فيروس التشفير - ما هو، لماذا هو خطير. كيفية فك تشفير الملفات بعد الفيروس

"آسف على إزعاجك، ولكن... ملفاتك مشفرة. للحصول على مفتاح فك التشفير، قم بتحويل مبلغ معين من المال بشكل عاجل إلى محفظتك... وإلا سيتم تدمير بياناتك إلى الأبد. "أمامك 3 ساعات، لقد انتهى الوقت." وهذه ليست مزحة. يعد فيروس التشفير أكثر من مجرد تهديد حقيقي.

سنتحدث اليوم عن ماهية برامج الفدية الضارة التي انتشرت في السنوات الأخيرة، وماذا تفعل في حالة الإصابة بها، وكيفية علاج جهاز الكمبيوتر الخاص بك وما إذا كان ذلك ممكنًا، وكيفية حماية نفسك منها.

نحن تشفير كل شيء!

فيروس برامج الفدية (التشفير، التشفير) هو نوع خاص من برامج الفدية الضارة التي يتكون نشاطها من تشفير ملفات المستخدم ثم المطالبة بفدية مقابل أداة فك التشفير. تبدأ مبالغ الفدية من 200 دولار وتصل إلى عشرات ومئات الآلاف من قطع الورق الخضراء.

قبل عدة سنوات، تعرضت أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows فقط للهجوم من قبل هذه الفئة من البرامج الضارة. اليوم، توسع نطاقها ليشمل Linux وMac وAndroid المحمية بشكل جيد. بالإضافة إلى ذلك، فإن مجموعة متنوعة من التشفير تنمو باستمرار - تظهر منتجات جديدة واحدة تلو الأخرى، والتي لديها ما يفاجئ العالم. وهكذا، فقد نشأ بسبب "عبور" حصان طروادة التشفير الكلاسيكي ودودة الشبكة (برنامج ضار ينتشر عبر الشبكات دون مشاركة نشطة من المستخدمين).

بعد WannaCry، ظهرت Petya وBad Rabbit بنفس القدر من التطور. وبما أن "أعمال التشفير" تجلب دخلاً جيدًا لأصحابها، فيمكنك التأكد من أنهم ليسوا الأخيرين.

المزيد والمزيد من برامج التشفير، وخاصة تلك التي تم إصدارها في السنوات الثلاث إلى الخمس الماضية، تستخدم خوارزميات تشفير قوية لا يمكن اختراقها سواء بالقوة الغاشمة أو بالوسائل الأخرى الموجودة. الطريقة الوحيدة لاستعادة البيانات هي استخدام المفتاح الأصلي الذي يعرض المهاجمون شرائه. ومع ذلك، حتى تحويل المبلغ المطلوب إليهم لا يضمن استلام المفتاح. المجرمون ليسوا في عجلة من أمرهم للكشف عن أسرارهم وخسارة الأرباح المحتملة. وما الفائدة من وفائهم بوعودهم إذا كان لديهم المال بالفعل؟

مسارات توزيع الفيروسات المشفرة

الطريقة الرئيسية التي تصل بها البرامج الضارة إلى أجهزة الكمبيوتر الخاصة بالمستخدمين الخاصين والمؤسسات هي البريد الإلكتروني، أو بشكل أكثر دقة، الملفات والروابط المرفقة برسائل البريد الإلكتروني.

مثال على مثل هذه الرسالة المخصصة لـ "عملاء الشركات":

• "قم بسداد ديون القرض الخاص بك على الفور."
• "تم تقديم المطالبة إلى المحكمة."
• "ادفع الغرامة/الرسوم/الضريبة."
• "رسوم إضافية لفواتير الخدمات."
• "أوه، هل هذا أنت في الصورة؟"
• "طلبت مني لينا أن أعطيك هذا على وجه السرعة" وما إلى ذلك.

أوافق، فقط المستخدم المطلع هو الذي سيتعامل مع مثل هذه الرسالة بحذر. سيقوم معظم الأشخاص، دون تردد، بفتح المرفق وتشغيل البرنامج الضار بأنفسهم. بالمناسبة، على الرغم من صرخات مكافحة الفيروسات.

يتم استخدام ما يلي أيضًا بشكل نشط لتوزيع برامج الفدية:

• الشبكات الاجتماعية (البريد من حسابات الأصدقاء والغرباء).
• موارد الويب الضارة والمصابة.
• لافتة إعلانية.
• البريد عبر برامج المراسلة من الحسابات المخترقة.
• مواقع Vareznik وموزعي مولدات المفاتيح والكراكات.
• مواقع الكبار.
• متاجر التطبيقات والمحتوى.

غالبًا ما يتم نقل فيروسات التشفير بواسطة برامج ضارة أخرى، على وجه الخصوص، الإعلانات المتظاهرة وأحصنة طروادة الخلفية. هذا الأخير، باستخدام نقاط الضعف في النظام والبرمجيات، يساعد المجرم على الوصول عن بعد إلى الجهاز المصاب. لا يتزامن إطلاق برنامج التشفير في مثل هذه الحالات دائمًا مع إجراءات المستخدم التي يحتمل أن تكون خطرة. وطالما ظل الباب الخلفي موجودًا في النظام، يمكن للمهاجم اختراق الجهاز في أي وقت وبدء التشفير.

لإصابة أجهزة الكمبيوتر الخاصة بالمؤسسات (بعد كل شيء، يمكن استخراجها منها أكثر مما يمكن استخراجه من المستخدمين المنزليين)، يتم تطوير أساليب معقدة بشكل خاص. على سبيل المثال، اخترق فيروس Petya Trojan الأجهزة من خلال وحدة التحديث لبرنامج محاسبة الضرائب MEDoc.

تنتشر أدوات التشفير ذات وظائف ديدان الشبكة، كما ذكرنا سابقًا، عبر الشبكات، بما في ذلك الإنترنت، من خلال نقاط ضعف البروتوكول. ويمكن أن تصاب بها دون أن تفعل أي شيء على الإطلاق. يتعرض مستخدمو أنظمة تشغيل Windows التي نادرًا ما يتم تحديثها للخطر الأكبر لأن التحديثات تغلق الثغرات المعروفة.

تستغل بعض البرامج الضارة، مثل WannaCry، ثغرات أمنية مدتها 0 يوم، أي تلك التي لم يعرفها مطورو النظام بعد. لسوء الحظ، من المستحيل مقاومة العدوى بشكل كامل بهذه الطريقة، لكن احتمالية أن تكون من بين الضحايا لا تصل حتى إلى 1٪. لماذا؟ نعم، لأن البرامج الضارة لا يمكنها إصابة جميع الأجهزة المعرضة للخطر في وقت واحد. وبينما يخطط لضحايا جدد، يتمكن مطورو النظام من إصدار تحديث منقذ للحياة.

كيف تتصرف برامج الفدية على جهاز كمبيوتر مصاب

تبدأ عملية التشفير، كقاعدة عامة، دون أن يلاحظها أحد، وعندما تصبح علاماتها واضحة، يكون الوقت قد فات لحفظ البيانات: بحلول ذلك الوقت، تكون البرامج الضارة قد قامت بتشفير كل ما يمكنها الوصول إليه. في بعض الأحيان قد يلاحظ المستخدم أن امتداد الملفات الموجودة في مجلد مفتوح قد تغير.

إن المظهر غير المعقول لامتداد جديد وأحيانًا ثانٍ للملفات، وبعد ذلك تتوقف عن الفتح، يشير تمامًا إلى عواقب هجوم التشفير. بالمناسبة، من الممكن عادةً التعرف على البرامج الضارة من خلال الامتداد الذي تتلقاه الكائنات التالفة.

مثال على ما يمكن أن تكون عليه امتدادات الملفات المشفرة:. xtbl، .kraken، .cesar، .da_vinci_code، .codercsu@gmail_com، .crypted000007، .no_more_ransom، .decoder GlobeImposter v2، .ukrain، .rn، وما إلى ذلك.

هناك الكثير من الخيارات، وستظهر خيارات جديدة غدًا، لذا لا داعي لإدراج كل شيء. لتحديد نوع العدوى، يكفي تغذية عدة ملحقات لمحرك البحث.

أعراض أخرى تشير بشكل غير مباشر إلى بداية التشفير:

• تظهر نوافذ سطر الأوامر على الشاشة لجزء من الثانية. في أغلب الأحيان، تكون هذه ظاهرة طبيعية عند تثبيت تحديثات النظام والبرامج، ولكن من الأفضل عدم تركها دون مراقبة.
• تطلب UAC تشغيل بعض البرامج التي لم تكن تنوي فتحها.
• إعادة تشغيل مفاجئة للكمبيوتر متبوعة بمحاكاة تشغيل الأداة المساعدة لفحص قرص النظام (هناك اختلافات أخرى ممكنة). أثناء "التحقق"، تحدث عملية التشفير.

بعد اكتمال العملية الضارة بنجاح، تظهر رسالة على الشاشة تطلب فدية وتهديدات مختلفة.

تقوم برامج الفدية بتشفير جزء كبير من ملفات المستخدم: الصور والموسيقى ومقاطع الفيديو والمستندات النصية والمحفوظات والبريد وقواعد البيانات والملفات ذات امتدادات البرامج، وما إلى ذلك. ومع ذلك، فهي لا تلمس كائنات نظام التشغيل، لأن المهاجمين لا يحتاجون إلى الكمبيوتر المصاب ل اوقف العمل. تحل بعض الفيروسات محل سجلات التمهيد للأقراص والأقسام.

بعد التشفير، عادةً ما يتم حذف جميع النسخ الاحتياطية ونقاط الاسترداد من النظام.

كيفية علاج جهاز الكمبيوتر من برامج الفدية

تعد إزالة البرامج الضارة من النظام المصاب أمرًا سهلاً، حيث يمكن لجميع برامج مكافحة الفيروسات تقريبًا التعامل مع معظمها دون صعوبة. لكن! ومن السذاجة الاعتقاد بأن التخلص من الجاني سيحل المشكلة: سواء قمت بإزالة الفيروس أم لا، ستظل الملفات مشفرة. بالإضافة إلى ذلك، في بعض الحالات، سيؤدي ذلك إلى تعقيد عملية فك التشفير اللاحقة، إن أمكن.

الإجراء الصحيح عند بدء التشفير

• بمجرد ملاحظة علامات التشفير، قم بإيقاف تشغيل الكمبيوتر فورًا بالضغط مع الاستمرار على الزرالطاقة لمدة 3-4 ثواني. سيؤدي هذا إلى حفظ بعض الملفات على الأقل.
• قم بإنشاء قرص تمهيد أو محرك أقراص محمول باستخدام برنامج مكافحة الفيروسات على جهاز كمبيوتر آخر. على سبيل المثال، , , إلخ.
• قم بتمهيد الجهاز المصاب من هذا القرص وقم بفحص النظام. قم بإزالة أي فيروسات تم العثور عليها واحتفظ بها في الحجر الصحي (في حالة الحاجة إليها لفك التشفير). فقط بعد ذلك يمكنك تشغيل جهاز الكمبيوتر الخاص بك من القرص الصلب الخاص بك.
• حاول استرداد الملفات المشفرة من النسخ الاحتياطية باستخدام أدوات النظام أو باستخدام ملفات .

ماذا تفعل إذا كانت الملفات مشفرة بالفعل

• لا تفقد الأمل. تحتوي مواقع الويب الخاصة بمطوري منتجات مكافحة الفيروسات على أدوات مساعدة مجانية لفك التشفير لأنواع مختلفة من البرامج الضارة. على وجه الخصوص، المرافق من و .
• بعد تحديد نوع التشفير، قم بتنزيل الأداة المساعدة المناسبة، بالتأكيد افعل ذلك نسخ الملفات التالفةومحاولة فك رموزها. إذا نجحت، فك الباقي.

إذا لم يتم فك تشفير الملفات

إذا لم تساعد أي من الأدوات المساعدة، فمن المحتمل أنك عانيت من فيروس لا يوجد علاج له بعد.

ماذا يمكنك أن تفعل في هذه الحالة:

• إذا كنت تستخدم منتجًا مدفوعًا لمكافحة الفيروسات، فاتصل بفريق الدعم الخاص به. أرسل عدة نسخ من الملفات التالفة إلى المختبر وانتظر الرد. إذا كان ذلك ممكنا من الناحية الفنية، فسوف يساعدونك.

• إذا اتضح أن الملفات تالفة بشكل ميؤوس منه، ولكنها ذات قيمة كبيرة بالنسبة لك، فلا يسعك إلا أن تأمل وتنتظر حتى يتم العثور على علاج للإنقاذ يومًا ما. أفضل ما يمكنك فعله هو ترك النظام والملفات كما هي، أي إيقاف تشغيلها بالكامل وعدم استخدام القرص الصلب. يمكن أن يؤدي حذف ملفات البرامج الضارة وإعادة تثبيت نظام التشغيل وحتى تحديثه إلى حرمانك من ذلك وهذه الفرصةلأنه عند إنشاء مفاتيح التشفير/فك التشفير، غالبًا ما يتم استخدام معرفات النظام الفريدة ونسخ الفيروس.

دفع الفدية ليس خيارًا، نظرًا لأن احتمال حصولك على المفتاح قريب من الصفر. ولا فائدة من تمويل عمل إجرامي.

كيف تحمي نفسك من هذا النوع من البرمجيات الخبيثة

لا أريد أن أكرر النصيحة التي سمعها كل من القراء مئات المرات. نعم، من المهم تثبيت برنامج مكافحة فيروسات جيد، وعدم النقر على الروابط المشبوهة. ومع ذلك، كما أظهرت الحياة، فإن الحبة السحرية التي ستمنحك ضمانًا بنسبة 100٪ بالأمان غير موجودة اليوم.

الطريقة الفعالة الوحيدة للحماية من برامج الفدية من هذا النوع هي النسخ الاحتياطي للبياناتإلى الوسائط المادية الأخرى، بما في ذلك الخدمات السحابية. النسخ الاحتياطي، النسخ الاحتياطي، النسخ الاحتياطي ...

أيضا على الموقع:

بدون فرصة للخلاص: ما هو فيروس التشفير وكيفية التعامل معهتم التحديث: 1 سبتمبر 2018 بواسطة: جوني ذاكري

جولة جديدة من عمليات التخريب والاحتيال للكمبيوتر هي فيروسات التشفير. في المرحلة الأولى من الإصابة، ستجد أنه لا يمكنك فتح الملفات المألوفة. ستكون هذه صورًا وأرشيفات ومستندات وبيانات مستخدم مهمة أخرى.

ملفاتك مشفرة

عندما يتم تشفير ملفاتك، ستظهر رسالة على سطح المكتب (بدلاً من الخلفية) أو سيتم فتح ملف نصي باسم "الملف التمهيدي". كلما لاحظت الإصابة مبكرًا، كان ذلك أفضل. عندما ترى أن الصور العادية أو ملفات Excel قد غيرت امتدادها، افصل جهاز الكمبيوتر الخاص بك عن الإنترنت على الفور. اقرأ أدناه لمزيد من الخطوات.

دعنا نحذرك على الفور من أنه من الممكن علاج الملفات وفك تشفيرها في حالة حدوث فيروس فدية، ولكن ليس دائمًا. لنبدأ بالحالات الصعبة.

استعادة الملفات xtbl، vault، ملحقات cbf

لسوء الحظ، فقط موزعي الفيروسات أنفسهم لديهم معلومات حول كيفية فك تشفير xtbl (وهذه ليست حقيقة). في السابق، طلبوا 5000 روبل لفك التشفير، ثم رفعوا تكلفة "الخدمات" إلى 15000 ولكن، بالطبع، لا توجد ضمانات. احتمالية الصفقة "الناجحة" تميل إلى الصفر. الحالات القليلة على الشبكة التي كان من الممكن فيها استعادة الملفات بعد فيروس vault (المعروف أيضًا باسم xbtl أو cbf، والفرق هو فقط في مجموعة الحروف) لا توحي بالثقة. يتم "الإعلان" عن قصص حل مشكلة ما مقابل المال من قبل المهاجمين أنفسهم.

لكن لا تيأس، يجب اتخاذ بعض التدابير. إذا كانت الملفات الموجودة على جهاز الكمبيوتر الخاص بك مشفرة، فاتبع الإرشادات:

1. افصل جهاز الكمبيوتر الخاص بك عن الإنترنت. في 90٪ من الحالات، لن يتمكن الفيروس من مواصلة التشفير دون الوصول إلى الشبكة، ثم ستتاح لك فرصة حفظ البيانات المتبقية.
2. قم بتسجيل جهات الاتصال وأرسل الرمز من الملف التمهيدي، التقط صورة أو قم بتدوينها في المفكرة، حيث قد تفقد إمكانية الوصول إلى هذا الملف على جهاز الكمبيوتر الخاص بك. ستكون هناك حاجة إلى الرمز في حالة تطوير برنامج فك تشفير vault أو cbf أو xbtl.
3. قم بمسح القرص الصلب بالكامل باستخدام برنامج Malwarebytes Anti-Malware أو CureIt من Dr. ويب. إزالة كافة الكائنات المشبوهة. إذا كان هناك شيء يمنع الإزالة، فقم بوضع الكمبيوتر في الوضع الآمن وحاول مرة أخرى. لا تقم فقط بتدمير ملف VAULT.key أو ما شابه، فقد تكون هناك حاجة إليه لفك التشفير (إذا ظهر).
4. انتقل إلى تعليمات استعادة البيانات.

بالإضافة إلى فك التشفير، هناك طرق أخرى لاستعادة ملفاتك. الخيار المثالي بالطبع هو النسخ الاحتياطية. إذا لم تكن قد فعلت ذلك من قبل، فبعد الإصابة، ستتناول هذه المشكلة بالتأكيد. عندما لا تكون هناك نسخ مكررة، هناك خياران متبقيان لتجربة حظك:

• يحتوي نظام التشغيل Windows على نظام أرشفة تلقائي مدمج. مع القدر المناسب من الحظ، لن يتم تعطيله.

تمكن بعض الحرفيين من فك تشفير ملفات cbf، أو بالأحرى استعادتها باستخدام برنامج R-Studio لإنعاش البيانات المحذوفة (أو ما شابه)

والحقيقة هي أن الفيروس يحذف الملف الأصلي بعد التشفير. لذلك، هناك فرصة للعثور على بياناتك في أعماق القرص الصلب. على الرغم من أن بعض تعديلات التشفير "تستبدل" هذه السجلات عمدًا، إلا أنه لا توجد فرصة.

تلك التي يتم علاجها

لقد قامت شركات مكافحة الفيروسات بالفعل بتطوير أدوات مساعدة خاصة للإصدارات السابقة من "العدوى المشفرة". لدى Kaspersky Lab ما يلي:

1. RakhniDecryptor لحصان طروادة الفدية. Win32. هالة وطروادة فدية. Win32. راخني؛
2. RannohDecryptor مقابل طروادة الفدية. Win32. رانوه؛
3. يقوم RectorDecryptor بفك تشفير Trojan-Ransom. Win32. رئيس الجامعة؛
4. ScatterDecryptor للقضاء على Trojan-Ransom. مضرب. مبعثر؛
5. Decryptor Scraper vs Trojan-Ransom.Win32.Scraper.

وهي متاحة للتنزيل والاستخدام مجانًا على موقع KasperskyLab: https://support.kaspersky.ru/viruses/disinfection.

التحقق باستخدام Kaspersky RakhniDecryptor

يقدم Dr.Web أداة فك تشفير أداة تشفير طروادة. ولكن في الآونة الأخيرة فرضت الشركة قيودا على الوصول. يمكن فقط لمستخدمي برامج مكافحة الفيروسات المرخصين تنزيل الأداة المساعدة. إذا لم تكن قد اشتريت البرنامج، فابحث عن حل من المنافسين.

أصناف

بالإضافة إلى أحصنة طروادة والفيروسات المذكورة أعلاه، هناك العديد من الفيروسات الأخرى. وقد تمت بالفعل دراسة بعضها جيدًا، ويمكن التعرف عليها بسهولة وتدميرها دون عواقب. والبعض الآخر "يتحور" كل ستة أشهر، مما يجعل من المستحيل مقاومتهم بكرامة. عند الإصابة، قم بتعريف الفيروس عن طريق الامتداد أو الاسم (إذا اكتشفه برنامج مكافحة الفيروسات لديك).

ابحث عن الحلول على المواقع الرسمية لتطبيقات مكافحة الفيروسات. لأنه على خلفية الانتشار الواسع للعدوى، ظهر العديد من «المساعدين». إنهم مستعدون لحل المشكلة مقابل رسوم رمزية تتراوح بين 700-1500 روبل. الأمر لا يستحق المخاطرة؛ فعندما يظهر العلاج، يصبح موجودًا في كل مكان.

عندما يقوم فيروس بتشفير الملفات الموجودة على جهاز الكمبيوتر الخاص بك، فهذا ليس نهاية العالم. لديك العديد من المحاولات لإرجاع الملفات المهمة. هناك احتمال كبير أن ينجح أحدهم. لن يساعدك Encryptor في فك تشفير فيروس cbf، لكننا أظهرنا لك طرق الاسترداد. وفي حالات أخرى، سوف تساعد برامج فك التشفير المختلفة. أبدي فعل.

شاهد الفيديو

هل حدث أن تلقيت رسالة عبر البريد الإلكتروني أو Skype أو ICQ من مرسل غير معروف تحتوي على رابط لصورة صديقك أو تهنئة بالعيد القادم؟ لا يبدو أنك تتوقع أي نوع من الإعداد، وفجأة، عندما تنقر على الرابط، يتم تنزيل برامج ضارة خطيرة على جهاز الكمبيوتر الخاص بك. قبل أن تعرفه، قام الفيروس بالفعل بتشفير جميع ملفاتك. ماذا تفعل في مثل هذه الحالة؟ هل من الممكن استعادة الوثائق؟

لكي تفهم كيفية التعامل مع البرمجيات الخبيثة، عليك أن تعرف ما هي وكيف تخترق نظام التشغيل. بالإضافة إلى ذلك، لا يهم إصدار Windows الذي تستخدمه على الإطلاق - يهدف فيروس Critroni إلى إصابة أي نظام تشغيل.

تشفير فيروس الكمبيوتر: التعريف وخوارزمية العمل

ظهر برنامج جديد لفيروسات الكمبيوتر على الإنترنت، معروف للكثيرين باسم CTB (Curve Tor Bitcoin) أو Critroni. هذا هو برنامج فدية طروادة محسّن، يشبه من حيث المبدأ البرنامج الخبيث المعروف سابقًا CriptoLocker. إذا قام فيروس بتشفير جميع الملفات، فماذا عليك أن تفعل في هذه الحالة؟ بادئ ذي بدء، تحتاج إلى فهم خوارزمية عملها. جوهر الفيروس هو تشفير جميع ملفاتك بالامتدادات .ctbl، .ctb2، .vault، .xtbl أو غيرها. ومع ذلك، لن تتمكن من فتحها حتى تقوم بدفع المبلغ المطلوب.

تعتبر فيروسات Trojan-Ransom.Win32.Shade وTrojan-Ransom.Win32.Onion شائعة. إنها تشبه إلى حد كبير STV في عملها المحلي. يمكن تمييزها بامتداد الملفات المشفرة. يقوم Trojan-Ransom بتشفير المعلومات بتنسيق .xtbl. عند فتح أي ملف، تظهر رسالة على الشاشة تفيد بأن مستنداتك الشخصية وقواعد بياناتك وصورك وملفاتك الأخرى قد تم تشفيرها بواسطة برامج ضارة. لفك تشفيرها، يجب عليك الدفع مقابل مفتاح فريد يتم تخزينه على خادم سري، وفي هذه الحالة فقط ستتمكن من إجراء عمليات فك التشفير والتشفير مع مستنداتك. ولكن لا تقلق، ناهيك عن إرسال الأموال إلى الرقم المحدد؛ فهناك طريقة أخرى لمكافحة هذا النوع من الجرائم الإلكترونية. إذا وصل فيروس كهذا إلى جهاز الكمبيوتر الخاص بك وقام بتشفير جميع ملفات .xtbl، فماذا يجب عليك فعله في مثل هذه الحالة؟

ما لا يجب فعله إذا اخترق فيروس التشفير جهاز الكمبيوتر الخاص بك

يحدث أنه في حالة من الذعر نقوم بتثبيت برنامج مكافحة الفيروسات، وبمساعدته، نقوم تلقائيًا أو يدويًا بإزالة برامج الفيروسات، ونفقد المستندات المهمة معه. وهذا أمر غير سار، بالإضافة إلى أن الكمبيوتر قد يحتوي على بيانات كنت تعمل عليها منذ أشهر. إنه لأمر مخز أن تفقد مثل هذه الوثائق دون إمكانية استعادتها.

إذا قام الفيروس بتشفير كافة ملفات .xtbl، يحاول البعض تغيير امتدادها، لكن هذا أيضًا لا يؤدي إلى نتائج إيجابية. ستؤدي إعادة تثبيت محرك الأقراص الثابتة وتهيئته إلى إزالة البرنامج الضار نهائيًا، ولكن في الوقت نفسه ستفقد أي إمكانية لاستعادة المستندات. في هذه الحالة، لن تساعد برامج فك التشفير المنشأة خصيصًا، لأن برنامج الفدية مبرمج باستخدام خوارزمية غير قياسية ويتطلب نهجًا خاصًا.

ما سبب خطورة برامج الفدية على أجهزة الكمبيوتر الشخصية؟

من الواضح تمامًا أنه لن يفيد جهاز الكمبيوتر الشخصي الخاص بك أي برنامج ضار. لماذا تم إنشاء مثل هذه البرامج؟ ومن الغريب أن مثل هذه البرامج لم يتم إنشاؤها فقط لغرض الاحتيال على المستخدمين بأكبر قدر ممكن من المال. في الواقع، يعد التسويق الفيروسي مربحًا جدًا للعديد من مخترعي برامج مكافحة الفيروسات. ففي نهاية المطاف، إذا قام فيروس بتشفير كافة الملفات الموجودة على جهاز الكمبيوتر الخاص بك، إلى أين ستتجه أولاً؟ وبطبيعة الحال، طلب المساعدة من المتخصصين. ما هو التشفير لجهاز الكمبيوتر المحمول أو الكمبيوتر الشخصي؟

خوارزمية التشغيل الخاصة بهم غير قياسية، لذلك سيكون من المستحيل علاج الملفات المصابة باستخدام برامج مكافحة الفيروسات التقليدية. ستؤدي إزالة الكائنات الضارة إلى فقدان البيانات. فقط الانتقال إلى الحجر الصحي هو الذي سيجعل من الممكن تأمين الملفات الأخرى التي لم يتمكن الفيروس الضار من تشفيرها بعد.

تاريخ انتهاء صلاحية برامج التشفير الضارة

إذا كان جهاز الكمبيوتر الخاص بك مصابًا بـ Critroni (برامج ضارة) وقام الفيروس بتشفير جميع ملفاتك، فماذا يجب عليك فعله؟ لا يمكنك فك تشفير تنسيقات .vault- و.xtbl- و.rar بنفسك عن طريق تغيير الامتداد يدويًا إلى .doc و.mp3 و.txt وغيرها. إذا لم تدفع المبلغ المطلوب لمجرمي الإنترنت في غضون 96 ساعة، فسوف يرسلون لك مراسلات تهديدية عبر البريد الإلكتروني تفيد بأنه سيتم حذف جميع ملفاتك نهائيًا. في معظم الحالات، يتأثر الأشخاص بمثل هذه التهديدات ويقومون بتنفيذ الإجراءات المذكورة على مضض ولكن بطاعة، خوفًا من فقدان المعلومات الثمينة. ومن المؤسف أن المستخدمين لا يفهمون حقيقة أن مجرمي الإنترنت ليسوا صادقين دائمًا في كلمتهم. بمجرد حصولهم على الأموال، غالبًا ما لا يقلقون بشأن فك تشفير ملفاتك المقفلة.

عندما ينتهي الموقت، فإنه يغلق تلقائيا. ولكن لا تزال لديك فرصة لاستعادة المستندات المهمة. ستظهر رسالة على الشاشة تشير إلى انتهاء الوقت، ويمكنك عرض معلومات أكثر تفصيلاً حول الملفات الموجودة في مجلد المستندات في ملف المفكرة DecryptAllFiles.txt الذي تم إنشاؤه خصيصًا.

طرق اختراق برامج التشفير الضارة لنظام التشغيل

عادةً ما تدخل فيروسات برامج الفدية إلى جهاز الكمبيوتر من خلال رسائل البريد الإلكتروني المصابة أو من خلال التنزيلات المزيفة. قد تكون هذه تحديثات فلاش زائفة أو مشغلات فيديو احتيالية. بمجرد تنزيل البرنامج على جهاز الكمبيوتر الخاص بك باستخدام أي من هذه الطرق، فإنه يقوم على الفور بتشفير البيانات دون إمكانية استردادها. إذا قام الفيروس بتشفير جميع ملفات .cbf و.ctbl و.ctb2 إلى تنسيقات أخرى ولم يكن لديك نسخة احتياطية من المستند المخزن على وسائط قابلة للإزالة، فافترض أنك لن تتمكن بعد الآن من استعادتها. في الوقت الحالي، لا تعرف مختبرات مكافحة الفيروسات كيفية كسر فيروسات التشفير هذه. بدون المفتاح المطلوب، يمكنك فقط حظر الملفات المصابة أو نقلها إلى العزل أو حذفها.

كيفية تجنب الإصابة بالفيروسات على جهاز الكمبيوتر الخاص بك

جميع ملفات .xtbl مشؤومة. ما يجب القيام به؟ لقد قرأت بالفعل الكثير من المعلومات غير الضرورية المكتوبة على معظم مواقع الويب، ولا يمكنك العثور على الإجابة. يحدث أنه في أكثر اللحظات غير المناسبة، عندما تكون في حاجة ماسة إلى تقديم تقرير في العمل، أو أطروحة في إحدى الجامعات، أو الدفاع عن درجة أستاذك، يبدأ الكمبيوتر في عيش حياته الخاصة: فهو يتعطل، ويصاب بالفيروسات ويتجمد. يجب أن تكون مستعدًا لمثل هذه المواقف وتحتفظ بالمعلومات على الخادم والوسائط القابلة للإزالة. سيسمح لك ذلك بإعادة تثبيت نظام التشغيل في أي وقت وبعد 20 دقيقة من العمل على الكمبيوتر وكأن شيئًا لم يحدث. ولكن لسوء الحظ، نحن لسنا دائما مغامرين.

لتجنب إصابة جهاز الكمبيوتر الخاص بك بفيروس، تحتاج أولاً إلى تثبيت برنامج جيد لمكافحة الفيروسات. يجب أن يكون لديك جدار حماية Windows تم تكوينه بشكل صحيح، والذي يحمي من الكائنات الضارة المختلفة التي تصل إلى الشبكة. والأهم: لا تقم بتنزيل البرامج من مواقع لم يتم التحقق منها أو من متتبعات التورنت. لتجنب إصابة جهاز الكمبيوتر الخاص بك بالفيروسات، كن حذرًا بشأن الروابط التي تنقر عليها. إذا تلقيت بريدًا إلكترونيًا من مستلم غير معروف به طلب أو عرض لمعرفة ما هو مخفي خلف الرابط، فمن الأفضل نقل الرسالة إلى البريد العشوائي أو حذفها تمامًا.

لمنع الفيروس من تشفير جميع ملفات .xtbl يومًا ما، توصي مختبرات برامج مكافحة الفيروسات بطريقة مجانية للحماية من الإصابة بفيروسات التشفير: فحص حالتها مرة واحدة في الأسبوع.

قام الفيروس بتشفير جميع الملفات الموجودة على الكمبيوتر: طرق العلاج

إذا أصبحت ضحية لجريمة إلكترونية وأصيبت البيانات الموجودة على جهاز الكمبيوتر الخاص بك بأحد أنواع البرامج الضارة المشفرة، فقد حان الوقت لمحاولة استرداد ملفاتك.

هناك عدة طرق لمعالجة المستندات المصابة مجانًا:

1. الطريقة الأكثر شيوعًا، وربما الأكثر فعالية في الوقت الحالي، هي عمل نسخة احتياطية من المستندات ثم استعادتها في حالة حدوث إصابة غير متوقعة.
2. تعمل خوارزمية البرنامج الخاصة بفيروس CTB بطريقة مثيرة للاهتمام. بمجرد وصوله إلى الكمبيوتر، يقوم بنسخ الملفات وتشفيرها وحذف المستندات الأصلية، وبالتالي القضاء على إمكانية استعادتها. ولكن بمساعدة برنامج Photorec أو R-Studio، يمكنك إدارة حفظ بعض الملفات الأصلية التي لم تمسها. يجب أن تعلم أنه كلما طالت فترة استخدامك لجهاز الكمبيوتر الخاص بك بعد إصابته، قل احتمال قدرتك على استعادة كافة المستندات الضرورية.
3. إذا قام الفيروس بتشفير جميع ملفات .vault، فهناك طريقة جيدة أخرى لفك تشفيرها - باستخدام وحدات تخزين النسخة الاحتياطية. وبطبيعة الحال، سيحاول الفيروس حذفها جميعًا بشكل دائم وغير قابل للنقض، ولكن يحدث أيضًا أن تظل بعض الملفات دون تغيير. في هذه الحالة، سيكون لديك فرصة صغيرة ولكن لاستعادتها.
4. من الممكن تخزين البيانات على خدمات استضافة الملفات مثل DropBox. يمكن تثبيته على جهاز الكمبيوتر الخاص بك كمخطط قرص محلي. ومن الطبيعي أن يصيبه فيروس التشفير أيضًا. ولكن في هذه الحالة، يكون استعادة المستندات والملفات المهمة أكثر واقعية.

برامج الوقاية من الإصابة بفيروسات الكمبيوتر الشخصي

إذا كنت تخشى وصول برامج ضارة شريرة إلى جهاز الكمبيوتر الخاص بك ولا تريد أن يقوم فيروس خبيث بتشفير جميع ملفاتك، فيجب عليك استخدام محرر السياسة المحلي أو محرر مجموعة Windows. بفضل هذا البرنامج المتكامل، يمكنك إعداد سياسة تقييد البرنامج - وبعد ذلك لن تقلق بشأن إصابة جهاز الكمبيوتر الخاص بك.

كيفية استعادة الملفات المصابة

إذا قام فيروس CTB بتشفير جميع الملفات، فماذا يجب عليك فعله في هذه الحالة لاستعادة المستندات اللازمة؟ لسوء الحظ، في الوقت الحاضر، لا يمكن لمختبر واحد لمكافحة الفيروسات تقديم فك تشفير ملفاتك، ولكن من الممكن تحييد العدوى وإزالتها بالكامل من جهاز كمبيوتر شخصي. جميع الطرق الفعالة لاستعادة المعلومات مذكورة أعلاه. إذا كانت ملفاتك ذات قيمة كبيرة بالنسبة لك، ولم تكلف نفسك عناء نسخها احتياطيًا على محرك أقراص قابل للإزالة أو محرك أقراص إنترنت، فسيتعين عليك دفع مبلغ المال الذي طلبه مجرمو الإنترنت. ولكن ليس هناك فرصة لإرسال مفتاح فك التشفير إليك حتى بعد الدفع.

كيفية البحث عن الملفات المصابة

لرؤية قائمة الملفات المصابة، يمكنك الانتقال إلى هذا المسار: “My Documents”\.html أو “C:”\”Users”\”All Users”\.html. تحتوي ورقة HTML هذه على بيانات ليس فقط حول التعليمات العشوائية، ولكن أيضًا حول الكائنات المصابة.

كيفية منع فيروس التشفير

بمجرد إصابة جهاز الكمبيوتر ببرامج ضارة، فإن الإجراء الضروري الأول من جانب المستخدم هو تشغيل الشبكة. ويتم ذلك عن طريق الضغط على مفتاح لوحة المفاتيح F10.

إذا وصل فيروس Critroni عن طريق الخطأ إلى جهاز الكمبيوتر الخاص بك وقام بتشفير جميع الملفات بتنسيق .rar أو .ctbl أو .ctb2 أو .xtbl أو .vault أو .cbf أو أي تنسيق آخر، فمن الصعب بالفعل استعادتها. ولكن إذا لم يقم الفيروس بعد بإجراء العديد من التغييرات، فمن المحتمل أن يتم حظره باستخدام سياسة تقييد البرامج.

دعونا نذكركم:أحصنة طروادة من عائلة Trojan.Encoder هي برامج ضارة تعمل على تشفير الملفات الموجودة على القرص الصلب بجهاز الكمبيوتر وتطلب أموالاً لفك تشفيرها. يمكن تشفير الملفات *.mp3، *.doc، *.docx، *.pdf، *.jpg، *.rar وما إلى ذلك.
لم يكن من الممكن مقابلة عائلة هذا الفيروس بأكملها شخصيًا، ولكن كما تظهر الممارسة، فإن طريقة العدوى والعلاج وفك التشفير هي نفسها تقريبًا بالنسبة للجميع:
1. يتم إصابة الضحية من خلال بريد إلكتروني غير مرغوب فيه يحتوي على مرفق (في كثير من الأحيان عن طريق وسائل معدية)،
2. يتم التعرف على الفيروس وإزالته (بالفعل) بواسطة أي برنامج مكافحة فيروسات تقريبًا يحتوي على قواعد بيانات جديدة،
3. يتم فك تشفير الملفات عن طريق اختيار مفاتيح كلمة المرور لأنواع التشفير المستخدمة.
على سبيل المثال، يستخدم Trojan.Encoder.225 تشفير RC4 (المعدل) + DES، ويستخدم Trojan.Encoder.263 BlowFish في وضع CTR. يمكن حاليًا فك رموز هذه الفيروسات بنسبة 99% بناءً على الخبرة الشخصية.

ولكن ليس كل شيء على نحو سلس جدا. تتطلب بعض فيروسات التشفير أشهرًا من فك التشفير المستمر (Trojan.Encoder.102)، بينما لا يمكن فك تشفير البعض الآخر (Trojan.Encoder.283) بشكل صحيح حتى من قبل المتخصصين من Doctor Web، والذي يلعب في الواقع دورًا رئيسيًا في هذه المقالة.

الآن بالترتيب.

في بداية أغسطس 2013، اتصل بي العملاء بشأن مشكلة الملفات المشفرة بفيروس Trojan.Encoder.225. كان الفيروس، في ذلك الوقت، جديدًا، ولم يكن أحد يعرف شيئًا، وكان هناك 2-3 روابط جوجل المواضيعية على الإنترنت. وبعد بحث طويل على الإنترنت، تبين أن المؤسسة الوحيدة (الموجودة) التي تتعامل مع مشكلة فك تشفير الملفات بعد هذا الفيروس هي شركة دكتور ويب. وهي: تقديم التوصيات، والمساعدة عند الاتصال بالدعم الفني، وتطوير برامج فك التشفير الخاصة بها، وما إلى ذلك.

تراجع سلبي.

وأغتنم هذه الفرصة، أود أن أشير إلى اثنين الحصول على الدهون ناقص كاسبيرسكي لاب. والذين، عند الاتصال بالدعم الفني، يتجاهلون "نحن نعمل على هذه المشكلة، وسنعلمك بالنتائج عبر البريد". ومع ذلك، الجانب السلبي هو أنني لم أتلق أي رد على الطلب. بعد 4 أشهر. اللعنة على وقت رد الفعل. وها أنا أسعى إلى تحقيق المعيار "لا يزيد عن ساعة واحدة من استكمال الطلب".
عار عليك أيها الرفيق إيفجيني كاسبيرسكي، المدير العام لشركة كاسبرسكي لاب. لكن لدي نصف الشركات "الجلوس" عليها. حسنًا، تنتهي التراخيص في الفترة من يناير إلى مارس 2014. هل يستحق الحديث عما إذا كنت سأجدد رخصتي أم لا؟;)

أقدم وجوه "المتخصصين" من الشركات "الأبسط"، إذا جاز التعبير، وليس عمالقة صناعة مكافحة الفيروسات. ربما كانوا مجرد "متجمعين في الزاوية" و"يبكون بهدوء".
على الرغم من أن ما هو أكثر من ذلك هو أن الجميع كانوا في وضع حرج تمامًا. من حيث المبدأ، لا ينبغي لبرنامج مكافحة الفيروسات أن يسمح لهذا الفيروس بالوصول إلى جهاز الكمبيوتر. وخاصة بالنظر إلى التكنولوجيا الحديثة. ومن المفترض أنهم، عمالقة صناعة مكافحة الفيروسات، قاموا بتغطية كل شيء، "التحليل الإرشادي"، "النظام الوقائي"، "الحماية الاستباقية"...

أين كانت كل هذه الأنظمة الفائقة عندما فتح موظف قسم الموارد البشرية خطاب "HALMONNESS" مع موضوع "السيرة الذاتية"؟؟؟
ما الذي كان من المفترض أن يفكر فيه الموظف؟
إذا كنت لا تستطيع حمايتنا، فلماذا نحتاج إليك على الإطلاق؟

وسيكون كل شيء على ما يرام مع Doctor Web، ولكن للحصول على المساعدة، يجب بالطبع أن يكون لديك ترخيص لأي من منتجاتهم البرمجية. عند الاتصال بالدعم الفني (المشار إليه فيما يلي باسم TS)، يجب عليك تقديم الرقم التسلسلي لـ Dr.Web ولا تنس تحديد "طلب العلاج" في سطر "فئة الطلب:" أو ببساطة قم بتزويدهم بملف مشفر إلى معمل. سأحجز على الفور أن ما يسمى بـ "مفاتيح دفتر اليومية" الخاصة بـ Dr.Web، والتي يتم نشرها على دفعات على الإنترنت، ليست مناسبة، لأنها لا تؤكد شراء أي منتجات برمجية، ويتم حذفها بواسطة متخصصو TP مرة أو مرتين. من الأسهل شراء الترخيص "الأرخص". لأنه إذا قمت بفك التشفير، فإن هذا الترخيص سيدفع لك مليون مرة. خاصة لو كان مجلد صور "مصر 2012" في نسخة واحدة...

المحاولة رقم 1

لذلك، بعد أن اشتريت "ترخيصًا لجهازي كمبيوتر لمدة عام" مقابل مبلغ n من المال، اتصلت بـ TP وقدمت بعض الملفات، تلقيت رابطًا لأداة فك التشفير المساعدة te225decrypt.exe الإصدار 1.3.0.0. توقعًا للنجاح، أقوم بتشغيل الأداة المساعدة (تحتاج إلى توجيهها إلى أحد ملفات *.doc المشفرة). تبدأ الأداة المساعدة في الاختيار، وتحميل المعالج القديم E5300 DualCore بلا رحمة، 2600 ميجا هرتز (فيركلوكيد إلى 3.46 جيجا هرتز) / 8192 ميجا بايت DDR2-800، HDD 160 جيجا بايت Western Digital إلى 90-100٪.
هنا، بالتوازي معي، ينضم إلى العمل زميل على جهاز كمبيوتر شخصي Core i5 2500k (فيركلوكيد إلى 4.5 جيجا هرتز) / 16 رام 1600 / SSD Intel (هذا لمقارنة الوقت المستغرق في نهاية المقال).
وبعد 6 أيام، أبلغت الأداة أنه تم فك تشفير 7277 ملفًا. لكن السعادة لم تدم طويلا. تم فك تشفير كافة الملفات "بطريقة ملتوية". أي، على سبيل المثال، يتم فتح مستندات Microsoft Office، ولكن مع وجود أخطاء مختلفة: "اكتشف تطبيق Word محتوى في مستند *.docx لا يمكن قراءته" أو "لا يمكن فتح ملف *.docx بسبب وجود أخطاء في محتواه". ". يتم أيضًا فتح ملفات *.jpg إما مع حدوث خطأ، أو أن 95% من الصورة تظهر بخلفية سوداء أو خضراء فاتحة باهتة. بالنسبة لملفات *.rar - "نهاية غير متوقعة للأرشيف".
عموما فشل كامل.

المحاولة رقم 2

نكتب إلى TP حول النتائج. يطلبون منك تقديم ملفين. وبعد يوم واحد، قاموا مرة أخرى بتوفير رابط للأداة المساعدة te225decrypt.exe، ولكن هذه المرة الإصدار 1.3.2.0. حسنًا، لنبدأ، لم يكن هناك بديل على أي حال. تمر حوالي 6 أيام وتنتهي الأداة بالخطأ "غير قادر على تحديد معلمات التشفير". إجمالي 13 يومًا "في البالوعة".
لكننا لا نستسلم، لدينا مستندات مهمة من عميلنا *الغبي* بدون نسخ احتياطية أساسية.

المحاولة رقم 3

نكتب إلى TP حول النتائج. يطلبون منك تقديم ملفين. وكما كنت قد خمنت، بعد يوم واحد يقدمون رابطًا لنفس الأداة المساعدة te225decrypt.exe، ولكن الإصدار 1.4.2.0. حسنًا، لنبدأ، لم يكن هناك بديل، ولم يظهر من Kaspersky Lab، ولا من ESET NOD32، ولا من الشركات المصنعة الأخرى لحلول مكافحة الفيروسات. والآن، بعد 5 أيام و3 ساعات و14 دقيقة (123.5 ساعة)، تفيد الأداة المساعدة أنه تم فك تشفير الملفات (بالنسبة لزميل يعمل على Core i5، استغرق فك التشفير 21 ساعة و10 دقائق فقط).
حسنًا، أعتقد أنه كان أو لم يكن. وها هو: النجاح الكامل! يتم فك تشفير كافة الملفات بشكل صحيح. كل شيء يفتح ويغلق وينظر ويعدل ويحفظ بشكل صحيح.

الجميع سعداء، النهاية.

"أين قصة فيروس Trojan.Encoder.263؟"، تسأل. وعلى جهاز الكمبيوتر التالي، تحت الطاولة... كان هناك. كان كل شيء أسهل هناك: نكتب إلى Doctor Web TP، ونحصل على الأداة المساعدة te263decrypt.exe، ونبدأ تشغيلها، وننتظر 6.5 يومًا، هاهو! وكل شيء جاهز للتلخيص، يمكنني تقديم بعض النصائح من منتدى Doctor Web في نسختي:

ماذا تفعل إذا كنت مصابًا بفيروس طلب الفدية:
- أرسل إلى مختبر الفيروسات د. الويب أو في نموذج "إرسال ملف مشبوه" في ملف مستند مشفر.
- انتظر الرد من أحد موظفي Dr.Web ثم اتبع تعليماته.

ما الذي عليك عدم فعله:
- تغيير امتداد الملفات المشفرة. خلاف ذلك، مع مفتاح محدد بنجاح، فإن الأداة المساعدة ببساطة لن "ترى" الملفات التي تحتاج إلى فك تشفيرها.
- الاستخدام بشكل مستقل، دون استشارة المتخصصين، أي برامج لفك تشفير/استعادة البيانات.

انتبه، بوجود خادم خالٍ من المهام الأخرى، أقدم خدماتي المجانية لفك تشفير بياناتك. خادم Core i7-3770K مع إمكانية رفع تردد التشغيل إلى *ترددات معينة* وذاكرة وصول عشوائي (RAM) سعة 16 جيجابايت ومحرك أقراص SSD Vertex 4.
لجميع مستخدمي هبر النشطين، سيكون استخدام مواردي مجانيًا!!!
اكتب لي في رسالة شخصية أو من خلال جهات الاتصال الأخرى. لقد "أكلت الكلب" بالفعل في هذا الشأن. لذلك، لست كسولًا جدًا لوضع الخادم في وضع فك التشفير بين عشية وضحاها.
هذا الفيروس هو "آفة" عصرنا، وأخذ "الغنائم" من زملائهم الجنود أمر غير إنساني. على الرغم من أنه إذا قام شخص ما "بإلقاء" بضعة دولارات في حساب Yandex.money الخاص بي 410011278501419، فلن أمانع. ولكن هذا ليس ضروريا على الإطلاق. اتصل بنا. أقوم بمعالجة الطلبات في وقت فراغي.

معلومات جديدة!

بدءًا من 8 ديسمبر 2013، بدأ فيروس جديد من نفس سلسلة Trojan.Encoder في الانتشار تحت تصنيف Doctor Web - Trojan.Encoder.263، ولكن بتشفير RSA. هذا المشهد لهذا اليوم (20/12/2013) لا يمكن فك شفرتهالأنه يستخدم طريقة تشفير قوية جدًا.

وأوصي كل من عانى من هذا الفيروس:
1. باستخدام بحث Windows المدمج، ابحث عن جميع الملفات التي تحتوي على الامتداد .perfect وانسخها إلى وسائط خارجية.
2. انسخ ملف CONTACT.txt أيضًا
3. ضع هذه الوسائط الخارجية "على الرف".
4. انتظر حتى تظهر أداة فك التشفير.

ما الذي عليك عدم فعله:
ليست هناك حاجة للعبث مع المجرمين. هذا سخيف. في أكثر من 50٪ من الحالات، بعد "دفع" ما يقرب من 5000 روبل، لن تتلقى أي شيء. لا مال، لا فك التشفير.
لكي نكون منصفين، تجدر الإشارة إلى أن هناك أشخاصًا "محظوظين" على الإنترنت استعادوا ملفاتهم عن طريق فك التشفير من أجل "النهب". لكن لا يجب أن تثق بهؤلاء الناس. لو كنت كاتب فيروسات، فإن أول شيء سأفعله هو نشر معلومات مثل "لقد دفعت وأرسلوا لي جهاز فك التشفير !!!"
وخلف هؤلاء "المحظوظين" قد يكون هناك نفس المهاجمين.

حسنًا... دعونا نتمنى حظًا سعيدًا لشركات مكافحة الفيروسات الأخرى في إنشاء أداة مساعدة لفك تشفير الملفات بعد مجموعة الفيروسات Trojan.Encoder.

شكر خاص للرفيق v.martyanov من منتدى Doctor Web على العمل المنجز في إنشاء أدوات مساعدة لفك التشفير.

هو برنامج خبيث يقوم، عند تفعيله، بتشفير جميع الملفات الشخصية، مثل المستندات والصور وغيرها. وعدد هذه البرامج كبير جدًا ويتزايد كل يوم. لقد واجهنا مؤخرًا العشرات من متغيرات برامج الفدية: CryptoLocker، وCrypt0l0cker، وAlpha Crypt، وTeslaCrypt، وCoinVault، وBit Crypt، وCTB-Locker، وTorrentLocker، وHydraCrypt، وbetter_call_saul، وcrittt، و.da_vinci_code، وtoste، وfff، وما إلى ذلك. الهدف من فيروسات التشفير هذه هو إجبار المستخدمين على شراء البرنامج والمفتاح الضروريين لفك تشفير ملفاتهم، مقابل مبلغ كبير من المال في كثير من الأحيان.

بالطبع، يمكنك استعادة الملفات المشفرة ببساطة عن طريق اتباع الإرشادات التي يتركها منشئو الفيروس على الكمبيوتر المصاب. ولكن في أغلب الأحيان، تكون تكلفة فك التشفير كبيرة جدًا، وتحتاج أيضًا إلى معرفة أن بعض فيروسات برامج الفدية تقوم بتشفير الملفات بطريقة تجعل من المستحيل فك تشفيرها لاحقًا. وبالطبع، من المزعج أن تدفع مقابل استعادة ملفاتك الخاصة.

وفيما يلي سنتحدث بمزيد من التفصيل عن فيروسات التشفير وكيفية اختراقها لحاسوب الضحية، وكذلك كيفية إزالة فيروس التشفير واستعادة الملفات المشفرة به.

كيف يخترق فيروس الفدية جهاز الكمبيوتر؟

عادةً ما ينتشر فيروس برامج الفدية عبر البريد الإلكتروني. تحتوي الرسالة على مستندات مصابة. يتم إرسال مثل هذه الرسائل إلى قاعدة بيانات ضخمة من عناوين البريد الإلكتروني. يستخدم مؤلفو هذا الفيروس رؤوسًا ومحتويات رسائل مضللة، في محاولة لخداع المستخدم لفتح مستند مرفق بالرسالة. تبلغ بعض الرسائل عن الحاجة إلى دفع الفاتورة، والبعض الآخر يعرض إلقاء نظرة على أحدث قائمة الأسعار، والبعض الآخر يعرض فتح صورة مضحكة، وما إلى ذلك. على أية حال، سيؤدي فتح الملف المرفق إلى إصابة جهاز الكمبيوتر الخاص بك بفيروس طلب الفدية.

ما هو فيروس الفدية؟

فيروس الفدية هو برنامج خبيث يصيب الإصدارات الحديثة من أنظمة تشغيل ويندوز، مثل Windows XP، Windows Vista، Windows 7، Windows 8، Windows 10. تحاول هذه الفيروسات استخدام أقوى أوضاع التشفير الممكنة، على سبيل المثال RSA-2048 مع يبلغ طول المفتاح 2048 بت، مما يلغي عمليًا إمكانية اختيار مفتاح لفك تشفير الملفات بشكل مستقل.

عند إصابة جهاز كمبيوتر، يستخدم فيروس برامج الفدية دليل النظام %APPDATA% لتخزين ملفاته الخاصة. لتشغيل نفسه تلقائيًا عند تشغيل الكمبيوتر، يقوم برنامج الفدية بإنشاء إدخال في سجل Windows: الأقسام HKCU\Software\Microsoft\Windows\CurrentVersion\Run، HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce، HKCU\Software\ Microsoft\Windows\CurrentVersion\Run، HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

مباشرة بعد الإطلاق، يقوم الفيروس بفحص جميع محركات الأقراص المتوفرة، بما في ذلك الشبكة والتخزين السحابي، لتحديد الملفات التي سيتم تشفيرها. يستخدم فيروس برامج الفدية امتداد اسم الملف كوسيلة لتحديد مجموعة من الملفات التي سيتم تشفيرها. يتم تشفير جميع أنواع الملفات تقريبًا، بما في ذلك الملفات الشائعة مثل:

0، .1، .1st، .2bp، .3dm، .3ds، .sql، .mp4، .7z، .rar، .m4a، .wma، .avi، .wmv، .csv، .d3dbsp، .zip، .sie، .sum، .ibank، .t13، .t12، .qdf، .gdb، .tax، .pkpass، .bc6، .bc7، .bkp، .qic، .bkf، .sidn، .sidd، .mddata ، .itl، .itdb، .icxs، .hvpl، .hplg، .hkdb، .mdbackup، .syncdb، .gho، .cas، .svg، .map، .wmo، .itm، .sb، .fos، . mov، .vdf، .ztmp، .sis، .sid، .ncf، .menu، .layout، .dmp، .blob، .esm، .vcf، .vtf، .dazip، .fpk، .mlx، .kf، .iwd، .vpk، .tor، .psk، .rim، .w3x، .fsh، .ntl، .arch00، .lvl، .snx، .cfr، .ff، .vpp_pc، .lrf، .m2، .mcmeta ، .vfs0، .mpqge، .kdb، .db0، .dba، .rofl، .hkx، .bar، .upk، .das، .iwi، .litemod، .asset، .forge، .ltx، .bsa، . apk، .re4، .sav، .lbf، .slm، .bik، .epk، .rgss3a، .pak، .big، Wallet، .wotreplay، .xxx، .desc، .py، .m3u، .flv، . js، .css، .rb، .png، .jpeg، .txt، .p7c، .p7b، .p12، .pfx، .pem، .crt، .cer، .der، .x3f، .srw، .pef، .ptx، .r3d، .rw2، .rwl، .raw، .raf، .orf، .nrw، .mrwref، .mef، .erf، .kdc، .dcr، .cr2، .crw، .bay، .sr2 ، .srf، .arw، .3fr، .dng، .jpe، .jpg، .cdr، .indd، .ai، .eps، .pdf، .pdd، .psd، .dbf، .mdf، .wb2، . rtf، .wpd، .dxg، .xf، .dwg، .pst، .accdb، .mdb، .pptm، .pptx، .ppt، .xlk، .xlsb، .xlsm، .xlsx، .xls، .wps، .docm، .docx، .doc، .odb، .odc، .odm، .odp، .ods، .odt، .wav، .wbc، .wbd، .wbk، .wbm، .wbmp، .wbz، .wcf ، .wdb، .wdp، .webdoc، .webp، .wgz، .wire، .wm، .wma، .wmd، .wmf، .wmv، .wn، .wot، .wp، .wp4، .wp5، . wp6، .wp7، .wpa، .wpb، .wpd، .wpe، .wpg، .wpl، .wps، .wpt، .wpw، .wri، .ws، .wsc، .wsd، .wsh، .x، .x3d، .x3f، .xar، .xbdoc، .xbplate، .xdb، .xdl، .xld، .xlgc، .xll، .xls، .xlsm، .xlsx، .xmind، .xml، .xmmap، .xpm ، .xwp، .xx، .xy3، .xyp، .xyw، .y، .yal، .ybk، .yml، .ysp، .z، .z3d، .zabw، .zdb، .zdc، .zi، . زيف، .zip، .zw

مباشرة بعد تشفير الملف، يتلقى الملف امتدادًا جديدًا، والذي غالبًا ما يمكن استخدامه لتحديد اسم أو نوع برنامج الفدية. يمكن لبعض أنواع هذه البرامج الضارة أيضًا تغيير أسماء الملفات المشفرة. يقوم الفيروس بعد ذلك بإنشاء مستند نصي بأسماء مثل HELP_YOUR_FILES وREADME، والذي يحتوي على تعليمات لفك تشفير الملفات المشفرة.

أثناء تشغيله، يحاول فيروس التشفير منع القدرة على استعادة الملفات باستخدام نظام SVC (نسخة الظل من الملفات). للقيام بذلك، يستدعي الفيروس في وضع الأوامر الأداة المساعدة لإدارة النسخ الاحتياطية من الملفات باستخدام مفتاح يبدأ الإجراء الخاص بحذفها بالكامل. وبالتالي، يكون من المستحيل دائمًا تقريبًا استعادة الملفات باستخدام النسخ الاحتياطية الخاصة بها.

يستخدم فيروس برامج الفدية بشكل فعال أساليب التخويف من خلال إعطاء الضحية رابطًا لوصف خوارزمية التشفير وعرض رسالة تهديد على سطح المكتب. وبهذه الطريقة، يحاول إجبار مستخدم الكمبيوتر المصاب، دون تردد، على إرسال معرف الكمبيوتر إلى عنوان البريد الإلكتروني لمؤلف الفيروس لمحاولة استعادة ملفاته. غالبًا ما يكون الرد على مثل هذه الرسالة هو مبلغ الفدية وعنوان المحفظة الإلكترونية.

هل جهاز الكمبيوتر الخاص بي مصاب بفيروس الفدية؟

من السهل جدًا تحديد ما إذا كان جهاز الكمبيوتر مصابًا بفيروس تشفير أم لا. انتبه إلى امتدادات ملفاتك الشخصية، مثل المستندات والصور والموسيقى وما إلى ذلك. إذا تم تغيير الامتداد أو اختفت ملفاتك الشخصية، تاركة وراءها العديد من الملفات بأسماء غير معروفة، فهذا يعني أن جهاز الكمبيوتر الخاص بك مصاب. بالإضافة إلى ذلك، من علامات الإصابة وجود ملف باسم HELP_YOUR_FILES أو README في الأدلة الخاصة بك. سيحتوي هذا الملف على تعليمات لفك تشفير الملفات.

إذا كنت تشك في أنك فتحت بريدًا إلكترونيًا مصابًا بفيروس طلب الفدية، ولكن لا توجد أعراض للإصابة حتى الآن، فلا تقم بإيقاف تشغيل جهاز الكمبيوتر الخاص بك أو إعادة تشغيله. اتبع الخطوات الموضحة في قسم هذا الدليل. وأكرر مرة أخرى، من المهم جدًا عدم إيقاف تشغيل الكمبيوتر؛ في بعض أنواع برامج الفدية، يتم تنشيط عملية تشفير الملفات في المرة الأولى التي تقوم فيها بتشغيل الكمبيوتر بعد الإصابة!

كيفية فك تشفير الملفات المشفرة بفيروس الفدية؟

إذا حدثت هذه الكارثة فلا داعي للذعر! ولكن عليك أن تعرف أنه في معظم الحالات لا يوجد برنامج فك تشفير مجاني. ويرجع ذلك إلى خوارزميات التشفير القوية التي تستخدمها هذه البرامج الضارة. وهذا يعني أنه بدون مفتاح خاص، يكاد يكون من المستحيل فك تشفير الملفات. إن استخدام طريقة اختيار المفتاح ليس خيارًا أيضًا، نظرًا لطول المفتاح الكبير. ولذلك، لسوء الحظ، فإن دفع كامل المبلغ المطلوب لمؤلفي الفيروس هو الطريقة الوحيدة لمحاولة الحصول على مفتاح فك التشفير.

وبطبيعة الحال، ليس هناك أي ضمان على الإطلاق أنه بعد الدفع، سيتصل بك مؤلفو الفيروس ويقدمون لك المفتاح اللازم لفك تشفير ملفاتك. بالإضافة إلى ذلك، عليك أن تفهم أنه من خلال دفع الأموال لمطوري الفيروسات، فإنك تشجعهم بنفسك على إنشاء فيروسات جديدة.

كيفية إزالة فيروس الفدية؟

قبل أن تبدأ، عليك أن تعرف أنه من خلال البدء في إزالة الفيروس ومحاولة استعادة الملفات بنفسك، فإنك تمنع القدرة على فك تشفير الملفات عن طريق دفع المبلغ الذي طلبه لمؤلفي الفيروس.

يمكن لأداة إزالة الفيروسات Kaspersky وMalwarebytes Anti-malware اكتشاف أنواع مختلفة من فيروسات برامج الفدية النشطة وإزالتها بسهولة من جهاز الكمبيوتر الخاص بك، لكن لا يمكنها استعادة الملفات المشفرة.

5.1. قم بإزالة برامج الفدية باستخدام أداة إزالة الفيروسات Kaspersky

بشكل افتراضي، تم تكوين البرنامج لاستعادة جميع أنواع الملفات، ولكن لتسريع العمل، يوصى بترك أنواع الملفات التي تحتاج إلى استردادها فقط. عند الانتهاء من اختيارك، انقر فوق موافق.

في الجزء السفلي من نافذة برنامج QPhotoRec، ابحث عن زر Browse وانقر عليه. تحتاج إلى تحديد الدليل حيث سيتم حفظ الملفات المستردة. يُنصح باستخدام قرص لا يحتوي على ملفات مشفرة تتطلب الاسترداد (يمكنك استخدام محرك أقراص فلاش أو محرك أقراص خارجي).

لبدء إجراء البحث عن النسخ الأصلية من الملفات المشفرة واستعادتها، انقر فوق الزر "بحث". تستغرق هذه العملية وقتًا طويلاً، لذا كن صبورًا.

عند اكتمال البحث، انقر فوق الزر "إنهاء". افتح الآن المجلد الذي اخترته لحفظ الملفات المستردة.

سيحتوي المجلد على أدلة باسم recup_dir.1 وrecup_dir.2 وrecup_dir.3 وما إلى ذلك. كلما زاد عدد الملفات التي يعثر عليها البرنامج، زاد عدد الأدلة. للعثور على الملفات التي تحتاجها، تحقق من كافة الدلائل واحداً تلو الآخر. لتسهيل العثور على الملف الذي تحتاجه من بين عدد كبير من الملفات المستردة، استخدم نظام بحث Windows المدمج (حسب محتويات الملف)، ولا تنس أيضًا وظيفة فرز الملفات في الدلائل. يمكنك تحديد تاريخ تعديل الملف كخيار فرز، حيث يحاول QPhotoRec استعادة هذه الخاصية عند استعادة ملف.

كيفية منع فيروس الفدية من إصابة جهاز الكمبيوتر الخاص بك؟

تحتوي معظم برامج مكافحة الفيروسات الحديثة بالفعل على نظام حماية مدمج ضد اختراق وتفعيل فيروسات التشفير. لذلك، إذا لم يكن لديك برنامج مكافحة فيروسات على جهاز الكمبيوتر الخاص بك، فتأكد من تثبيته. يمكنك معرفة كيفية اختياره من خلال قراءة هذا.

علاوة على ذلك، هناك برامج حماية متخصصة. على سبيل المثال، هذا هو CryptoPrevent، مزيد من التفاصيل.

بضع كلمات أخيرة

باتباع هذه التعليمات، سيتم مسح جهاز الكمبيوتر الخاص بك من فيروس الفدية. إذا كان لديك أي أسئلة أو كنت بحاجة إلى مساعدة، يرجى الاتصال بنا.