فك تشفير الملف. الجميع سعداء، النهاية

04.06.2019

حقيقة أن الإنترنت مليء بالفيروسات لا تفاجئ أحداً اليوم. يدرك العديد من المستخدمين المواقف المتعلقة بتأثيرهم على الأنظمة أو البيانات الشخصية، بعبارة ملطفة، ويغضون الطرف، ولكن فقط حتى يسيطر فيروس الفدية على النظام على وجه التحديد. لا يعرف معظم المستخدمين العاديين كيفية تطهير وفك تشفير البيانات المخزنة على القرص الصلب. ولذلك، فإن هذه الوحدة "تقاد" للمطالب التي يطرحها المهاجمون. ولكن دعونا نرى ما يمكن فعله إذا تم اكتشاف مثل هذا التهديد أو منعه من دخول النظام.

ما هو فيروس الفدية؟

يستخدم هذا النوع من التهديدات خوارزميات تشفير الملفات القياسية وغير القياسية التي تغير محتوياتها بالكامل وتمنع الوصول إليها. على سبيل المثال، سيكون من المستحيل تمامًا فتح ملف نصي مشفر للقراءة أو التحرير، وكذلك تشغيل محتوى الوسائط المتعددة (الرسومات أو الفيديو أو الصوت) بعد التعرض للفيروس. حتى الإجراءات القياسية لنسخ الكائنات أو نقلها غير متوفرة.

يعد برنامج الفيروسات في حد ذاته أداة تقوم بتشفير البيانات بحيث لا يكون من الممكن دائمًا استعادة حالتها الأصلية حتى بعد إزالة التهديد من النظام. عادة، تقوم هذه البرامج الضارة بإنشاء نسخ من نفسها وتستقر بشكل عميق في النظام، لذلك قد يكون من المستحيل تمامًا إزالة فيروس تشفير الملفات. من خلال إلغاء تثبيت البرنامج الرئيسي أو حذف الجسم الرئيسي للفيروس، لا يتخلص المستخدم من التهديد، ناهيك عن استعادة المعلومات المشفرة.

كيف يدخل التهديد إلى النظام؟

كقاعدة عامة، تستهدف التهديدات من هذا النوع في الغالب الهياكل التجارية الكبيرة ويمكن أن تخترق أجهزة الكمبيوتر من خلال برامج البريد الإلكتروني عندما يفتح الموظف مستندًا من المفترض أنه مرفق في رسالة بريد إلكتروني، وهو، على سبيل المثال، ملحق لنوع ما من اتفاقية التعاون أو توريد المنتج الخطة (العروض التجارية باستثمارات من مصادر مشبوهة هي الطريق الأول للفيروس).

تكمن المشكلة في أن فيروس برنامج الفدية الموجود على جهاز يمكنه الوصول إلى شبكة محلية قادر على التكيف معه، وإنشاء نسخه الخاصة ليس فقط في بيئة الشبكة، ولكن أيضًا على محطة المسؤول، إذا لم يكن لديه الوسائل اللازمة الحماية في شكل برامج مكافحة الفيروسات أو جدار الحماية أو جدار الحماية.

في بعض الأحيان، يمكن لمثل هذه التهديدات اختراق أنظمة الكمبيوتر الخاصة بالمستخدمين العاديين، والتي لا تهم المهاجمين بشكل عام. يحدث هذا أثناء تثبيت بعض البرامج التي تم تنزيلها من موارد الإنترنت المشكوك فيها. يتجاهل العديد من المستخدمين تحذيرات نظام الحماية من الفيروسات عند بدء التنزيل، وأثناء عملية التثبيت لا ينتبهون إلى عروض تثبيت برامج أو لوحات أو مكونات إضافية للمتصفح، ثم، كما يقولون، يعضون المرفقين.

أنواع الفيروسات وقليل من التاريخ

بشكل عام، لا يتم تصنيف التهديدات من هذا النوع، ولا سيما فيروس الفدية الأكثر خطورة No_more_ransom، على أنها أدوات لتشفير البيانات أو منع الوصول إليها فقط. في الواقع، تندرج جميع هذه التطبيقات الضارة ضمن فئة برامج الفدية. بمعنى آخر، يطلب المهاجمون رشوة معينة مقابل فك تشفير المعلومات، معتقدين أنه بدون البرنامج الأولي سيكون من المستحيل تنفيذ هذه العملية. وهذا صحيح جزئيا.

ولكن، إذا قمت بالحفر في التاريخ، فستلاحظ أن أحد الفيروسات الأولى من هذا النوع، على الرغم من أنها لم تتطلب أموالاً، كان برنامج I Love You الصغير سيئ السمعة، والذي قام بتشفير ملفات الوسائط المتعددة بالكامل (مسارات الموسيقى بشكل أساسي) على أنظمة المستخدم . تبين أن فك تشفير الملفات بعد فيروس الفدية أمر مستحيل في ذلك الوقت. الآن هذا التهديد بالتحديد هو الذي يمكن محاربته بطريقة أولية.

لكن تطوير الفيروسات نفسها أو خوارزميات التشفير المستخدمة لا يزال قائما. ما هو موجود بين الفيروسات - هنا لديك XTBL، وCBF، وBreaking_Bad، و [البريد الإلكتروني محمي]، وحفنة من حماقة أخرى.

طريقة التأثير على ملفات المستخدم

وإذا تم تنفيذ معظم الهجمات حتى وقت قريب باستخدام خوارزميات RSA-1024 المستندة إلى تشفير AES بنفس عمق البت، فإن نفس فيروس الفدية No_more_ransom يتم تقديمه الآن في عدة تفسيرات باستخدام مفاتيح التشفير المستندة إلى تقنيات RSA-2048 وحتى RSA-3072.

مشاكل فك الخوارزميات المستخدمة

المشكلة هي أن أنظمة فك التشفير الحديثة كانت عاجزة في مواجهة مثل هذا الخطر. لا يزال فك تشفير الملفات بعد فيروس الفدية المستند إلى AES256 مدعومًا إلى حد ما، ولكن نظرًا لعمق البت الأعلى للمفتاح، فإن جميع المطورين تقريبًا يهزون أكتافهم ببساطة. وهذا، بالمناسبة، تم تأكيده رسميًا من قبل متخصصين من Kaspersky Lab وEset.

في الإصدار الأكثر بدائية، يُطلب من المستخدم الذي يتصل بخدمة الدعم إرسال ملف مشفر وأصله للمقارنة وإجراء مزيد من العمليات لتحديد خوارزمية التشفير وطرق الاسترداد. ولكن، كقاعدة عامة، في معظم الحالات، لا يؤدي هذا إلى نتائج. لكن يُعتقد أن فيروس التشفير يمكنه فك تشفير الملفات بنفسه، بشرط موافقة الضحية على شروط المهاجمين ودفع مبلغ معين نقدًا. ومع ذلك، فإن صياغة السؤال هذه تثير شكوكا مشروعة. وهذا هو السبب.

فيروس التشفير: كيفية تطهير الملفات وفك تشفيرها وهل يمكن القيام بذلك؟

يُزعم أنه بعد الدفع، يقوم المتسللون بتنشيط فك التشفير من خلال الوصول عن بعد إلى فيروسهم الموجود على النظام، أو من خلال برنامج صغير إضافي إذا تم حذف جسم الفيروس. وهذا يبدو أكثر من مشكوك فيه.

وأود أيضًا أن أشير إلى أن الإنترنت مليء بالمشاركات المزيفة التي تدعي أنه تم دفع المبلغ المطلوب واستعادة البيانات بنجاح. كل هذا كذبة! والحقيقة - أين هو الضمان أنه بعد الدفع لن يتم تنشيط فيروس التشفير مرة أخرى في النظام؟ ليس من الصعب فهم سيكولوجية اللصوص: ادفع مرة واحدة، وادفع مرة أخرى. وإذا كنا نتحدث عن معلومات مهمة بشكل خاص، مثل تطورات تجارية أو علمية أو عسكرية محددة، فإن أصحاب هذه المعلومات على استعداد لدفع ما يريدون لضمان بقاء الملفات آمنة وسليمة.

العلاج الأول للقضاء على التهديد

هذه هي طبيعة فيروس التشفير. كيفية تطهير وفك تشفير الملفات بعد التعرض للتهديد؟ بأي حال من الأحوال، إذا لم تكن هناك وسائل متاحة، والتي لا تساعد دائما. لكن انت تستطيع المحاولة.

لنفترض أن فيروس الفدية قد ظهر في النظام. كيفية علاج الملفات المصابة؟ أولاً، يجب عليك إجراء فحص متعمق للنظام دون استخدام تقنية S.M.A.R.T، التي تكتشف التهديدات فقط عند تلف قطاعات التمهيد وملفات النظام.

يُنصح بعدم استخدام ماسح ضوئي قياسي موجود، والذي فاته التهديد بالفعل، ولكن يُنصح باستخدام الأدوات المساعدة المحمولة. سيكون الخيار الأفضل هو التمهيد من Kaspersky Rescue Disk، والذي يمكن أن يبدأ حتى قبل بدء تشغيل نظام التشغيل.

ولكن هذا ليس سوى نصف المعركة، لأنه بهذه الطريقة يمكنك فقط التخلص من الفيروس نفسه. ولكن مع وحدة فك التشفير سيكون الأمر أكثر صعوبة. ولكن أكثر عن ذلك لاحقا.

هناك فئة أخرى تقع ضمنها فيروسات برامج الفدية. سيتم مناقشة كيفية فك تشفير المعلومات بشكل منفصل، ولكن الآن دعونا نركز على حقيقة أنها يمكن أن تكون موجودة بشكل مفتوح تمامًا في النظام في شكل برامج وتطبيقات مثبتة رسميًا (وقاحة المهاجمين لا تعرف حدودًا، لأن التهديد لا يوجد حتى حاول إخفاء نفسه).

في هذه الحالة، يجب عليك استخدام قسم البرامج والميزات، حيث يتم إجراء عملية إلغاء التثبيت القياسية. ومع ذلك، عليك الانتباه إلى حقيقة أن برنامج إلغاء التثبيت القياسي لأنظمة Windows لا يحذف جميع ملفات البرنامج بالكامل. على وجه الخصوص، فإن فيروس Ransom Ransom قادر على إنشاء مجلداته الخاصة في الدلائل الجذرية للنظام (عادةً أدلة Csrss، حيث يوجد الملف القابل للتنفيذ الذي يحمل نفس الاسم csrss.exe). يتم تحديد أدلة Windows أو System32 أو المستخدم (المستخدمون على محرك أقراص النظام) كموقع رئيسي.

بالإضافة إلى ذلك، يكتب فيروس الفدية No_more_ransom مفاتيحه الخاصة في السجل في شكل رابط، على ما يبدو إلى خدمة النظام الفرعي Client Server Runtime Subsystem الرسمية، الأمر الذي يضلل الكثيرين، حيث يجب أن تكون هذه الخدمة مسؤولة عن تفاعل برنامج العميل والخادم . المفتاح نفسه موجود في مجلد التشغيل، والذي يمكن الوصول إليه من خلال فرع HKLM. من الواضح أن هذه المفاتيح ستحتاج إلى حذفها يدويًا.

لتسهيل الأمر، يمكنك استخدام أدوات مساعدة مثل iObit Uninstaller، التي تبحث عن الملفات المتبقية ومفاتيح التسجيل تلقائيًا (ولكن فقط إذا كان الفيروس مرئيًا على النظام كتطبيق مثبت). ولكن هذا هو أبسط شيء يمكنك القيام به.

الحلول المقدمة من مطوري برامج مكافحة الفيروسات

يُعتقد أن فك تشفير فيروس برامج الفدية يمكن أن يتم باستخدام أدوات مساعدة خاصة، على الرغم من أنه إذا كان لديك تقنيات بمفتاح 2048 أو 3072 بت، فلا يجب أن تعتمد عليها حقًا (بالإضافة إلى ذلك، يقوم العديد منهم بحذف الملفات بعد فك التشفير، ومن ثم تختفي الملفات المستردة بسبب وجود جسم فيروس لم تتم إزالته من قبل).

ومع ذلك، يمكنك أن تجرب. من بين جميع البرامج، يجدر تسليط الضوء على RectorDecryptor وShadowExplorer. ويعتقد أنه لم يتم إنشاء شيء أفضل بعد. ولكن قد تكون المشكلة أيضًا أنه عند محاولة استخدام برنامج فك التشفير، ليس هناك ما يضمن عدم حذف الملفات التي يتم معالجتها. أي أنه إذا لم تتخلص من الفيروس في البداية، فإن أي محاولة لفك التشفير سيكون مصيرها الفشل.

بالإضافة إلى حذف المعلومات المشفرة، قد تكون هناك أيضًا نتيجة قاتلة - سيكون النظام بأكمله غير صالح للعمل. بالإضافة إلى ذلك، يمكن لفيروس التشفير الحديث أن يؤثر ليس فقط على البيانات المخزنة على القرص الصلب لجهاز الكمبيوتر، ولكن أيضًا على الملفات الموجودة في التخزين السحابي. ولكن لا توجد حلول لاستعادة البيانات. بالإضافة إلى ذلك، كما اتضح، تتخذ العديد من الخدمات تدابير حماية فعالة غير كافية (نفس OneDrive المدمج في نظام التشغيل Windows 10، والذي يتعرض مباشرة من نظام التشغيل).

حل جذري للمشكلة

وكما هو واضح فإن أغلب الطرق الحديثة لا تعطي نتيجة إيجابية عند الإصابة بمثل هذه الفيروسات. بالطبع، إذا كان لديك النسخة الأصلية من الملف التالف، فيمكن إرسالها للفحص إلى مختبر مكافحة الفيروسات. صحيح أن هناك أيضًا شكوكًا خطيرة جدًا حول حقيقة أن المستخدم العادي سيقوم بإنشاء نسخ احتياطية من البيانات، والتي يمكن أن تتعرض أيضًا لتعليمات برمجية ضارة عند تخزينها على القرص الصلب. وحقيقة أنه من أجل تجنب المشاكل، يقوم المستخدمون بنسخ المعلومات إلى الوسائط القابلة للإزالة، لا يتم مناقشتها على الإطلاق.

وبالتالي، لحل المشكلة بشكل جذري، يقترح الاستنتاج نفسه: التنسيق الكامل للقرص الصلب وجميع الأقسام المنطقية مع إزالة المعلومات. اذا مالعمل؟ سيتعين عليك التضحية إذا كنت لا تريد تنشيط الفيروس أو نسخته المحفوظة ذاتيًا في النظام مرة أخرى.

للقيام بذلك، لا تستخدم أدوات أنظمة Windows نفسها (وهذا يعني تنسيق الأقسام الافتراضية، لأنه إذا حاولت الوصول إلى قرص النظام، فسيتم إصدار حظر). من الأفضل التمهيد من الوسائط الضوئية مثل LiveCD أو توزيعات التثبيت، مثل تلك التي تم إنشاؤها باستخدام Media Creation Tool لنظام التشغيل Windows 10.

قبل البدء في التنسيق، إذا تمت إزالة الفيروس من النظام، يمكنك محاولة استعادة سلامة مكونات النظام من خلال سطر الأوامر (sfc /scannow)، ولكن لن يكون لذلك أي تأثير من حيث فك تشفير البيانات وفتحها. لذلك فإن التنسيق c: هو الحل الصحيح الوحيد الممكن، سواء أعجبك ذلك أم لا. هذه هي الطريقة الوحيدة للتخلص تمامًا من التهديدات من هذا النوع. للأسف، ليس هناك طريقة أخرى! حتى العلاج بالعلاجات القياسية التي تقدمها معظم حزم مكافحة الفيروسات تبين أنه لا حول له ولا قوة.

بدلا من الكلمة الختامية

فيما يتعلق بالاستنتاجات الواضحة، لا يسعنا إلا أن نقول إنه لا يوجد حل واحد وعالمي للقضاء على عواقب هذا النوع من التهديد اليوم (محزن، ولكنه حقيقي - وهذا ما أكده غالبية مطوري وخبراء برامج مكافحة الفيروسات في مجال التشفير).

ويظل من غير الواضح سبب ظهور خوارزميات تعتمد على تشفير 1024 و2048 و3072 بت، وتم تمريرها من قبل المشاركين بشكل مباشر في تطوير وتنفيذ مثل هذه التقنيات؟ في الواقع، تعتبر خوارزمية AES256 اليوم هي الأكثر واعدة والأكثر أمانا. يلاحظ! 256! وتبين أن هذا النظام لا يضاهي الفيروسات الحديثة. ماذا يمكننا أن نقول إذن عن محاولات فك تشفير مفاتيحهم؟

مهما كان الأمر، فإن تجنب إدخال تهديد إلى النظام أمر بسيط للغاية. في أبسط إصدار، يجب عليك فحص جميع الرسائل الواردة التي تحتوي على مرفقات في Outlook وThunderbird وعملاء البريد الإلكتروني الآخرين باستخدام برنامج مكافحة الفيروسات فور استلامها، ولا تفتح المرفقات تحت أي ظرف من الظروف حتى اكتمال الفحص. يجب عليك أيضًا قراءة الاقتراحات الخاصة بتثبيت برامج إضافية بعناية عند تثبيت بعض البرامج (عادةً ما تكون مكتوبة بخط صغير جدًا أو متخفية كوظائف إضافية قياسية مثل تحديث Flash Player أو أي شيء آخر). من الأفضل تحديث مكونات الوسائط المتعددة من خلال المواقع الرسمية. هذه هي الطريقة الوحيدة لمنع مثل هذه التهديدات بطريقة ما على الأقل من اختراق نظامك. يمكن أن تكون العواقب غير متوقعة تمامًا، نظرًا لأن الفيروسات من هذا النوع تنتشر على الفور على الشبكة المحلية. وبالنسبة للشركة، فإن مثل هذا التحول في الأحداث يمكن أن يؤدي إلى انهيار حقيقي لجميع المساعي.

وأخيرا، لا ينبغي لمسؤول النظام أن يبقى خاملا. من الأفضل استبعاد أدوات حماية البرامج في مثل هذه الحالة. لا ينبغي أن يكون جدار الحماية نفسه (جدار الحماية) برنامجًا، بل يجب أن يكون "جهازًا" (بطبيعة الحال، مع وجود برنامج مصاحب على متنه). وغني عن القول أنه لا ينبغي عليك أن تبخل بشراء حزم مكافحة الفيروسات أيضًا. من الأفضل شراء حزمة مرخصة بدلاً من تثبيت البرامج البدائية التي من المفترض أنها توفر الحماية في الوقت الفعلي فقط وفقًا للمطور.

وإذا كان هناك تهديد قد اخترق النظام بالفعل، فيجب أن يتضمن تسلسل الإجراءات إزالة جسم الفيروس نفسه، وعندها فقط محاولة فك تشفير البيانات التالفة. من الناحية المثالية، تنسيق كامل (ملاحظة، ليس سريعًا مع مسح جدول المحتويات، ولكنه كامل، ويفضل أن يكون ذلك مع استعادة أو استبدال نظام الملفات وقطاعات التمهيد والسجلات الموجودة).

عدد الفيروسات بمعناه المعتاد أصبح أقل فأقل، والسبب في ذلك هو مضادات الفيروسات المجانية التي تعمل بشكل جيد وتحمي أجهزة الكمبيوتر الخاصة بالمستخدمين. في الوقت نفسه، لا يهتم الجميع بأمان بياناتهم، ويخاطرون بالإصابة ليس فقط بالبرامج الضارة، ولكن أيضًا بالفيروسات القياسية، ومن بينها فيروس طروادة الأكثر شيوعًا. يمكن أن يظهر بعدة طرق، ولكن أحد أخطرها هو تشفير الملفات. إذا كان هناك فيروس يحتوي على ملفات مشفرة على جهاز الكمبيوتر الخاص بك، فليس من المضمون أنك ستتمكن من استعادة البيانات، ولكن هناك بعض الطرق الفعالة، وسيتم مناقشتها أدناه.

فيروس التشفير: ما هو وكيف يعمل

يمكنك العثور على الإنترنت على مئات الأنواع من الفيروسات التي تقوم بتشفير الملفات. تؤدي أفعالهم إلى نتيجة واحدة - تتلقى بيانات المستخدم الموجودة على الكمبيوتر تنسيقًا غير معروف لا يمكن فتحه باستخدام البرامج القياسية. فيما يلي بعض التنسيقات التي يمكن تشفير البيانات الموجودة على جهاز الكمبيوتر بها نتيجة للفيروسات: .locked، .xtbl، .kraken، .cbf، .oshit وغيرها الكثير. في بعض الحالات، يتم كتابة عنوان البريد الإلكتروني لمنشئي الفيروسات مباشرة في امتداد الملف.

ومن بين الفيروسات الأكثر شيوعًا التي تقوم بتشفير الملفات Trojan-Ransom.Win32.Auraو Trojan-Ransom.Win32.Rakhni. إنها تأتي بأشكال عديدة، وقد لا يُطلق على الفيروس اسم Trojan (على سبيل المثال، CryptoLocker)، لكن أفعالها هي نفسها عمليًا. يتم إصدار إصدارات جديدة من فيروسات التشفير بانتظام لتجعل من الصعب على منشئي تطبيقات مكافحة الفيروسات التعامل مع التنسيقات الجديدة.

إذا اخترق فيروس التشفير جهاز كمبيوتر، فمن المؤكد أنه سيظهر نفسه ليس فقط من خلال حظر الملفات، ولكن أيضًا من خلال عرض على المستخدم فتحها مقابل رسوم مالية. قد يظهر شعار على الشاشة يخبرك بالمكان الذي تحتاج فيه إلى تحويل الأموال لفتح الملفات. عندما لا يظهر مثل هذا الشعار، يجب عليك البحث عن "رسالة" من مطوري الفيروسات على سطح المكتب لديك؛ وفي معظم الحالات، يسمى هذا الملف ReadMe.txt.

اعتمادا على مطوري الفيروس، قد تختلف أسعار فك تشفير الملفات. في الوقت نفسه، ليس من الحقيقة أنه عندما ترسل الأموال إلى منشئي الفيروس، فسوف يرسلون إليك طريقة إلغاء القفل. في معظم الحالات، لا تذهب الأموال إلى أي مكان، ولا يتلقى مستخدم الكمبيوتر طريقة لفك التشفير.

بمجرد ظهور فيروس على جهاز الكمبيوتر الخاص بك ورؤية رمز على الشاشة يجب إرساله إلى عنوان محدد لتلقي برنامج فك التشفير، لا ينبغي عليك القيام بذلك. أولاً، انسخ هذا الرمز على قطعة من الورق، حيث قد يكون الملف الذي تم إنشاؤه حديثًا مشفرًا أيضًا. بعد ذلك، يمكنك إخفاء المعلومات عن مطوري الفيروس ومحاولة العثور على طريقة على الإنترنت للتخلص من برنامج تشفير الملفات في حالتك الخاصة. نقدم أدناه البرامج الرئيسية التي تسمح لك بإزالة الفيروسات وفك تشفير الملفات، لكن لا يمكن تسميتها عالمية، ويقوم منشئو برامج مكافحة الفيروسات بتوسيع قائمة الحلول بانتظام.

يعد التخلص من فيروس تشفير الملفات أمرًا بسيطًا للغاية باستخدام الإصدارات المجانية من برامج مكافحة الفيروسات. 3 برامج مجانية تتعامل بشكل جيد مع فيروسات تشفير الملفات:

  • التقيم مكافحة البرامج الضارة؛
  • دكتور ويب علاجه.
  • كاسبرسكي لأمن الإنترنت.

التطبيقات المذكورة أعلاه مجانية تمامًا أو لها إصدارات تجريبية. نوصي باستخدام حل من Dr.Web أو Kespersky بعد فحص نظامك باستخدام Malwarebytes Antimalware. دعنا نذكرك مرة أخرى أنه لا يوصى بتثبيت برنامجين أو أكثر من برامج مكافحة الفيروسات على جهاز الكمبيوتر الخاص بك في نفس الوقت، لذا قبل تثبيت كل حل جديد، يجب عليك إزالة الحل السابق.

كما ذكرنا أعلاه، فإن الحل الأمثل للمشكلة في هذه الحالة هو اختيار التعليمات التي تسمح لك بالتعامل مع مشكلتك بشكل محدد. غالبًا ما يتم نشر هذه التعليمات على مواقع الويب الخاصة بمطوري برامج مكافحة الفيروسات. نقدم أدناه العديد من أدوات مكافحة الفيروسات الحالية التي يمكنها التعامل مع أنواع مختلفة من أحصنة طروادة وأنواع أخرى من برامج التشفير.


ما ورد أعلاه ليس سوى جزء صغير من أدوات مكافحة الفيروسات التي تسمح لك بفك تشفير الملفات المصابة. تجدر الإشارة إلى أنه إذا حاولت ببساطة استعادة البيانات، فسوف تضيع إلى الأبد، على العكس من ذلك - لا يجب عليك القيام بذلك.

مرحبًا بالجميع، سأخبركم اليوم بكيفية فك تشفير الملفات بعد الإصابة بفيروس في نظام التشغيل Windows. أحد أكثر البرامج الضارة إشكالية اليوم هو حصان طروادة، أو الفيروس، الذي يقوم بتشفير الملفات الموجودة على محرك أقراص المستخدم. يمكن فك تشفير بعض هذه الملفات، لكن لا يمكن فك تشفير البعض الآخر بعد. سأصف في المقالة خوارزميات العمل المحتملة في كلتا الحالتين.

هناك العديد من التعديلات على هذا الفيروس، ولكن الجوهر العام للعمل هو أنه بعد التثبيت على جهاز الكمبيوتر الخاص بك، يتم تشفير ملفات المستندات والصور وغيرها من الملفات المهمة مع تغيير الامتداد، وبعد ذلك تتلقى رسالة تفيد بأن جميع ملفاتك تم تشفير الملفات، ولفك تشفيرها، عليك إرسال مبلغ معين إلى المهاجم.

يتم تشفير الملفات الموجودة على الكمبيوتر في xtbl

يقوم أحد أحدث إصدارات فيروس الفدية بتشفير الملفات، واستبدالها بملفات ذات الامتداد .xtbl واسم يتكون من مجموعة عشوائية من الأحرف.

في الوقت نفسه، يتم وضع ملف نصي readme.txt على الكمبيوتر بالمحتوى التالي تقريبًا: "تم تشفير ملفاتك. لفك تشفيرها، تحتاج إلى إرسال الرمز إلى عنوان البريد الإلكتروني [البريد الإلكتروني محمي], [البريد الإلكتروني محمي]أو [البريد الإلكتروني محمي]. بعد ذلك سوف تتلقى جميع التعليمات اللازمة. ستؤدي محاولات فك تشفير الملفات بنفسك إلى فقدان المعلومات بشكل لا يمكن استرجاعه (قد يختلف عنوان البريد والنص).

لسوء الحظ، لا توجد طريقة لفك تشفير .xtbl في الوقت الحالي (بمجرد توفره، سيتم تحديث التعليمات). أبلغ بعض المستخدمين الذين لديهم معلومات مهمة حقًا عن أجهزة الكمبيوتر الخاصة بهم في منتديات مكافحة الفيروسات أنهم أرسلوا لمؤلفي الفيروس 5000 روبل أو مبلغًا آخر مطلوبًا وحصلوا على برنامج فك التشفير، لكن هذا أمر محفوف بالمخاطر: قد لا تتلقى أي شيء.

ماذا تفعل إذا تم تشفير الملفات في .xtbl؟ توصياتي هي كما يلي (لكنها تختلف عن تلك الموجودة في العديد من المواقع المواضيعية الأخرى، حيث، على سبيل المثال، يوصون بإيقاف تشغيل الكمبيوتر على الفور من مصدر الطاقة أو عدم إزالة الفيروس. في رأيي، هذا غير ضروري، وفي ظل بعض قد يكون الأمر ضارًا في بعض الظروف، ولكن القرار متروك لك.):

  1. إذا كنت تعرف كيفية مقاطعة عملية التشفير عن طريق مسح المهام المقابلة في مدير المهام، وفصل الكمبيوتر عن الإنترنت (قد يكون هذا شرطًا ضروريًا للتشفير)
  2. تذكر أو اكتب الرمز الذي يطلبه المهاجمون لإرساله إلى عنوان بريد إلكتروني (وليس إلى ملف نصي على الكمبيوتر، فقط في حالة حدوث ذلك، حتى لا يتم تشفيره أيضًا).
  3. باستخدام Malwarebytes Antimalware، وهو إصدار تجريبي من Kaspersky Internet Security أو Dr.Web Cure It، قم بإزالة فيروس تشفير الملفات (كل هذه الأدوات تقوم بعمل جيد في هذا الأمر). أنصحك باستخدام المنتجين الأول والثاني من القائمة بدورهما (ومع ذلك، إذا كان لديك برنامج مكافحة فيروسات مثبت، فإن تثبيت المنتج الثاني "من الأعلى" أمر غير مرغوب فيه، لأنه قد يؤدي إلى مشاكل في الكمبيوتر.)
  4. انتظر حتى يظهر برنامج فك التشفير من بعض شركات مكافحة الفيروسات. Kaspersky Lab في الطليعة هنا.
  5. يمكنك أيضًا إرسال مثال لملف مشفر والرمز المطلوب إلى [البريد الإلكتروني محمي]، إذا كان لديك نسخة غير مشفرة من نفس الملف، يرجى إرسالها أيضًا. من الناحية النظرية، قد يؤدي ذلك إلى تسريع ظهور برنامج فك التشفير.

ما الذي عليك عدم فعله:

  • أعد تسمية الملفات المشفرة، وقم بتغيير الامتداد وحذفها إذا كانت مهمة بالنسبة لك.

ربما يكون هذا هو كل ما يمكنني قوله عن الملفات المشفرة بامتداد .xtbl في الوقت الحالي.

Trojan-Ransom.Win32.Aura وTrojan-Ransom.Win32.Rakhni

يقوم حصان طروادة التالي بتشفير الملفات وتثبيت الملحقات من هذه القائمة:

  • .مقفل
  • .تشفير
  • .وحش بحري أسطوري
  • .AES256 (ليس بالضرورة حصان طروادة هذا، فهناك برامج أخرى تقوم بتثبيت نفس الامتداد).
  • .codercsu@gmail_com
  • .oshit
  • و اخرين.

ولفك تشفير الملفات بعد تشغيل هذه الفيروسات، يحتوي موقع Kaspersky الإلكتروني على أداة مساعدة مجانية تسمى RakhniDecryptor، وهي متاحة على الصفحة الرسمية http://support.kaspersky.ru/viruses/disinfection/10556.

هناك أيضًا تعليمات مفصلة لاستخدام هذه الأداة المساعدة، توضح كيفية استعادة الملفات المشفرة، والتي، في حالة حدوث ذلك، سأقوم بإزالة العنصر "حذف الملفات المشفرة بعد فك التشفير الناجح" (على الرغم من أنني أعتقد أن كل شيء سيكون على ما يرام مع تثبيت الخيار) .

إذا كان لديك ترخيص Dr.Web لمكافحة الفيروسات، فيمكنك استخدام فك التشفير المجاني من هذه الشركة على الصفحة http://support.drweb.com/new/free_unlocker/

خيارات فيروسات الفدية الأخرى

أقل شيوعًا، ولكن يتم مواجهتها أيضًا، هي أحصنة طروادة التالية التي تقوم بتشفير الملفات وتطلب المال لفك التشفير. لا تحتوي الروابط المقدمة على أدوات مساعدة لإعادة ملفاتك فحسب، بل تحتوي أيضًا على وصف للعلامات التي ستساعد في تحديد ما إذا كان لديك هذا الفيروس بعينه. على الرغم من أن الطريقة المثلى بشكل عام هي فحص النظام باستخدام برنامج مكافحة الفيروسات Kaspersky، ومعرفة اسم حصان طروادة حسب تصنيف هذه الشركة، ثم البحث عن أداة مساعدة بهذا الاسم.

  • Trojan-Ransom.Win32.Rector - تتوفر أداة مجانية لفك تشفير RectorDecryptor وتعليمات الاستخدام هنا: http://support.kaspersky.ru/viruses/disinfection/4264
  • Trojan-Ransom.Win32.Xorist هو حصان طروادة مشابه يعرض نافذة تطلب منك إرسال رسالة نصية قصيرة مدفوعة الأجر أو الاتصال عبر البريد الإلكتروني لتلقي تعليمات فك التشفير. تتوفر تعليمات استعادة الملفات المشفرة والأداة المساعدة XoristDecryptor على الصفحة http://support.kaspersky.ru/viruses/disinfection/2911
  • Trojan-Ransom.Win32.Rannoh، Trojan-Ransom.Win32.Fury - الأداة المساعدة RannohDecryptorhttp://support.kaspersky.ru/viruses/disinfection/8547
  • Trojan.Encoder.858 (xtbl)، Trojan.Encoder.741 وغيرها بنفس الاسم (عند البحث في برنامج مكافحة الفيروسات Dr.Web أو الأداة المساعدة Cure It) وأرقام مختلفة - حاول البحث في الإنترنت باسم حصان طروادة. بالنسبة لبعضها، توجد أدوات مساعدة لفك التشفير من Dr.Web، وأيضًا إذا لم تتمكن من العثور على الأداة المساعدة، ولكن لديك ترخيص Dr.Web، فيمكنك استخدام الصفحة الرسمية http://support.drweb.com/new/free_unlocker /
  • CryptoLocker - لفك تشفير الملفات بعد عمل CryptoLocker، يمكنك استخدام الموقع http://decryptcryptolocker.com - بعد إرسال الملف النموذجي، ستتلقى مفتاحًا وأداة مساعدة لاستعادة ملفاتك.

حسنًا، من آخر الأخبار - قامت Kaspersky Lab، بالتعاون مع ضباط إنفاذ القانون من هولندا، بتطوير Ransomware Decryptor (http://noransom.kaspersky.com) لفك تشفير الملفات بعد CoinVault، ولكن لم يتم العثور على برنامج الفدية هذا بعد في خطوط العرض لدينا.

بالمناسبة، إذا اتضح فجأة أن لديك شيئًا لتضيفه (لأنه قد لا يكون لدي الوقت لمراقبة ما يحدث مع طرق فك التشفير)، فأخبرني في التعليقات، ستكون هذه المعلومات مفيدة للمستخدمين الآخرين الذين هم تواجه مشكلة.

الفيروسات نفسها باعتبارها تهديدًا للكمبيوتر لا تفاجئ أحدًا اليوم. ولكن إذا أثرت في السابق على النظام ككل، مما تسبب في حدوث اضطرابات في أدائه، اليوم، مع ظهور مجموعة متنوعة مثل فيروس التشفير، فإن تصرفات التهديد المخترق تؤثر على المزيد من بيانات المستخدم. ربما يشكل تهديدًا أكبر من التطبيقات القابلة للتنفيذ المدمرة لنظام التشغيل Windows أو تطبيقات برامج التجسس.

ما هو فيروس الفدية؟

يتضمن الكود نفسه، المكتوب بفيروس النسخ الذاتي، تشفير جميع بيانات المستخدم تقريبًا باستخدام خوارزميات تشفير خاصة، دون التأثير على ملفات النظام الخاصة بنظام التشغيل.

في البداية، لم يكن منطق تأثير الفيروس واضحا تماما للكثيرين. أصبح كل شيء واضحًا فقط عندما بدأ المتسللون الذين أنشأوا مثل هذه التطبيقات الصغيرة في المطالبة بالمال لاستعادة بنية الملف الأصلية. وفي الوقت نفسه، لا يسمح لك الفيروس المشفر نفسه بفك تشفير الملفات بسبب خصائصه. للقيام بذلك، تحتاج إلى برنامج فك تشفير خاص، إذا أردت، رمز أو كلمة مرور أو خوارزمية مطلوبة لاستعادة المحتوى المطلوب.

مبدأ اختراق النظام وتشغيل كود الفيروس

كقاعدة عامة، من الصعب جدًا "التقاط" مثل هذه الهراء على الإنترنت. المصدر الرئيسي لانتشار "العدوى" هو البريد الإلكتروني على مستوى البرامج المثبتة على جهاز كمبيوتر معين، مثل Outlook وThunderbird وThe Bat وما إلى ذلك. دعونا نلاحظ على الفور: هذا لا ينطبق على خوادم بريد الإنترنت، نظرًا لأن لديهم درجة عالية من الحماية إلى حد ما، ولا يمكن الوصول إلى بيانات المستخدم إلا على المستوى

شيء آخر هو تطبيق على محطة الكمبيوتر. هذا هو المكان الذي يكون فيه مجال عمل الفيروسات واسعًا لدرجة أنه من المستحيل تخيله. صحيح أن الأمر يستحق أيضًا إجراء حجز هنا: في معظم الحالات، تستهدف الفيروسات الشركات الكبيرة التي يمكنها "سرقة" الأموال منها لتوفير رمز فك التشفير. وهذا أمر مفهوم، لأنه ليس فقط على محطات الكمبيوتر المحلية، ولكن أيضا على خوادم هذه الشركات، يمكن تخزين الملفات، إذا جاز التعبير، في نسخة واحدة، والتي لا يمكن تدميرها تحت أي ظرف من الظروف. ومن ثم يصبح فك تشفير الملفات بعد فيروس الفدية مشكلة كبيرة.

بالطبع، يمكن أن يتعرض المستخدم العادي لمثل هذا الهجوم، ولكن في معظم الحالات يكون هذا غير مرجح إذا اتبعت أبسط التوصيات لفتح المرفقات ذات الامتدادات من نوع غير معروف. حتى إذا اكتشف عميل البريد الإلكتروني مرفقًا بامتداد .jpg كملف رسومي قياسي، فيجب أولاً التحقق منه كملف قياسي مثبت على النظام.

إذا لم يتم ذلك، عند فتحه بالنقر المزدوج (الطريقة القياسية)، سيبدأ تنشيط الكود وستبدأ عملية التشفير، وبعد ذلك لن يكون من المستحيل إزالة نفس Breaking_Bad (فيروس التشفير) فحسب، ولكن أيضًا لن يكون من الممكن استعادة الملفات بعد القضاء على التهديد.

العواقب العامة لاختراق جميع الفيروسات من هذا النوع

وكما ذكرنا سابقًا، فإن معظم الفيروسات من هذا النوع تدخل النظام عبر البريد الإلكتروني. حسنًا، لنفترض أن مؤسسة كبيرة تتلقى خطابًا إلى بريد إلكتروني مسجل محدد يحتوي على محتويات مثل "لقد قمنا بتغيير العقد، وتم إرفاق نسخة ممسوحة ضوئيًا" أو "لقد تم إرسال فاتورة لك لشحن البضائع (نسخة هناك)". وبطبيعة الحال، يفتح الموظف المطمئن الملف و...

يتم تشفير جميع ملفات المستخدم على مستوى المستندات المكتبية أو الوسائط المتعددة أو مشاريع AutoCAD المتخصصة أو أي بيانات أرشيفية أخرى على الفور، وإذا كانت محطة الكمبيوتر موجودة على شبكة محلية، فيمكن نقل الفيروس بشكل أكبر، وتشفير البيانات على الأجهزة الأخرى (هذا يصبح ملحوظًا فورًا بعد "كبح" النظام وتجميد البرامج أو التطبيقات قيد التشغيل حاليًا).

في نهاية عملية التشفير، يبدو أن الفيروس نفسه يرسل نوعًا من التقرير، وبعد ذلك قد تتلقى الشركة رسالة مفادها أن هذا التهديد أو ذاك قد اخترق النظام، وأن منظمة كذا وكذا هي وحدها القادرة على فك تشفيره. وهذا عادة ما ينطوي على فيروس. [البريد الإلكتروني محمي]. يأتي بعد ذلك مطلب الدفع مقابل خدمات فك التشفير مع عرض إرسال عدة ملفات إلى البريد الإلكتروني للعميل، وهو ما يكون في أغلب الأحيان وهميًا.

ضرر من التعرض للتعليمات البرمجية

إذا لم يفهم أي شخص بعد: فك تشفير الملفات بعد فيروس الفدية هو عملية كثيفة العمالة إلى حد ما. حتى لو لم تستسلم لمطالب المهاجمين وتحاول إشراك الوكالات الحكومية الرسمية في مكافحة ومنع جرائم الكمبيوتر، فعادةً لا يأتي شيء جيد.

إذا قمت بحذف جميع الملفات، وإنتاج البيانات الأصلية وحتى نسخها من الوسائط القابلة للإزالة (بالطبع، إذا كانت هناك نسخة كهذه)، فسيظل كل شيء مشفرًا مرة أخرى إذا تم تنشيط الفيروس. لذلك لا ينبغي أن تخدع نفسك كثيرًا، خاصة أنه عند إدخال نفس محرك الأقراص المحمول في منفذ USB، لن يلاحظ المستخدم حتى كيف سيقوم الفيروس بتشفير البيانات الموجودة عليه أيضًا. ثم لن يكون لديك أي مشاكل.

البكر في الأسرة

الآن دعونا نوجه انتباهنا إلى فيروس التشفير الأول. وفي وقت ظهوره، لم يكن أحد يفكر بعد في كيفية علاج وفك تشفير الملفات بعد تعرضه لرمز قابل للتنفيذ موجود في مرفق بريد إلكتروني مع عرض مواعدة. ولم يأت الوعي بحجم الكارثة إلا مع الوقت.

كان لهذا الفيروس الاسم الرومانسي "أنا أحبك". قام مستخدم مطمئن بفتح مرفق في رسالة بريد إلكتروني وتلقى ملفات وسائط متعددة غير قابلة للتشغيل تمامًا (الرسومات والفيديو والصوت). ومع ذلك، في ذلك الوقت، بدت مثل هذه الإجراءات أكثر تدميراً (إضرارًا بمكتبات وسائط المستخدمين)، ولم يطالب أحد بالمال مقابل ذلك.

أحدث التعديلات

كما نرى، أصبح تطور التكنولوجيا عملاً مربحًا للغاية، خاصة بالنظر إلى أن العديد من مديري المؤسسات الكبيرة يركضون على الفور لدفع تكاليف جهود فك التشفير، دون التفكير على الإطلاق في أنهم قد يخسرون المال والمعلومات.

بالمناسبة، لا تنظر إلى كل هذه المنشورات "الخاطئة" على الإنترنت، والتي تقول "لقد دفعت/دفعت المبلغ المطلوب، أرسلوا لي رمزًا، وتم استعادة كل شيء". كلام فارغ! كل هذا كتبه مطورو الفيروس أنفسهم من أجل جذب الإمكانات، معذرةً، “المغفلين”. ولكن، وفقا لمعايير المستخدم العادي، فإن المبالغ الواجب دفعها خطيرة للغاية: من مئات إلى عدة آلاف أو عشرات الآلاف من اليورو أو الدولارات.

والآن دعونا نلقي نظرة على أحدث أنواع الفيروسات من هذا النوع والتي تم تسجيلها مؤخرًا نسبيًا. جميعها متشابهة عمليًا ولا تنتمي إلى فئة برامج التشفير فحسب، بل تنتمي أيضًا إلى مجموعة ما يسمى ببرامج الفدية. وفي بعض الحالات، يتصرفون بشكل صحيح أكثر (مثل paycrypt)، ويبدو أنهم يرسلون عروض عمل رسمية أو رسائل تفيد بأن شخصًا ما يهتم بأمن المستخدم أو المؤسسة. مثل هذا الفيروس المشفر يقوم ببساطة بتضليل المستخدم برسالته. إذا اتخذ ولو أدنى إجراء للدفع، فهذا كل شيء - سيكون "الطلاق" كاملاً.

فيروس XTBL

يمكن تصنيف هذا الإصدار الحديث نسبيًا على أنه إصدار كلاسيكي من برامج الفدية. عادة، يدخل النظام من خلال رسائل البريد الإلكتروني التي تحتوي على مرفقات الملفات، وهو أمر قياسي لحافظات شاشة Windows. يعتقد النظام والمستخدم أن كل شيء على ما يرام ويقومون بتنشيط عرض المرفق أو حفظه.

لسوء الحظ، يؤدي ذلك إلى عواقب وخيمة: حيث يتم تحويل أسماء الملفات إلى مجموعة من الأحرف، ويتم إضافة .xtbl إلى الامتداد الرئيسي، وبعد ذلك يتم إرسال رسالة إلى عنوان البريد الإلكتروني المطلوب حول إمكانية فك التشفير بعد دفع المبلغ المحدد (عادة 5 آلاف روبل).

فيروس CBF

ينتمي هذا النوع من الفيروسات أيضًا إلى كلاسيكيات هذا النوع. ويظهر على النظام بعد فتح مرفقات البريد الإلكتروني، ثم يعيد تسمية ملفات المستخدم، ويضيف امتدادًا مثل .nochance أو .perfect في النهاية.

لسوء الحظ، فإن فك تشفير فيروس طلب الفدية من هذا النوع لتحليل محتويات الكود حتى في مرحلة ظهوره في النظام أمر غير ممكن، لأنه بعد الانتهاء من إجراءاته يقوم بالتدمير الذاتي. حتى ما يعتقد الكثيرون أنه أداة عالمية مثل RectorDecryptor لا يساعد. مرة أخرى، يتلقى المستخدم خطابًا يطالب بالدفع، ويتم منحه يومين.

فيروس_سيء للغاية

يعمل هذا النوع من التهديد بنفس الطريقة، ولكنه يعيد تسمية الملفات في الإصدار القياسي، ويضيف .breaking_bad إلى الامتداد.

الوضع لا يقتصر على هذا. على عكس الفيروسات السابقة، يمكن لهذا الفيروس إنشاء امتداد آخر - .Heisenberg، لذلك ليس من الممكن دائمًا العثور على جميع الملفات المصابة. لذا فإن Breaking_Bad (فيروس برامج الفدية) يمثل تهديدًا خطيرًا إلى حد ما. بالمناسبة، هناك حالات تفتقد فيها حزمة ترخيص Kaspersky Endpoint Security 10 هذا النوع من التهديد.

فايروس [البريد الإلكتروني محمي]

وهنا تهديد آخر، ربما يكون الأكثر خطورة، والذي يستهدف في الغالب المنظمات التجارية الكبيرة. كقاعدة عامة، تتلقى بعض الأقسام خطابًا يحتوي على تغييرات واضحة في اتفاقية التوريد، أو حتى مجرد فاتورة. قد يحتوي المرفق على ملف .jpg عادي (مثل صورة)، ولكن في أغلب الأحيان - ملف script.js قابل للتنفيذ (برنامج Java الصغير).

كيفية فك تشفير هذا النوع من فيروس التشفير؟ إذا حكمنا من خلال حقيقة أنه يتم استخدام بعض خوارزمية RSA-1024 غير المعروفة هناك، بأي حال من الأحوال. بناءً على الاسم، يمكنك الافتراض أن هذا نظام تشفير 1024 بت. ولكن، إذا كان أي شخص يتذكر، يعتبر اليوم 256 بت AES هو الأكثر تقدما.

فيروس التشفير: كيفية تطهير الملفات وفك تشفيرها باستخدام برامج مكافحة الفيروسات

حتى الآن، لم يتم العثور على حلول لفك تهديدات من هذا النوع. حتى هؤلاء الأساتذة في مجال الحماية من الفيروسات مثل Kaspersky، Dr. يتعذر على Web وEset العثور على مفتاح حل المشكلة عند إصابة النظام بفيروس مشفر. كيفية تطهير الملفات؟ في معظم الحالات، يُقترح إرسال طلب إلى الموقع الرسمي لمطور برنامج مكافحة الفيروسات (بالمناسبة، فقط إذا كان النظام يحتوي على برنامج مرخص من هذا المطور).

في هذه الحالة، تحتاج إلى إرفاق عدة ملفات مشفرة، بالإضافة إلى نسخها الأصلية "السليمة"، إن وجدت. بشكل عام، عدد قليل من الناس يقومون بحفظ نسخ من البيانات، وبالتالي فإن مشكلة غيابهم لا تؤدي إلا إلى تفاقم الوضع غير السار بالفعل.

الطرق الممكنة لتحديد التهديد والقضاء عليه يدويًا

نعم، يؤدي المسح باستخدام برامج مكافحة الفيروسات التقليدية إلى تحديد التهديدات بل وإزالتها من النظام. ولكن ماذا تفعل بالمعلومات؟

يحاول البعض استخدام برامج فك التشفير مثل الأداة المساعدة RectorDecryptor (RakhniDecryptor) المذكورة بالفعل. دعونا نلاحظ على الفور: هذا لن يساعد. وفي حالة فيروس Breaking_Bad، فإنه لا يمكن إلا أن يسبب الضرر. وهذا هو السبب.

والحقيقة هي أن الأشخاص الذين يصنعون مثل هذه الفيروسات يحاولون حماية أنفسهم وتقديم التوجيه للآخرين. عند استخدام أدوات فك التشفير، يمكن للفيروس أن يتفاعل بطريقة تؤدي إلى تعطل النظام بأكمله، مع التدمير الكامل لجميع البيانات المخزنة على محركات الأقراص الثابتة أو الأقسام المنطقية. وهذا، إذا جاز التعبير، درس إرشادي لتنوير كل من لا يريد أن يدفع. لا يمكننا الاعتماد إلا على مختبرات مكافحة الفيروسات الرسمية.

الأساليب الكاردينالية

ومع ذلك، إذا كانت الأمور سيئة حقًا، فسيتعين عليك التضحية بالمعلومات. للتخلص تمامًا من التهديد، تحتاج إلى تهيئة القرص الصلب بالكامل، بما في ذلك الأقسام الافتراضية، ثم تثبيت نظام التشغيل مرة أخرى.

لسوء الحظ، لا يوجد مخرج آخر. حتى نقطة استعادة محفوظة معينة لن تساعد. قد يختفي الفيروس، لكن الملفات ستبقى مشفرة.

بدلا من الكلمة الختامية

في الختام، تجدر الإشارة إلى أن الوضع هو كما يلي: يخترق فيروس برامج الفدية النظام ويقوم بعمله القذر ولا يتم علاجه بأي وسيلة معروفة. أدوات الحماية من الفيروسات لم تكن جاهزة لهذا النوع من التهديدات. وغني عن القول أنه من الممكن اكتشاف الفيروس بعد التعرض له أو إزالته. لكن المعلومات المشفرة ستبقى قبيحة المظهر. لذلك أود أن آمل أن تجد أفضل العقول في شركات تطوير برامج مكافحة الفيروسات حلاً، على الرغم من أنه سيكون من الصعب جدًا القيام بذلك بناءً على خوارزميات التشفير. فقط تذكر آلة التشفير إنجما التي كانت تمتلكها البحرية الألمانية خلال الحرب العالمية الثانية. لم يتمكن أفضل مصممي التشفير من حل مشكلة خوارزمية فك تشفير الرسائل حتى وضعوا أيديهم على الجهاز. هكذا هي الأمور هنا أيضًا.

دعونا نذكركم:أحصنة طروادة من عائلة Trojan.Encoder هي برامج ضارة تعمل على تشفير الملفات الموجودة على القرص الصلب بجهاز الكمبيوتر وتطلب أموالاً لفك تشفيرها. قد يتم تشفير الملفات *.mp3، *.doc، *.docx، *.pdf، *.jpg، *.rar وما إلى ذلك.
لم يكن من الممكن مقابلة عائلة هذا الفيروس بأكملها شخصيًا، ولكن كما تظهر الممارسة، فإن طريقة العدوى والعلاج وفك التشفير هي نفسها تقريبًا بالنسبة للجميع:
1. يتم إصابة الضحية من خلال بريد إلكتروني غير مرغوب فيه يحتوي على مرفق (في كثير من الأحيان عن طريق وسائل معدية)،
2. يتم التعرف على الفيروس وإزالته (بالفعل) بواسطة أي برنامج مكافحة فيروسات تقريبًا يحتوي على قواعد بيانات جديدة،
3. يتم فك تشفير الملفات عن طريق اختيار مفاتيح كلمة المرور لأنواع التشفير المستخدمة.
على سبيل المثال، يستخدم Trojan.Encoder.225 تشفير RC4 (المعدل) + DES، ويستخدم Trojan.Encoder.263 BlowFish في وضع CTR. يمكن حاليًا فك رموز هذه الفيروسات بنسبة 99% بناءً على الخبرة الشخصية.

ولكن ليس كل شيء على نحو سلس جدا. تتطلب بعض فيروسات التشفير أشهرًا من فك التشفير المستمر (Trojan.Encoder.102)، بينما لا يمكن فك تشفير البعض الآخر (Trojan.Encoder.283) بشكل صحيح حتى من قبل المتخصصين من Doctor Web، والذي يلعب في الواقع دورًا رئيسيًا في هذه المقالة.

الآن بالترتيب.

في بداية أغسطس 2013، اتصل بي العملاء بشأن مشكلة الملفات المشفرة بفيروس Trojan.Encoder.225. كان الفيروس، في ذلك الوقت، جديدًا، ولم يكن أحد يعرف شيئًا، وكان هناك 2-3 روابط جوجل المواضيعية على الإنترنت. وبعد بحث طويل على الإنترنت، تبين أن المؤسسة الوحيدة (الموجودة) التي تتعامل مع مشكلة فك تشفير الملفات بعد هذا الفيروس هي شركة دكتور ويب. وهي: تقديم التوصيات، والمساعدة عند الاتصال بالدعم الفني، وتطوير برامج فك التشفير الخاصة بها، وما إلى ذلك.

تراجع سلبي.

وأغتنم هذه الفرصة، أود أن أشير إلى اثنين الحصول على الدهون ناقص كاسبيرسكي لاب. والذين، عند الاتصال بالدعم الفني، يتجاهلون "نحن نعمل على هذه المشكلة، وسنقوم بإعلامك بالنتائج عبر البريد". ومع ذلك، الجانب السلبي هو أنني لم أتلق أي رد على الطلب. بعد 4 أشهر. اللعنة على وقت رد الفعل. وها أنا أسعى إلى تحقيق المعيار "لا يزيد عن ساعة واحدة من استكمال الطلب".
عار عليك أيها الرفيق إيفجيني كاسبيرسكي، المدير العام لشركة كاسبرسكي لاب. لكن لدي نصف الشركات "الجلوس" عليها. حسنًا، تنتهي التراخيص في الفترة من يناير إلى مارس 2014. هل يستحق الحديث عما إذا كنت سأجدد رخصتي أم لا؟;)

أقدم وجوه "المتخصصين" من الشركات "الأبسط"، إذا جاز التعبير، وليس عمالقة صناعة مكافحة الفيروسات. ربما كانوا مجرد "متجمعين في الزاوية" و"يبكون بهدوء".
على الرغم من أن ما هو أكثر من ذلك هو أن الجميع كانوا في وضع حرج تمامًا. من حيث المبدأ، لا ينبغي لبرنامج مكافحة الفيروسات أن يسمح لهذا الفيروس بالوصول إلى جهاز الكمبيوتر. وخاصة بالنظر إلى التكنولوجيا الحديثة. ومن المفترض أنهم، عمالقة صناعة مكافحة الفيروسات، قاموا بتغطية كل شيء، "التحليل الإرشادي"، "النظام الوقائي"، "الحماية الاستباقية"...

أين كانت كل هذه الأنظمة الفائقة عندما فتح موظف قسم الموارد البشرية خطاب "HALMONNESS" مع موضوع "السيرة الذاتية"؟؟؟
ما الذي كان من المفترض أن يفكر فيه الموظف؟
إذا كنت لا تستطيع حمايتنا، فلماذا نحتاج إليك على الإطلاق؟

وسيكون كل شيء على ما يرام مع Doctor Web، ولكن للحصول على المساعدة، يجب بالطبع أن يكون لديك ترخيص لأي من منتجاتهم البرمجية. عند الاتصال بالدعم الفني (المشار إليه فيما يلي باسم TS)، يجب عليك تقديم الرقم التسلسلي لـ Dr.Web ولا تنس تحديد "طلب العلاج" في سطر "فئة الطلب:" أو ببساطة قم بتزويدهم بملف مشفر إلى معمل. سأحجز على الفور أن ما يسمى بـ "مفاتيح دفتر اليومية" الخاصة بـ Dr.Web، والتي يتم نشرها على دفعات على الإنترنت، ليست مناسبة، لأنها لا تؤكد شراء أي منتجات برمجية، ويتم حذفها بواسطة متخصصو TP مرة أو مرتين. من الأسهل شراء الترخيص "الأرخص". لأنه إذا قمت بفك التشفير، فإن هذا الترخيص سيدفع لك مليون مرة. خاصة لو كان مجلد صور "مصر 2012" في نسخة واحدة...

