Самые популярные вирусы-вымогатели: как бесплатно вернуть доступ к файлам

8 декабря 2018, 14:04
Читати новину українською

Программы-вымогатели становятся все более популярными среди злоумышленников. Такие вирусы блокируют доступ к файлам на компьютере и требуют выкуп за код расшифровки. Однако есть 4 бесплатные программы, которые позволят вам вернуть свои файлы и не попасть на крючок к хакерам.

Существует четыре бесплатных инструмента для удаления программ-вымогателей и дешифрования файлов: Alcatraz Locker, CrySiS, Globe и NoobCrypt. Эти инструменты могут помочь вам удалить вирус-шифровальщик и разблокировать файлы. Утилиты постоянно обновляются по мере развития перечисленных видов угроз.

Читайте также: Украинский хакер инфицировал тысячи компьютеров в 50 странах: как защититься от атаки

Alcatraz

Alcatraz Locker – программа-вымогатель, впервые обнаружена в середине ноября 2016 года. Файлы, заблокированные ею, имеют расширение .Alcatraz. Когда они зашифрованы, появляется подобное сообщение, которое расположено в файле ransomed.html на рабочем столе зараженного компьютера.


Вирус-вымогатель Alcatraz Locker

В отличие от большинства видов шифровальщиков, программа Alcatraz не имеет заданного списка расширений файлов, на которые она направлена. Другими словами, программа шифрует все, что может. Чтобы предотвратить нанесение вреда операционной системе, Alcatraz Locker шифрует только файлы в каталоге% PROFILES% (обычно C: \ Users).

Вымогатель шифрует файлы, используя встроенные функции Windows (API-интерфейс шифрования).

Согласно сообщению шифровальщика, единственным способом вернуть свои данные являются выплата 0,3283 биткоинив (около $ 1100 на момент написания статьи). К слову, существование 30-дневного ограничения, о котором идет речь в сообщении с требованием денег – еще один обман: расшифровать свои документы можно в любое время, даже через 30 дней.

CrySiS

Программа CrySiS (известная также как JohnyCryptor и Virus-Encode) известна с сентября 2015 года. Использует сильные алгоритмы шифрования AES и RSA. Также особенность заключается в том, что она содержит список файловых расширений, которые не подвергаются блокированию.

Заблокированные файлы выглядят следующим образом: <оригинальная-имя-файла> .id- <номер>. . <Расширение>.

Хотя идентификационный номер и адрес электронной почты меняются довольно часто, есть только три различных имени расширений, которые используются до сих пор: .xtbl, .lock и .CrySiS.

Читайте также: Ненадежный защита: сканер отпечатков пальцев в смартфонах можно с легкостью обмануть

В результате имена зашифрованных файлов могут выглядеть так:

  • .johnycryptor@hackermail.com.xtbl

  • .systemdown@india.com.xtbl,

  • .Vegclass@aol.com.xtbl,

  • .{funa@india.com}.lock

  • {milarepa.lotos@aol.com}.CrySiS

После блокировки этих файлов программа-вымогатель появляется сообщение, расположенное ниже, описывающее способ возврата доступа к зашифрованным данным.

Сообщение о выкупе файлов от CrySiS

Globe

Данная программа, которая существует примерно с августа 2016 года, написанная на языке Delphi и обычно упакована UPX. Некоторые варианты также упакованы с помощью инсталлятора Nullsoft.

В распакованном бинарном виде программа представляет собой глобальный интерфейс "настройки", в которой автор вымогателя может вносить некоторые изменения в ее характеристики.

Так как злоумышленники могут изменять программу, мы столкнулись с множеством различных вариантов создания зашифрованных файлов с различными расширениями.

Читайте также: Ваши деньги в опасности: большинство банкоматов оказались уязвимыми

Вирус блокирует файлы с помощью алгоритмов RC4 или BlowFish. Когда программа-вымогатель настроена на шифрование имен файлов, она выполняет его с помощью того же алгоритма, который использовался в отношении самого файла. Затем название шифруется с помощью собственной реализации кодирования Base64.

Как правило, данная программа-вымогатель создает файлы с именем "Read Me Please.hta" или "How to restore files.hta", которое отображается после входа пользователя в систему.

NoobCrypt

NoobCrypt, который я открыл летом 2016 года, написанный на языке C # и использует алгоритм шифрования AES256. Программа имеет графический интерфейс, который запоминается и отображается после блокировки доступа к файлам.

Данный экран с требованием выкупа – странная смесь сообщений. Например, он требует выплатить определенную сумму в долларах Новой Зеландии (NZD), но средства предлагает перевести на адрес в системе Bitcoin. В то же время текст с гордостью заявляет, что программа "создана в Румынии". Странное сочетание.

Программа NoobCrypt

Чтобы расшифровать файлы, программа NoobCrypt предлагает "код разблокировки", который необходимо купить. В Twitter мной были опубликованы бесплатные ключи для удаления всех известных версий NoobCrypt. Однако определять, какой из них следует использовать, приходилось вручную. Благодаря инструмента для дешифровки вам уже не придется гадать, какой код нужно применить.

Автор: Jakub Křoustek

Джерело: Avast

Больше новостей, касающиеся событий из мира технологий, гаджетов, искусственного интеллекта, а также космоса читайте в разделе Техно