Mise à jour du virus Ransomware. Comment se protéger du virus Wannacry sous Windows ? Protection des points de terminaison

Une vague d'un nouveau virus de cryptage, WannaCry (autres noms Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a déferlé sur le monde, qui crypte les documents sur un ordinateur et extorque 300 à 600 USD pour les décoder. Comment savoir si votre ordinateur est infecté ? Que faire pour éviter de devenir une victime ? Et que faire pour récupérer ?

Après avoir installé les mises à jour, vous devrez redémarrer votre ordinateur.

Comment se remettre du virus ransomware Wana Decrypt0r ?

Quand utilitaire antivirus, détecte un virus, soit elle le supprimera immédiatement, soit vous demandera si vous devez le traiter ou non ? La réponse est de traiter.

Comment récupérer des fichiers cryptés par Wana Decryptor ?

Rien de réconfortant à l'heure actuelle Nous ne pouvons pas le dire. Aucun outil de décryptage de fichiers n'a encore été créé. Pour l’instant, il ne reste plus qu’à attendre que le décrypteur soit développé.

Selon Brian Krebs, un expert en sécurité informatique, à l'heure actuelle, les criminels n'ont reçu que 26 000 dollars, c'est-à-dire que seulement 58 personnes environ ont accepté de payer la rançon aux extorqueurs. Personne ne sait s'ils ont restauré leurs documents.

Comment stopper la propagation d’un virus en ligne ?

Dans le cas de WannaCry, la solution au problème peut être de bloquer le port 445 du pare-feu, à travers lequel l'infection se produit.

Il y a environ une semaine ou deux, un autre hack de créateurs de virus modernes est apparu sur Internet, qui crypte tous les fichiers de l'utilisateur. Encore une fois, j'examinerai la question de savoir comment guérir un ordinateur après un virus ransomware chiffré000007 et récupérer des fichiers cryptés. DANS dans ce cas rien de nouveau ou d'unique n'est apparu, juste une modification de la version précédente.

Décryptage garanti des fichiers après un virus ransomware - dr-shifro.ru. Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans mon article ou sur le site Internet dans la rubrique « Procédure de travail ».

Description du virus rançongiciel CRYPTED000007

Le chiffreur CRYPTED000007 n'est pas fondamentalement différent de ses prédécesseurs. Cela fonctionne presque exactement de la même manière. Mais il existe néanmoins plusieurs nuances qui le distinguent. Je vais vous raconter tout dans l'ordre.

Il arrive, comme ses analogues, par courrier. Des techniques d'ingénierie sociale sont utilisées pour garantir que l'utilisateur s'intéresse à la lettre et l'ouvre. Dans mon cas, la lettre parlait d'une sorte de tribunal et informations importantes sur le dossier en pièce jointe. Après avoir lancé la pièce jointe, l'utilisateur ouvre un document Word avec un extrait du tribunal d'arbitrage de Moscou.

Parallèlement à l'ouverture du document, le cryptage des fichiers démarre. Un message d'information du système de contrôle de compte d'utilisateur Windows commence à apparaître constamment.

Si vous êtes d'accord avec la proposition, alors sauvegardes fichiers dans l'ombre copies de Windows sera supprimé et la récupération des informations sera très difficile. Il est évident que vous ne pouvez en aucun cas être d’accord avec la proposition. Dans ce chiffreur, ces demandes apparaissent constamment, les unes après les autres et ne s'arrêtent pas, obligeant l'utilisateur à accepter et à supprimer les copies de sauvegarde. C'est la principale différence par rapport aux modifications précédentes des chiffreurs. Je n'ai jamais rencontré de demandes de suppression de clichés instantanés sans m'arrêter. Habituellement, après 5 à 10 offres, ils s’arrêtaient.

Je donnerai immédiatement une recommandation pour l'avenir. Il est très courant que les gens désactivent les avertissements du contrôle de compte d’utilisateur. Il n'est pas nécessaire de faire cela. Ce mécanisme peut vraiment aider à résister aux virus. Le deuxième conseil évident est de ne pas travailler constamment sous le compte d'administrateur de l'ordinateur, sauf en cas de besoin objectif. Dans ce cas, le virus n’aura pas la possibilité de faire beaucoup de mal. Vous aurez plus de chance de lui résister.

Mais même si vous avez toujours répondu négativement aux demandes du ransomware, toutes vos données sont déjà cryptées. Une fois le processus de cryptage terminé, vous verrez une image sur votre bureau.

En même temps, il y aura beaucoup fichiers texte avec le même contenu.

Vos fichiers ont été cryptés. Pour décrypter ux, vous devez envoyer le code : 329D54752553ED978F94|0 à l'adresse email [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de déchiffrement par vous-même ne mèneront à rien d'autre qu'à un nombre irrévocable d'informations. Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde des fichiers, sinon, en cas de modification, le décryptage deviendra en aucun cas impossible. Si vous n'avez pas reçu de notification à l'adresse ci-dessus dans les 48 heures (uniquement dans ce cas !), utilisez le formulaire de contact. Cela peut être fait de deux manières : 1) Téléchargez et installez Navigateur Tor via le lien : https://www.torproject.org/download/download-easy.html.en Dans la zone d'adresse du navigateur Tor, saisissez l'adresse : http://cryptsen7fo43rr6.onion/ et appuyez sur Entrée. La page avec le formulaire de contact se chargera. 2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tous les fichiers importants de votre ordinateur ont été cryptés. Pour décrypter les fichiers, vous devez envoyer le code suivant : 329D54752553ED978F94|0 à l'adresse e-mail [email protégé]. Vous recevrez ensuite toutes les instructions nécessaires. Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données. Si vous souhaitez quand même essayer de les décrypter par vous-même, veuillez d'abord effectuer une sauvegarde car le décryptage deviendra impossible en cas de modification dans les fichiers. Si vous n'avez pas reçu de réponse à l'e-mail susmentionné pendant plus de 48 heures (et seulement dans ce cas !), utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières : 1) Téléchargez le navigateur Tor à partir d'ici : https://www.torproject.org/download/download-easy.html.en Installez-le et saisissez l'adresse suivante dans la barre d'adresse : http:/ /cryptsen7fo43rr6.onion/Presse Entrez et alors la page avec le formulaire de commentaires sera chargée. 2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

L'adresse postale peut changer. Je suis également tombé sur les adresses suivantes :

• [email protégé]
• [email protégé]

Les adresses sont constamment mises à jour et peuvent donc être complètement différentes.

Dès que vous découvrez que vos fichiers sont cryptés, éteignez immédiatement votre ordinateur. Cela doit être fait pour interrompre le processus de cryptage comme dans ordinateur local, et sur les lecteurs réseau. Un virus ransomware peut crypter toutes les informations qu’il peut atteindre, y compris sur les lecteurs réseau. Mais s'il y a une grande quantité d'informations, cela lui prendra beaucoup de temps. Parfois, même en quelques heures, le ransomware n'avait pas le temps de tout crypter sur un lecteur réseau d'une capacité d'environ 100 gigaoctets.

Ensuite, vous devez bien réfléchir à la manière d’agir. Si vous avez besoin à tout prix d'informations sur votre ordinateur et que vous ne disposez pas de copies de sauvegarde, alors il vaut mieux à ce moment se tourner vers des spécialistes. Pas nécessairement pour de l'argent pour certaines entreprises. Tu as juste besoin de quelqu'un qui sait bien systèmes d'information. Il est nécessaire d’évaluer l’ampleur de la catastrophe, d’éliminer le virus et de collecter toutes les informations disponibles sur la situation afin de comprendre comment procéder.

Des actions incorrectes à ce stade peuvent compliquer considérablement le processus de décryptage ou de restauration des fichiers. Dans le pire des cas, ils peuvent rendre cela impossible. Alors prenez votre temps, soyez prudent et cohérent.

Comment le virus ransomware CRYPTED000007 crypte les fichiers

Une fois le virus lancé et terminé son activité, tous les fichiers utiles seront cryptés, renommés de extension.crypted000007. De plus, non seulement l’extension du fichier sera remplacée, mais également le nom du fichier, de sorte que vous ne saurez pas exactement de quel type de fichiers vous aviez si vous ne vous en souvenez pas. Cela ressemblera à ceci.

Dans une telle situation, il sera difficile d'évaluer l'ampleur du drame, puisque vous ne pourrez pas vous souvenir pleinement de ce que vous aviez dans différents dossiers. Cela a été fait spécifiquement pour semer la confusion chez les gens et les encourager à payer pour le décryptage des fichiers.

Et si vos dossiers réseau étaient cryptés et qu'il n'y avait pas de sauvegardes complètes, cela peut arrêter complètement le travail de toute l'organisation. Il vous faudra un certain temps pour comprendre ce qui a finalement été perdu afin de commencer la restauration.

Comment traiter votre ordinateur et supprimer le ransomware CRYPTED000007

Le virus CRYPTED000007 est déjà présent sur votre ordinateur. La première et la plus importante question est de savoir comment désinfecter un ordinateur et comment en supprimer un virus afin d'empêcher un cryptage ultérieur s'il n'est pas encore terminé. Je voudrais immédiatement attirer votre attention sur le fait qu'une fois que vous avez vous-même commencé à effectuer certaines actions avec votre ordinateur, les chances de décrypter les données diminuent. Si vous devez à tout prix restaurer des fichiers, ne touchez pas à votre ordinateur, mais contactez immédiatement des professionnels. Ci-dessous, je vais en parler, fournir un lien vers le site et décrire leur fonctionnement.

En attendant, nous continuerons à traiter l'ordinateur de manière indépendante et à supprimer le virus. Traditionnellement, les ransomwares sont facilement supprimés d'un ordinateur, car le virus n'a pas pour tâche de rester à tout prix sur l'ordinateur. Après avoir complètement crypté les fichiers, il est encore plus rentable pour lui de se supprimer et de disparaître, ce qui rend plus difficile l'enquête sur l'incident et le décryptage des fichiers.

Décrire suppression manuelle le virus est difficile, même si j'ai déjà essayé de le faire, mais je vois que le plus souvent cela ne sert à rien. Les noms de fichiers et les chemins de placement des virus changent constamment. Ce que j'ai vu n'est plus d'actualité dans une semaine ou deux. Habituellement, les virus sont envoyés par courrier par vagues, et à chaque fois il y a une nouvelle modification qui n'est pas encore détectée par les antivirus. Des outils universels qui vérifient le démarrage et détectent les activités suspectes dans les dossiers système aident.

Pour supprimer le virus CRYPTED000007, vous pouvez utiliser les programmes suivants :

1. Kaspersky Virus Removal Tool - un utilitaire de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produit similaire provenant d'un autre site Web http://free.drweb.ru/cureit.
3. Si les deux premiers utilitaires ne vous aident pas, essayez MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Très probablement, l'un de ces produits effacera votre ordinateur du ransomware CRYPTED000007. S'il arrive soudainement qu'ils ne vous aident pas, essayez de supprimer le virus manuellement. J'ai donné un exemple de la méthode de suppression et vous pouvez le voir ici. En bref, étape par étape, vous devez agir comme ceci :

1. Nous examinons la liste des processus, après avoir ajouté plusieurs colonnes supplémentaires au gestionnaire de tâches.
2. Nous trouvons le processus viral, ouvrons le dossier dans lequel il se trouve et le supprimons.
3. Nous effaçons la mention du processus viral par nom de fichier dans le registre.
4. Nous redémarrons et veillons à ce que le virus CRYPTED000007 ne figure pas dans la liste des processus en cours d'exécution.

Où télécharger le décrypteur CRYPTED000007

La question d’un décrypteur simple et fiable se pose en premier lorsqu’il s’agit d’un virus ransomware. La première chose que je recommande est d'utiliser le service https://www.nomoreransom.org. Et si vous avez de la chance et qu'ils ont un décrypteur pour votre version du chiffreur CRYPTED000007. Je dirai tout de suite que vous n'avez pas beaucoup de chances, mais essayer n'est pas une torture. Sur page d'accueil cliquez sur Oui :

Téléchargez ensuite quelques fichiers cryptés et cliquez sur Go ! Découvrir:

Au moment de la rédaction de cet article, il n'y avait pas de décrypteur sur le site.

Peut-être aurez-vous plus de chance. Vous pouvez également voir la liste des décrypteurs à télécharger sur une page séparée - https://www.nomoreransom.org/decryption-tools.html. Il y a peut-être quelque chose d'utile là-dedans. Lorsque le virus est complètement frais, il y a peu de chances que cela se produise, mais avec le temps, quelque chose peut apparaître. Il existe des exemples où des décrypteurs pour certaines modifications de chiffreurs sont apparus sur Internet. Et ces exemples se trouvent sur la page spécifiée.

Je ne sais pas où trouver un décodeur. Il est peu probable qu'il existe réellement, compte tenu des particularités du travail des chiffreurs modernes. Seuls les auteurs du virus peuvent disposer d’un décrypteur à part entière.

Comment décrypter et récupérer des fichiers après le virus CRYPTED000007

Que faire lorsque le virus CRYPTED000007 a crypté vos fichiers ? La mise en œuvre technique du cryptage ne permet pas de décrypter des fichiers sans clé ni décrypteur, dont seul l'auteur du crypteur dispose. Il existe peut-être un autre moyen de l'obtenir, mais je n'ai pas cette information. Nous ne pouvons essayer de récupérer des fichiers qu'en utilisant des méthodes improvisées. Ceux-ci incluent :

• Outil clichés instantanés fenêtres.
• Programmes de récupération de données supprimées

Tout d’abord, vérifions si les clichés instantanés sont activés. Cet outil fonctionne par défaut sous Windows 7 et versions ultérieures, sauf si vous le désactivez manuellement. Pour vérifier, ouvrez les propriétés de l'ordinateur et accédez à la section protection du système.

Si, lors de l'infection, vous n'avez pas confirmé la demande de l'UAC de suppression de fichiers dans les clichés instantanés, certaines données devraient y rester. J'ai parlé plus en détail de cette demande au début de l'histoire, lorsque j'ai parlé du travail du virus.

Pour restaurer facilement des fichiers à partir de clichés instantanés, je suggère d'utiliser programme gratuità cet effet - ShadowExplorer. Téléchargez l'archive, décompressez le programme et exécutez-le.

La dernière copie des fichiers et la racine du lecteur C s'ouvriront dans le coin supérieur gauche, vous pouvez sélectionner une copie de sauvegarde si vous en avez plusieurs. Vérifiez différentes copies pour les fichiers requis. Comparez par dates, où plus dernière version. Dans mon exemple ci-dessous, j'ai trouvé 2 fichiers sur mon bureau datant d'il y a trois mois lors de leur dernière modification.

J'ai pu récupérer ces fichiers. Pour ce faire, je les ai sélectionnés, j'ai cliqué clic droit souris, sélectionné Exporter et indiqué le dossier où les restaurer.

Vous pouvez restaurer des dossiers immédiatement en utilisant le même principe. Si vos clichés instantanés fonctionnaient et ne les supprimaient pas, vous avez de bonnes chances de récupérer tous, ou presque, tous les fichiers cryptés par le virus. Peut-être que certains d’entre eux seront une version plus ancienne que nous le souhaiterions, mais néanmoins c’est mieux que rien.

Si, pour une raison quelconque, vous n'avez pas de clichés instantanés de vos fichiers, votre seule chance d'obtenir au moins quelque chose des fichiers cryptés est de les restaurer à l'aide d'outils de récupération. fichiers supprimés. Pour ce faire, je suggère d'utiliser le programme gratuit Photorec.

Lancez le programme et sélectionnez le disque sur lequel vous restaurerez les fichiers. Le lancement de la version graphique du programme exécute le fichier qphotorec_win.exe. Vous devez sélectionner un dossier dans lequel les fichiers trouvés seront placés. Il est préférable que ce dossier ne se trouve pas sur le même lecteur que celui sur lequel nous recherchons. Connectez une clé USB ou externe dur disque pour cela.

Le processus de recherche prendra beaucoup de temps. À la fin, vous verrez des statistiques. Vous pouvez maintenant accéder au dossier spécifié précédemment et voir ce qui s'y trouve. Il y aura probablement beaucoup de fichiers et la plupart d'entre eux seront soit endommagés, soit il s'agira d'une sorte de système et de fichiers inutiles. Néanmoins, quelques fichiers utiles peuvent être trouvés dans cette liste. Il n'y a aucune garantie ici, ce que vous trouvez est ce que vous trouverez. Les images sont généralement mieux restaurées.

Si le résultat ne vous satisfait pas, il existe également des programmes permettant de récupérer des fichiers supprimés. Vous trouverez ci-dessous une liste de programmes que j'utilise habituellement lorsque j'ai besoin de récupérer le nombre maximum de fichiers :

• R. économiseur
• Récupération de fichiers Starus
• Récupération JPEG Pro
• Professionnel de récupération de fichiers actifs

Ces programmes ne sont pas gratuits, je ne fournirai donc pas de liens. Si vous le souhaitez vraiment, vous pouvez les trouver vous-même sur Internet.

L'ensemble du processus de récupération de fichiers est présenté en détail dans la vidéo à la toute fin de l'article.

Kaspersky, eset nod32 et d'autres dans la lutte contre le chiffreur Filecoder.ED

Les antivirus populaires détectent le ransomware CRYPTED000007 comme Codeur de fichiers.ED et puis il peut y avoir une autre désignation. J'ai parcouru les principaux forums antivirus et je n'y ai rien vu d'utile. Malheureusement, comme d’habitude, les logiciels antivirus se sont révélés mal préparés à l’invasion d’une nouvelle vague de ransomwares. Voici un message du forum Kaspersky.

Les antivirus ignorent généralement les nouvelles modifications des chevaux de Troie ransomware. Néanmoins, je recommande de les utiliser. Si vous avez de la chance et recevez un e-mail de ransomware non pas lors de la première vague d'infections, mais un peu plus tard, il est possible que l'antivirus vous aide. Ils travaillent tous à un pas derrière les attaquants. Il s'avère nouvelle version ransomware, les antivirus n’y répondent pas. Dès qu'une certaine quantité de matériel de recherche sur un nouveau virus s'accumule, le logiciel antivirus publie une mise à jour et commence à y répondre.

Je ne comprends pas ce qui empêche les antivirus de répondre immédiatement à tout processus de cryptage du système. Il existe peut-être des nuances techniques à ce sujet qui ne nous permettent pas de réagir de manière adéquate et d'empêcher le cryptage des fichiers des utilisateurs. Il me semble qu'il serait possible d'afficher au moins un avertissement indiquant que quelqu'un crypte vos fichiers et de proposer d'arrêter le processus.

Où aller pour un décryptage garanti

Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus de cryptage, dont CRYPTED000007. Leur adresse est http://www.dr-shifro.ru. Paiement seulement après transcription complète et votre vérification. Voici un plan de travail approximatif :

1. Un spécialiste de l'entreprise se déplace à votre bureau ou à votre domicile et signe avec vous une convention qui précise le coût des travaux.
2. Lance le décrypteur et décrypte tous les fichiers.
3. Vous vous assurez que tous les dossiers sont ouverts et signez le certificat de livraison/réception des travaux terminés.
4. Le paiement est effectué uniquement en cas de résultats de décryptage réussis.

Je vais être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après démonstration du fonctionnement du décodeur. Veuillez rédiger un avis sur votre expérience avec cette entreprise.

Méthodes de protection contre le virus CRYPTED000007

Comment se protéger des ransomwares et éviter des dommages matériels et moraux ? Il existe quelques astuces simples et efficaces :

1. Sauvegarde! Sauvegarde de toutes les données importantes. Et pas seulement une sauvegarde, mais une sauvegarde pour laquelle il n'y a pas accès permanent. Sinon, le virus peut infecter à la fois vos documents et vos copies de sauvegarde.
2. Antivirus sous licence. Bien qu’ils n’offrent pas une garantie à 100 %, ils augmentent les chances d’éviter le cryptage. Le plus souvent, ils ne sont pas prêts pour les nouvelles versions du chiffreur, mais après 3 à 4 jours, ils commencent à réagir. Cela augmente vos chances d’éviter l’infection si vous n’avez pas été inclus dans la première vague de distribution d’une nouvelle modification du ransomware.
3. N'ouvrez pas les pièces jointes suspectes dans le courrier. Il n'y a rien à commenter ici. Tous les ransomwares que je connais ont atteint les utilisateurs par courrier électronique. De plus, à chaque fois de nouvelles astuces sont inventées pour tromper la victime.
4. N'ouvrez pas inconsidérément les liens qui vous sont envoyés par vos amis via les réseaux sociaux ou les messageries instantanées. C’est aussi ainsi que les virus se propagent parfois.
5. Allumer affichage des fenêtres extensions de fichiers. Comment procéder est facile à trouver sur Internet. Cela vous permettra de remarquer l'extension du fichier sur le virus. Le plus souvent ce sera .exe, .vbs, .src. Dans votre travail quotidien avec des documents, il est peu probable que vous rencontriez de telles extensions de fichiers.

J'ai essayé de compléter ce que j'ai déjà écrit dans chaque article sur le virus ransomware. En attendant, je vous dis au revoir. Je serais heureux de recevoir des commentaires utiles sur l'article et sur le virus ransomware CRYPTED000007 en général.

Vidéo sur le décryptage et la récupération de fichiers

Voici un exemple d'une modification précédente du virus, mais la vidéo est tout à fait pertinente pour CRYPTED000007.

Bonjour, chers lecteurs et invités du blog, comme vous vous en souvenez, en mai 2017, une vague d'infection informatique à grande échelle a commencé système opérateur Windows, avec un nouveau virus ransomware appelé WannaCry, grâce auquel il a pu infecter et crypter les données de plus de 500 000 ordinateurs, il suffit de penser à ce chiffre. Le pire, c'est que ce type de virus n'est pratiquement pas détecté par les solutions antivirus modernes, ce qui le rend encore plus menaçant. Ci-dessous, je vais vous expliquer une méthode pour protéger vos données de son influence et. comment se protéger des ransomwares dans une minute, je pense que vous trouverez cela intéressant.

Qu'est-ce qu'un virus ransomware ?

Un virus ransomware est un type de programme cheval de Troie dont la tâche est d'infecter le poste de travail de l'utilisateur, d'y identifier les fichiers du format requis (par exemple, des photos, des enregistrements audio, des fichiers vidéo), puis de les crypter et de modifier le type de fichier, par exemple. résultat de laquelle l'utilisateur ne pourra plus les ouvrir, sans programme spécial décodeur. Cela ressemble à ceci.

Formats de fichiers cryptés

Les formats de fichiers les plus courants après cryptage sont :

• no_more_rançon
• sauter

Conséquences d'un virus ransomware

Je décrirai le cas le plus courant dans lequel un virus codeur est impliqué. Imaginons un utilisateur ordinaire dans n'importe quelle organisation abstraite, dans 90 pour cent des cas l'utilisateur a Internet sur son lieu de travail, car avec l'aide de celui-ci il apporte des bénéfices à l'entreprise, il surfe sur l'espace Internet. Une personne n'est pas un robot et peut être distraite de son travail en consultant des sites qui l'intéressent ou des sites qui lui ont été recommandés par son ami. Grâce à cette activité, il peut infecter son ordinateur avec un crypteur de fichiers sans le savoir et s'en rendre compte lorsqu'il est déjà trop tard. Le virus a fait son travail.

Le virus, au moment de son opération, tente de traiter tous les fichiers auxquels il a accès, et c'est là que commencent les documents importants du dossier du département auquel l'utilisateur a accès se transforment soudainement en déchets numériques, fichiers locaux et bien plus. Il est clair qu'il devrait y avoir des copies de sauvegarde des partages de fichiers, mais qu'en est-il des fichiers locaux, qui peuvent constituer l'intégralité du travail d'une personne, en conséquence, l'entreprise perd de l'argent pour un travail inactif et l'administrateur système quitte sa zone de confort et dépense son argent ; temps de décryptage des fichiers.

La même chose peut être vraie pour une personne ordinaire, mais les conséquences ici sont locales et concernent personnellement lui et sa famille. Il est très triste de voir des cas où un virus a crypté tous les fichiers, y compris les archives de photos de famille, et où les gens n'ont pas de copie de sauvegarde. eh bien, ce n'est pas habituel utilisateurs ordinaires fais-le.

AVEC services cloud tout n'est pas si simple, si vous y stockez tout et n'utilisez pas de client lourd dans votre système d'exploitation Windows, c'est une chose, 99% du temps rien ne vous y menace, mais si vous utilisez, par exemple, « disque Yandex » ou "mail Cloud" "en synchronisant les fichiers de votre ordinateur vers celui-ci, alors si vous êtes infecté et recevez que tous les fichiers sont cryptés, le programme les enverra directement vers le cloud et vous perdrez également tout.

En conséquence, vous voyez une image comme celle-ci, où on vous dit que tous les fichiers sont cryptés et que vous devez envoyer de l'argent, maintenant cela se fait en bitcoins afin de ne pas identifier les attaquants. Après le paiement, ils devraient soi-disant vous envoyer un décrypteur et vous restaurerez tout.

N'envoyez jamais d'argent à des criminels

N'oubliez pas qu'aucun antivirus moderne ne peut aujourd'hui fournir une protection Windows contre les ransomwares, pour une simple raison que ce cheval de Troie ne fait rien de suspect de son point de vue, il se comporte essentiellement comme un utilisateur, il lit des fichiers, écrit, contrairement aux virus, il n'essaye pas de changer fichiers système ou ajouter des clés de registre, c'est pourquoi sa détection est si difficile, aucune ligne ne le distingue de l'utilisateur

Sources des chevaux de Troie ransomware

Essayons de mettre en évidence les principales sources de pénétration du chiffreur dans votre ordinateur.

1. E-mail > très souvent, les gens reçoivent des e-mails étranges ou faux avec des liens ou des pièces jointes infectées, en cliquant sur lesquels la victime commence à passer une nuit blanche. Je vous ai expliqué comment protéger les emails, je vous conseille de le lire.
2. À travers logiciel- vous avez téléchargé un programme depuis une source inconnue ou un faux site, il contient un virus encodeur, et lorsque vous installez le logiciel, vous l'ajoutez à votre système d'exploitation.
3. Grâce aux clés USB - les gens se rendent encore très souvent visite et transfèrent un tas de virus via des clés USB, je vous conseille de lire "Protéger une clé USB contre les virus"
4. Via des caméras IP et périphériques réseau avoir accès à Internet - très souvent, en raison de paramètres incorrects sur un routeur ou une caméra IP connectée à un réseau local, les pirates infectent les ordinateurs du même réseau.

Comment protéger votre PC contre les ransomwares

Une bonne utilisation de votre ordinateur vous protège des ransomwares, à savoir :

• N'ouvrez pas le courrier que vous ne connaissez pas et ne suivez pas les liens inconnus, peu importe comment ils vous parviennent, qu'il s'agisse de courrier ou de l'un des messagers.
• Installez les mises à jour du système d'exploitation Windows ou Linux le plus rapidement possible ; elles ne sont pas publiées si souvent, environ une fois par mois. Si nous parlons de Microsoft, c'est le deuxième mardi de chaque mois, mais dans le cas des chiffreurs de fichiers, les mises à jour peuvent également être anormales.
• Ne connectez pas de clés USB inconnues à votre ordinateur ; demandez à vos amis de leur envoyer un lien vers le cloud.
• Assurez-vous que si votre ordinateur n'a pas besoin d'être accessible dans réseau local pour les autres ordinateurs, puis désactivez l'accès à celui-ci.
• Limiter les droits d'accès aux fichiers et dossiers
• Installer une solution antivirus
• N'installez pas de programmes incompréhensibles piratés par un inconnu

Tout est clair avec les trois premiers points, mais je m'attarderai plus en détail sur les deux autres.

Désactivez l'accès réseau à votre ordinateur

Lorsque les gens me demandent comment se protéger contre les ransomwares sous Windows, la première chose que je recommande est de désactiver le « Service de partage de fichiers et d'imprimantes sur les réseaux Microsoft », qui permet à d'autres ordinateurs d'accéder aux ressources. de cet ordinateur en utilisant les réseaux Microsoft. Ceci est également pertinent pour les curieux administrateurs système, travaillant pour votre fournisseur.

Désactivez ce service et protégez-vous des ransomwares dans un réseau local ou fournisseur, comme suit. Appuyez sur la combinaison de touches WIN+R et dans la fenêtre qui s'ouvre, exécutez, entrez la commande ncpa.cpl. Je vais montrer cela sur mon ordinateur de test exécutant Windows 10 Creators Update.

Sélectionnez l'interface réseau souhaitée et faites un clic droit dessus, depuis menu contextuel sélectionnez "Propriétés"

Recherchez l'élément " Partage aux fichiers et imprimantes pour les réseaux Microsoft" et décochez-la, puis enregistrez, tout cela contribuera à protéger votre ordinateur d'un virus ransomware sur le réseau local ; votre poste de travail ne sera tout simplement pas accessible.

Restreindre les droits d'accès

La protection contre les virus ransomware dans Windows peut être mise en œuvre de cette manière d'une manière intéressante, je vais vous dire comment je l'ai fait moi-même. Et donc le principal problème dans la lutte contre les chiffreurs est que les antivirus ne peuvent tout simplement pas les combattre en temps réel, eh bien, ils ne peuvent pas vous protéger pour le moment, nous serons donc plus rusés. Si le virus chiffreur ne dispose pas de droits d’écriture, il ne pourra rien faire avec vos données. Laissez-moi vous donner un exemple, j'ai un dossier photo, il est stocké localement sur l'ordinateur, et il y a deux copies de sauvegarde sur différents disques durs. Sur mon ordinateur local, je lui ai donné des autorisations, en lecture seule, pour cela compte sous lequel je suis assis devant l'ordinateur. Si le virus était entré, il n’aurait tout simplement pas eu suffisamment de droits, comme vous pouvez le constater, tout est simple.

Comment mettre en œuvre tout cela afin de vous protéger des crypteurs de fichiers et de tout protéger, nous procédons comme suit.

• Sélectionnez les dossiers dont vous avez besoin. Essayez d'utiliser des dossiers ; ils facilitent l'attribution des droits. Idéalement, créez un dossier appelé en lecture seule et placez-y tous les fichiers et dossiers dont vous avez besoin. La bonne nouvelle est qu'en attribuant des droits au dossier supérieur, ils seront automatiquement appliqués aux autres dossiers qu'il contient. Une fois que vous avez tout copié fichiers nécessaires et les dossiers qu'il contient, passez à l'étape suivante
• Faites un clic droit sur le dossier dans le menu et sélectionnez "Propriétés"

• Allez dans l'onglet "Sécurité" et cliquez sur le bouton "Modifier"

• Nous essayons de supprimer les groupes d'accès, si nous recevons une fenêtre d'avertissement indiquant « Le groupe ne peut pas être supprimé car cet objet hérite des autorisations de son parent », alors fermez-le.

• Cliquez sur le bouton "Avancé". Dans l'élément qui s'ouvre, cliquez sur "désactiver l'héritage"

• Lorsqu'on vous demande « Que voulez-vous faire avec les autorisations héritées actuelles », sélectionnez « Supprimer toutes les autorisations héritées de cet objet ».

• En conséquence, tout ce qui se trouve dans le champ « Autorisations » sera supprimé.

• Enregistrez les modifications. Veuillez noter que désormais seul le propriétaire du dossier peut modifier les autorisations.

• Maintenant, dans l'onglet "Sécurité", cliquez sur "Modifier".

• Ensuite, cliquez sur "Ajouter - Avancé"

• Nous devons ajouter le groupe "Tout le monde", pour cela, cliquez sur "Rechercher" et sélectionnez le groupe souhaité.

• Pour protéger Windows contre les ransomwares, vous devez disposer d'autorisations définies pour le groupe « Tout le monde », comme sur l'image.

• Désormais, aucun virus de chiffrement ne vous menacera pour vos fichiers dans ce répertoire.

J'espère que Microsoft et d'autres solutions antivirus seront en mesure d'améliorer leurs produits et de protéger les ordinateurs contre les ransomwares avant leur travail malveillant, mais en attendant, suivez les règles que je vous ai décrites et faites toujours des copies de sauvegarde des données importantes.

Salut tout le monde! Plus récemment, Internet a été agité par un événement qui a touché les ordinateurs de nombreuses entreprises et utilisateurs privés. Tout cela est dû à l'émergence du virus Wanna Cry, qui a rapidement pénétré et infecté un grand nombre d'ordinateurs dans différents pays du monde. Pour le moment, la propagation du virus a diminué, mais ne s’est pas complètement arrêtée. Pour cette raison, les utilisateurs tombent périodiquement dans son piège et ne savent pas quoi faire, car tous les programmes antivirus ne sont pas capables de le neutraliser. Selon les données préliminaires, plus de 200 000 ordinateurs ont été attaqués dans le monde. Le virus Wanna Cry peut à juste titre être considéré comme la menace la plus sérieuse de l’année en cours, et peut-être que votre ordinateur sera le prochain sur son chemin. Examinons donc de plus près comment ce code malveillant se propage et comment vous pouvez le combattre.

Quel genre de méchant est le virus Wanna Cry ?

« Vona Krai », comme les utilisateurs russes appellent également ce virus, fait référence à un type de malware qui s'installe sur un ordinateur comme un cheval de Troie et commence à extorquer de l'argent à l'utilisateur du PC. Le principe de son fonctionnement est le suivant : une bannière apparaît sur le bureau de l’ordinateur, qui bloque tout le travail de l’utilisateur et l’invite à envoyer un SMS payant pour lever le blocage. Si l'utilisateur refuse de payer, les informations présentes sur l'ordinateur seront cryptées sans possibilité de récupération. En règle générale, si vous ne prenez aucune mesure, vous pouvez dire au revoir à toutes les informations stockées sur votre disque dur.