المحاولة رقم 1

لذلك، بعد أن اشتريت "ترخيصًا لجهازي كمبيوتر لمدة عام" مقابل مبلغ n من المال، اتصلت بـ TP وقدمت بعض الملفات، تلقيت رابطًا لأداة فك التشفير المساعدة te225decrypt.exe الإصدار 1.3.0.0. توقعًا للنجاح، أقوم بتشغيل الأداة المساعدة (تحتاج إلى توجيهها إلى أحد ملفات *.doc المشفرة). تبدأ الأداة المساعدة في الاختيار، وتحميل المعالج القديم E5300 DualCore بلا رحمة، 2600 ميجا هرتز (فيركلوكيد إلى 3.46 جيجا هرتز) / 8192 ميجا بايت DDR2-800، HDD 160 جيجا بايت Western Digital إلى 90-100٪.
هنا، بالتوازي معي، ينضم إلى العمل زميل على جهاز كمبيوتر شخصي Core i5 2500k (فيركلوكيد إلى 4.5 جيجا هرتز) / 16 رام 1600 / SSD Intel (هذا لمقارنة الوقت المستغرق في نهاية المقال).
وبعد 6 أيام، أبلغت الأداة أنه تم فك تشفير 7277 ملفًا. لكن السعادة لم تدم طويلا. تم فك تشفير كافة الملفات "بطريقة ملتوية". أي، على سبيل المثال، يتم فتح مستندات Microsoft Office، ولكن مع وجود أخطاء مختلفة: "اكتشف تطبيق Word محتوى في مستند *.docx لا يمكن قراءته" أو "لا يمكن فتح ملف *.docx بسبب وجود أخطاء في محتواه". ". يتم فتح ملفات *.jpg أيضًا إما بوجود خطأ، أو أن 95% من الصورة تظهر بخلفية سوداء أو خضراء فاتحة باهتة. بالنسبة لملفات *.rar - "نهاية غير متوقعة للأرشيف".
عموما فشل كامل.

المحاولة رقم 2

نكتب إلى TP حول النتائج. يطلبون منك تقديم ملفين. وبعد يوم واحد أنها توفر مرة أخرى رابطا إلى الأداة المساعدة te225decrypt.exe، ولكن الإصدار 1.3.2.0. حسنًا، لنبدأ، لم يكن هناك بديل على أي حال. تمر حوالي 6 أيام وتنتهي الأداة بالخطأ "غير قادر على تحديد معلمات التشفير". إجمالي 13 يومًا "في البالوعة".
لكننا لا نستسلم، لدينا مستندات مهمة من عميلنا *الغبي* بدون نسخ احتياطية أساسية.

المحاولة رقم 3

نكتب إلى TP حول النتائج. يطلبون منك تقديم ملفين. وكما كنت قد خمنت، بعد يوم واحد يقدمون رابطًا لنفس الأداة المساعدة te225decrypt.exe، ولكن الإصدار 1.4.2.0. حسنًا، لنبدأ، لم يكن هناك بديل، ولم يظهر من Kaspersky Lab، ولا من ESET NOD32، ولا من الشركات المصنعة الأخرى لحلول مكافحة الفيروسات. والآن، بعد 5 أيام و3 ساعات و14 دقيقة (123.5 ساعة)، تفيد الأداة المساعدة أنه تم فك تشفير الملفات (بالنسبة لزميل يعمل على Core i5، استغرق فك التشفير 21 ساعة و10 دقائق فقط).
حسنًا، أعتقد أنه كان أو لم يكن. وها هو: النجاح الكامل! يتم فك تشفير كافة الملفات بشكل صحيح. كل شيء يفتح ويغلق وينظر ويعدل ويحفظ بشكل صحيح.

الجميع سعداء، النهاية.

"أين قصة فيروس Trojan.Encoder.263؟"، تسأل. وعلى جهاز الكمبيوتر التالي، تحت الطاولة... كان هناك. كان كل شيء أسهل هناك: نكتب إلى Doctor Web TP، ونحصل على الأداة المساعدة te263decrypt.exe، ونبدأ تشغيلها، وننتظر 6.5 يومًا، هاهو! وكل شيء جاهز للتلخيص، يمكنني تقديم بعض النصائح من منتدى Doctor Web في نسختي:

ماذا تفعل إذا كنت مصابًا بفيروس طلب الفدية:
- أرسل إلى مختبر الفيروسات د. الويب أو في نموذج "إرسال ملف مشبوه" في ملف مستند مشفر.
- انتظر الرد من أحد موظفي Dr.Web ثم اتبع تعليماته.

ما الذي عليك عدم فعله:
- تغيير امتداد الملفات المشفرة. خلاف ذلك، مع مفتاح محدد بنجاح، فإن الأداة المساعدة ببساطة لن "ترى" الملفات التي تحتاج إلى فك تشفيرها.
- الاستخدام بشكل مستقل، دون استشارة المتخصصين، أي برامج لفك تشفير/استعادة البيانات.

انتبه، بوجود خادم خالٍ من المهام الأخرى، أقدم خدماتي المجانية لفك تشفير بياناتك. خادم Core i7-3770K مع إمكانية رفع تردد التشغيل إلى *ترددات معينة* وذاكرة وصول عشوائي (RAM) سعة 16 جيجابايت ومحرك أقراص SSD Vertex 4.
لجميع مستخدمي هبر النشطين، سيكون استخدام مواردي مجانيًا!!!
اكتب لي في رسالة شخصية أو من خلال جهات الاتصال الأخرى. لقد "أكلت الكلب" بالفعل في هذا الشأن. لذلك، لست كسولًا جدًا لوضع الخادم في وضع فك التشفير بين عشية وضحاها.
هذا الفيروس هو "آفة" عصرنا، وأخذ "الغنائم" من زملائهم الجنود أمر غير إنساني. على الرغم من أنه إذا قام شخص ما "بإلقاء" بضعة دولارات في حساب Yandex.money الخاص بي 410011278501419، فلن أمانع. ولكن هذا ليس ضروريا على الإطلاق. اتصل بنا. أقوم بمعالجة الطلبات في وقت فراغي.

معلومات جديدة!

بدءًا من 8 ديسمبر 2013، بدأ فيروس جديد من نفس سلسلة Trojan.Encoder في الانتشار تحت تصنيف Doctor Web - Trojan.Encoder.263، ولكن بتشفير RSA. هذا المشهد لهذا اليوم (20/12/2013) لا يمكن فك شفرتهالأنه يستخدم طريقة تشفير قوية جدًا.

وأوصي كل من عانى من هذا الفيروس:
1. باستخدام بحث Windows المدمج، ابحث عن جميع الملفات التي تحتوي على الامتداد .perfect وانسخها إلى وسائط خارجية.
2. انسخ ملف CONTACT.txt أيضًا
3. ضع هذه الوسائط الخارجية "على الرف".
4. انتظر حتى تظهر أداة فك التشفير.

ما الذي عليك عدم فعله:
ليست هناك حاجة للعبث مع المجرمين. هذا سخيف. في أكثر من 50٪ من الحالات، بعد "دفع" ما يقرب من 5000 روبل، لن تتلقى أي شيء. لا مال، لا فك التشفير.
لكي نكون منصفين، تجدر الإشارة إلى أن هناك أشخاصًا "محظوظين" على الإنترنت استعادوا ملفاتهم عن طريق فك التشفير من أجل "النهب". لكن لا يجب أن تثق بهؤلاء الناس. لو كنت كاتب فيروسات، فإن أول شيء سأفعله هو نشر معلومات مثل "لقد دفعت وأرسلوا لي جهاز فك التشفير !!!"
وخلف هؤلاء "المحظوظين" قد يكون هناك نفس المهاجمين.

حسنًا... دعونا نتمنى حظًا سعيدًا لشركات مكافحة الفيروسات الأخرى في إنشاء أداة مساعدة لفك تشفير الملفات بعد مجموعة الفيروسات Trojan.Encoder.

شكر خاص للرفيق v.martyanov من منتدى Doctor Web على العمل المنجز في إنشاء أدوات مساعدة لفك التشفير.



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة