четверг, 3 марта 2016 г.

Идентификация

ID-Ransomware.RU


Как идентифицировать вымогателя, заблокировшего или зашифровавшего файлы?

Для это нужно перейти на сайт ID Ransomware, выбрать русский язык в правом верхнем углу, далее с помощью кнопок "Выберите файл" выбрать на своем ПК два файла:
- записку о выкупе, оставленную вымогателями, если она есть;
- один зашифрованный файл, который теперь не открывается. 

И нажать красную кнопку "Загрузить".


Сразу же после загрузки файлы будут проверены по имеющей базе известных сервису вымогателей и вы получите результат в виде информации о вымогателе, в виде ссылки на сайт поддержки пострадавших или на сайт с готовым дешифровщиком. 

Если никакой информации пока нет, вам будет предложено создать новую тему на форуме BleepingComputer.com для оказания вам помощи специалистами по крипто-вымогателям. Форум на английском языке, но можно описать свою проблему на любом языке. Там есть специалисты со всего мира и, возможно, им удастся вам помочь и выпустить дешифровщик, как это было уже много раз. И я помогу, чем смогу. 

Разработчиком ID Ransomware (IDR) является Майкл Джиллеспи (Michael Gillespie aka Demonslay335). 

Вы можете сверяться с каждой идентификацией и находить описания шифровальщиков по алфавиту в данном блоге. См. "Список".

См. также мои статьи:
Шифровальщики — чума Интернета
FAQ по Ransomware: Это важно знать!!!
10 способов защиты от шифровальщиков-вымогателей
Генеалогия вымогателей (объяснение родства)
Глоссарий блога (слова, которые нужно пояснить)


Вопросы и ответы


Почему в ID Ransomware (IDR) на официальном сайте названия некоторых вымогателей выделяются жирным шрифтом?
Это изначально задумка автора, Майкла Джиллеспи, чтобы показать общественности какие вредоносы добавились в список в последнюю неделю или обновились. 

Почему в ID Ransomware (IDR) и у вас некоторые названия различаются? 
Я работаю с IDR и беру название оттуда, если оно там появилось раньше или если оно не дано по ошибке. Корректирую с разработчиком IDR по необходимости. 
Если я описал вредонос раньше, чем он появился в IDR или ещё кем-то был описан, то даю название, которое точнее характеризует этот вымогатель, или оригинальное, если оно ещё никаким вымогателем в списке статей не занято. 
Иногда я даю 2 или 3 названия в заголовке, чтобы по ошибке не дублировать. Поисковик Google схватывает информацию быстро, она уходит на выдачу результатов. 
С недавних пор я стал в конце статьи дописывать то название, под которым Ransomware идентифицируется в IDR. В ранних статьях этого ещё не было. 

Почему в ID Ransomware (IDR) на официальном сайте меньше вымогателей, чем у вас в списке?
Для того есть несколько причин:
а) в IDR только те, которые идентифицируются по названию текстовой записки о выкупе, по расширению, по контактам вымогателей, маркеру файлов и ряду других признаков, а если нет текстовой записки о выкупе и никакое расширение к файлам не добавляется, то такой вымогатель в IDR не идентифицируется;
б) в списке IDR находятся только реальные крипто-вымогатели (шифровальщики), если файлы не шифруются, то их тоже нет в этом списке, а у меня в списке есть ещё фейк-шифровальщики, проекты RaaS, гибрид-вымогатели и блокировщики-вымогатели, получившие развитие как шифровальщики;
в) в IDR только те, которые опознаны как новые шифровальщики, но если по ряду признаков и программному коду идет повтор (новая итерация) уже известных, то идентификация в IDR группируется в один более ранний или получивший наибольшую известность шифровальщик, а в результатах IDR даётся ссылка на тему помощи и поддержки на форуме BleepingComputer;
г) статьи в этом блоге пишутся ежедневно, в хронологическом порядке, если у вредоносов появляются обновления, то в конце статьи я добавляю эти сведения, а не пишу статью про каждую новую копию; 
д) исключение из пункта "д" составляют новые вариации крипто-вымогателей, для описания которых требуется отдельная статья с подробной информацией (признаки, записки, контакты, скриншоты и пр.), и часто заранее неизвестно о том, что это новая вариация уже описанного вымогателя; в таких случаях потом выручает пункт "Генеалогия";
е) великое множество крипто-вымогателей и фейк-шифровальщиков ещё не описано из-за отсутствия подробной информации или же они настолько повторяют друг друга, благодаря крипто-конструкторам и крипто-строителям, что не нуждаются в отдельной идентификации в IDR и в описании у меня в блоге; если они будут отличаться, то будут отдельная идентификация и отдельное описание. 

Почему у вас в списке вымогателей нет ряда известных шифровальщиков из 2015 года и более ранних годов? 
Ранее было немало шифровальщиков, но тогда я не вёл этот блог. Будет необходимость, я добавлю описание в начало 2016 года, как недавно сделал это для Locky и Magic. Ранее добавленные нужно смотреть по алфавиту в апреле 2016 г., по возможности я выстрою хронологию и для них. 

Почему у вас в списке вымогателей нет ряда шифровальщиков, которые есть в IDR? 
На некоторые шифровальщики из IDR вообще нет информации и образцов, есть только название записки и расширения. В IDR в таком виде добавить можно, а мне рассказать нечего. Некоторые и в таком виде описаны, в надежде позже добавить информацию, но она так и не появилась. Другие я описывал ранее в другом месте сети, там остались мои описания и ссылки. Можно найти их в результатах поиска под другим моим ником - SNS-amigo, но информация там устарела и нуждается в дополнениях. Для них нужно время. Периодически я обновляю статьи из прошлого, но теперь только здесь... 

Что означает сокращение (n/a) у вас в ссылках на идентификацию?
Запись ID Ransomware (n/a) у меня в статьях блога означает:
No able identifiable - "невозможно определить";
ID not available - "идентификатор недоступен";
ID not applicable - "идентификатор не указан". 

Как с вами связаться и задать вопрос? 
Задать вопросы можно в комментариях или через форму обратной связи ниже. 
Мой email: aWQtcmFuc29td2FyZUB5YW5kZXgucnU= - декодь на base64decode.net

© Amigo-A (Andrew Ivanov): All blog articles.

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!!!
Ваши комментарии к статье появятся только после проверки службой модерации.
Дублировать их не нужно. Если это не спам, то они вскоре будут опубликованы.

ATTENTION!!!
Your new comment will be moderated. Do not repeat its, please. Spam will be deleted.

Постоянные читатели

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *