Bilgisayarınıza bir virüs bulaştıysa (veya olduğundan şüpheleniyorsanız), 4 kurala uymanız önemlidir:

Önceden acele etmeye ve alışılmadık kararlar almaya gerek yok. Görünüşe göre, "bir kez bak, bir kez değiştir" - kötü düşünülmüş eylemler yalnızca onaylanabilecek bazı dosyaların kaybolmasına değil, aynı zamanda bilgisayara yeniden virüs bulaşmasına da yol açabilir.

Tim, daha az değil, bir şey olabilir ama Vikonana güvenli değil - virüsün çalışmaya devam etmemesi için bilgisayarı açmanız gerekiyor. Bilgisayara virüs bulaştığı ve dezenfekte edildiği belirlenen tüm bilgiler, yalnızca bilgisayar işletim sistemini içeren korumalı disketten yeniden başlatıldıktan sonra silinmelidir. Bu durumda dosyalar bozulur ve yalnızca kayıttan çalınan “acil durum” disketleri kaydedilir. Bu kurala uyulmaması çok önemli sonuçlara yol açabilir, virüslü bir işletim sisteminin parçaları veya bilgisayardaki virüslü bir diskten programların başlatılması bir virüsü etkinleştirebilir ve virüs varsa bilgisayarı temizlemek tamamen ücretsiz olacaktır ve parçalar kaldırılacak. Sistem, disklere ve programlara daha fazla bulaşmayı önleyebilir.

Bilgisayarınızı temizlemek için yeterli bilgi ve birikime sahip değilseniz, daha bilgili meslektaşlarınızdan yardım isteyin veya faşistlerle iletişime geçin.

Virüs enfeksiyonuna karşı önleme

1). Bilgilerin kopyalanması ve erişimin paylaşılması:

Gerektiğinde kullandığınız program paketlerinin ve verilerin arşivlenmiş ve ana kopyalarını edinmek kötü bir fikir olacaktır. Verileri arşivlemeden önce, virüs bulaşıp bulaşmadığını iyice kontrol etmelisiniz. Bilgisayarın kalıcı belleği gibi diskinizin servis bilgilerini bir diskete kopyalamanız da önemlidir.

Bu tür bilgilerin kopyalarına ve güncellemelerine Norton Utilities'in Rescue programı aracılığıyla erişilebilir.

2). Arşiv disketlerindeki kayıt korumasını ayarlayın. Diğer bilgisayarlardan lisanssız veya yasa dışı yazılım kopyaları almamalısınız. Orada bir virüs olabilir.

3). Aldığınız tüm veriler, özellikle de İnternet'ten "alınan" dosyalar, virüslere karşı kontrol edilmelidir.

4). Yazma korumalı disketlerde güncelleme yapacak bir paketin önceden hazırlanması gerekmektedir.

5). Bilgisayar yükseltmeleriyle ilgili olmayan bir saatlik gündelik çalışma için disketi açabilirsiniz. Bu, tehlikeli bir virüsün bulaşmasını önleyecektir.

6). Vikorist programları - virüslerin erken tespiti için filtreler.

7). AVP ve Dr. gibi programlarla diski periyodik olarak kontrol edin. Savunmadaki olası başarısızlıkları belirlemek için web.

8). Anti-virüs programlarının veritabanını güncelleyin (AVP'nin maliyeti 8-10 dolar).

Ve müstehcen - şüpheli bilgisayar korsanlarının bilgisayara erişmesine izin vermeyin.

5. Vikipedi Literatürü Listesi

1. Petrov M.Z., “Bilgisayar virüsleri”, M.: 2002.

2. Figurnov V.E. Koristuvach için IBM PC. Kısa kurs", Infra-M .: 2001r.

3. Starkov V.A. “Kişisel bilgisayar kılavuzu”, M.: 2000 rub.

4. Bezrukov N. N. “Bilgisayar virolojisi”: kanıt. kerivnitstvo 1991

Bilgisayarınızda dosyaların şifrelendiğini belirten bir kısa mesaj görünürse paniğe kapılmayın. Dosya şifrelemenin işaretleri nelerdir? Orijinal uzantı *.vault, *.xtbl, * olarak değiştirildi [e-posta korumalı] _XO101 vb. Dosyaları açmak mümkün değildir - sayfayı belirtilen adrese göndererek elde edilebilecek bir anahtar gereklidir.

Dosyalarınız şifrelenmiş mi?

Bilgisayara bilgiye erişimi engelleyen bir virüs bulaştı. Antivirüs programları genellikle bunları gözden kaçırır çünkü program masum, maliyetsiz bir şifreleme yardımcı programına dayanmaktadır. Virüsün kendisi oldukça zor olacaktır ancak bilgilerin şifresi çözülürse ciddi sorunlar ortaya çıkabilir.

Kaspersky Lab, Dr.Web ve anti-virüs yazılımı geliştirmeyle uğraşan diğer lider firmalardan teknik destek alan muhabirlerin verilerine göre, verilerin şifresini çözmek için bunun keyifli bir saat için geliştirileceği bildirildi. imkansız. Kodu alabilen çok sayıda program var, ancak bunlar yalnızca önceden virüs bulaşmış virüslerle çalışacak. Yeni bir değişiklikle karşılaştıysanız, bilgilere erişimi güncelleme şansınız son derece düşüktür.

Şifreleme virüsü bilgisayara nasıl bulaşır?

Vakaların %90'ında virüs, bilgisayardaki virüs tarafından etkinleştirilir., görünmez yaprakları ortaya çıkarıyor. Bundan sonra e-postayla kışkırtıcı konulu bir mesaj gelecek - "Dava öncesi günlük sipariş", "Kredi alımı", "Vergi müfettişliği hakkında bilgi" vb. Sahte sayfanın ortasında bir dolgu bulunur, onu sabitledikten sonra şifreleyici onu bilgisayara gönderir ve dosyalara erişimi yavaş yavaş engellemeye başlar.

Toplantı sırasında şifreleme gerekli değildir, bu nedenle tüm bilgilerin şifrelenmesinden önce araştırmacıların virüsü temizlemesi bir saat sürer. Dr.Web CureIt, Kaspersky Internet Security ve Malwarebytes Antimalware temizleme araçlarını kullanarak kötü niyetli bir komut dosyası bulabilirsiniz.

Dosyaları güncelleme yöntemleri

Sistem bilgisayarda korunuyorsa, şifreleme virüsünden sonra dosyaları normal, vikorist ve gölge kopyalarına döndürme şansı vardır. Şifreleyiciler her zaman bunları kaldırmaya çalışır, aksi takdirde yöneticinin sorumluluğunda çalışamazlar.

En son sürüm güncellendi:

Eski sürümleri kaydetmek için sistem korumasını kapatmanız gerekir.

Önemli: Şifreleyici görünene kadar sistem koruması açık olabilir, bundan sonra artık yardımcı olamayacağız.

1. "Bilgisayar"ın gücünü ortaya çıkarın.
2. Menüden “Sistem koruması” seçeneğini seçin.
   
3. C sürücüsüne gidin ve “Ayarla”ya tıklayın.
4. Güncellenmiş ayarları ve en son dosya sürümlerini seçin. “Tamam” butonuna basarak değişikliklerinizi askıya alın.

Dosyaları şifreleyen bir virüs ortaya çıkmadan önce oturum açmaya başladıysanız, bilgisayarınızı bozuk koddan temizledikten sonra bilgileri güncelleme şansınız yüksektir.

Özel yardımcı programlar için bir wiki

Kaspersky Lab, bir virüs kaldırıldıktan sonra şifrelenmiş dosyaların açılmasına yardımcı olan bir dizi yardımcı program hazırlamıştır. Denediğim ve test ettiğim ilk şifre çözücü Kaspersky RectorDecryptor'du.

1. Programı resmi Kaspersky Lab web sitesinden indirin.
2. Yardımcı programı başlattıktan sonra “Doğrulamayı başlat”a tıklayın. Herhangi bir şifrelenmiş dosyanın yolunu girin.

Kötü program dosya uzantısını değiştirmediyse, şifresini çözmek için bunları ayrı bir klasöre kaydetmeniz gerekir. RectorDecryptor yardımcı programı gibi, resmi Kaspersky web sitesinden iki program daha indirin - XoristDecryptor ve RakhniDecryptor.

Kaspersky Lab'ın geri kalan yardımcı programına Ransomware Decryptor adı verilir. Henüz Runet üzerindeki uzantılara eşdeğer olmayan CoinVault virüsünden sonra dosyaların şifresinin çözülmesine yardımcı olur, aksi takdirde kolaylıkla diğer Trojanların yerini alabilir.

Kural olarak çoğu sızma testi çok basit bir şema kullanılarak gerçekleştirilir. Başlangıçta sosyal mühendislik yardımıyla hedef orta veya çevre alana erişim sağlanacak, daha sonra teknik araçlar kullanılarak kirlenme gerçekleştirilecek. Saldırının çeşitleri farklı olabilir; buna klasik bir sızma testi diyebiliriz; teknik parçaların ve sosyal mühendisliğin farklı oranlarda birleşimi. Klasik bir sızma testinin bir kısmı, o testi "test etmenin" ve ardından bir sonraki aşamaya geçmenin gerekli olduğu gerçeğinde yatmaktadır. Zayıf bir bağlantının aranması ve bundan daha fazla yararlanılması sürecini otomatikleştirmek mümkün olsaydı, bu, pentest sürecini hızlandırabilir ve nihai başarı şansını önemli ölçüde artırabilirdi.

UYARI!

Tüm bilgiler yalnızca bilgilendirme amaçlıdır. Ne yazar ne de editörler bu makalenin materyallerinden kaynaklanabilecek olası zararlardan sorumlu değildir.

Antivirüs şirketlerinin sağladığı istatistiklere göre, bilgisayar kullanıcılarının yaklaşık %30'u antivirüs kullanmıyor, sadece onları açıyor veya veritabanlarını güncellemiyorlar. Buna dayanarak, ortalama bir istatistik şirketinin bile bilgi güvenliği konusunda dikkatsiz olan büyük bir insan grubuna sahip olacağını ve bu kişilerin kendi açılarından bir saldırı gerçekleştirmek için değersiz birer keten olduğunu doğrulayabiliriz. Buna ek olarak, çalışan herhangi bir sistem, güvenlik sistemini hızla felç edebilecek bir dizi şok faktörünün akışına karşı duyarlı olabilir:

• proxy sunucusunun ayarları başarısız oldu, bu nedenle antivirüs veritabanı güncellenmedi;
• Antivirüs lisans süresinin sona ermesi ve hizmetin devamının henüz sağlanamaması;
• Robotların arızalanması, dosyaların uzaktan açılmasını imkansız hale getirdi ve bu sayede tüm güvenlik görevlileri, belgeleri bir flash sürücüye kopyalamak ve bunları başka bir bölümde açmak zorunda kaldı.

Tek yapmanız gereken gerçekliği açmaktır ve onun gelişimi için bir düzine seçenek daha ekleyebilirsiniz. Özetle, ortalama bir istatistik kuruluşunun bile potansiyel olarak güvenilmez güvenlik görevlilerine sahip olduğu ve bazen temel çalışmayı bozabilecek, geçmişi felce uğratabilecek durumların yaşandığı doğrulanabilir. Bu nedenle doğru zamanda doğru yere vurursanız saldırı başarılı olacaktır.

Aslında görev ön plana çıkarılıyor: şu anda güvenliğin azalmasına yol açan serpinti koşullarından biri haline geldi ve bundan sonra bu durum bir kamuflaj haline geldi ve bir saldırı yapılabilir. gecikmeden başlatılacak.

Aslında görev, güvenlikten vazgeçen kişiyi tanımaktan geçiyor ve neden ona bir flash sürücü almayasınız?

Pek çok virüs yazarı zaten flash sürücülere aşık oldu çünkü bunlar bilgisayarlara kolayca ve hızlı bir şekilde virüs bulaştırmanıza ve en basit USB virüsünü çok az başarı şansıyla enjekte etmenize olanak tanıyor. 2008'de başlayan otomatik çalıştırma virüsleri patlaması beş yıl sonra da ivmesini değiştirmedi; üstelik USB virüsleri daha da kabalaştı ve artık varlıklarının farkında değiller. Ve aynı zamanda, flash sürücüye virüs bulaştı - bu, temel IB'nin güç kaynağına yazmanın evrensel bir göstergesidir. Örneğin, farklı kişilerden on flash sürücü alırsanız, tahmin edilebileceği gibi üç veya dördünün flash sürücülerinde virüs bulunacaktır. Bir hafta içinde tekrar birkaç kişiden flash bellek alırsanız iki veya üç kişi virüsü kaybeder. Buna dayanarak, bu flash sürücüyle çalışan bilgisayarlarda, herhangi bir nedenle en basit korumayı uygulamamanız gerektiğini veya hiç çalışmadığını doğrulayabilirsiniz. Bu sayede tüm antivirüslerin başarılı bir şekilde tespit ettiği en yaygın virüsü yalnızca geniş bir insan grubuna genişletirseniz, o zaman çok sayıda bilgisayara bulaşması mümkün olacak, öncelikle tespit edilecektir. Ve eğer bilgisayarlarınız sizi korumuyorsa, o zaman değerli verilerinizden uzun süre mahrum kalabilirsiniz.

Uygulama

Flash sürücülerin periyodik olarak bağlandığı bir sonraki bilgisayarda, algoritmayı çalıştıran özel bir program kurulur. Bir flash sürücüyü bağladığınızda program, virüs bulaştığını göstermeye başlar. USB virüslerinin tüm çeşitliliğini kapsamak mümkün olmadığından, enfeksiyonları aşağıdaki kriterlere göre tanımlamak için buluşsal bir yaklaşım kullanmak mantıklıdır:

• autorun.inf dosyasının varlığı;
• RHS dosya nitelikleri;
• şüpheli dosyanın minimum boyutu;
• dosya sistemi NTFS değil;
• Autorun.inf dosyasını içeren klasörün varlığı;
• kısayol dosyalarının görünürlüğü.

Flash sürücüye virüs bulaşmışsa program, şüpheli dosyanın seri numarasını ve karmasını kullanarak sürücüyü veritabanına yazar. Birkaç gün sonra flash sürücü bilgisayarınıza yeniden bağlanırsa (ve ayrıca yeniden görünürse) ve şüpheli dosyalar kaybolursa, ona "virüsümüz" bulaşmış demektir; Şüpheli dosya kaybolmazsa program, flash sürücünün seri numarasını veritabanından kaldırır. Yeni bir bilgisayara virüs bulaşırsa, virüs anakart flash sürücüsünün seri numarasını hatırlar ve ona bulaşmaz veya analiz etmez, böylece gelecekte flash sürücünün sahibinin "zayıfladığı" görülmez.

Seri numarasını almak için GetVolumeInformation API'sini temel alan bir fonksiyon yazacağız:

String GetFlashSerial(AnsiString DriveLetter) ( DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; Kullanılmış, &VolumeFlags, NULL , 0); Teller; return S.sprintf("%X", VolumeSerialNumber); )

GetFlashSerial işlevinin statik benzersiz aygıt tanımlayıcısını değil, birim seri numarasını aldığını lütfen unutmayın. Bu sayı, yazılan bir sayıyla gösterilir ve kural olarak cihaz biçimlendirildiğinde hemen değişir. Amacımız açısından, yalnızca flash sürücünün seri numarasına sahip olmak yeterlidir, kablolu bağlantının parçaları saklanmaz ve formatlama, aslında formatlanmış flash sürücüyle eşleşerek sınırlı bilgiyle dışarıya aktarılır. yenisine.

Şimdi buluşsal yöntemin uygulanmasına geçelim.

Bool IsItABadFlash(AnsiString DriveLetter) ( DWORD NotUsed; char Drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; meSerialNumber, &NotUsed, &VolumeFlags, Drive_fat, sizeof(drive_fat)), bool badflash=false; = GetFileAttributes(AnsiString(DriveLetter + ":\\autorun.inf").c_str()); if (!badflash) ( TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) ( DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) (badflash = true; )) ) badflash'ı döndür; )

Buluşsal fonksiyonun algoritması oldukça basittir. Şu anda NTFS dosya sistemine sahip tüm cihazları destekliyoruz ve autorun.inf dosyasını eklemiyoruz. Kural olarak, tüm flash sürücüler FAT32 dosya sistemini (eski adıyla FAT ve hatta daha yakın zamanda exFAT) kullanacak şekilde tasarlanmıştır ve bazı sistem yöneticileri veya diğer BT uzmanları, bunları kendi kullanımları için NTFS sistemini kullanarak biçimlendirir. "Makul insanlara" ihtiyacımız yok, onları hemen kapatıyoruz. Bir sonraki adım, autorun.inf dosyasının "request" ve "system" nitelikleri açısından kontrol edilmesidir. Autorun.inf dosyası meşru bir programda bulunabilir, ancak nitelikleri mevcutsa, flash sürücüye virüs bulaştığı kesin olarak kesin olabilir.

Günümüzde birçok virüs yazarı, makinelere bulaşmak için autorun.inf dosyasını kullanmaya başladı. Bunun birkaç nedeni var: Her şeyden önce, belki de tüm antivirüsler ve bilgisayarlar otomatik çalıştırma seçeneğini etkinleştiriyor; Alternatif olarak bilgisayarda yeni uzantı yöntemini kullanan çok sayıda virüs olabilir ve bunlardan biri dosyayı kendi yöntemiyle yeniden yazacaktır. Bu nedenle, kısayolların oluşturulması ve orijinal klasörlerin edinilmesi yoluyla bulaşma yöntemi giderek daha yaygın hale geliyor. Bu flash sürücüyü saygısızca kaybetmemek için, kısayol dosyasının varlığını ve birimin kökünde aynı adda bir klasörün varlığını kontrol ediyoruz. Klasör ayrıca "erişilebilir" ve "sistem" niteliklerine sahipse, bu flash sürücü virüslü olarak işaretlenir.

Elbette buluşsal yöntemin kendi sınırlamaları ve nüansları vardır, bu nedenle anlam belirli bir göreve göre dikkatlice analiz edilmelidir, ancak bizce doğruluğunun %100 kesinlikle onaylanması mümkündür.

Flash sürücünün buluşsal analizinde her şey açıksa, o zaman "enfeksiyonlarda" olası nüanslar vardır. Örneğin, autorun.inf dosyasında, dosyalarda, kısayollarda vb. herhangi bir değişiklik yapmadan eski virüsün üzerine bizim virüsümüzü yazabilirsiniz. Böylece "virüsümüz" yeni bilgisayarda kontrolü ele geçirir, ancak virüsün eski bir kopyasını oluşturup aynı kataloğa kaydetmek daha iyidir, böylece biraz büyüyecektir. Herhangi bir nedenle başka bir bilgisayarda bir antivirüs varsa, eski bir virüsü tespit etmek mümkündür, öyle görünüyor ki Koristuvacheva başarılı bir tehdit azaltmanın önündedir - ve böylece Koristuvach'ın ve virüsümüzün iç huzurunu sağlar. kıyaslanamaz bir şekilde kaybedersiniz.

