Наша взаимовыгодная связь https://banwar.org/
Дата: 10.01.2013
Вірус, який шифрує ваші файли
У сьогоднішні дні одним з напрямків розвитку вірусів стало використання вірусами криптографії з подальшим вимаганням деенег з жертви. Цей напрямок дуже актуально у зв'язку з тим, що життя вірусів тепер ускладнюється не тільки антивірусами, але і самою операційною системою. Але для вірусу-шифрувальника не потрібно нічого, крім самого дорогого на вашому комп'ютері. Це файли користувача.
Таким чином такий різновид вірусів не потребує автозавантаженні, йому не треба пробиратися в надра системи, обходячи всілякі захисту і використовуючи вразливості. Йому досить, щоб ви його запустили один раз, наприклад з листа в пошті. Дуже часто це виглядає, наприклад, як важливий лист від ОщадБанку і подібне. Адже такий лист обов'язково відкриє наприклад бухгалтер або операціоніст. От і все. Жертва попалася. Вірус запускається і приступає до свого чорного справі. Він шукає на комп'ютері жертви особисті дані (Документи MS Office Word, Excel, картинки та інше) і шифрує їх. А надалі залишає на робочому столі картинку з інформацією з ким зв'язатися і якусь версію шифрувальника (про це трохи пізніше). Виходу два і один з них заплатити зловмисникам за програму-дешифратор, але в цьому випадку ви заохочуєте діяльність зловмисників і даєте їм на собі заробити. Однак в моменти, коли дані в єдиному екземплярі і терміново потрібні - жертва готова піти на все. На що і розраховують капосні злодюжки. І дуже часто, отримавши гроші, не надсилають ніяких програм для дешифрування.
Самостійно розшифрувати такого роду файли вельми сумнівна затія, тому що алгоритм шифрування обраний непростий. Цей алгоритм RSA ( http://ru.wikipedia.org/wiki/RSA ). Досить складний і використовується в серйозних цілях захисту, наприклад таких як PGP. Алгоритм шифрування RSA не має ефективних алгоритмів зворотного перетворення. Тобто для розшифровки даних жертві доведеться "вгадати" ключ, а якщо він має вигляд "35865945;% (? **% (& ^ # $ пвлегРНЕgfkTYHfdutjkfluоууе598" то і зовсім опускаються руки.
Але в такі моменти нам на допомогу приходять розробники антивірусів, які розробляють безліч корисних утиліт крім власного антивірусного комплексу, одна з яких RectorDecryptor від компанії "Лабораторія Касперського". Далі мова піде про неї.
Шкідлива програма Trojan-Ransom.Win32.Rector використовується шахраями для несанкціонованої модифікації даних на комп'ютері-жертві таким чином, щоб унеможливити роботу з ними, або блокувати нормальну роботу комп'ютера. Після того, як дані «взяті в заручники» (блоковані), користувачеві висувається вимога викупу.
Озвучену в вимозі суму жертва повинна передати зловмисникові, після чого зловмисник обіцяє вислати програму для відновлення даних або нормальної працездатності комп'ютера.
Для розшифровки файлів, зашифрованих шкідливою програмою Trojan-Ransom.Win32.Rector, фахівці Лабораторії Касперського розробили утиліту RectorDecryptor. Утиліта RectorDecryptor має графічний інтерфейс.
Завантажити актуальну версію утиліту завжди можна тут: http://support.kaspersky.ru/downloads/utils/rectordecryptor.exe
Утиліта досить проста у використанні і дозволить розшифрувати файли, зашифровані наступними версіями "вірусу" (на момент написання статті):
- RSA_CDoctors_4
- RSA_Rocketmail_1
- RSA_Rocketmail_2
- RSA_mt1234567_Rocketmail
- RSA_mt12345678_Rocketmail
- RSA_SpsenieFailov_Yahoo
- RSA_FileshMailRu
- RSA_2012_09_01
- RSA_2012_09_01_a
- RSA_2012_09_21
- RSA_2012_09_23
- RSA_015
- RSA_016_a
- RSA_016_b
- RSA_018
- RSA_019
- RSA_024
- RSA_025
- RSA_026
- RSA_027
- RSA_028
- RSA_029
- RSA_030
- RSA_031
- RSA_032
- RSA_033
- RSA_035
- RSA_037
- RSA_039
- RSA_040
- RSA_041
- RSA_042
- RSA_043
- RSA_044
- RSA_045
- RSA_046 NEW
- RSA_047
- RSA_048
- RSA_049
- RSA_055
- RSA_056
- RSA_057
- RSA_059
- RSA_060
- RSA_064
- RSA_066 NEW
- RSA_M1
- RSA_AF4
- RSA_AF5
- RSA_AF6
- RSA_AF8
- RSA_AF9 NEW
- RSA_AF10
- RSA_GSM100
- RSA_GSM101
- RSA_GSM102
- RSA_GSM103
- RSA_GSM104
- RSA_AM104
- RSA_FM139
Наприклад версія RSA_066 відноситься до такої інформації на екрані жертви:
ВАШІ ФАЙЛИ ЗАБЛОКОВАНО ВІРУСОМ
для розблокування пишіть сюди
[email protected]
вашому випадку присвоєно ID066
Повідомити мене цей номер на пошту без
нього пошук ліків буде скрутний
Щасти вам розшифровки ваших даних! Будьте пильні і не відкривайте сумнівні посилання і листи. Робіть резервні копії важливих даних на знімних пристроях і зберігайте окремо. І нехай віруси обійдуть вас стороною.
Автор статті: Ємелін В.Н.
джерела: http://support.kaspersky.ru , http://forum.kaspersky.com , http://virusinfo.info , http://ru.wikipedia.org