом этапе антивирусная программа неактивна. Антивирусная программа смогла получить доступ к компьютеру или программному обеспечению целевого пользователя, но на этом этапе вирус не вмешивается. В конечном итоге вирус будет активирован «триггером», который указывает, какое событие вызовет запуск вируса. Не у всех вирусов есть эта стадия. Стадия распространения Вирус начинает распространяться, множится и размножается. Вирус размещает свою копию в других программах или в определенных областях системы на диске. Копия может не соответствовать распространяемой версии; Вирусы часто «оптимизируются» или модифицируются, чтобы избежать обнаружения компьютером и антивирусным программным обеспечением. Каждая зараженная программа теперь будет содержать клон вируса, который, в свою очередь, войдет в фазу распространения. Фаза активации Спящий вирус переходит в эту фазу после активации и теперь будет выполнять функцию, для которой он был предназначен. Фаза загрузки может быть инициирована серией системных событий, включая подсчет количества копий самой копии вируса. Триггер может сработать, когда сотрудник увольняется с работы или по прошествии определенного времени, чтобы уменьшить подозрения. Фаза выполнения Это реальная работа вируса, по которой будет выпущена «полезная нагрузка». Это может быть разрушительным, например, удаление файлов на диске, сбой или повреждение файлов, или относительно безобидным, например, отображение на экране юмористических или политических сообщений.

Реферат по теме: Антивирусные программы в информатике

Антивирусное программное обеспечение

Для обнаружения, удаления и защиты от компьютерных вирусов были разработаны специальные программы для обнаружения и уничтожения вирусов. Такие программы называются антивирусными программами. Современные антивирусные программы — это многофункциональные продукты, сочетающие профилактические и профилактические меры, а также лечение от вирусов и восстановление данных.

Количество и разнообразие вирусов велико, и для их быстрого и эффективного обнаружения антивирусная программа должна соответствовать определенным параметрам.

Стабильность и надежность работы. Этот параметр, несомненно, важен: даже лучшая антивирусная программа совершенно бесполезна, если она не работает должным образом на вашем компьютере, если ваш компьютер не завершает сканирование из-за неисправной программы. Так что всегда возможно, что некоторые зараженные файлы останутся незамеченными.

Размер вирусной базы программы (количество вирусов, успешно обнаруженных программой). В связи с постоянным появлением новых вирусов базу данных необходимо регулярно обновлять: что хорошего в программе, которая не видит половину новых вирусов и тем самым создает ложное ощущение «чистого» компьютера. Также необходимо учитывать способность программы обнаруживать разные типы вирусов и возможность работы с файлами разного типа (архивы, документы). Также важно иметь локальный монитор, который обрабатывает все новые файлы на лету (т.е автоматически по мере их записи на диск).

Скорость выполнения программы, наличие дополнительных функций, таких как алгоритмы обнаружения даже неизвестных программных вирусов (эвристическое сканирование). Сюда входит возможность восстанавливать зараженные файлы, не удаляя их с жесткого диска, а только удаляя с них вирусы. Также важна частота ложноположительных результатов программы (неверное определение вируса в «чистом» файле).

Мультиплатформенность (наличие версий ПО для различных операционных систем). Если антивирус используется только дома, на компьютере, этот параметр, конечно, не очень важен. Но в этом случае антивирусная защита для крупной организации просто должна поддерживать все распространенные операционные системы. Также при работе в сети важно иметь серверные функции, предназначенные для административной работы, а также возможность работы с различными типами серверов.

В 2020 году в результате кибератаки впервые погиб человек. Мог ли математик Джон фон Нейман, описавший вирусные программы в 1949 году, вообразить такое? КШ проследил эволюционную историю вредоносных программ до наших дней

Что дальше?

Вредоносные и полезные программы разделяют общий эволюционный путь. Легко представить вирусы, которые заменят рекламу в очках дополненной реальности или взломают нейронные интерфейсы. Физический и виртуальный миры связаны через системы умного дома и умного города. Они подключены к сети и очень плохо обновляются. Поэтому нет ничего фантастического в предположении, что вредоносные программы могут намеренно убивать людей, влиять на результаты выборов, вызывать несчастные случаи или даже вызывать войны. Чем больше мы перемещаем программный код, делая нашу жизнь проще и комфортнее, тем больше возможностей открывается для вредоносного кода.