Ayrıca “Hacker”ın son sayısında çeşitli yazılımlarda DLL ele geçirme sorunları ve bunun etkili bir şekilde uygulanması hakkında da yazdık. Flash sürücülerde şifre yöneticileri gibi programların veya farklı yazılımların taşınabilir versiyonlarının bulunabileceği aktarıldığı için, bu verilerin vikorizasyonu ve dolayısıyla işletim makinelerinin aralığının genişletilmesi ve sızma testi için veri çıkarmanın değeri vardır.

Konuşmadan önce, flash sürücülere virüs bulaşması konusunda endişelenmek için asla geç değildir. Örneğin, eğer IB departmanı casus yazılımları "güvenilmez kişilerin" varlığına karşı periyodik olarak izlemekle görevlendirildiyse, o zaman bu programı birkaç makineye yüklemek ve flash sürücülerin seri numaralarını yazmak daha mantıklı olacaktır. daha sonra istatistikleri toplamak için ücretsiz dosya oluşturun. Tim'in kendisinin tüm casus yazılım cihazlarını tam anlamıyla aramasına gerek yoktur ve bu şekilde flash sürücülerdeki verilerin gizliliği korunur ve çıkarılan verilere dayanarak, müşterilerin ev bilgisayarlarına bulaşma olasılığı da değerlendirilebilir. ve ülkeler Genel olarak IB. Nitekim daha önce de yazdığımız gibi eğer sistem ani etkenlere ve dışlanamamalara açıksa tehdit riski ortaya çıkacaktır.

Test yapmak

Tedbirin ölçeğine açıkça uygun olan programı alevlendirerek yıllar geçtikçe tanıtım haraçlarını geri çekiyoruz. Bağlı tüm flash sürücülerin %20'sinden fazlasına bir tür virüs veya Truva atı bulaştı ve birkaç gün sonra yeniden bağlanıldığında %15'ten fazlası virüsten etkilenmedi. Birçok bilgisayarın periyodik olarak kurulan anti-virüs korumasına sahip olduğu unutulmamalıdır. Bununla birlikte, uzun zaman önce bir flash sürücü bağlandığında bekleyen ve kokunun tamamen farklı bir tehdidin sağ tarafında belirdiğini kabul etmelerine izin vermeyen antivirüsün önünde kalmak önemlidir. Hibne, güvenlik duygusuyla müşterilerin bir flash sürücüyü zarar vermeden farklı bilgisayarlara bağlamasına olanak tanıdı ve programlarımız kendi başlarına başarılı bir şekilde çalışıyor.

Algoritma hakkında kısaca

• Programımızı firmanın bilgisayarına kuruyoruz.
• Enfeksiyon belirtileri aramak için bağlı olan flash sürücüleri tararız.
• Müşterilerimizin flash sürücülerine test "virüsümüz" bulaştırıyoruz ve sayılarını istatistik için yeniden yazıyoruz.
• Koristuvaçev soyguncularının cezalandırıldığı, kesildiği, içeri girmelerine izin verilmediği ve engellendiği yetkililer tarafından doğrulandı.

Visnovok

Bu arada, bunun temel eksikliğinin önemsizliği olduğunu söyleyebiliriz. Parçaları büyük ölçüde programın çalıştığı programın ortasında yer alacak olan aynı "uygun" flash sürücünün bilgisayara bağlanıp bağlanmayacağını kimse bilmiyor. Ancak bu yöntemin ana avantajı bu değildir. Uzun süre tanımlanamayan tehditlerden mahrum kalabilir ve diğer tehditlerden kaynaklanan yeni ve yeni makinelere otomatik modda tekrar saldırabilirsiniz. Bu tekniğin ölçek üzerinde belirgin bir etkisinin olduğunu belirtmek önemlidir. Bir kuruluşta ne kadar çok profesyonel çalışırsa ve iç iletişim ne kadar çeşitli olursa sonuç da o kadar büyük olur. Bu yaklaşımın kesinlikle her ölçekteki bir yapıda iyi çalışmasını istiyorum, asıl amacı sistemin kitlesel seviyesini azaltmak değil, en zayıf kısma, yani insanlara yönelik hedefli bir darbe olsa bile. ][