понедельник, 7 марта 2016 г.

Идентификация

ID-Ransomware.RU


Как идентифицировать вымогателя, заблокировшего или зашифровавшего файлы?

Для это нужно перейти на сайт ID Ransomware, выбрать русский язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается. 

И нажать красную кнопку "Загрузить".


Сразу же после загрузки файлы будут проверены по имеющей базе известных сервису вымогателей и вы получите результат в виде информации о вымогателе, в виде ссылки на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. 

Если никакой информации пока нет, вам будет предложено создать новую тему на форуме BleepingComputer.com для оказания вам помощи специалистами по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Там есть специалисты со всего мира и, возможно, им удастся вам помочь и выпустить дешифровщик, как это было уже много раз. И я помогу, чем смогу. 

Разработчиком ID Ransomware (IDR) является Майкл Гиллеспи (Michael Gillespie aka Demonslay335). 

Вы можете сверяться с каждой идентификацией и находить описания шифровальщиков по алфавиту в данном блоге. См. "Список".

См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)


Вопросы и ответы


Почему в ID Ransomware (IDR) на официальном сайте названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Гиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились. 

Почему в ID Ransomware (IDR) и у вас некоторые названия различаются? 
Я работаю с IDR и беру название оттуда, если оно там появилось раньше или если оно не дано по ошибке. Корректирую с разработчиком IDR по необходимости. 
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято. 
Иногда я даю 2 или 3 названия в заголовке, чтобы по ошибке не дублировать. Поисковик Google схватывает информацию быстро, она уходит на выдачу результатов. 
С недавних пор я стал в конце статьи дописывать то название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого ещё не было. 

Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Для того есть несколько причин:
а) в IDR только те, которые идентифицируются по названию текстовой записки о выкупе, по расширению, по контактам вымогателей, маркеру файлов и ряду других признаков, а если нет текстовой записки о выкупе и никакое расширение к файлам не добавляется, то такой вымогатель в IDR не идентифицируется;
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики;
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идет повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему помощи и поддержки на форуме BleepingComputer;
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносов появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию; 
д) исключение из пункта "д" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия";
е) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание. 

Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов? 
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в начало 2016 года, как недавно сделал это для Locky и Magic. Ранее добавленные нужно смотреть по алфавиту в апреле 2016 г., по возможности я выстрою хронологию и для них. 

Почему у вас в списке вымогателей нет ряда шифровальщиков, которые есть в IDR? 
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые и в таком виде описаны, в надежде позже добавить информацию, но она так и не появилась. Другие я описывал ранее в другом месте сети, там остались мои описания и ссылки. Можно найти их в результатах поиска под другим моим ником - SNS-amigo, но информация там устарела и нуждается в дополнениях. Для них нужно время. Периодически я обновляю статьи из прошлого, но теперь только здесь... 

Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан". 

Как с вами связаться и задать вопрос? 
Задать вопросы можно в комментариях или через форму обратной связи ниже. 
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *