Ano ang ransomware at kung paano maiiwasan at tanggalin ito

pagtanggal ng ransomware

Ang Ransomware ay mahalagang kasangkot sa digital na pangingikil kung saan ang malware ay humahawak ng mga file o mga sistema ng computer na pag-hostage hanggang sa magbabayad ang biktima. Ang Ransomware ay popular sa isang pagtaas ng bilang ng mga cybercriminals, malamang dahil sa kadalian ng pagpapatupad at mataas na pagbabalik sa pamumuhunan. Idagdag pa rito ang pagdating ng cryptocurrency, na naging mas madali para sa mga umaatake na lumayo sa kanilang mga krimen. Ayon kay Daniel Tobok, CEO ng Cytelligence Inc., isang kumpanya ng pagtanggal ng cybersecurity at ransomware, “Ang Ransomware ay talagang sandata ng pagpili para sa isang kriminal. Maaari silang makita sa amin ngunit hindi namin sila makita. “

Ang Ransomware ay maaaring magastos para sa mga indibidwal, ngunit maaaring maging mapanganib lalo na sa mga negosyo. Tinantiya na ang kabuuang pinsala sa mga negosyo sa Estados Unidos dahil sa ransomware ay umabot sa $ 5 bilyon noong 2023 lamang. Ang mga pinsala ay maaaring magsama ng mga gastos na kasangkot sa pagbabayad ng mga ransom, pagkawala ng data, pagbabayad ng mga propesyonal na serbisyo upang subukang mabawi ang data, downtime sa panahon ng pag-atake, pagkawala ng mga customer pagkatapos ng pag-atake, at marami pa.

Ang pinakamahusay na paraan upang mabawasan ang banta ng ransomware ay upang maiwasan itong mai-install sa unang lugar. Ngunit kung nabiktima ka, mayroon kang mga pagpipilian. Sa gabay na ito, ipinapaliwanag namin kung ano ang ransomware at kung paano maiiwasan at alisin ito. Tumutuon kami sa mga praktikal na pamamaraan na maaari mong magamit na binibigyang diin ang pag-aalis sa pagbabayad ng pantubos, na masidhi naming masiraan ng loob.

Ano ang ransomware at paano ito gumagana?

Bahagi ng pag-aalis ng takot sa ransomware ay nagsasangkot ng pag-unawa kung paano ito aktwal na gumagana. Tulad ng sinabi ng dating Kalihim ng Heneral ng UN na si Kofi Annan, “Ang kaalaman ay kapangyarihan. Ang impormasyon ay nagpapalaya. “

Ang Ransomware ay katulad ng ilang iba pang mga anyo ng malware, na may dagdag na pang-aapi. Ang Ransomware ay isang kategorya ng malware, ngunit mayroon ding iba’t ibang uri ng ransomware. Tumagos ito sa mga system ng computer sa parehong paraan tulad ng iba pang mga anyo ng malware. Halimbawa, maaari mong:

  • I-download ito mula sa isang nakakahamak na attachment o email
  • I-load ito sa iyong makina mula sa isang USB flash drive o DVD
  • I-download ito habang bumibisita sa isang sira na website

Sa sandaling ito ay nasa iyong system, tinatanggal ng ransomware ang mga piling function ng system o tinanggihan ang pag-access sa mga file. Sa kaso ng mga Windows machine, karaniwang hindi pinapagana ang iyong kakayahang ma-access ang menu ng pagsisimula (sa paraang hindi mo mai-access ang mga programa ng antivirus o subukang bumalik sa Safe Mode).

Ang isang staple ng maraming mga uri ng ransomware ay ang pag-encrypt. Ang ransomware ay nag-encrypt ng mga file sa iyong aparato upang hindi mabuksan nang walang isang password. Upang makuha ang password, dapat kang magbayad ng isang pantubos sa nagsasalakay.

Ang anumang file ay maaaring mai-encrypt gamit ang ransomware, kahit na ang karamihan sa mga ransomware ay hindi tatangkaing i-encrypt ang lahat ng mga uri ng mga file. Kasama sa mga karaniwang target ang mga file ng imahe, mga PDF, at anumang uri ng file na nilikha ng Microsoft Office (tulad ng mga file ng Excel at Word). Ang karaniwang pamamaraan ng ransomware ay gagamitin upang maghanap ng mga file sa karaniwang mga drive at i-encrypt ang anuman o karamihan sa mga file na nahanap nito. Ang ilang mga mas bagong form ng pag-encrypt ng ransomware ay nakuha din sa pag-encrypt ng mga ibinahaging file ng network, pati na rin isang mapanganib na pag-unlad para sa mga negosyo partikular.

Hanggang sa limasin mo ang virus mula sa iyong makina (o magbayad ng hinihingi na pantubos at inaasahan na pinakawalan ito ng kriminal para sa iyo), hindi ka makaka-access sa mga file na iyon. Ang ilang mga ransomware ay hihilingin din na magbayad ka sa loob ng isang tiyak na tagal ng oras, o kung hindi man ang mga file ay mananatiling naka-lock nang tuluyan o ang virus ay ganap na mapahid ang iyong hard drive.

Kaugnay: Paano simulan ang Windows 7/8/10 sa safe mode

Bakit epektibo ang ransomware?

Alinmang paraan ang ginagamit ng programa upang maarok ang iyong system, ang ransomware ay idinisenyo upang itago ang sarili sa pamamagitan ng pagpapanggap na isang bagay na hindi ito, kahit na ang pagbabago ng mga pangalan ng file o landas upang gawin ang iyong computer at antivirus software ay hindi makaligtaan ang mga kahina-hinalang file. Ang pangunahing pagkakaiba sa pagitan ng ransomware at iba pang mga anyo ng malware ay ang layunin ng ransomware ay lumalawak lamang sa maling pagkakamali o pagnanakaw ng personal na impormasyon.

