سؤال كيف يمكنني إزالة برامج التجسس الضارة أو البرامج الضارة أو البرامج الضارة أو الفيروسات أو أحصنة طروادة أو الجذور الخفية من جهاز الكمبيوتر الخاص بي؟


ماذا أفعل إذا بدا أن جهاز الكمبيوتر الذي يعمل بنظام Windows مصابًا بفيروس أو برامج ضارة؟

  • ما هي أعراض العدوى؟
  • ماذا أفعل بعد ملاحظة وجود عدوى؟
  • ما الذي يمكنني فعله للتخلص منه؟
  • كيفية الوقاية من العدوى عن طريق البرامج الضارة؟

يتم طرح هذا السؤال بشكل متكرر ، وعادة ما تكون الحلول المقترحة هي نفسها. هذا الويكي المجتمعي هو محاولة لتكون بمثابة الإجابة النهائية الأكثر شمولية.

لا تتردد في إضافة مساهماتك عبر التعديلات.


434
2017-11-30 15:16


الأصل


شيء واحد بالتأكيد لا تفعله هو تثبيت أي من أدوات "مكافحة البرامج الضارة" التي يتم حثك عليها عندما تصل إلى صفحة ويب تقول "تم إصابة جهاز الكمبيوتر الخاص بك بفيروس!" هذه بالتأكيد خبيثة بالتأكيد. يجب عليك فقط استخدام الأدوات التي تم فحصها جيدًا - (يفترض) تلك المذكورة أدناه أو على موقع موثوق آخر. - Daniel R Hicks
Gnoupi قد يكون هذا المقال موضع اهتمام maketecheasier.com/... - Simon
لأي شخص يأتي فقط لهذا السؤال يريد tl ؛ dr الإصدار ... مرة واحدة المصابة ، لا توجد وسيلة (حسنا ... بأي حال من الأحوال التي لا تنطوي على أنك بالفعل مهندس كمبيوتر ، واستثمار بضع سنوات من حياتك لإجراء تشريح رقمي للجهاز) للتخلص من / تأكد من التخلص من العدوى. يمكن أن تختفي البرامج الضارة في ملفاتك وبرامج التطبيقات وأنظمة التشغيل والبرامج الثابتة ... وهذا هو السبب الذي يجعلك لا تثق أبدًا بجهاز كمبيوتر مصاب بعدوى. سيحاول بائعو AV إقناعكم بأن منتجهم هو الرصاصة الفضية التي ستعمل على إصلاح نظامك. إنهم يكذبون. - Parthian Shot
DanielRHicks في الواقع في بعض الحالات أنها تؤدي إلى منتج AV شرعي. في المرة الأخيرة شاهدت ذلك على نظام android بميزة "دعم الإعلانات المدمجة" المزعجة (تظهر أشرطة الإعلان في أسفل صفحات التطبيق وصفحات الويب). على سبيل المثال ، قمت فقط بالنقر فوق "إزالة الفيروس!" الإعلان وهبطت في متجر Google Play على 360 الأمن - تعزيز مكافحة الفيروسات صفحة التطبيقات. - David Balažic
عندما نفكر في possebility الظاهري Rootkits و Rootkits البرامج الثابتة ثم يمكننا القول: أنت جوفاء. يتم حفظ هذين النوعين من Rootkit في مناطق من جهاز الكمبيوتر الخاص بك لا يمكنك تنظيفها. إذا كنت ترغب في التخلص منها تحتاج إلى شراء جهاز كمبيوتر جديد. البرامج الثابتة Rootkits نادرة و Rootkits الظاهري لا وجود لها حتى الآن ولكن لا يزال: وجود هذين Rootkits يثبت أنه لا يوجد حل واحد صالح للجميع 100 ٪ التي تعمل على إبقاء البرمجيات الخبيثة conputer الحرة لجميع الأبدية وخارجها. بصفتي ألمانية ، كنت أحضرها إلى "Eierlegende Wollmilchsau" - BlueWizard


الأجوبة:


إليك الشيء التالي: أصبحت البرامج الضارة في السنوات الأخيرة على حد سواء sneakier و أكثر شرا:

Sneakier، لأنه يسافر في حزم. يمكن للبرامج الضارة الخفية الاختباء وراء المزيد من الإصابات الواضحة. هناك الكثير من الأدوات الجيدة المدرجة في الإجابات هنا والتي يمكنها العثور على 99٪ من البرامج الضارة ، ولكن هناك دائمًا 1٪ لا يمكنهم العثور عليها بعد. في الغالب ، أن 1 ٪ هو الاشياء التي هي الجديد: أدوات البرامج الضارة لا يمكن العثور عليها لأنها خرجت للتو ويستخدم بعض استغلال أو تقنية جديدة لإخفاء نفسها أن الأدوات لا نعرف حتى الآن.

تحتوي البرامج الضارة أيضًا على فترة تخزين قصيرة. إذا كنت مصابًا ، فمن المحتمل أن يحدث شيء من ذلك 1٪ جديد جزء واحد من العدوى. لن يكون كامل العدوى: مجرد جزء منه. ستساعدك أدوات الأمان في العثور على البرامج الضارة الأكثر وضوحًا والمشكلة وإزالتها ، وعلى الأرجح إزالة جميع الملفات المرئية الأعراض (لأنه يمكنك الاستمرار في الحفر حتى تصل إلى هذا الحد) ، ولكن يمكن أن تترك أجزاء صغيرة خلفها ، مثل keylogger أو rootkit الذي يختبئ وراء بعض عمليات الاستغلال الجديدة التي لا تعرفها الأداة الأمنية حتى الآن للتحقق منها. لا تزال أدوات مكافحة البرامج الضارة تحتل مكانها ، لكنني سأصل إلى ذلك لاحقًا.

أكثر شرا، من حيث أنه لن يعرض فقط الإعلانات ، أو تثبيت شريط الأدوات ، أو استخدام جهاز الكمبيوتر الخاص بك بمثابة zombie بعد الآن. من المرجح أن تتحول البرامج الضارة الحديثة إلى المعلومات المصرفية أو معلومات بطاقة الائتمان. لم يعد الأشخاص الذين يقومون ببناء هذه الأشياء مجرد نصوص للأطفال يبحثون عن الشهرة ؛ هم الآن مهنيين منظمين بدافع ربح، وإذا لم يتمكنوا من سرقة منك مباشرة ، فسوف يبحثون عنها شيئا ما يمكنهم الدوران والبيع. قد يكون ذلك عبارة عن معالجة أو موارد شبكة في جهاز الكمبيوتر الخاص بك ، ولكنه قد يكون أيضًا رقم التأمين الاجتماعي الخاص بك أو تشفير الملفات الخاصة بك واحتجازها للحصول على فدية.

ضع هذين العاملين معا ، و لم يعد من المفيد حتى محاولة إزالة البرامج الضارة من نظام التشغيل المثبت. اعتدت أن أكون جيدًا جدًا في إزالة هذه الأشياء ، لدرجة أنني جعلت جزءًا كبيرًا من رزقي بهذه الطريقة ، ولم أعد أقوم بالمحاولة. أنا لا أقول أنه لا يمكن القيام به ، لكني أقول أن نتائج تحليل التكلفة / الفائدة والمخاطر قد تغيرت: الأمر لم يعد يستحق العناء. هناك الكثير على المحك ، ومن السهل جدًا الحصول على النتائج فقط بدا لتكون فعال.

الكثير من الناس سيختلفون معي في هذا الشأن ، لكنني أتحدى أنهم لا يزنون عواقب الفشل بقوة كافية. هل أنت على استعداد للمراهنة على مدخرات حياتك ، وائتمان جيد ، وحتى هويتك ، بأنك أفضل في هذا من المحتالين الذين يجعلون الملايين يفعلون ذلك كل يوم؟  إذا حاولت إزالة البرامج الضارة ثم استمر في تشغيل النظام القديم ، فذلك هو بالضبط ماذا تفعل.

أعلم أن هناك أشخاصًا يقرأون هذا التفكير ، "لقد قمت بإزالة العديد من الإصابات من آلات مختلفة ولم يحدث أي شيء سيء على الإطلاق." انا ايضا صديقي. أنا أيضا. في الأيام الماضية قمت بتنظيف حصتي من الأنظمة المصابة. ومع ذلك ، أقترح أن نضيف الآن "بعد" إلى نهاية ذلك البيان. قد تكون فعالاً بنسبة 99٪ ، ولكن عليك أن تكون غير صحيح مرة واحدة ، وتكون عواقب الفشل أعلى بكثير مما كانت عليه في السابق ؛ يمكن لتكلفة فشل واحد فقط تفوق جميع النجاحات الأخرى بسهولة. قد يكون لديك جهاز موجود بالفعل لا يزال يحمل قنبلة موقوتة داخل ، فقط في انتظار أن يتم تنشيطه أو لجمع المعلومات الصحيحة قبل الإبلاغ عنها مرة أخرى. حتى إذا كانت لديك عملية فعالة بنسبة 100٪ الآن ، فإن هذه الأشياء تتغير طوال الوقت. تذكر: يجب أن تكون مثاليًا في كل مرة ؛ الأشرار فقط يجب أن يحصلوا على الحظ مرة واحدة.

باختصار ، إنه لأمر مؤسف ، ولكن إذا لديك عدوى خبيثة مؤكدة ، يجب أن يكون إعادة تمهيد كامل للكمبيوتر أول المكان الذي تديره بدلا من الماضي.


إليك كيفية تحقيق ذلك:

قبل أن تصاب، تأكد من أن لديك طريقة لإعادة تثبيت أي برنامج تم شراؤه ، بما في ذلك نظام التشغيل ، الذي لا يعتمد على أي شيء مخزّن على القرص الثابت الداخلي. لهذا الغرض ، عادةً ما يعني فقط التعليق على قرص مضغوط / dvds أو مفاتيح المنتج ، ولكن قد يتطلب منك نظام التشغيل إنشاء أقراص الاسترداد بنفسك.1 لا تعتمد على قسم الاسترداد لهذا. إذا انتظرت حتى بعد الإصابة للتأكد من أنك تحتاج إلى إعادة التثبيت ، فقد تجد نفسك تدفع مقابل نفس البرنامج مرة أخرى. مع ارتفاع رانسومواري ، من المهم للغاية أيضًا إجراء نسخ احتياطي منتظم لبياناتك (زائد ، كما تعلمون ، أشياء غير خبيثة منتظمة مثل فشل القرص الصلب).

عندما تشك بأن لديك برامج ضارة، انظر إلى إجابات أخرى هنا. هناك الكثير من الأدوات الجيدة المقترحة. مشكلتي الوحيدة هي أفضل طريقة لاستخدامها: أنا أعتمد عليها فقط للكشف. قم بتثبيت الأداة وتشغيلها ، ولكن بمجرد العثور على دليل على وجود إصابة حقيقية (أكثر من مجرد "تعقب ملفات تعريف الارتباط") فقط قم بإيقاف الفحص: لقد قامت الأداة بعملها وتأكدت من الإصابة.2

في وقت الإصابة المؤكدة ، اتخذ الخطوات التالية:

  1. تحقق من الائتمان والحسابات المصرفية الخاصة بك. في الوقت الذي تكتشف فيه الإصابة ، قد يكون الضرر الحقيقي قد تم بالفعل. اتخذ أي خطوات ضرورية لتأمين بطاقاتك وحسابك المصرفي وهويتك. قم بتغيير كلمات المرور في أي موقع ويب قمت بالوصول إليه من الكمبيوتر الذي تم اختراقه. لا تستخدم الكمبيوتر المخترق للقيام بأي من هذا. 
  2. أخذ نسخة احتياطية من البيانات الخاصة بك (حتى أفضل إذا كان لديك بالفعل).
  3. أعد تثبيت نظام التشغيل باستخدام الوسائط الأصلية التي تم الحصول عليها مباشرة من ناشر نظام التشغيل. تأكد من أن إعادة التثبيت تتضمن إعادة تهيئة كاملة للقرص الخاص بك ؛ استعادة النظام أو عملية استرداد النظام ليست كافية.
  4. أعد تثبيت التطبيقات الخاصة بك.
  5. تأكد من أن نظام التشغيل والبرامج الخاصة بك مصححة بالكامل وحديثة.
  6. قم بتشغيل فحص كامل لمكافحة الفيروسات لتنظيف النسخة الاحتياطية من الخطوة الثانية.
  7. استعادة النسخة الاحتياطية.

إذا فعلت بشكل صحيح، وهذا هو المرجح أن يستغرق ما بين شهرين وستة ساعات الحقيقية من وقتك، موزعة على 2-3 أيام (أو حتى لفترة أطول) أثناء انتظارك لأشياء مثل تطبيقات لتثبيتها، تحديثات ويندوز لتحميل أو ملفات النسخ الاحتياطي كبيرة لنقل ... لكنه أفضل من معرفة لاحقًا أن المحتالين استنزفت حسابك المصرفي. لسوء الحظ ، هذا شيء يجب عليك فعله بنفسك ، أو أن يكون لديك صديق تقني يفعل ذلك نيابة عنك. في سعر استشارات نموذجي يبلغ حوالي 100 دولار في الساعة ، يمكن أن يكون أرخص لشراء جهاز جديد من دفع متجر للقيام بذلك. إذا كان لديك صديق ، فافعل ذلك من أجلك ، افعل شيئًا رائعًا لإظهار تقديرك. حتى المهوسون الذين يحبون مساعدتك في إعداد أشياء جديدة أو إصلاح الأجهزة المكسورة غالبًا اكرهه الملل من العمل التنظيف. من الأفضل أيضًا أن تأخذ نسخة احتياطية خاصة بك ... لن يعرف أصدقاؤك أين تضع الملفات ، أو تلك التي تهمك حقًا. أنت في وضع أفضل لأخذ نسخة احتياطية جيدة منها.

وقد لا يكون هذا كله كافياً حتى الآن ، حيث توجد الآن برامج ضارة قادرة على إصابة البرامج الثابتة. حتى استبدال محرك الأقراص الثابتة قد لا يؤدي إلى إزالة العدوى ، وسيكون شراء جهاز كمبيوتر جديد هو الخيار الوحيد. لحسن الحظ ، في الوقت الذي أكتب فيه هذا لا نصل إلى هذه النقطة بعد ، لكنه بالتأكيد في الأفق ويقترب بسرعة.


إذا كنت تصر تمامًا ، وراء كل الأسباب ، أنك تريد تنظيف التثبيت الموجود لديك بدلاً من البدء من جديد ، فإن محبة الله تتأكد من أن أي طريقة تستخدمها تتضمن أحد الإجراءين التاليين:

  • قم بإزالة محرك الأقراص الثابتة وتوصيله كقرص ضيف في كمبيوتر آخر (نظيف!) لتشغيل الفحص.

أو

  • قم بالتمهيد من مفتاح CD / USB مع مجموعة أدواته الخاصة التي تقوم بتشغيل kernel الخاص بها. تأكد من الحصول على هذه الصورة وحرقها على كمبيوتر نظيف. إذا لزم الأمر ، اجعل صديقك يصنع القرص لك.

لا يجب عليك تحت أي ظرف من الظروف محاولة تنظيف نظام تشغيل مصاب باستخدام برنامج يعمل كعملية ضيف لنظام التشغيل المخترق. هذا مجرد غبي عادي.


بالطبع ، أفضل طريقة لإصلاح العدوى هي تجنبه في المقام الأول ، وهناك بعض الأشياء التي يمكنك القيام بها للمساعدة في ذلك:

  1. حافظ على النظام الخاص بك مصححة. تأكد أنك حالا قم بتثبيت تحديثات Windows ، تحديثات Adobe ، تحديثات Java ، تحديثات Apple ، وما إلى ذلك. هذا أكثر أهمية من برنامج مكافحة الفيروسات ، وهو في الغالب ليس بالأمر الصعب ، طالما أنك مستمر. معظم هذه الشركات استقرت بشكل غير رسمي على جميع التصحيحات الجديدة في نفس اليوم من كل شهر ، لذلك إذا حافظت على التيار فلا تقاطعك كثيراً. تحدث مقاطعة Windows Update عادةً فقط عند تجاهلها لفترة طويلة جدًا. إذا حدث هذا لك في كثير من الأحيان ، فستعمل أنت لتغيير سلوكك. هؤلاء هم مهم، ولا يمكنك اختيار خيار "التثبيت لاحقًا" بشكل مستمر ، حتى إذا كان الأمر أسهل في الوقت الحالي.
  2. لا تعمل كمسؤول بشكل افتراضي. في الإصدارات الحديثة من Windows ، الأمر بسيط مثل ترك ميزة UAC قيد التشغيل.
  3. استخدم أداة جدار حماية جيدة. في هذه الأيام جدار الحماية الافتراضي في Windows جيد بالفعل. قد ترغب في استكمال هذه الطبقة بشيء مثل WinPatrol يساعد على إيقاف النشاط الضار على الواجهة الأمامية. يعمل Windows Defender بهذه الصفة إلى حد ما أيضًا. أصبحت الإضافات الإضافية لمستعرض Ad-Blocker الإضافي مفيدة بشكل متزايد على هذا المستوى كأداة للأمن.
  4. تعيين معظم المكونات الإضافية للمتصفح (خاصة الفلاش وجافا) إلى "اسأل للتفعيل".
  5. يركض تيار برنامج مكافحة الفيروسات. هذه هي المسافة الخامسة إلى الخيارات الأخرى ، حيث أن برامج A / V التقليدية لم تعد فعالة في كثير من الأحيان. من المهم أيضًا التأكيد على "التيار". يمكنك الحصول على أفضل برنامج لمكافحة الفيروسات في العالم ، ولكن إذا لم يكن محدثًا ، فيمكنك إلغاء تثبيته أيضًا.

    لهذا السبب ، فإنني أوصي حاليًا بـ Microsoft Security Essentials. (منذ Windows 8 ، تعد Microsoft Security Essentials جزءًا من برنامج Windows Defender). ومن المحتمل وجود محركات مسح أفضل على الإطلاق ، لكن أساسيات الأمان ستبقى محدثة ، دون المخاطرة بأي تسجيل منتهي الصلاحية. AVG و Avast يعملان بشكل جيد بهذه الطريقة. لا يمكنني التوصية بأي برنامج لمكافحة الفيروسات فعليك أن تدفع مقابله ، لأنه من الشائع أن ينقضي اشتراك مدفوع وأن ينتهي بك الحال إلى تعريفات قديمة.

    تجدر الإشارة أيضًا إلى أن مستخدمي Mac بحاجة الآن إلى تشغيل برامج مكافحة الفيروسات أيضًا. لقد ولت الأيام التي يمكن أن يفلتوا بدونها. جانبا ، أعتقد أنه مزاح يجب أن أوصي الآن مستخدمي Mac بشراء برامج مكافحة الفيروسات ، ولكن ننصح مستخدمي Windows بمقارنتها.

  6. تجنب مواقع torrent و warez والبرامج المقرصنة والأفلام / مقاطع الفيديو المقرصنة. غالبًا ما يتم حقن هذه الأشياء بالبرامج الضارة من قبل الشخص الذي قام بتصدعها أو نشرها - وليس دائمًا ، ولكن غالبًا ما يكفي لتجنب الفوضى كلها. إنه جزء من سبب قيام جهاز التكسير بذلك: في كثير من الأحيان سيحصلون على قطع من أي أرباح.
  7. استخدم رأسك عند تصفح الويب. أنت الحلقة الأضعف في سلسلة الأمان. إذا كان هناك شيء يبدو جيدًا لدرجة يصعب تصديقه ، فمن المحتمل أن يكون ذلك صحيحًا. نادرًا ما يكون زر التنزيل الأكثر وضوحًا هو الزر الذي تريد استخدامه أكثر عند تنزيل برنامج جديد ، لذلك تأكد من قراءة وفهم كل شيء على صفحة الويب قبل النقر على هذا الرابط. إذا رأيت نافذة منبثقة أو سمعت رسالة مسموعة تطلب منك الاتصال بشركة Microsoft أو تثبيت أداة حماية ، فهذا أمر مزيف.
    أيضا ، تفضل تنزيل البرامج والتحديثات / الترقيات مباشرة من البائع أو المطور بدلا من مواقع استضافة الملفات من طرف ثالث.

1 مايكروسوفت تنشر الآن ويندوز 10 تثبيت الوسائط لتتمكن من التنزيل والكتابة بشكل قانوني إلى محرك أقراص فلاش سعة 8 جيجابايت أو أكبر مجانًا. لا تزال بحاجة إلى ترخيص صالح ، ولكنك لا تحتاج إلى قرص استرداد منفصل لنظام التشغيل الأساسي بعد الآن.

2هذا هو الوقت المناسب للإشارة إلى أنني قد خففت طريقي إلى حد ما. اليوم ، تقع معظم "الإصابات" تحت فئة الجراء (البرامج غير المرغوب فيها) وملحقات المستعرض المضمنة في التنزيلات الأخرى. في كثير من الأحيان يمكن إزالة هذه PUPs / ملحقات بأمان من خلال الوسائل التقليدية ، وهي الآن نسبة مئوية كبيرة بما فيه الكفاية من البرامج الضارة التي قد أتوقف عند هذه النقطة ومجرد محاولة خيار ميزة إضافة / إزالة البرامج أو المتصفح العادي لإزالة ملحق. ومع ذلك ، في أول إشارة لشيء أعمق - أي تلميح أن البرنامج لن يزيل فقط بشكل طبيعي - ويعود إلى إعادة ردم الجهاز.


259



يبدو أن هذا هو الأكثر حكمة ، في الوقت الحاضر ، في الواقع. وأود أن أضيف أنه يوجد سبب آخر لحدوث بعض البرامج الضارة ، حيث ستبقى خاملة ، وتستخدم الكمبيوتر لأنشطة أخرى. يمكن أن يكون proxying أو تخزين أشياء أكثر أو أقل غير قانونية أو أن يكون جزءًا من هجوم DDOS. - Gnoupi
ConradFrix قريبا جدا لنقول ... لم أكن في حاجة للقيام بذلك إلى جهاز كمبيوتر ويندوز 8 بعد ... ولكن أنا متشائم لأنه لا يؤدي إلى إعادة تهيئة محرك الأقراص. يتضمن Windows 8 العديد من التحسينات الأمنية ، بما في ذلك تشغيل برنامج مكافحة الفيروسات من الوقت 0 كجزء من نظام التشغيل ، مثل أنا متفائل بعدم الحاجة إلى القيام بذلك على الإطلاق لنظام التشغيل Windows 8 على الإطلاق. - Joel Coehoorn
DanielRHicks قراءة الجملة كاملة. يستغرق الأمر من ساعتين إلى ست ساعات من وقتك ، منتشرًا لمدة يوم أو ثلاثة ، حيث تكون فعّالًا في ركل شيء ما والتحقق منه لاحقًا. إذا كنت تجلس في جسد كل شيء ، فعندئذ: سوف يستغرق الأمر بعض الوقت. - Joel Coehoorn
JoelCoehoorn هل أنا فقط ، أو برامج ضارة هذا المتقدم من شأنه أيضا أن تصيب البرامج الثابتة على جميع أنواع المكونات مما يجعل أي جهد إزالة غير مجدية؟ - Enis P. Aginić
يرجى تذكر أنه إذا كنت تأخذ نسخة احتياطية بعد اكتشاف العدوى ، فمن المحتمل جدا أن تكون النسخة الاحتياطية نفسها مصابة. يرجى مسح النسخة الاحتياطية قبل محاولة الاستعادة. - Tejas Kale


كيف يمكنني معرفة ما إذا كان جهاز الكمبيوتر الخاص بي مصابًا؟

يمكن أن تكون الأعراض العامة للبرامج الضارة أي شيء. المعتاد هي:

  • الجهاز أبطأ من المعتاد.
  • حالات الفشل العشوائي والأشياء التي تحدث عندما لا يكون ذلك (على سبيل المثال ، تضع بعض الفيروسات الجديدة قيودًا على سياسة المجموعة على جهازك لمنع مدير المهام أو برامج التشخيص الأخرى من العمل).
  • يعرض مدير المهام وحدة معالجة مركزية عالية عندما تعتقد أن جهازك يجب أن يكون خاملاً (على سبيل المثال <5٪).
  • الاعلانات ظهرت بشكل عشوائي.
  • ظهرت تحذيرات الفيروسات من برنامج مكافحة فيروسات لا تتذكر تثبيته (برنامج مكافحة الفيروسات مزيف ويحاول أن يدعي أنك تمتلك فيروسات مرعبة مع أسماء مثل "bankpasswordstealer.vir". يتم تشجيعك على دفع ثمن هذا البرنامج لتنظيف هذه البرامج ).
  • منبثقة / شاشة زرقاء زائفة للموت (BSOD) تطلب منك الاتصال برقم لإصلاح العدوى.
  • إعادة توجيه صفحات الإنترنت أو حظرها ، على سبيل المثال ، يتم إعادة توجيه الصفحات الرئيسية لمنتجات AV أو مواقع الدعم (www.symantec.com أو www.avg.com أو www.microsoft.com) إلى مواقع مملوءة بالإعلانات أو مواقع مزيفة تروج لمضادات وهمية أدوات إزالة الفيروسات / "مفيدة" ، أو يتم حظرها تمامًا.
  • زيادة وقت بدء التشغيل ، عندما لم تكن قد قمت بتثبيت أي تطبيقات (أو تصحيحات) ... هذا واحد محرج.
  • يتم تشفير الملفات الشخصية الخاصة بك وترى ملاحظة فدية.
  • أي شيء خارج اللون الأزرق ، إذا كنت "تعرف" نظامك ، فأنت تعرف عادة عندما يكون هناك خطأ ما.

كيف يمكنني التخلص من هذا؟

باستخدام قرص مضغوط مباشر

نظرًا لأن ماسح الفيروسات الخاص بجهاز الكمبيوتر المصاب قد يكون معرضًا للخطر ، فمن المحتمل أن يكون مسح محرك الأقراص من قرص مضغوط نشط أمناً. سيقوم القرص المضغوط بتمهيد نظام تشغيل متخصص على جهاز الكمبيوتر الخاص بك ، والذي سيقوم بعد ذلك بفحص القرص الصلب.

هناك ، على سبيل المثال ، نظام انقاذ افيرا اوفيس أو ubcd4win. يمكن العثور على المزيد من الاقتراحات في تنزيل مجاني Bootable AntiVirus Rescue CDs قائمة التنزيل مثل:

  • كاسبرسكي الانقاذ مؤتمر نزع السلاح
  • بيتدفندر الانقاذ مؤتمر نزع السلاح
  • F-Secure Rescue CD
  • افيرا اوفيس الانقاذ القرص
  • الثالوث الانقاذ كيت مؤتمر نزع السلاح
  • AVG Rescue CD

توصيل القرص الصلب بجهاز كمبيوتر آخر

إذا كنت تقوم بتوصيل محرك الأقراص الثابت المصاب إلى نظام نظيف لفحصه ، فتأكد من تحديث تعريفات الفيروسات لكافة المنتجات التي ستستخدمها لفحص محرك الأقراص المصاب. قد يؤدي الانتظار لمدة أسبوع للسماح لموفري مكافحة الفيروسات بإطلاق تعريفات فيروسات جديدة إلى تحسين فرص اكتشاف جميع الفيروسات.

تأكد من أن جهازك المصاب لا يزال غير متصل بالإنترنت فور اكتشافه أنه مصاب. سيمنع ذلك من القدرة على تنزيل إصدارات جديدة من الفيروسات (من بين أشياء أخرى).

ابدأ باستخدام أداة جيدة مثل Spybot بحث وتدمير أو التقيم مكافحة البرامج الضارة وإجراء مسح كامل. حاول ايضا ComboFixو الديدان. لن يكون لكل منتج مضاد فيروسات واحد كل تعريف للفيروس. استخدام منتجات متعددة هو المفتاح (ليس من أجل الحماية في الوقت الحقيقي). إذا بقي فيروس واحد فقط على النظام ، فقد يتمكن من تنزيل وتثبيت أحدث الإصدارات الجديدة من الفيروسات ، وكل الجهود التي بذلت حتى الآن لم تكن لشيء.

إزالة البرامج المشبوهة من الحذاء

  1. البدء في الوضع الآمن.
  2. استعمال msconfig لتحديد البرامج والخدمات التي تبدأ عند التمهيد (أو بدء التشغيل تحت إدارة المهام في Windows 8).
  3. إذا كانت هناك برامج / خدمات مشبوهة ، فقم بإزالتها من الحذاء. عدا ذلك انتقل إلى استخدام قرص مضغوط مباشر.
  4. إعادة بدء.
  5. إذا لم تختف الأعراض و / أو البرنامج يحل محل نفسه عند بدء التشغيل ، حاول استخدام برنامج يسمى اوتورونس للعثور على البرنامج وإزالته من هناك. إذا لم يتمكن الكمبيوتر من بدء التشغيل ، فإن ميزة Autoruns تحتوي على ميزة يمكن تشغيلها من جهاز كمبيوتر ثانٍ يسمى "Analyze offline PC". دفع الانتباه عن كثب خاصة Logon و Scheduled tasks علامات التبويب.
  6. إذا لم يكن هناك نجاح بعد في إزالة البرنامج ، وكنت متأكداً من أنه سبب مشكلاتك ، قم بالتمهيد في الوضع العادي ، ثم قم بتثبيت أداة تسمى الفلاشر
  7. انتقل إلى موقع الملف الذي هو هذا الفيروس ، ومحاولة استخدام unlocker لقتله. قد تحدث بعض الأشياء:
    1. يتم حذف الملف ، ولا يظهر عند إعادة التشغيل. هذا هو أفضل حالة.
    2. يتم حذف الملف ، ولكن يظهر على الفور. في هذه الحالة ، استخدم برنامجًا يسمى مراقبة عملية لمعرفة البرنامج الذي قام بإعادة إنشاء الملف. سوف تحتاج إلى حذف هذا البرنامج كذلك.
    3. لا يمكن حذف الملف ، وسيطلب منك برنامج إلغاء القفل حذفه عند إعادة التشغيل. افعل ذلك ، واعرف ما إذا كان يظهر مجددًا. إذا حدث ذلك ، يجب أن يكون لديك برنامج في التمهيد يتسبب في حدوث ذلك ، وإعادة فحص قائمة البرامج التي تعمل في التمهيد.

ما يجب القيام به بعد الاستعادة

الآن يجب أن تكون آمنة (على أمل) التمهيد في النظام الخاص بك (سابقا) المصابة. ومع ذلك ، ابق على عينيك مفتوحة للحصول على علامات العدوى. يمكن للفيروس أن يترك التغييرات على جهاز الكمبيوتر الذي يسهل إعادة العدوى حتى بعد إزالة الفيروس.

على سبيل المثال ، إذا غيّر فيروس DNS أو إعدادات الخادم الوكيل ، فإن جهاز الكمبيوتر الخاص بك سيعيد توجيهك إلى إصدارات مزيفة من مواقع الويب الشرعية ، بحيث يكون تنزيل برنامج يبدو معروفًا وموثوقًا به قادرًا على تنزيل فيروس بالفعل.

يمكنهم أيضًا الحصول على كلمات المرور الخاصة بك عن طريق إعادة توجيهك إلى مواقع حسابات مصرفية زائفة أو مواقع بريد إلكتروني مزيفة. تأكد من التحقق من إعدادات DNS والوكيل. في معظم الحالات ، يجب أن يتم توفير DNS الخاص بك من خلال موفر خدمة الإنترنت الخاص بك أو يتم الحصول عليه تلقائيًا من خلال DHCP. يجب تعطيل إعدادات الوكيل.

افحص hosts ملف (\%systemroot%\system32\drivers\etc\hosts) لأية إدخالات مشبوهة وإزالتها على الفور. تأكد أيضًا من تمكين جدار الحماية ومن حصولك على آخر تحديثات Windows.

بعد ذلك ، احمي النظام الخاص بك باستخدام مضاد فيروسات جيد وقم بتزويده بمنتج مضاد للبرامج الضارة. مايكروسوفت أساسيات الأمان غالبًا ما ينصح به جنبا إلى جنب مع غيرها من المنتجات.

ماذا أفعل إذا فشل كل شيء

تجدر الإشارة إلى أن بعض البرامج الضارة جيدة للغاية في تجنب الماسحات الضوئية. من الممكن أنه بمجرد أن تصاب بالعدوى ، يمكن تثبيته الجذور الخفية أو ما شابه البقاء غير مرئي. إذا كانت الأشياء سيئة بالفعل ، فإن الخيار الوحيد هو مسح القرص وإعادة تثبيت نظام التشغيل من البداية. في بعض الأحيان مسح باستخدام GMER أو كاسبيرسكي TDSS القاتل يمكن أن تظهر لك إذا كان لديك الجذور الخفية.

قد ترغب في القيام بأدوار قليلة من Spybot Search and Destroy. إذا لم تتمكن بعد ثلاث عمليات تشغيل من إزالة الإصابة (وفشلت في القيام بذلك يدويًا) ففكر في إعادة التثبيت.

اقتراح آخر: Combofix هي أداة إزالة قوية جدًا عندما تمنع أدوات rootkits أشياء أخرى من التشغيل أو التثبيت.

إن استخدام العديد من محركات الفحص يمكن أن يساعد بالتأكيد في العثور على أفضل البرامج الخفية ، ولكنها مهمة حساسة وستكون استراتيجية النسخ الاحتياطي / الاستعادة الجيدة أكثر كفاءة وأمانًا.


مكافأة: هناك سلسلة فيديو مثيرة للاهتمام تبدأ بـ "فهم ومكافحة البرامج الضارة: الفيروسات وبرامج التجسس " مع مارك روسينوفيتش ، مبتكر Sysinternals ProcessExplorer و Autoruns ، عن تنظيف البرمجيات الخبيثة.


198



غالبًا ما يكون مسح محرك الأقراص هو أسرع وأسلم طريق كما هو مقترح في جميع أنحاء هذا الموقع باعتباره "أفضل إجابة" - Ivo Flipse♦
من تجربتي لا أثق spybot كخيار أول. Avira، Kaspersky Virus Removal Tool & AVG هي حرية اختيار جيد وفقا للمركبات المقارنة av-comparatives.org & AV-Test.org: blogs.pcmag.com/securitywatch/2009/12/... - fluxtendu
أحد الاقتراحات هو أن العديد من هذه البرامج الضارة فعل سرقة كلمات السر والبيانات المصرفية ، لذلك ليس من فكرة سيئة أن تفصل من الإنترنت بمجرد أن تصبح مشبوهًا بالعدوى. قد يكون الوقت متأخراً للغاية ، ولكن هناك فرصة لتقييد تسرب البيانات ، أو منع البرامج الضارة من تحديث نفسها ، إلى أن تنجح في التنظيف. - emgee
emgee قاعدة إرشادية جيدة حول عملية exfiltration للبيانات: عندما تكون في شك ، اسحبها (مقبس إيثرنت) - Nate Koppenhaver
Combofix.org ليس موقع التنزيل الرسمي لـ Combofix ، وغير مصرح به أو موصى به بواسطة مؤلف Combofix. التحميل الرسمي هو هنا. - Andrew Lambert


هناك بعض النصائح الرائعة لمكافحة البرامج الضارة في Jeff Atwood's "كيفية تنظيف Windows Spyware Infestation". إليك العملية الأساسية (تأكد من قراءة مشاركة المدونة للحصول على لقطات الشاشة والتفاصيل الأخرى التي يلقيها هذا الملخص):

  1. أوقف أي برامج تجسس قيد التشغيل حاليًا. ويندوز 'مدير المهام المدمج لن يقطعها ؛ احصل على Sysinternals عملية اكسبلورر.
    1. تشغيل عملية اكسبلورر.
    2. فرز قائمة العمليات حسب اسم الشركة.
    3. قم بقتل أي عمليات ليس لها اسم شركة (باستثناء DPCs و Interrupts و System و System Idle Process) أو التي لها أسماء الشركات التي لا تعرفها.
  2. أوقف برنامج التجسس من إعادة التشغيل في المرة التالية التي يتم فيها تمهيد النظام. مرة أخرى ، أداة Windows المدمجة ، MSconfig ، هي حل جزئي ، ولكن التشغيل الآلي هي أداة للاستخدام.
    1. تشغيل AutoRuns.
    2. اذهب من خلال القائمة بأكملها. قم بإلغاء تحديد الإدخالات المشبوهة - تلك التي تحتوي على أسماء Publisher فارغة أو أي اسم Publisher لا تعرفه.
  3. الآن إعادة تشغيل الكمبيوتر.
  4. بعد إعادة التشغيل ، قم بإعادة الفحص باستخدام Process Explorer و AutoRuns. إذا كان هناك شيء "يعود" ، فستضطر إلى التعمق أكثر.
    • في مثال جيف ، أحد الأشياء التي عادت كانت دخول سائق مشبوه في AutoRuns. يتحدث من خلال تعقب العملية التي تم تحميلها في Process Explorer ، وإغلاق المقبض ، وحذف برنامج التشغيل المارقة فعلياً.
    • كما عثر على ملف DLL المسمى بشكل غريب في عملية Winlogon ، ويوضح العثور على سلاسل العمليات التي تحمّل ذلك الملف DLL ومن ثم يوقفه حتى تتمكن ميزة AutoRuns أخيراً من إزالة الإدخالات.

86



أيضا ، تريند مايكرو برنامج HijackThis هي أداة مساعدة مجانية تنشئ تقريرًا معمقًا عن إعدادات السجل والملف من جهاز الكمبيوتر لديك. سأحذر من أن هذا سيجد أشياء جيدة وسيئة ، ولا يميز ، ولكن Google هي صديقنا إذا كنا مشبوهة. - Umber Ferrule
رابط مستكشف عملية Sysinternals هو Dead. هذه الإجابات هي على بعض أهم نتائج جوجل. هل يمكن لأي شخص تحديث هذا الرابط من خلال رابط محدث؟ أنا أيضا أبحث عنه. - Malavos
Autoruns رائع ، ولكن قد لا يكون اقتراح الاعتماد على الناشر مفيدًا. يوضح هذا السؤال stackoverflow كيف يمكن تعديل معلومات الإصدار بسهولة (وبالتالي انتحال) [stackoverflow.com/questions/284258/.... حاولت هذا على DLL جافا وأظهر Autoruns الناشر بشكل غير صحيح. - AlainD
رابط autorun الخاص بك systernals مكسورة - Daniel


طريقي في إزالة البرامج الضارة فعالة ولم أشهدها أبداً:

  1. تحميل اوتورونس وإذا كنت لا تزال تعمل على 32 بت ، قم بتنزيل ماسح ضوئي لـ rootkit.
  2. التمهيد في الوضع الآمن وبدء التشغيل التلقائي إذا كنت قادراً على ، ثم انتقل إلى الخطوة 5.
  3. إذا لم تتمكن من الوصول إلى Safe Mode (الوضع الآمن) ، فقم بتوصيل القرص بكمبيوتر آخر.
  4. بدء تشغيل Autoruns على هذا الكمبيوتر ، انتقل إلى File -> Analyz Offline System and fill it in.
  5. انتظر حتى يتم إجراء الفحص.
  6. في قائمة الخيارات ، حدد كل شيء.
  7. دعه مسح مرة أخرى عن طريق الضغط على F5. سيذهب هذا سريعًا حيث يتم تخزين العناصر مؤقتًا.
  8. انتقل من خلال القائمة وإلغاء تحديد أي شيء هو conspicious أو ليس لديه شركة التحقق منها.
  9. اختياري: قم بتشغيل الماسح الضوئي rootkit.
  10. السماح لمسح الفيروسات الأعلى بإزالة أي ملفات تم تركها.
  11. اختياري: تشغيل برامج مكافحة البرامج الضارة ومكافحة برامج التجسس للتخلص من غير المرغوب فيه.
  12. اختياري: تشغيل أدوات مثل HijackThis / OTL / ComboFix للتخلص من غير المرغوب فيه.
  13. إعادة تشغيل والتمتع بالنظافة.
  14. اختياري: قم بتشغيل الماسح الضوئي rootkit مرة أخرى.
  15. تأكد من أن جهاز الكمبيوتر الخاص بك محمي بشكل كافي!

بعض الملاحظات:

  • يتم كتابة Autoruns بواسطة Microsoft وبالتالي يعرض أي مواقع الأشياء التي تبدأ تلقائياً ...
  • بمجرد إلغاء تحديد البرنامج من Autoruns ، فلن يبدأ ولا يمكن أن يمنعك من إزالته ...
  • لا توجد الجذور الخفية لأنظمة التشغيل 64 بت لأنها تحتاج إلى التوقيع ...

وهو فعال لأنه سيعطل البرامج الضارة / برامج التجسس / الفيروسات من البدء ،
أنت حر في تشغيل أدوات اختيارية لتنظيف أي خردة متبقية على نظامك.


49





اتبع الأمر الموضح أدناه لتطهير جهاز الكمبيوتر الخاص بك

  1. على جهاز كمبيوتر غير مصاب ، قم بعمل قرص AV للتمهيد ثم قم بالتمهيد من القرص الموجود على جهاز الكمبيوتر المصاب وقم بفحص القرص الصلب ، وقم بإزالة أية إصابات قد يعثر عليها. لكنني أفضل نوافذ المدافع دون اتصال التمهيد CD / USB لأنه يمكن إزالة فيروسات قطاع التمهيد ، راجع "ملاحظة" أدناه.

    أو يمكنك تجربة بعض أقراص AV التمهيد الأخرى.

  2. بعد الانتهاء من فحص البرامج الضارة وإزالتها باستخدام قرص التمهيد ، قم بتثبيت برنامج مجاني MBAMقم بتشغيل البرنامج والانتقال إلى علامة التبويب تحديث وتحديثه ، ثم انتقل إلى "علامة تبويب الماسح الضوئي" وقم بإجراء مسح سريع ، وحدد أي شيء وجده وأزله.

  3. عندما يتم MBAM يتم التثبيت SAS نسخة مجانية ، قم بإجراء مسح سريع ، قم بإزالة ما يختاره تلقائيًا.

  4. إذا كانت ملفات نظام Windows مصابة قد تحتاج إلى تشغيل SFC لاستبدال الملفات ، قد تضطر إلى القيام بذلك دون اتصال إذا لم يكن التمهيد بسبب إزالة ملفات النظام المصابة. أوصيك بتشغيل SFC بعد أن تتم إزالة أي إصابة.

  5. في بعض الحالات قد تضطر إلى تشغيل إصلاح بدء التشغيل (Windows Vista و Windows7 فقط) للحصول على التمهيد بشكل صحيح مرة أخرى. في الحالات القصوى قد تكون هناك حاجة إلى 3 إصلاحات بدء التشغيل في صف واحد.

MBAM و SAS ليستا من برامج AV مثل Norton ، فهي على ماسحات ضوئية بالطلب تقوم بالبحث فقط عن الأشرار عند تشغيل البرنامج ولن تتداخل مع AV المثبت لديك ، يمكن تشغيلها مرة واحدة في اليوم أو الأسبوع للتأكد من أنك غير مصاب. تأكد من تحديثها قبل كل مسح يومي أسبوعي.

ملاحظة: أن منتج Windows Defender Offline جيد جدًا في الإزالة استمرار العدوى MBR وهي شائعة هذه الأيام.

.

للمستخدمين المتقدمين:

إذا كان لديك عدوى واحدة تمثل نفسها كبرنامج ، أي "إصلاح النظام" "AV Security 2012" ، إلخ ، انظر هذه الصفحة لأدلة الإزالة المحددة

.


44



من المحتمل أن يكون امتلاك جهاز كمبيوتر آخر مخصص لتفحص الفيروسات هو الحل الأفضل ، حيث لا تعتمد على محرك الأقراص المصاب بالنظام. ومع ذلك ، فإلى جانب شركات دعم الكمبيوتر ، أشك في أن العديد من الناس لديهم مثل هذا الحل الجاهز. - Gnoupi
في حالة عدم توفر جهاز كمبيوتر شخصي مخصص ، يمكن تنفيذ إجراء مماثل عن طريق تشغيل النظام باستخدام قرص مضغوط مباشر - Ophir Yoktan
Ophir: لايف مؤتمر نزع السلاح؟ - Fahad Uddin
فمثلا: http://distro.ibiblio.org/tinycorelinux/welcome.html - Ophir Yoktan
فقط كملاحظة مايكروسوفت مستقل نظام كاسحة انه ببساطة الاسم القديم من Windows Defender Offline ، في حالة العثور على شخص ما أيضًا. - Scott Chamberlain


إذا لاحظت أيًا من الأعراض ، فحينئذٍ هناك أمر واحد للتحقق منه هو إعدادات DNS على اتصال الشبكة.

إذا تم تغييرها إما من "Obtain DNS server address تلقائيًا" أو إلى خادم مختلف عن ذلك الذي يجب أن يكون ، فهذه إشارة جيدة على أنك مصاب بعدوى. سيكون هذا سبب عمليات إعادة التوجيه بعيدًا عن مواقع البرامج الضارة ، أو الفشل الكامل في الوصول إلى الموقع على الإطلاق.

من المحتمل أن تكون ملاحظة جيدة لإعدادات DNS الخاصة بك قبل حدوث إصابة حتى تعرف ما يجب أن تكون عليه. كما ستتوفر التفاصيل في صفحات المساعدة الخاصة بموقع الويب الخاص بـ ISP.

إذا لم تكن لديك ملاحظة عن خوادم DNS ولا تستطيع العثور على المعلومات على موقع موفر خدمة الإنترنت ، فإن استخدام خوادم Google DNS يعد بديلاً جيدًا. يمكن العثور عليها في 8.8.8.8 و 8.8.4.4 للخوادم الأولية والثانوية على التوالي.

على الرغم من أن إعادة تعيين نظام أسماء النطاقات DNS لن يؤدي إلى حل المشكلة ، فسيسمح لك أ) بالوصول إلى مواقع مكافحة البرامج الضارة للحصول على البرنامج الذي تحتاجه لتنظيف جهاز الكمبيوتر ، و) إذا ظهرت العدوى مع تغيير إعدادات DNS مرة أخرى.


36





الحلول الممكنة لعدوى فيروس هي في الترتيب: (1) فحص الفيروسات ، (2) إصلاح النظام ، (3) إعادة التثبيت الكلي.

تأكد أولاً من الاحتفاظ بنسخة احتياطية من جميع بياناتك.

قم بتحميل وتثبيت بعض برامج الحماية من الفيروسات ، وتأكد من تحديثها ، وقم بفحص القرص الثابت بعمق. أوصي باستخدام على الأقل التقيم مكافحة البرامج الضارة. أنا أيضا أحب أفاست.

إذا لم يفلح ذلك لأي سبب من الأسباب ، فيمكنك استخدام ماسح فيروسات قرص حي لإنقاذ: أحب أفضل نظام انقاذ افيرا انتيرير لأنه يتم تحديثه عدة مرات في اليوم وبالتالي يكون القرص المضغوط الخاص بالتنزيل محدثًا. كقرص تمهيد للتشغيل ، فإنه مستقل ولا يعمل باستخدام نظام Windows الخاص بك.

إذا لم يتم العثور على أي فيروس ، فاستخدم "sfc / scannow" لإصلاح ملفات Windows المهمة.
انظر الى هذا مقالة - سلعة.

إذا لم ينجح ذلك أيضًا ، فيجب عليك ذلك إجراء تثبيت إصلاح.

إذا كان لا شيء يعمل ، يجب عليك تهيئة القرص الثابت وإعادة تثبيت Windows.


31



عندما أصيبت بفيروس / طروادة حديثًا كنت قد استخدمت Knoppix على عصا USB ، ركض نبيذ apt-get ، وركبت Dr Web Cure-It في جلسة النبيذ ، وركضت ذلك لتنظيف العدوى. اضطررت إلى القيام بذلك على هذا النحو لأن الكمبيوتر المحمول الخاص بي لن يقوم بإقلاع بعض البدائل CD الأخرى. - PP.


هناك مجموعة واسعة من البرامج الضارة. بعض من هو تافهة لإيجاد وإزالة. بعض من هو اصعب. بعض من الصعب حقا العثور عليها ، ويصعب جدا إزالتها.

ولكن حتى إذا كان لديك برنامج خبيث معتدل ، فيجب التفكير مليًا في إصلاح نظام التشغيل وإعادة تثبيته. هذا لأن أمانك قد فشل بالفعل ، وإذا فشلت في برامج ضارة بسيطة ربما تكون مصابًا بالفعل ببرامج ضارة ضارة.

يجب على الأشخاص الذين يعملون مع البيانات الحساسة أو داخل الشبكات التي يتم فيها الاحتفاظ بالبيانات الحساسة أن يفكروا في مسح وإعادة التثبيت. يجب أن يفكر الأشخاص الذين يكون وقتهم مهمًا في مسح وإعادة التثبيت (إنها الطريقة الأسرع والأسهل والأكثر أمانًا). يجب على الأشخاص الذين لا يرتاحون للأدوات المتقدمة التفكير في مسح البيانات وإعادة تثبيتها.

لكن الأشخاص الذين لديهم الوقت ، ويستمتعون بالعزف حولهم ، يمكنهم تجربة الطرق المذكورة في مشاركات أخرى.


31



صيح. تم تصميم هذه الأشياء للتنقل بين الأمن والتنظيف واستخدام نظام التشغيل الدنيوي. لا تشارك في سباق التسلح. عدم التسامح هو السياسة الوحيدة. - XTL


الفدية

أحدث شكل مروع من البرامج الضارة هو انتزاع الفدية. هذا النوع من البرامج ، الذي يتم تسليمه عادة مع حصان طروادة (مثل مرفق البريد الإلكتروني) أو استغلال المتصفح ، يمر عبر ملفات الكمبيوتر الخاص بك ، ويقوم بتشفيرها (مما يجعلها غير قابلة للتمييز تمامًا وغير قابلة للاستخدام) ، ويطلب منك دفع فدية لإعادتها إلى برنامج قابل للاستخدام. حالة.

يستخدم Ransomware بشكل عام التشفير غير المتماثل المفتاحوالتي تنطوي على مفتاحين: المفتاح العمومي و ال مفتاح سري. عندما تحصل على ضرب من قبل رانسومواري ، برنامج خبيث يعمل على جهاز الكمبيوتر الخاص بك يتصل خادم الأشرار (الأوامر والتحكم ، أو C & C) ، الذي يولد كلا المفتاحين. يرسل فقط المفتاح العام إلى البرامج الضارة على جهاز الكمبيوتر الخاص بك ، لأن هذا هو كل ما تحتاجه لتشفير الملفات. لسوء الحظ ، لا يمكن فك تشفير الملفات إلا بالمفتاح الخاص ، والذي لا يأتي أبداً إلى ذاكرة الكمبيوتر الخاص بك إذا تم كتابة رانسومواري بشكل جيد. عادة ما يذكر الأشرار أنهم سيعطونك المفتاح الخاص (وبالتالي يسمح لك بفك تشفير ملفاتك) إذا كنت تدفع ، ولكن بالطبع عليك أن تثق بهم للقيام بذلك.

ما تستطيع فعله

أفضل خيار هو إعادة تثبيت نظام التشغيل (لإزالة كل أثر للبرامج الضارة) واستعادة الملفات الشخصية من النسخ الاحتياطية التي قمت بها في وقت سابق. إذا لم يكن لديك نسخ احتياطية الآن ، فسيكون ذلك أكثر تحديًا. جعل عادة من النسخ الاحتياطي للملفات الهامة.

من المحتمل أن يتيح لك الدفع استرداد ملفاتك ، ولكن من فضلك لا تفعل. القيام بذلك يدعم نموذج أعمالهم. أيضا ، أقول "من المحتمل أن تسمح لك بالتعافي" لأنني أعرف على الأقل سلالتين مكتوبتين بشكل سيئ لدرجة أنهما يقومان بتعطيل ملفاتك بشكل غير قابل للإصلاح. حتى برنامج فك التشفير المقابل لا يعمل في الواقع.

البدائل

لحسن الحظ ، هناك خيار ثالث. ارتكب العديد من مطوري Ransomware أخطاء تسمح للعاملين الأمنيين الجيدين بتطوير العمليات التي تؤدي إلى إلغاء الضرر. تعتمد عملية القيام بذلك بشكل كامل على سلالة الفدية ، وهذه القائمة تتغير باستمرار. بعض الناس الرائعين وضعوا معا قائمة كبيرة من المتغيرات ransomware، بما في ذلك الملحقات المطبقة على الملفات المؤمّنة واسم ملاحظة الفدية ، والتي يمكن أن تساعدك في تحديد الإصدار الذي تملكه. لعدد قليل جدا من السلالات ، هذه القائمة لديها أيضا وصلة إلى decryptor الحرة! اتبع التعليمات المناسبة (الروابط موجودة في عمود Decryptor) لاسترداد ملفاتك. قبل ان تبدأ، استخدم الإجابات الأخرى على هذا السؤال للتأكد من إزالة برنامج Ransomware من جهاز الكمبيوتر الخاص بك.

إذا لم تتمكن من التعرف على ما قمت بالضرب منه فقط من الامتدادات واسم مذكرة الفدية ، فحاول البحث في الإنترنت عن بعض العبارات المميزة من مذكرة الفدية. عادةً ما تكون أخطاء التدقيق الإملائي والنحوي فريدة إلى حد ما ، ومن المرجح أن تكون على مؤشر ترابط المنتدى الذي يحدد أداة الفدية.

إذا لم تكن إصدارك معروفًا بعد ، أو ليس لديك طريقة مجانية لفك تشفير الملفات ، فلا تتخلى عن الأمل! يعمل الباحثون الأمنيون على إلغاء عملية الفدية ، ويتابع تطبيق القانون المطورين. من المحتمل أن يظهر decryptor في النهاية. إذا كانت الفدية محدودة زمنياً ، فيمكن تصوّر أن ملفاتك ستظل قابلة للاسترداد عند تطوير الإصلاح. حتى لو لم يكن كذلك ، من فضلك لا تدفع ما لم يكن لديك على الاطلاق. أثناء الانتظار ، تأكد من خلو جهاز الكمبيوتر من البرامج الضارة ، مرة أخرى باستخدام الإجابات الأخرى على هذا السؤال. فكر في الاحتفاظ بنسخ احتياطية من الملفات المشفرة للحفاظ على سلامتها حتى يتم إصلاحها.

بمجرد استرداد أكبر قدر ممكن (وإجراء نسخ احتياطية منه إلى الوسائط الخارجية!) ، فكر بقوة في تثبيت نظام التشغيل من البداية. مرة أخرى ، من شأن ذلك أن يفجر أي برامج ضارة وجدت نفسها عميقة داخل النظام.

نصائح إضافية مختلفة خاصة

بعض النصائح الخاصة بمختلف ransomware والتي لم يتم إدراجها بعد في جدول البيانات الكبير:

  • إذا أداة فك التشفير إلى عن على LeChiffre لا يعمل ، يمكنك استرداد كل ما عدا 8KB الأولى والأخيرة من بيانات كل ملف باستخدام محرر سداسي عشرية. الانتقال إلى 0x2000 العنوان ونسخ كافة ولكن 0x2000 بايت الأخيرة. ستكون الملفات الصغيرة مدمرة تمامًا ، ولكن مع بعض التخويف قد تتمكن من الحصول على شيء مفيد من الأعداد الكبيرة.
  • إذا كنت قد تعرضت للضرب WannaCrypt وأنت تقوم بتشغيل نظام التشغيل Windows XP ، ولم يتم إعادة تشغيله منذ الإصابة ، وكنت محظوظًا ، فقد تتمكن من استخراج المفتاح الخاص باستخدام Wannakey.
  • بتديفندر يحتوي على عدد من الأدوات المجانية للمساعدة في تحديد المتغير وفك تشفير بعض المتغيرات المحددة.
  • (سيتم إضافة الآخرين كما تم اكتشافها)

استنتاج

رانسومواري سيئة ، والحقيقة المحزنة أنه ليس من الممكن دائما للتعافي منها. للحفاظ على أمانك في المستقبل:

  • حافظ على تحديث نظام التشغيل ومتصفح الويب ومكافحة الفيروسات
  • لا تفتح مرفقات البريد الإلكتروني التي لم تكن تتوقعها ، خاصة إذا كنت لا تعرف المرسل
  • تجنب مواقع الويب الغامضة (أي تلك التي تتضمن محتوى غير قانوني أو مشكوك فيه أخلاقياً)
  • تأكد من أن حسابك لا يمكنه الوصول إلا إلى المستندات التي تحتاجها شخصيًا للعمل بها
  • غالبا يملك عمل النسخ الاحتياطية على الوسائط الخارجية (غير متصل بالكمبيوتر الخاص بك)!

29



هناك بعض البرامج المتوفرة الآن والتي من المفترض أن تحميك من الفدية ، على سبيل المثال: winpatrol.com/WinAntiRansom (برنامج تجاري). لم أستخدم هذا أبداً لأنني لم أعد أستخدم Windows ، ولكن منتج WinPatrol الخاص بالشركة هو منتج استخدمته لسنوات وأوصى به كثيرًا. لدى بعض مطوري مكافحة الفيروسات أدوات anti-ransomware متوفرة ، أحيانًا كخيار أعلى تكلفة. - fixer1234
للحصول على معلومات خاصة حول إزالة Petya ransomware ، راجع أيضًا هذا السؤال والجواب: superuser.com/questions/1063695/... - fixer1234
أود أن أضيف شيئا آخر إلى قائمة المشورة في الختام: تجنب زيارة المواقع التي تروج لسلوك غير قانوني أو غير أخلاقي ، مثل قرصنة وسائل الإعلام والبرامج ؛ المحتوى المحظور في معظم أنحاء العالم ؛ هذه المواقع غالبا ما تتعاقد مع الأقل بائعو الإعلانات المحترمون الذين لا يبذلون أي جهد حقيقي لتصفية محتوى "إعلاناتهم" على الإطلاق ، مما يجعل من السهل على المجرمين حقن صفحة الويب الخاصة بك بمحتوى يوفر برامج ضارة أو محاولات لاستغلال متصفحك للوصول إلى نظامك. في بعض الأحيان يفقد حتى adblocker جيد هذه الأشياء. - Horn OK Please
allquicatic أضفت نقطة في هذا السياق. اسمحوا لي أن أعرف ما إذا كان يمكن توسيع أي شيء آخر. شكر! - Ben N


أداة أخرى أود إضافتها إلى المناقشة هي مايكروسوفت سلامة الماسح الضوئي. تم إصداره منذ بضعة أشهر. انها قليلا مثل أداة إزالة البرامج الضارة، ولكنها مصممة للاستخدام في وضع عدم الاتصال. سيكون لديه أحدث التعريفات حتى اللحظة التي تقوم بتنزيلها ، وسوف يكون قابلاً للاستخدام لمدة 10 أيام فقط ، نظرًا لأن ملف التعريف الخاص به "قديم جدًا ولا يمكن استخدامه". قم بتنزيلها مع كمبيوتر آخر وقم بتشغيلها في الوضع الآمن. انها تعمل بشكل جيد.


24