От 2014 г. в мрежата се появиха няколко нови.разновидности на най-новите криптографски вируси, подобни на техния прародител - вирус, наречен I Love You. За съжаление, извличащият софтуер за вируси CBF не може да бъде дешифриран дори и с помощта на достъпни методи, предлагани от водещи антивирусни разработчици. Все пак има някои препоръки за възстановяване на криптирана информация.
На сегодняшний день известно как минимум три ransomware virus. Това е вируса на CBF, както и вирусите XTBL и VAULT. Те се държат почти по същия начин, след криптиране на важни файлове и документи, предлагайки да платите за получаване на код, който би могъл да декриптира данните (като правило, след като на монитора се появи съобщение, се появява писмо с искане за плащане за услугите за декриптиране).
Увы, наивные юзеры спешат заплатить n-ную сумму или дори да изпращате примери на заразени файлове на киберпрестъпници. Но ако погледнете, тази информация е поверителна за много компании и когато бъде изпратена, тя става публична.
Самият вирус в повечето случаи прониква в системата чрез писма, получени чрез електронна поща, по-рядко - при посещение на съмнителни страници в мрежата.
Не всеки може да забележи появата на заплаха,дори най-мощният антивирусен пакет. Нещо повече, на много ранен етап не се открива дори от преносими помощни програми като Dr. Web Cure It! Тъй като вирусът се самовъзпроизвежда, с течение на времето той поема цялата система със своите пипала.
При първите симптоми може веднага да се появипрекомерно натоварване на централния процесор, както и неоторизирано използване на RAM. В този случай, например, когато въведете същия „Task Manager“, можете да видите процес, наречен Build.exe. Между другото, в основната административна директория или папка на текущия потребител се създава секция от програмни файлове x86, в която има папка RarLab, съдържаща желания файл Build.exe, checkdata.dif и winrar.tmp. В допълнение файлът за сглобяване се появява на „Desktop“. След това в браузъра, използван за сърфиране в световната мрежа, може да се появят снимки, съдържащи порно или линкове към сайтове с еротично съдържание.
Това е последвано от инфекция. Обикновено файловете от офис приложения като Microsoft Excel, Access и Word се преименуват. Проблеми могат да възникнат и с бази данни във формати .db и .dbf (най-често "1C: Счетоводство". .Cbf се добавя към основното разширение, но не е възможно да се четат (отварят) такива файлове, тъй като самият вирус на рансъмуера CBF може да дешифрира заразени обекти не може (просто не може) Какво да правя в този случай?
Първо, трябва ясно да разберете какво е необходимо тукдействайте възможно най-правилно. Ако вирусът бъде открит от някакъв софтуер, той не трябва да бъде премахнат !!! Необходимо е да се постави под карантина заплахата, която присъства в почти всички приложения от този тип.
Премахването или почистването ще доведе само доосновните изпълними елементи ще изчезнат, но криптираната информация пак ще бъде нечетлива. Но от карантина ще бъде възможно да се изпрати файл за проверка до онлайн лабораторията на производителя на антивирусната програма, инсталирана в системата. Но това не винаги работи.
И така, вирусът вече е присвоил разширението .cbf на файловете. В зависимост от датата на изтичане може да има няколко ситуации: или файловете са просто криптирани, или влизането в Windows е блокирано (дори „Desktop“ не е наличен).
Нека направим резервация веднага: не може да става дума за прехвърляне на средства. Като начало е по-добре да потърсите бази данни в Интернет от друг компютър, които съдържат повечето от известните кодове за деблокиране на достъпа (можете да използвате поне раздела Unlocker на официалния уеб сайт на Dr.). Вярно е, че не е факт, че такива кодове ще работят. Ще трябва да обработим системата със собствените си ръце.
Дешифрирайте вируса CBF (или по-скоро неговите последицивъздействие върху файлове), той няма да работи по никакъв стандартен начин, тъй като използва 1024-битов алгоритъм за криптиране. Ако някой не знае, 256-битовата AES система е актуална днес. Можете да опитате да възстановите оригиналните данни, като използвате Възстановяване на Windows.
Ако е възможно влизане, намерете този разделможете в "Контролен панел" и да се върнете от контролния пункт преди заразяване. Ако входът за Windows е блокиран от съобщение с искане за превод на пари, можете да опитате да рестартирате принудително компютърния терминал или лаптоп няколко пъти. Това ще трябва да се направи, докато системата "узрее" за автоматично възстановяване. Естествено, можете да опитате да използвате диск за възстановяване, да опитате действия от командния ред и напълно да презапишете секторите за зареждане, въпреки че шансовете за успех са малки. Това работи само в ранните етапи, когато рансъмуерният вирус CBF току-що е проникнал в системата или мрежата.
Ако връщането на системата не помогне, трябва да използвате специалните опции за възстановяване на файлове, които са включени в самата операционна система Windows.
За да направите това, преминете през "Explorer" къмсвойства на избраното устройство или дял и използвайте раздела Предишни файлове. След такива действия отново ще трябва да изберете контролна точка, след което да отворите и копирате необходимите файлове на друго място. В много случаи този метод се оказва по-ефективен.
Ако разгледаме предложените методиРазработчиците на антивирусен софтуер могат да се опитат да премахнат разширението на вируса CBF, като използват специални приложения за декодиране (но само официални, а не персонализирани дизайни като декодери с неизвестен произход).
Заслужава обаче да се отбележи веднага, че те работят.само ако официалната версия на антивирусния скенер е инсталирана със съответния лицензен ключ. В противен случай можете само да навредите. Вирусът просто ще бъде премахнат, след което дори няма да има възможност за контакт с нападателите. Тук ще трябва да преинсталирате цялата система.
Както вече знаете, CBF рансъмуер вирусне може да дешифрира заразени с него файлове. Отделно трябва да обърнете внимание на действията, които не се препоръчват категорично. Нека отбележим най-важните моменти:
Като цяло трябва ясно да го разберетеПросто е невъзможно да дешифрирате вируса на рансъмуера CBF самостоятелно. По-добре е да се обърнете към официалните уебсайтове на антивирусни лаборатории като Kaspersky, където можете да оставите проблемните файлове за анализ в специален раздел или да изпратите карантинен файл директно от програмата.
Въпреки това (това е одобрено от всички разработчици)по-добре е да прикачите оригинала към заразения файл, ако има такъв, да речем, като копие на някакъв сменяем носител. В този случай дешифрирането ще стане много по-лесно, въпреки че далеч не е факт, че файловете, от които се нуждае потребителят, ще бъдат възстановени.
Като правило и това се потвърждава от мнозинствотопотребителски рецензии, услугата за поддръжка обикновено е безшумна за много дълго време и ако дешифрира данните, тя се отнася до единични файлове. А какво ще кажете за масиви от десетки или стотици гигабайта? Просто е нереалистично да се изпрати такъв обем дори с помощта на специални "облачни" услуги, да не говорим за възстановяване. Но да се надяваме, че разработчиците все пак ще намерят средство за лечение на заразени файлове и начин за противодействие на проникването на заплахи от този тип в компютърни системи и мрежи.
