Nëse kompjuteri juaj është i infektuar me një virus (ose dyshoni se është), është e rëndësishme të ndiqni 4 rregulla:

Paraprakisht, nuk ka nevojë të nxitoni dhe të merrni vendime të pazakonta. Siç duket, "shikoni një herë, ndryshoni një herë" - veprimet e pamenduara mund të çojnë jo vetëm në humbjen e disa skedarëve, të cilat mund të konfirmohen, por edhe në ri-infektimin e kompjuterit.

Tim, jo ​​më pak, një gjë mund të ndodhë, por Vikonana nuk është e sigurt - duhet të ndizni kompjuterin në mënyrë që virusi të mos vazhdojë punën e tij. Të gjitha informacionet që janë identifikuar si të infektuara dhe të dezinfektuara kompjuteri duhet të fshihen vetëm pasi të rindizni kompjuterin nga disketa e mbrojtur që përmban sistemin operativ. Në këtë rast, skedarët janë të korruptuar dhe ruhen vetëm disketat "emergjente" që janë vjedhur nga rekordi. Mosrespektimi i këtij rregulli mund të çojë në pasoja shumë të rëndësishme, fragmente të një OS të infektuar ose nisja e programeve nga një disk i infektuar në një kompjuter mund të aktivizojë një virus, dhe nëse ka një virus, pastrimi i kompjuterit do të jetë plotësisht falas, dhe fragmentet do të hiqen Sistemi mund të parandalojë infeksione të mëtejshme të disqeve dhe programeve.

Nëse nuk keni informacion dhe njohuri të mjaftueshme për të pastruar kompjuterin tuaj, kërkoni ndihmë nga kolegët më të ditur ose kontaktoni fashistët.

Parandalimi i infeksionit me virus

1). Kopjimi i informacionit dhe ndarja e aksesit:

Do të ishte një ide e keqe nëse është e nevojshme të merrni kopje të arkivuara dhe master të paketave të programit dhe të dhënave që po përdorni. Para se të arkivoni të dhënat, duhet të kontrolloni plotësisht nëse ato janë të infektuara me ndonjë virus. Është gjithashtu e rëndësishme të kopjoni informacionin e shërbimit të diskut tuaj, siç është memoria e paqëndrueshme e kompjuterit, në një disketë.

Kopjet dhe përditësimet e këtij informacioni mund të aksesohen përmes programit Rescue të Norton Utilities.

2). Vendosni mbrojtjen e rekordit në disketat e arkivit. Ju nuk duhet të përfshiheni në kopje të palicencuara ose të paligjshme të softuerit nga kompjuterë të tjerë. Mund të ketë një virus atje.

3). Të gjitha të dhënat që merrni duhet të kontrollohen për viruse, veçanërisht skedarët e "marrë" nga Interneti.

4). Është e nevojshme të përgatitet paraprakisht një paketë që do të përditësohet në disketë me mbrojtje nga shkrimi.

5). Për një orë punë të rastësishme që nuk lidhet me përmirësimet e kompjuterit, mund të aktivizoni disketën. Kjo do t'ju parandalojë të infektoheni me një virus të rrezikshëm.

6). Programet Vikorist - filtra për zbulimin e hershëm të viruseve.

7). Kontrolloni periodikisht diskun me programe të tilla si AVP dhe Dr. Web për identifikimin e dështimeve të mundshme në mbrojtje.

8). Përditësoni bazën e të dhënave të programeve antivirus (AVP kushton 8-10 dollarë).

Dhe smut - mos lejoni hakerat e dyshimtë të hyjnë në kompjuter.

5. Lista e Literaturës në Wikipedia

1. Petrov M.Z., “Viruset kompjuterike”, M.: 2002.

2. Figurnov V.E. IBM PC për koristuvach. Kursi i shkurtër”, Infra-M.: 2001r.

3. Starkov V.A. "Manuali i kompjuterit personal", M.: 2000 rubla.

4. Bezrukov N. N. "Virologjia kompjuterike": dëshmi. kerivnitstvo 1991

Nëse në kompjuterin tuaj shfaqet një mesazh me tekst që thotë se skedarët janë të koduar, atëherë mos nxitoni për panik. Cilat janë shenjat e enkriptimit të skedarëve? Shtesa origjinale është ndryshuar në *.vault, *.xtbl, * [email i mbrojtur] _XO101 etj. Nuk është e mundur të hapësh skedarët - kërkohet një çelës, i cili mund të merret duke dërguar fletën në adresën e specifikuar.

A janë skedarët tuaj të koduar?

Kompjuteri fitoi një virus, i cili bllokoi aksesin në informacion. Programet antivirus shpesh i mungojnë ato, sepse programi bazohet në një mjet kriptimi të pafajshëm dhe pa kosto. Vetë virusi do të jetë shumë i vështirë, por mund të shfaqen probleme serioze nëse informacioni deshifrohet.

Mbështetja teknike nga Kaspersky Lab, Dr.Web dhe kompani të tjera udhëheqëse që janë të angazhuara në zhvillimin e softuerit antivirus, sipas të dhënave të korrespondentëve për dekriptimin e të dhënave, raportohet se kjo për një orë të këndshme është e pamundur. Ka një sërë programesh që mund të marrin kodin, por ato do të funksionojnë vetëm me viruse të infektuara më parë. Nëse keni hasur në një modifikim të ri, atëherë shanset për të përditësuar aksesin tuaj në informacion janë jashtëzakonisht të ulëta.

Si futet një virus i enkriptimit në një kompjuter?

Në 90% të rasteve, virusi aktivizohet nga virusi në kompjuter, duke zbuluar gjethe të padukshme. Pas kësaj, me e-mail do të mbërrijë një mesazh me një temë provokuese - "Urdhri ditor para gjyqit", "Prokurimi për një kredi", "Informacion për inspektoratin tatimor" etj. Në mes të fletës së rreme ka një shtresë, pasi e siguron atë, kriptori e dërgon atë në kompjuter dhe fillon të bllokojë gradualisht hyrjen në skedarë.

Kriptimi nuk kërkohet gjatë takimit, kështu që u duhet një orë që hetuesit të heqin virusin përpara se të gjitha informacionet të kodohen. Mund të gjeni një skrip të keq duke përdorur shërbimet e pastrimit Dr.Web CureIt, Kaspersky Internet Security dhe Malwarebytes Antimalware.

Metodat për përditësimin e skedarëve

Nëse sistemi është i mbrojtur në kompjuter, atëherë pas virusit të enkriptimit ka një shans për t'i kthyer skedarët në kopjet normale, vikorist dhe hije të skedarëve. Kriptuesit përpiqen gjithmonë t'i heqin ato, përndryshe ata nuk janë në gjendje të punojnë me përgjegjësinë e administratorit.

Versioni i fundit i përditësuar:

Për të ruajtur versionet e vjetra, duhet të çaktivizoni mbrojtjen e sistemit.

E rëndësishme: mbrojtja e sistemit mund të aktivizohet derisa të shfaqet enkriptuesi, pas së cilës ne nuk do të jemi më në gjendje të ndihmojmë.

1. Zbuloni fuqinë e "Kompjuterit".
2. Nga menyja, zgjidhni "Mbrojtja e sistemit".
   
3. Shkoni te disku C dhe klikoni "Rregullo".
4. Zgjidhni cilësimet e përditësuara dhe versionet më të fundit të skedarëve. Pezulloni ndryshimet tuaja duke shtypur butonin "Ok".

Nëse keni filluar të regjistroheni përpara se të shfaqej një virus që kodon skedarët, atëherë pasi të keni pastruar kompjuterin tuaj nga kodi i korruptuar, do të keni një shans të mirë për të përditësuar informacionin.

Një wiki për shërbime të veçanta

Kaspersky Lab ka përgatitur një numër shërbimesh që ndihmojnë në hapjen e skedarëve të koduar pasi të jetë hequr një virus. Dekriptuesi i parë që provova dhe testova ishte Kaspersky RectorDecryptor.

1. Shkarkoni programin nga faqja zyrtare e Kaspersky Lab.
2. Pas nisjes së programit, klikoni "Filloni verifikimin". Futni shtegun për çdo skedar të koduar.

Nëse programi i keq nuk e ndryshoi shtrirjen e skedarit, atëherë për ta deshifruar atë duhet t'i ruani në një dosje të veçantë. Ashtu si mjeti RectorDecryptor, shkarkoni dy programe të tjera nga faqja zyrtare e Kaspersky - XoristDecryptor dhe RakhniDecryptor.

Shërbimi i mbetur nga Kaspersky Lab quhet Ransomware Decryptor. Ndihmon për të deshifruar skedarët pas virusit CoinVault, i cili nuk është ende i barabartë me shtesat në Runet, përndryshe mund të zëvendësojë lehtësisht Trojans të tjerë.

Si rregull, shumica e pentesteve kryhen duke përdorur një skemë shumë të thjeshtë. Fillimisht, me ndihmën e inxhinierisë sociale, do të sigurohet aksesi në zonën e synuar në mes ose përreth, dhe më pas do të kryhet ndotja me mjete teknike. Variacionet e sulmit mund të jenë të ndryshme, e quani atë një pentest klasik - një shkrirje e pjesëve teknike dhe inxhinierisë sociale në përmasa të ndryshme. Pak një pentest klasik qëndron në faktin se është e nevojshme të "testohet" pikërisht ai test dhe më pas të kalohet në fazën tjetër. Nëse do të ishte e mundur të automatizohej procesi i kërkimit të një lidhjeje të dobët dhe shfrytëzimi i mëtejshëm i saj, kjo mund të përshpejtonte procesin e pentestimit dhe të rriste ndjeshëm shanset përfundimtare të suksesit.

PARALAJMËRIM!

I gjithë informacioni jepet vetëm për qëllime informative. As autori dhe as redaktorët nuk mbajnë përgjegjësi për ndonjë dëm të mundshëm që rezulton nga materialet e këtij artikulli.

Bazuar në statistikat e ofruara nga kompanitë e antiviruseve, rreth 30% e përdoruesve të kompjuterave nuk përdorin antivirus, thjesht i ndezin ose nuk përditësojnë bazat e të dhënave. Bazuar në këtë, mund të konfirmojmë se edhe kompania mesatare statistikore do të ketë një grup të madh njerëzish që janë edhe të pakujdesshëm për sigurinë e informacionit dhe, në mënyrën e tyre, vetë këta njerëz janë liri pa vlerë për kryerjen e një sulmi. Për më tepër, çdo sistem funksional mund të jetë i ndjeshëm ndaj fluksit të një serie të tërë faktorësh goditjeje që gjithashtu mund të paralizojnë shpejt sistemin e sigurisë:

• cilësimet e serverit proxy dështuan, kështu që baza e të dhënave antivirus nuk u përditësua;
• Afati i licencës antivirus ka skaduar dhe vazhdimi i shërbimit nuk është ende në rregull;
• Dështimi i robotëve e bëri të pamundur zbërthimin e skedarëve nga distanca, përmes të cilave të gjithë rojet e sigurisë u detyruan të kopjojnë dokumentet në një flash drive dhe t'i zhbllokojnë ato në një seksion tjetër.

E tëra çfarë ju duhet të bëni është të aktivizoni realitetin dhe mund të shtoni një duzinë opsione të tjera për zhvillimin e tij. Në përmbledhje, mund të konfirmohet se edhe organizata mesatare statistikore ka roje sigurie potencialisht jo të besueshme dhe ndonjëherë ka situata që mund të shkatërrojnë punën bazë dhe të paralizojnë hist. Prandaj, nëse goditni vendin e duhur në kohën e duhur, sulmi do të jetë i suksesshëm.

Në realitet, detyra po vihet në plan të parë: do të thotë që për momentin është bërë një nga kushtet e pasojave, gjë që ka çuar në uljen e sigurisë dhe pas kësaj, kjo situatë është bërë kamuflazh dhe sulm. në mënyrë të pashmangshme të nisë.

Në fakt, detyra zbret në njohjen e personit që heq dorë nga siguria dhe pse të mos merrni një flash drive për të?

Shumë shkrues virusesh tashmë janë dashuruar me disqet flash, sepse ato ju lejojnë të infektoni lehtësisht dhe shpejt kompjuterët dhe të injektoni virusin më të thjeshtë USB me pak shanse suksesi. Bumi i viruseve autorun që goditi në vitin 2008 nuk e ka ndryshuar vrullin e tij pesë vjet më vonë; për më tepër, viruset USB janë bërë edhe më të vrazhdë dhe nuk janë më të vetëdijshëm për praninë e tyre. Dhe në të njëjtën kohë, flash drive u infektua - ky është një tregues universal i shkrimit në furnizimin me energji elektrike të IB elementare. Për shembull, nëse merrni dhjetë disqe flash nga njerëz të ndryshëm, atëherë, në mënyrë të parashikueshme, tre ose katër prej tyre do të kenë viruse në disqet e tyre flash. Nëse merrni përsëri disqet flash nga disa njerëz brenda një jave, atëherë dy ose tre do të humbasin virusin. Bazuar në këtë, mund të konfirmoni që në kompjuterët që punojnë me këtë flash drive, nuk duhet të aplikoni mbrojtjen më të thjeshtë as për ndonjë arsye, ose nuk funksionon fare. Në këtë mënyrë, nëse zgjeroni virusin më të zakonshëm, i cili zbulohet me sukses nga të gjithë antiviruset, vetëm në një grup të madh njerëzish, atëherë do të jetë e mundur të infektoni një numër të madh kompjuterësh, para së gjithash ai do të zbulohet o. Dhe nëse kompjuterët tuaj nuk ju mbrojnë, atëherë mund të privoheni nga të dhënat e vlefshme për një kohë të gjatë.

Zbatimi

Në kompjuterin tjetër, me të cilin disqet flash lidhen periodikisht, është instaluar një program i veçantë që ekzekuton algoritmin. Kur lidhni një flash drive, programi fillon të tregojë se është i infektuar. Meqenëse nuk është e mundur të mbulohet gjithë diversiteti i viruseve USB, është e arsyeshme të përdoret një qasje heuristike për të identifikuar infeksionet bazuar në kriteret e mëposhtme:

• prania e skedarit autorun.inf;
• atributet e skedarit RHS;
• madhësia minimale e një skedari të dyshuar;
• sistemi i skedarëve nuk është NTFS;
• Ekzistenca e dosjes që përmban autorun.inf;
• dukshmëria e skedarëve të shkurtoreve.

Nëse disku flash është i infektuar, programi e shkruan atë në bazën e të dhënave duke përdorur numrin serial dhe hash-in e skedarit të dyshuar. Nëse, pas disa ditësh, flash drive është rilidhur me kompjuterin tuaj (dhe gjithashtu riaktivizohet në të njëjtën kohë) dhe skedarët e dyshimtë humbasin në të, atëherë ai është i infektuar me "virusin" tonë; Nëse skedari i dyshuar nuk humbet, programi heq numrin serial të flash drive nga baza e të dhënave. Nëse një kompjuter i ri është i infektuar, virusi kujton numrin serial të flash drive-it të motherboard-it dhe nuk e infekton ose analizon atë, në mënyrë që të mos shihet në të ardhmen se pronari i flash drive-it është "minuar".

Për të marrë numrin serial, ne do të shkruajmë një funksion bazuar në API-në GetVolumeInformation:

String GetFlashSerial(AnsiString DriveLetter) ( DWORD nuk përdoret; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; Përdorur, &VolumeFlags, NULL , 0); Vargu S; kthe S.sprintf("%X", VëllimiSerialNumber); )

Ju lutemi vini re se funksioni GetFlashSerial nuk merr një identifikues unik statik të pajisjes, por më tepër numrin serial të vëllimit. Ky numër tregohet nga një numër i shtypur dhe, si rregull, ndryshon menjëherë kur pajisja formatohet. Për qëllimet tona, mjafton të kemi vetëm numrin serial të flash drive-it, fragmentet e lidhjes me tela të fortë nuk ruhen dhe formatimi transferohet në pjesën e jashtme me informacion të kufizuar, në fakt, që përputhet me flash drive-in e formatuar. tek e reja.

Tani le të kalojmë në zbatimin e vetë heuristikës.

Bool IsItABadFlash (AnsiString DriveLetter) (DWORD nuk përdoret; char drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeNumberSerial; meSerialNumber, &NotUsed, &VolumeFlags, drive_fat_fatlash, sizeof) = GetFileAttributes(AnsiString(DriveLetter + ":\\autorun.inf").c_str()); if (!badflash) (TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) ( DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_TE_SYT) (badflash = e vërtetë; ) ) ) kthye badflash; )

Algoritmi për funksionin heuristik është mjaft i thjeshtë. Aktualisht ne mbështesim të gjitha pajisjet me sistemin e skedarëve NTFS dhe nuk e përfshijmë skedarin autorun.inf. Si rregull, të gjithë disqet flash janë krijuar për të përdorur sistemin e skedarëve FAT32 (dikur FAT dhe madje së fundi exFAT), dhe disa administratorë të sistemit ose specialistë të tjerë të TI-së i formatojnë ato duke përdorur sistemin NTFS për përdorimin e tyre. x konsum Ne nuk kemi nevojë për "njerëz të arsyeshëm", ne i fikim ata menjëherë. Hapi tjetër është të kontrolloni skedarin autorun.inf për atributet "kërkesë" dhe "sistemi". Skedari autorun.inf mund të jetë i vendosur në një program legjitim, por nëse atributet e tij janë të pranishme, mund të jetë mjaft e sigurt që flash drive është i infektuar me një virus.

Në ditët e sotme, shumë shkrues virusesh kanë filluar të shfrytëzojnë skedarin autorun.inf për të infektuar makinat. Ka disa arsye: para së gjithash, ndoshta të gjithë antiviruset dhe kompjuterët mundësojnë opsionin autorun; Përndryshe, mund të ketë një numër virusesh në kompjuter që shfrytëzojnë metodën e re të zgjerimit dhe njëri prej tyre do ta rishkruajë skedarin në mënyrën e vet. Prandaj, metoda e infektimit përmes krijimit të shkurtoreve dhe blerjes së dosjeve origjinale po bëhet gjithnjë e më e zakonshme. Për të mos humbur këtë flash drive pa kujdesin e duhur, ne kontrollojmë praninë e skedarit të shkurtoreve dhe praninë e një dosjeje me të njëjtin emër në rrënjën e vëllimit. Nëse dosja ka gjithashtu atributet "i aksesueshëm" dhe "sistemi", atëherë ky flash drive shënohet si i infektuar.

Natyrisht, heuristika ka kufizimet dhe nuancat e veta, kështu që kuptimi duhet të analizohet me kujdes për një detyrë specifike, por sipas mendimit tonë është e mundur të konfirmohet korrektësia e tij me siguri 100%.

Nëse gjithçka është e qartë me analizën heuristike të flash drive, atëherë me "infeksionet" ka nuanca të mundshme. Për shembull, thjesht mund të mbishkruash virusin e vjetër me tonin pa ndonjë ndryshim në skedarin autorun.inf, skedarë, shkurtore, etj. Kështu, "virusi" ynë humbet kontrollin në një kompjuter të ri, por është më mirë të krijoni një kopje të vjetër të virusit dhe ta ruani atë në të njëjtin katalog, në mënyrë që të rritet pak. Nëse për ndonjë arsye ka një antivirus në një kompjuter tjetër, atëherë është e mundur të zbulohet një virus i vjetër, duket se Koristuvachev është përpara kurbës për reduktimin e suksesshëm të kërcënimeve - dhe në këtë mënyrë siguron paqen e mendjes së Koristuvach, dhe virusi ynë për të humbur i pakrahasueshëm.

Përveç kësaj, në numrin e fundit të “Hacker” kemi shkruar edhe për problemet e rrëmbimit të DLL në softuer të ndryshëm dhe për zbatimin efektiv të tij. Për shkak se transferohet se në disqet flash mund të ketë programe të tilla si menaxherët e fjalëkalimeve ose versione portative të softuerëve të ndryshëm, atëherë ekziston një ndjenjë e vikorizimit të këtyre të dhënave dhe në këtë mënyrë zgjerohet gamën e makinave operative dhe vlerën e nxjerrjes së të dhënave për pentestim.

Para se të flisni, nuk është kurrë vonë të shqetësoheni nëse disqet flash do të infektohen. Për shembull, nëse departamenti IB ka për detyrë që thjesht të monitorojë periodikisht spyware-in për praninë e "njerëzve të pabesueshëm", atëherë ka më shumë kuptim ta instaloni këtë program në një numër makinash dhe thjesht të shkruani numrat serial të disqeve flash dhe pastaj krijoni një skedar falas për mbledhjen e statistikave. Vetë Tim nuk ka nevojë të kërkojë fjalë për fjalë të gjitha pajisjet spyware, dhe në këtë mënyrë ruhet konfidencialiteti i të dhënave në disqet flash, dhe bazuar në të dhënat e nxjerra, mund të gjykohet edhe mundësia e infektimit të kompjuterëve shtëpiak të klientëve. dhe vendet.IB në përgjithësi. Në të vërtetë, siç kemi shkruar tashmë më parë, nëse sistemi është i ndjeshëm ndaj faktorëve të papritur dhe mospërjashtimeve, do të shfaqet rreziku i kërcënimeve.

Duke testuar

Duke ndezur programin, i cili është qartësisht në përputhje me shkallën e masës, ndër vite kemi tërhequr homazhet promovuese. Më shumë se 20% e të gjithë disqeve flash të lidhura ishin të infektuar me një lloj virusi ose trojan, dhe më shumë se 15% u bënë të painfektuar kur u rilidhën pas disa ditësh. Duhet të theksohet se shumë kompjuterë kishin mbrojtje antivirus, e cila instalohej periodikisht. Sidoqoftë, është e rëndësishme të qëndroni përpara antivirusit që po pret shumë kohë më parë kur u lidh një flash drive dhe nuk i lejoi ata të pranojnë se era e keqe po afrohej në anën e djathtë të një kërcënimi krejtësisht të ndryshëm. Hibne, me një ndjenjë sigurie, i lejoi klientët të lidhnin një flash drive me kompjuterë të ndryshëm pa dëmtuar, dhe programet tona funksionojnë me sukses vetë.

Shkurtimisht për algoritmin

• Ne instalojmë programin tonë në kompjuterin e kompanisë.
• Ne skanojmë disqet flash që janë të lidhur për të kërkuar shenja infeksioni.
• Ne "infektojmë" flash disqet e klientëve tanë me "virusin" tonë të testit dhe rishkruajmë numrat e tyre për statistika.
• E vërtetuar para autoriteteve, grabitësit koristuvaçev dënohen, priten, nuk lejohen dhe bllokohen.

Visnovok

Nga rruga, mund të thuhet se e meta kryesore e kësaj është parëndësia e saj. Askush nuk e di nëse i njëjti flash drive "i përshtatshëm" do të lidhet me kompjuterin, fragmentet e të cilit do të qëndrojnë shumë në mes të të cilit programi po ekzekutohet. Sidoqoftë, ky nuk është avantazhi kryesor i metodës. Ju mund të privoheni nga kërcënimet e paidentifikuara për një kohë të gjatë dhe, që lindin nga kërcënime të tjera, të sulmoni përsëri makina të reja dhe të reja në modalitetin automatik. Është e rëndësishme të theksohet se kjo teknikë ka një efekt të veçantë në shkallë. Sa më shumë profesionistë të punojnë në një organizatë dhe shumëllojshmëria e komunikimeve të brendshme, aq më i madh është rezultati. Unë dua që kjo qasje të funksionojë mirë në një strukturë absolutisht të çdo shkalle, edhe nëse objektivi kryesor i saj nuk është të zvogëlojë nivelin masiv të sistemit, por një goditje të synuar ndaj pjesës më të dobët - njerëzve. ][