Kung mayroon man, ang ransomware ay kumikilos na katulad ng isang toro sa isang china shop sa sandaling epektibo itong natagpuan ang paraan nito sa iyong system. Hindi tulad ng maraming iba pang mga virus, na madalas na idinisenyo sa paligid ng stealth kapwa bago at pagkatapos ng pagsalakay sa iyong system, nais ng mga taga-disenyo ng ransomware na malaman mo ang programa ay nariyan.

Matapos mai-install ang programa, ito ay ganap na tumatagal sa iyong system sa paraang mapipilitan kang bigyang pansin ito. Ito ay ibang-ibang modus operandi kaysa sa mga tradisyon ng mga taga-disenyo ng virus na ayon sa kaugalian, at lumilitaw na ito ang pinaka-epektibong disenyo ng virus na gumagawa ng pera.

Ang Ransomware ay gumagana sa pamamagitan ng takot, pananakot, kahihiyan, at pagkakasala. Kapag naroon ang programa, nagsisimula ito ng negatibong kampanya ng emosyonal na pagmamanipula upang mabigyan ka ng bayad. Malimit madalas na ang mga takot na taktika ay gumagana, lalo na sa mga indibidwal na hindi alam na may mga kahalili sa pagbabayad.

Ayon sa isang 2016 Malwarebytes survey ng mga malalaking negosyo na apektado ng ransomware, 40 porsyento ng mga biktima ang nagbayad ng pantubos, habang ang isang survey ng IBM ng mga maliliit hanggang sa katamtamang mga negosyo sa parehong taon ay nag-ulat ng mas mataas na rate ng 70 porsyento.

Mga uri ng ransomware

Ang Ransomware ay naging mula pa noong 1980s, ngunit maraming mga pag-atake ngayon ang gumagamit ng ransomware batay sa mas modernong Trojan Cryptolocker. Ang pag-encrypt ng file ng pag-encrypt ay lalong madalas na uri. Gayunpaman, ayon sa Malwarebytes, maraming mga kategorya ng ransomware na maaari mo pa ring makatagpo:

Pag-encrypt ng ransomware

Cryptolocker
Kung makukuha ng ransomware ang iyong makina, malamang na ito ay magiging sa iba’t-ibang encrypting. Ang pag-encrypt ng ransomware ay mabilis na nagiging pinaka-karaniwang uri dahil sa isang mataas na pagbabalik sa pamumuhunan para sa mga cybercriminals gamit ito, at kung gaano kahirap na masira ang pag-encrypt o alisin ang malware.

Ang pag-encrypt ng ransomware ay ganap na mai-encrypt ang mga file sa iyong system at hindi papayag na mai-access ka hanggang sa magbayad ka ng isang pantubos, karaniwang sa anyo ng Bitcoin. Ang ilan sa mga programang ito ay sensitibo din sa oras at magsisimulang magtanggal ng mga file hanggang sa mabayaran ang pantubos, tumataas ang pakiramdam ng pagkadalian upang magbayad.

Sa ganitong uri ng ransomware, sinabi ni Adam Kujawa, Ulo ng Intelligence sa Malwarebytes: “Ito ay huli na sa sandaling nahawaan ka. Tapos na ang laro.”

Ang online backup ay maaaring maging isang malaking tulong sa pagbawi ng naka-encrypt na mga file. Karamihan sa mga online backup na serbisyo ay nagsasama ng pag-bersyon upang ma-access mo ang mga nakaraang bersyon ng mga file at hindi ang mga naka-encrypt

Scareware

ScarewarePinagmulan: College of St. Scholastica

Ang Scareware ay malware na sumusubok na akitin ka na mayroon kang isang virus sa computer na nangangailangan ng pag-alis kaagad. Susubukan nitong palayain ka upang malinis ang virus sa pamamagitan ng pagbili ng isang kahina-hinalang at karaniwang pekeng malware o programa ng pagtanggal ng virus. Ang Scareware ay lubos na hindi pangkaraniwan sa mga araw na ito, ngunit ang ilan sa mga virus na ito ay umiiral pa rin sa ligaw. Maraming mga target na mobile phone.

Ang Scareware ay hindi naka-encrypt ng mga file, kahit na maaaring subukan nitong harangan ang iyong pag-access sa ilang mga programa (tulad ng mga scanner ng virus at mga removers). Gayunpaman, ang scareware ay ang pinakamadali upang mapupuksa. Sa katunayan, sa karamihan ng mga kaso, maaari mong alisin ang scareware gamit ang mga karaniwang programa sa pagtanggal ng virus o iba pang mga pamamaraan nang hindi man pumapasok Safe Mode (kahit na ito ay maaari pa ring kinakailangan o inirerekomenda).

Screen locker (o mga virus ng lock-screen)

locker ng screen

Ang mga locker ng screen ay maglalagay ng isang screen ng babala na naglilimita sa iyong kakayahang ma-access ang mga function ng computer at mga file. Maaari itong mai-install sa iyong makina o umiiral sa loob ng isang web browser. Karaniwan silang sasama ng isang mensahe na nag-aangkin na kumakatawan sa isang organisasyong nagpapatupad ng batas at nagdadala ng isang mensahe na nagsasabing mahaharap ka sa matinding ligal na kahihinatnan kung hindi ka magbabayad kaagad.

Maaari mong tapusin ang pag-download ng isang virus ng lock-screen sa pamamagitan ng maraming iba’t ibang mga paraan, kabilang ang pagbisita sa mga naka-kompromiso na website o sa pamamagitan ng pag-click sa at pag-download ng isang nahawaang file na naglalaman ng isang email. Kapag naka-install nang direkta sa isang computer, maaaring kailanganin mong magsagawa ng isang hard reboot, kahit na maaari mo ring makita na binabati mo pa rin ang mensahe ng lock ng screen kahit na muling nag-load ang operating system.

Ang mga locker ng screen ay may posibilidad na mai-lock ka sa iyong menu at iba pang mga setting ng system, ngunit hindi ganap na alisin ang pag-access sa iyong mga file. Nangangahulugan ito na ang ilan sa mga pangunahing paraan ng pag-atake ng malware ay pinipigilan ka mula sa madaling pag-access sa iyong software sa pag-alis ng virus, at kung minsan ay maiiwasan ka rin nitong mai-restart ang iyong computer mula sa interface ng gumagamit.

Ang mga locker ng screen ay isa pang magandang dahilan kung bakit napakahalaga ng pagkakaroon ng online backup. Habang ang locker ng screen ay hindi mag-encrypt o magtanggal ng iyong mga file, maaari mong makita ang iyong sarili na pinipilit na magsagawa ng isang sistema na ibalik. Ang pagpapanumbalik ng system ay maaaring hindi matanggal ang iyong mahalagang mga file, ngunit ibabalik nito ang mga ito sa isang mas maagang estado. Depende sa mga naibalik na estado, maaari pa ring magresulta sa maraming nawawalang data o pag-unlad. Ang regular na mga backup na online ay makakatulong na maiwasan ang pagkawala ng data na ang pagsasagawa ng isang sistema ng pagpapanumbalik ay hindi ginagarantiyahan, lalo na kung ang virus ay nagtago sa iyong system nang mas mahaba kaysa sa napagtanto mo.

Paano maiwasan ang ransomware

Ang pag-decry ng mga file na naka-encrypt na may ransomware ay hindi kapani-paniwalang mahirap. Karamihan sa mga ransomware sa mga araw na ito ay gumagamit ng mga pamamaraan ng pag-encrypt ng AES o RSA, na pareho sa mga ito ay maaaring hindi kapani-paniwalang mahirap i-crack. Upang mailagay ito sa pananaw, gumagamit din ang gobyerno ng US ng mga pamantayan sa pag-encrypt ng AES para sa mga classified na dokumento. Ang impormasyon tungkol sa kung paano lumikha ng ganitong uri ng pag-encrypt ay malawak na kilala, tulad ng kahirapan sa pag-crack nito. Hanggang sa napagtanto ng isang tao ang pangarap ng computing ng kabuuan, ang brute-force cracking para sa AES ay epektibong imposible.

Dahil dito, ang pinakamahusay na pamamaraan upang labanan ang ransomware ay hindi pinapayagan itong makapunta sa iyong system sa unang lugar. Ang proteksyon ay maaaring magawa sa pamamagitan ng pag-iwas sa mga mahina na lugar at pagbabago ng mga pag-uugali na karaniwang nagbibigay-daan sa pagkuha ng ransomware sa iyong system. Narito ang ilang mga pinakamahusay na kasanayan na dapat sundin upang maiwasan ang ransomware:

  • Mamuhunan sa solid data backup. Mahirap itong ibagsak. Ang backup ng data ay ang solong pinakamahusay na bagay na maaari mong gawin. Kahit na nasaktan ka ng ransomware, ang epektibo at pare-pareho na backup ng data ay nangangahulugan na ang iyong data ay magiging ligtas, anuman ang uri ng ransomware na iyong sinalakay.
  • Mamuhunan sa epektibong antivirus software. Sa kasong ito, hindi mo lamang nais ang mga tagapaglinis ng malware o virus, ngunit ang software na aktibong susubaybayan at alerto sa iyo sa mga banta, kabilang ang sa loob ng mga web browser. Sa ganoong paraan, makakakuha ka ng mga abiso para sa mga kahina-hinalang link, o mai-redirect mula sa mga nakakahamak na website kung saan maaaring makuha ang ransomware.
  • Huwag mag-click sa kahina-hinalang mga link sa email. Karamihan sa mga ransomware ay kumakalat sa pamamagitan ng email. Kapag ginawa mo itong ugali ng hindi kailanman pag-click sa mga kahina-hinalang mga link, makabuluhang mas mababa ang iyong panganib sa pag-download ng ransomware at iba pang mga virus.
  • Protektahan ang mga computer na konektado sa network. Ang ilang mga ransomware ay gumagana sa pamamagitan ng aktibong pag-scan ng mga network at pag-access sa anumang mga konektadong computer na nagpapahintulot sa malayuang pag-access. Siguraduhin na ang anumang mga computer sa iyong network ay may kapansanan sa pag-access sa malayo o gumamit ng malakas na pamamaraan ng proteksyon upang maiwasan ang madaling pag-access.
  • Panatilihing napapanahon ang software. Ang mga pag-update sa Windows at iba pang mga operating system at application ay madalas na naka-patch ng mga kilalang kahinaan sa seguridad. Ang pag-update sa isang napapanahong paraan ay maaaring makatulong na mas mababa ang panganib ng pagkamaramdamin sa malware, kabilang ang ransomware.

Ano ang dapat gawin kung mahuli ka ng mid-encryption ng ransomware

Ang pag-encrypt ay isang proseso na masinsinang mapagkukunan na gumugol ng maraming computational power. Kung ikaw ay masuwerteng, maaari kang mahuli sa mid-encryption ng ransomware. Ito ay tumatagal ng isang masigasig na mata at alam kung ano ang hindi pangkaraniwang malaking halaga ng hitsura at tunog tulad ng sa iyong computer. Ang pag-encrypt ng Ransomware ay mangyayari sa background, kaya’t imposible na tuklasin ang aktwal na nagaganap na ito maliban kung iyong hinahanap mo ito.

Bilang karagdagan, ang virus na gumagawa ng pag-encrypt ay malamang na magtatago sa loob ng isa pang programa, o magkaroon ng isang binagong pangalan ng file na ginawa upang magmukhang walang kasalanan, kaya hindi mo masasabi kung aling programa ang nagsasagawa ng pagkilos. Gayunpaman, kung matutuklasan mo kung ano ang sa tingin mo ay isang file ng pag-encrypt ng virus ng ransomware, narito ang ilang mga pagpipilian:

Ilagay ang iyong computer sa hibernation

Pahinto nito ang anumang mga proseso ng pagpapatakbo at lumikha ng isang mabilis na imahe ng memorya ng iyong computer at mga file. Huwag i-restart ang iyong computer o kunin ito sa pagdiriwang. Sa mode na ito, ang isang espesyalista sa kompyuter (alinman sa iyong departamento ng IT o isang kompanya ng security security) ay maaaring mai-mount ang aparato sa isa pang computer sa isang mode na read-only at masuri ang sitwasyon. Kasama rito ang pagbawi ng mga hindi naka-encrypt na file.

Suspinde ang operasyon ng pag-encrypt

Kung matutukoy mo kung aling operasyon ang salarin, baka gusto mong suspindihin ang operasyon na iyon.

Sa Windows, may kasamang pagbubukas ng Task manager at naghahanap ng mga kahina-hinalang operasyon. Sa partikular, hanapin ang mga operasyon na mukhang maraming nagsusulat sa disk.

Maaari mong suspindihin ang mga operasyon mula doon. Mas mainam na suspindihin ang operasyon sa halip na pagpatay ito, dahil pinapayagan ka nitong siyasatin ang proseso nang mas detalyado upang makita kung ano ang tunay. Sa ganoong paraan mas mahusay mong matukoy kung mayroon kang ransomware sa iyong mga kamay.

Kung nalaman mo na ito ay ransomware, suriin kung aling mga file ang tinutuon ng proseso. Maaari mong makita ito sa proseso ng pag-encrypt ng ilang mga file. Maaari mong kopyahin ang mga file na ito bago matapos ang proseso ng pag-encrypt at ilipat ang mga ito sa isang secure na lokasyon.

Maaari kang makahanap ng ilang iba pang mahusay na mga mungkahi sa pamamagitan ng seguridad at mga propesyonal sa computer sa Stack Exchange.

Pag-alis ng Ransomware: Paano tanggalin ang mga scareware at mga locker ng screen (mga virus na lock-screen)

Ang mga locker ng screen ay mas nakakapagpabagabag sa pag-alis kaysa sa scareware, ngunit hindi gaanong problema tulad ng file-encrypting ransomware. Ang mga virus at scareware na mga virus ay hindi perpekto at madalas na madaling maalis nang kaunti kahit walang gastos. Mayroon kang dalawang pangunahing pagpipilian:

  1. Magsagawa ng isang buong pag-scan ng system gamit ang isang kagalang-galang na clean-on na malware cleaner
  2. Magsagawa ng isang sistema na ibalik sa isang punto bago magsimulang mag-pop up ng mga mensahe ang mga scareware o locker ng screen.

Tingnan natin pareho ang mga ito nang detalyado:

Pagpipilian 1: Magsagawa ng isang buong pag-scan ng system

Ito ay isang simpleng proseso, ngunit bago magsagawa ng system scan, mahalaga na pumili ng isang kagalang-galang na cleaner na on-demand na malware. Ang isa sa mas malinis na ito ay ang Zemana Anti-Malware, o ang mga gumagamit ng Windows ay maaaring gumamit ng built-in na Windows Defender tool.

Upang maisagawa ang buong pag-scan ng system gamit ang Zemana Anti-Malware, gawin ang mga sumusunod:

  • Buksan ang iyong Zemana Anti-Malware home screen.

  • Mag-click sa Simbolo ng Gear sa kanang tuktok upang ma-access ang mga setting.
  • Mag-click sa Scan sa kaliwa.

zemana

  • Piliin Lumikha ng Ibalik ang Punto.
  • Bumalik sa home screen at mag-click sa berde Scan pindutan sa kanang ibaba.

zemana

Ang pagtatakda ng punto ng pagpapanumbalik ay isang mahusay na pinakamahusay na kasanayan para sa mga pag-scan ng mga virus sa pangkalahatan. Samantala, maaaring mai-tag ng iyong scan ng virus ang ilang mga bagay bilang mga problema na hindi problema (ang mga extension ng Chrome ay madalas na lumilitaw bilang may problema, halimbawa), habang maaari kang makahanap ng mga lugar na inaalala na hindi mo inaasahan.

Sa aking kaso, ang isang kamakailang pag-scan sa system ng Zemana ay nagsiwalat ng isang potensyal na hijack ng DNS. Yikes! (Maliit din itong naipaliwanag ang ilang mga programa bilang malware at adware, kaya’t maging maingat na tiyaking suriin kung aling mga file ang iyong linisin at pag-quarantine ng maayos.)

zemana

Upang maisagawa ang isang buong pag-scan ng system gamit ang Windows Defender, gawin ang mga sumusunod:

  • Magsagawa ng isang mabilis na paghahanap ng system para sa “Windows Defender.”
  • I-access ang Windows Defender at piliin ang Puno sa kanang bahagi.
  • Mag-click sa Scan.

Patuloy na pinapabuti ng Microsoft ang built-in na Windows antivirus software, ngunit hindi ito mahusay na solusyon bilang isang opsyon na on-demand tulad ng Zemana o maraming iba pang mga de-kalidad na programa. Maaari mong piliing magpatakbo ng dalawang programa upang masakop ang iyong mga base, ngunit tandaan na hindi sila maaaring tumakbo nang sabay-sabay.

Kapag nakikipag-usap sa screen-locking ransomware, baka kailangan mong magpasok Safe Mode upang makuha ang mga in-demand na mga removers ng virus upang gumana o patakbuhin nang maayos ang iyong system. Kahit na ang ilang mga scareware ay maaaring maiiwasan ka mula sa pagbubukas ng iyong mga programa sa pag-alis ng virus, ngunit kadalasan ay hindi mo mapipigilan na gawin ito habang ikaw ay nasa Safe Mode. Kung nagkakaproblema ka sa pagkuha ng iyong computer upang mag-restart Safe Mode (isang natatanging posibilidad kung mayroon kang isang locker ng screen), tingnan ang aming gabay sa Paano Simulan ang Windows sa Safe Mode.

Pagpipilian 2: Magsagawa ng isang sistema na ibalik

Ang isa pang pagpipilian ay upang maisagawa ang isang sistema na ibalik sa isang punto bago magsimulang mag-pop up ng mga mensahe ang mga scareware o locker ng screen. Tandaan na ang pagpipiliang ito ay ipinapalagay na mayroon ka ng iyong computer na itinakda upang lumikha ng mga puntos ng pagpapanumbalik ng mga system sa mga preset na agwat, o mano-mano na iyong isinagawa ang pagkilos na ito. Kung na-access mo ang patnubay na ito bilang isang hakbang sa pag-iwas laban sa ransomware, ang paglikha ng mga puntos ng pagpapanumbalik mula sa puntong ito ay magiging isang magandang ideya.

Narito kung paano mahanap ang iyong mga puntos sa pagpapanumbalik o magtakda ng mga bagong puntos sa pagpapanumbalik sa Windows:

  • I-access ang iyong Control Panel (magagawa mo ito sa pamamagitan ng isang paghahanap ng system para sa “Control Panel”).

ibalik ang system

  • Mag-click sa Sistema at Seguridad.
  • Mag-click sa System.
  • Pumunta sa Mga setting ng advanced na system.

ibalik ang system

  • Mag-click sa Proteksyon ng System tab at piliin Ibalik ang System.

ibalik ang system

  • Kung hindi ka pa tumatakbo ng isang backup ng system, mag-click sa I-set up ang backup. Bubuksan nito ang mga operasyon sa pag-backup at magsimula ka. Sa sandaling doon, kakailanganin mong piliin ang iyong lokasyon ng backup, ang mga file na nais mong mai-back up (o maaari mong hayaang piliin ang Windows para sa iyo), mag-iskedyul kapag nais mong maganap ang iyong mga backup, at pagkatapos ay gumanap ang backup.

ibalik ang system

  • Kung ipinapakita nito na mayroon ka nang isang backup sa lugar, piliin ang mga backup file mula sa pinakahuling punto ng pagpapanumbalik o mula sa alinmang point point na nais mo.

ibalik ang system

Ang proseso ng pagpapanumbalik ng backup ay maaaring tumagal ng ilang minuto, lalo na kung ang halaga ng data na naibalik ay makabuluhan. Gayunpaman, dapat itong ibalik ang iyong system system sa isang punto bago mai-download at mai-install ang virus.

Tandaan na ang parehong pag-scan at ang pagpapanumbalik ay maaaring maantala ang mga oras ng reaksyon, kaya magandang ideya na gawin ang dalawa.

Nagbibigay din ang Indiana University ng isang kapaki-pakinabang na kaalaman sa kaalaman na may ilang mga advanced na pamamaraan para sa mas mahirap na scareware. Inirerekumenda din namin na suriin ang aming Kumpletong Gabay sa Windows Malware at Pag-iwas. Mapapalakad ka nito sa proseso ng pag-alis ng malware at kung ano ang hitsura ng prosesong ito sa maraming iba’t ibang mga programa.

Pag-alis ng Ransomware: Paano alisin ang file encrypting ransomware

Kapag nakarating ang naka-encrypt na ransomware sa iyong system, nagkakaproblema ka kung nais mong mapanatili ang anumang hindi nai-save na data o anumang hindi na-back up (hindi bababa sa hindi pagbabayad sa ilong para dito). Nakakagulat na maraming mga kriminal na kriminal ang mararangal pagdating sa paglabas ng encryption matapos silang makatanggap ng bayad. Pagkatapos ng lahat, kung hindi nila nagawa, hindi babayaran ng mga tao ang pantubos. Gayunpaman, mayroong isang pagkakataon na maaari mong bayaran ang pantubos at hanapin ang iyong mga file na hindi pinakawalan, o hilingin sa mga kriminal ng maraming pera.

Na sinasabi, kung ikaw ay na-hit sa isang bastos na piraso ng pag-encrypt ng ransomware, huwag mag-panic. Sa tabi nito, huwag bayaran ang pantubos. Mayroon kang dalawang mga pagpipilian para sa pagtanggal ng ransomware:

  • Magrenta ng isang propesyonal na serbisyo sa pag-alis ng ransomware: Kung mayroon kang badyet upang umarkila ng isang propesyonal at itinuring na mabawi ang iyong mga file na nagkakahalaga ng pera, kung gayon ito ang maaaring maging pinakamahusay na kurso ng pagkilos. Maraming mga kumpanya, kabilang ang Proven Data Recovery at Cytelligence na dalubhasa sa pagbibigay ng mga serbisyo sa pagtanggal ng ransomware. Tandaan na ang ilang singil kahit na ang pagtanggal ay hindi matagumpay, habang ang iba ay hindi.
  • Subukang alisin ang ransomware sa iyong sarili: Karaniwan itong malayang gawin at maaaring maging isang mas mahusay na pagpipilian kung wala kang mga pondo upang umarkila ng isang propesyonal. Ang pagbawi ng iyong mga file sa iyong sarili ay karaniwang isasangkot muna ang pag-alis ng malware at pagkatapos ay gumagamit ng isang tool upang i-decrypt ang iyong mga file.

Kung nais mong subukang malutas ang isyu sa iyong sarili, narito ang mga hakbang na dapat gawin:

Hakbang 1: Patakbuhin ang isang antivirus o malware remover upang mapupuksa ang virus ng pag-encrypt

Bumalik sa mga tagubilin sa pag-alis ng malware / virus na ibinigay sa seksyon ng pag-alis ng scareware / screen locker sa itaas. Ang proseso ng pag-alis sa hakbang na ito ay magkapareho, na may isang pagbubukod: NAGSISISI TAYO NG KAIBIGAN SA INYONG TANGGAPIN ANG VIRUS NA ITO SA SAFE MODE NA WALANG NETWORKING.

May isang pagkakataon na ang file-encrypting na ransomware na iyong kinontrata ay nakompromiso din ang iyong koneksyon sa network, kaya pinakamahusay na putulin ang pag-access ng mga hacker sa data feed kapag tinanggal ang virus. Tandaan na hindi ito maaaring maging matalino kung nakikipag-usap ka sa ilang mga variant ng WannaCry ransomware, na suriin laban sa isang gibberish website upang matukoy ang isang potensyal na pamamatay. Kung ang mga site na iyon ay nakarehistro (na kung saan sila ngayon), ang pag-encrypt ay huminto sa pag-encrypt. Ang sitwasyong ito ay lubos na hindi pangkaraniwan, gayunpaman.

Ang pag-alis ng malware ay mahalaga unang hakbang upang harapin ang problemang ito. Maraming maaasahang mga programa ang gagana sa kasong ito, ngunit hindi bawat programa ng antivirus ay idinisenyo upang alisin ang uri ng malware na nag-encrypt ng mga file. Maaari mong i-verify ang pagiging epektibo ng programa sa pag-alis ng malware sa pamamagitan ng paghahanap ng website nito o makipag-ugnay sa suporta sa customer.

Ang tunay na problema ay mahahanap mo na mananatiling naka-encrypt ang iyong mga file kahit na aalisin mo ang virus. Gayunpaman, ang pagsubok sa pag-decrypt ng mga file nang hindi tinanggal ang una sa malware ay maaaring magresulta sa mga file na muling mai-encrypt.

Hakbang 2: Subukang i-decrypt ang iyong mga file gamit ang isang libreng tool na decryption ng ransomware

Muli, dapat mong gawin ang lahat ng iyong makakaya upang maiwasan ang pagbabayad ng isang pantubos. Ang iyong susunod na hakbang ay upang subukan ang isang tool na decryption ng ransomware. Paalala, gayunpaman, na walang garantiya na magkakaroon ng isang tool ng deceksyun ng ransomware na gagana sa iyong partikular na malware. Ito ay dahil maaari kang magkaroon ng isang variant na hindi pa na-crack.

Ang Kaspersky Labs at maraming iba pang mga kompanya ng seguridad ay nagpapatakbo ng isang website na tinatawag na Walang Higit na Ransom! kung saan maaaring mag-download at mag-install ng mga decryptors ng ransomware.

nomoreransom

Nag-aalok din si Kaspersky ng mga libreng decryptors ng ransomware sa website nito.

Una, iminumungkahi namin na gamitin mo ang Wala nang Ransom Crypto Sheriff tool upang masuri kung anong uri ng ransomware mayroon ka at kung ang umiiral na isang decryptor upang matulungan ang pag-decrypt ng iyong mga file. Ito ay gumagana tulad nito:

  • Piliin at mag-upload ng dalawang naka-encrypt na file mula sa iyong PC.
  • Magbigay ng isang website o email address na ibinigay sa demand na pantubos, halimbawa, kung saan ini-uutos sa iyo ng ransomware na pumunta ka upang bayaran ang bayad.
  • Kung walang ibinigay na email address o website, mai-upload ang .txt o .html file na may tala ng pantubos.

Ang Crypto Sheriff.

Ang Crypto Sheriff ay iproseso ang impormasyong iyon laban sa database nito upang matukoy kung mayroong isang solusyon. Kung walang iniaalok na mungkahi, huwag ka munang sumuko. Ang isa sa mga decryptors ay maaaring gumana pa, kahit na maaaring kailanganin mong i-download ang bawat isa. Ito ay magiging isang inaasahang mabagal at mahirap na proseso, ngunit maaaring maging sulit upang makita ang mga file na na-decrypted.

Ang buong suite ng mga tool ng decryption ay matatagpuan sa ilalim ng tab na Mga tool ng Decryption sa Walang Higit pang Ransom! website.

Ang pagpapatakbo ng mga file ng decryptors ay talagang madali. Karamihan sa mga decryptor ay may gabay na gabay mula sa developer ng tool (karamihan ay mula sa EmsiSoft, Kaspersky Labs, Check Point, o Trend Micro). Ang bawat proseso ay maaaring bahagyang naiiba, kaya gusto mong basahin ang PDF kung paano gagabay sa bawat isa kung saan magagamit.

Narito ang isang halimbawa ng proseso na gagawin mo upang i-decrypt ang Philadelphia ransomware:

  • Pumili ng isang naka-encrypt na file sa iyong system at isang bersyon ng file na kasalukuyang hindi nai-encrypt (mula sa isang backup). Ilagay ang dalawang file na ito sa kanilang sariling folder sa iyong computer.
  • I-download ang Philadelphia decryptor at ilipat ang maipapatupad sa parehong folder bilang iyong mga ipinares na file.
  • Piliin ang pares ng file at pagkatapos ay i-drag at i-drop ang mga file sa decryptor na maipapatupad. Ang decryptor ay magsisimulang upang matukoy ang tamang mga key na kinakailangan upang i-decrypt ang file.
  • Ang prosesong ito ay maaaring tumagal ng maraming oras, depende sa pagiging kumplikado ng programa

Philadelphia decryptor

  • Kapag nakumpleto, makakatanggap ka ng decryption key para sa lahat ng mga file na naka-encrypt ng ransomware.

Philadelphia decryptor

  • Pagkatapos ay hilingin sa iyo ng decryptor na tanggapin ang isang kasunduan sa lisensya at bibigyan ka ng mga pagpipilian para sa kung saan nagtutulak upang mai-decrypt ang mga file. Maaari mong baguhin ang lokasyon depende sa kung saan ang mga file ay kasalukuyang nakalagay, pati na rin ang ilang iba pang mga pagpipilian na maaaring kinakailangan, depende sa uri ng ransomware. Ang isa sa mga pagpipilian na ito ay karaniwang may kasamang kakayahang mapanatili ang naka-encrypt na mga file.
  • Makakakuha ka ng isang mensahe sa decryptor UI kapag ang mga file ay nai-decrypted.

Muli, ang prosesong ito ay maaaring hindi gumana, dahil maaari kang magkaroon ng ransomware kung saan walang magagamit na decryptor. Maraming mga indibidwal na nahawahan lamang ang nagbabayad ng pantubos nang hindi tinitingnan ang mga pamamaraan ng pag-alis, kaya marami sa mga ransomware na ito ang ginagamit, kahit na may basag na.

Opsyon ng pag-backup: Linisan ang iyong system at magsagawa ng isang kumpletong pagpapanumbalik ng data mula sa isang backup ng data

Ang mga hakbang ng 1 at 2 ay gumagana lamang kapag ginamit nang magkasama. Kung ang alinman ay hindi gumana para sa iyo, kakailanganin mong sundin ang hakbang na ito. Sana, mayroon kang isang matatag at maaasahang data backup na sa lugar. Kung gayon, huwag sumuko sa tukso na magbayad ng pantubos. Sa halip, alinman sa personal o magkaroon ng isang propesyonal sa IT (mas mabuti ang pagpipiliang ito) punasan ang iyong system at ibalik ang iyong mga file sa pamamagitan ng iyong online o pisikal na backup system.

Ito rin ay isang dahilan kung bakit mahalaga ang hubad na metal backup at pagpapanumbalik. May isang magandang pagkakataon na maaaring kailanganin ng iyong propesyonal sa IT upang makumpleto ang kumpletong hubad na metal na pagpapanumbalik para sa iyo. Hindi lamang ito kasama ang iyong mga personal na file, ngunit pati na rin ang iyong operating system, setting, at mga programa. Maaaring isaalang-alang din ng mga gumagamit ng Windows ang isang kumpletong pag-reset ng system sa mga setting ng pabrika. Nagbibigay ang Microsoft ng isang paliwanag para sa maramihang mga pamamaraan at mga pagpipilian sa pagpapanumbalik ng file at mga pagpipilian.

Ang kasaysayan ng ransomware

Tulad ng nabanggit, ang ransomware ay hindi isang bagong konsepto at maraming taon na ang lumipas. Habang ang timeline sa ibaba ay hindi isang kumpletong listahan ng ransomware, nagbibigay ito sa iyo ng isang magandang ideya kung paano lumitaw ang form na ito ng pag-atake sa paglipas ng panahon.

1989 – Ang “Aids” Trojan, aka PC Cyborg, ay naging unang kilalang kaso ng ransomware sa anumang computerized system.

2006 – Matapos ang isang dekada na nakakadismaya, nagbabalik ang ransomware sa paglitaw ng Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, at MayArchive. Ang lahat ay kilala para sa kanilang paggamit ng sopistikadong algorithm ng pag-encrypt ng RSA.

2008 – Dumating ang eksena ng Gpcode.AK. Paggamit ng 1024-bit RSA key, nangangailangan ito ng isang napakalaking pagsisikap, na lampas sa paraan ng karamihan sa mga gumagamit, upang masira.

2010 – Nag-hit ang mga gumagamit ng WinLock sa Russia, ang mga pagpapakita ng paminta gamit ang porn hanggang sa gumagamit ang isang $ 10 na tawag sa isang numero ng premium rate.

2011 – Ang isang hindi kilalang Trojan ay naka-lock sa mga makina ng Windows, na nagdidirekta sa mga bisita sa isang pekeng hanay ng mga numero ng telepono kung saan maaari nilang mabuhay muli ang kanilang mga operating system.

2012 – Ipinagbigay-alam ni Reveton sa mga gumagamit ang kanilang makina ay ginamit upang mag-download ng copyright na materyal o pornograpiya ng bata at hinihiling ang pagbabayad ng isang ‘multa.’

2013 – Ang pagdating ng ngayon hindi kilalang CryptoLocker. Ramping up ang antas ng pag-encrypt, ito ay hindi mapaniniwalaan o kapani-paniwala mahirap umiwas.

2013 – Lumiko ang locker, hinihingi ang pagbabayad ng $ 150 sa isang virtual credit card.

2013 – Mahirap makita, idinagdag ng CryptoLocker 2.0 ang paggamit ng Tor para sa idinagdag na hindi pagkakilala sa kriminal na coder na lumikha nito.

2013 – Nagdagdag din si Cryptorbit ng paggamit ng Tor sa repertoire nito at nag-encode ng unang 1.024 bits ng bawat file. Gumagamit din ito ng pag-install ng isang Bitcoin miner sa mga biktima ng gatas para sa labis na kita.

2014 – Pangunahing target ng CTB-Locker ang mga makina na nakabase sa Russia.

2014 – Ang isa pang makabuluhang pag-unlad, ang CryptoWall ay nakakaapekto sa mga makina sa pamamagitan ng mga nahawaang ad sa website at namamahala upang makaapekto sa bilyun-bilyong mga file sa buong mundo.

2014 – Ang isang medyo mas friendly na piraso ng ransomware, iniiwasan ng Cryptoblocker ang mga Windows file at ina-target ang mga file sa ilalim ng laki ng 100 MB.

2014 – Target ng SynoLocker ang mga aparato sa Synology NAS, na naka-encrypt sa bawat file na natagpuan sa kanila.

2014 – Ginagamit ng TorrentLocker ang mga email ng spam upang maikalat, na may iba’t ibang mga geographic na rehiyon na naka-target sa isang pagkakataon. Kinokopya din nito ang mga adres ng email mula sa mga apektadong libro ng mga apektadong gumagamit at din mismo ang lumabas sa mga partido.

2015 – Ang isa pang hard-to-tiktik na piraso ng ransomware, gumagamit ng CryptoWall 2.0 ang Tor para sa hindi pagkakilala sa pangalan at dumating sa isang paraan ng iba’t ibang mga paraan.

2015 – Ang TeslaCrypt at VaultCrypt ay maaaring inilarawan bilang angkop na ransomware sa target nila ang mga tukoy na laro.

2015 – Ang CryptoWall 3.0 ay nagpapabuti sa hinalinhan nito sa pamamagitan ng darating na nakabalot sa pagsasamantala sa mga kit.

2015 – Ang CryptoWall 4.0 ay nagdaragdag ng isa pang layer sa pag-encrypt sa pamamagitan ng pag-scrambling ng mga pangalan ng mga naka-encrypt na file.

2015 – Ang susunod na antas ng ransomware ay nakikita ang Chimera hindi lamang naka-encrypt ng mga file ngunit nai-publish din ang mga ito sa online kapag ang mga pagbabayad ay hindi binabayaran.

2016 – Dumating ang Locky sa pinangyarihan, na pinangalanan lalo na dahil pinangalanan nito ang lahat ng iyong mga mahahalagang file kaya mayroon silang isang extension .locky.

2016 – Matatagpuan sa BitTorrent, ang KeRanger ay ang unang kilalang ransomware na ganap na gumagana sa Mac OS X.

2016 – Pinangalanan para sa Bond villain sa Casino Royale na kumidnap ng interes ng pag-ibig ng bono upang manguha ng pera, Sinasamantala ng programa ng LeChiffre ang hindi maayos na ligtas na mga malayuang computer sa mga naa-access na network. Pagkatapos ay nag-log in at manu-manong tumatakbo sa mga system.

2016 – Ang Jigsaw ay mag-encrypt at pagkatapos ay tatanggalin ang mga file nang unti-unti hanggang sa mabayaran ang pantubos. Matapos ang 72 oras, tatanggalin ang lahat ng mga file.

2016 – Dumating ang SamSam ransomware na kumpleto sa isang live na tampok ng chat upang matulungan ang mga biktima sa kanilang pagbabayad ng pantubos.

2016 – Ang ransom ng Petya ay gumagamit ng katanyagan ng mga serbisyo ng pagbabahagi ng cloud file sa pamamagitan ng pamamahagi ng sarili sa pamamagitan ng Dropbox.

2016 – Ang unang ransomware worm ay dumating sa anyo ng ZCryptor, na nakakaapekto rin sa mga panlabas na hard drive at mga flash drive na nakakabit sa makina.

2023 – Ang target ng Crysis na naayos, naaalis, at mga drive ng network, at gumagamit ng mga makapangyarihang pamamaraan ng pag-encrypt na mahirap i-crack sa mga kakayahan sa pag-compute ngayon.

2023 – Ang WannaCry ay kumakalat sa pamamagitan ng mga email sa phishing at sa mga network na system. Unibersal, gumagamit ang WannaCry ng isang ninakaw na NSA backdoor upang makahawa sa mga sistema, pati na rin ang isa pang kahinaan sa Windows na na-patch sa isang buwan bago ang paglabas ng malware (higit pang mga detalye sa ibaba).

WannaCry ransomware

Ang WannaCry ransomware ay marahil ang pinaka-kahihiyan sa mga nakaraang taon, pangunahin dahil sa paggugupit ng bilang ng mga computer na naapektuhan nito. Mabilis itong naging pinakamabilis na kumakalat na ransomware sa kasaysayan ng ransomware, na nakakaapekto sa 400,000 machine sa pagkagising nito. Sa pangkalahatan, ang WannaCry ay hindi partikular na natatangi, napakaraming naapektuhan nito ang ilang napakalaking pangalan at mahalagang ahensya ng gobyerno sa buong mundo, at ginamit ang isang ninakaw na tool ng National Security Agency (NSA) na pagsasamantala upang gawin ito.

Ang ninakaw na kasangkapan sa NSA ay bahagi ng kadahilanang naging matagumpay si WannaCry sa pagkalat. Ang pagsasama-sama ng isyu ay ang katunayan na maraming mga ahensya at negosyo ay mabagal upang ilunsad ang tamang Windows patch na maiiwasan ang pagsasamantala sa unang lugar. Itinulak ng Microsoft ang patch na iyon noong kalagitnaan ng Marso 2023 ngunit ang WannaCry ay hindi nagsimulang mag-infect ng mga system hanggang Mayo.

Kapansin-pansin, ang unang variant ng WannaCry ay pinigilan ng isang cyber security researcher at blogger na, habang binabasa ang code, ay natuklasan ang isang switch switch na nakasulat sa malware. Ang unang variant na tseke ng WannaCry upang makita kung mayroong isang website na wala o hindi, ang resulta ay nagpapasya kung nagpapatuloy ba ito o hindi.

Ang security blogger ay nagpasya na magpatuloy at irehistro ang site para sa halos $ 10, na makabuluhang pinabagal ang pagkalat ng virus. Gayunpaman, ang mga tagalikha ni WannaCry ay mabilis na naglalabas ng mga bagong variant (kung alin sa isa ay mayroong switch ng pumatay sa website na madaling gamitin upang matigil ang pagkakaiba-iba).

Sa kabuuan, tinatantiya na ang Netna ng WannaCry ay nagbigay ng net sa mga tagalikha nito na halos $ 140,000 na halaga ng bitcoin. Bagaman hindi ito maliit na halaga, wala na kahit saan malapit sa tinatayang $ 325 milyon na nakuha ng mga nasa likod ng Cryptowall Bersyon 3 ransomware noong 2015. Maaaring ito ay dahil sa mas mahusay na edukasyon sa ransomware o pagkabigo sa virus, ngunit sa bilang ng mga gumagamit na apektado, ito parang ang mga bagay ay maaaring maging mas masahol pa.

Cryptolocker ransomware“Ni Christiaan Colen. CC Share-A-Like 3.0