En fait, le virus Wanna Cry peut être classé comme un groupe de virus, bloqueurs de ransomwares, qui mettent périodiquement à rude épreuve les nerfs de nombreux utilisateurs.

Comment fonctionne le nouveau ravageur ?

Une fois sur l’ordinateur, il crypte rapidement les informations situées sur le disque dur.

Après cela, un message spécial apparaît sur le bureau, dans lequel l'utilisateur est invité à payer 300 dollars américains pour que le programme décrypte les fichiers. Si l'utilisateur réfléchit longtemps et que l'argent n'arrive pas au lieu spécial portefeuille électronique Bitcoin, alors le montant de la rançon doublera et vous devrez payer 600 dollars, soit environ 34 000 000 roubles avec notre argent, un montant décent, n'est-ce pas ?

Après sept jours, si l'utilisateur n'envoie pas de récompense pour décrypter les fichiers, ces fichiers seront définitivement supprimés par le ransomware.

Le virus Wanna Cry peut fonctionner avec presque tous les types de fichiers modernes. Voici une petite liste d'extensions à risque : .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4 , .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

Comme vous pouvez le constater, cette petite liste contient tous les fichiers populaires que le virus peut crypter.

Qui est le créateur du virus Wanna Cry ?

Selon l'Agence nationale de sécurité des États-Unis d'Amérique, il a été découvert précédemment code de programme appelé « Eternal Blue », bien que les informations sur ce code aient été cachées pour être utilisées dans des intérêts personnels. En avril de cette année déjà, la communauté des hackers avait publié des informations sur cet exploit.

Très probablement, le créateur du terrain a utilisé ce code pour écrire un virus très efficace. Pour le moment, il n’a pas encore été établi qui est le principal auteur du ransomware.

Comment le virus Wanna Cry se propage-t-il et pénètre-t-il sur votre ordinateur ?

Si vous n’êtes pas encore tombé dans le piège du virus Wanna Cry, soyez prudent. Elle se propage le plus souvent par e-mails avec pièces jointes.

Imaginons une telle situation ! Vous recevez un e-mail, peut-être même d'un utilisateur que vous connaissez, qui contient un enregistrement audio, un clip vidéo ou une photo. Après avoir ouvert la lettre, l'utilisateur clique joyeusement sur la pièce jointe, sans remarquer que le fichier porte l'extension exe. Autrement dit, l'utilisateur lui-même commence à installer le programme, ce qui entraîne l'infection des fichiers informatiques et l'utilisation code malveillant un virus est téléchargé qui crypte les données.

Faites attention! Vous pouvez infecter votre ordinateur avec le bloqueur Vona Krai en téléchargeant des fichiers à partir de trackers torrent ou en recevant un message personnel dans réseaux sociaux ou messagers.

Comment protéger votre ordinateur contre le virus Wanna Cry ?

Probablement, une question raisonnable s'est posée dans votre tête : « Comment se protéger du virus Wanna Cry ?

Ici, je peux vous proposer plusieurs méthodes de base :

• Étant donné que les développeurs de Microsoft étaient sérieusement préoccupés par les actions du virus, ils ont immédiatement publié une mise à jour pour toutes les versions du système d'exploitation Windows. Par conséquent, afin de protéger votre PC de ce parasite, vous devez de toute urgence télécharger et installer un correctif de sécurité ;
• Surveillez attentivement les lettres que vous recevez par e-mail. Si vous recevez une lettre avec une pièce jointe, même d'un destinataire que vous connaissez, faites attention à l'extension du fichier. N'ouvrez en aucun cas les fichiers téléchargés avec l'extension : .exe ; .vbs; .scr. L'extension peut également être déguisée et ressembler à ceci : avi.exe ; doc.scr ;
• Pour éviter de tomber dans les griffes d'un virus, activez l'affichage des extensions de fichiers dans les paramètres du système d'exploitation. Cela vous permettra de voir quel type de fichiers vous essayez d'exécuter. Le type de fichiers masqués sera également clairement visible ;
• L'installation même de L lui-même ne sauvera probablement pas la situation, car le virus utilise les vulnérabilités du système d'exploitation pour accéder aux fichiers. Par conséquent, installez tout d’abord toutes les mises à jour pour Windows, puis installez ensuite ;
• Si possible, transférez toutes les données importantes vers un disque dur. Cela vous évitera de perdre des informations ;
• Si la fortune vous a tourné le dos et que vous êtes tombé sous l'influence du virus Wanna Cry, alors pour vous en débarrasser, réinstallez le système d'exploitation ;
• Conservez vos bases de données virales antivirus installésà jour;
• Je recommande de télécharger et d'installer utilitaire gratuit Logiciel Kaspersky Anti-Ransom. Cet utilitaire vous permet de protéger votre ordinateur en temps réel contre divers bloqueurs de ransomwares.

Correctif Windows de Wanna Cry pour empêcher votre ordinateur de tomber malade.

Si votre ordinateur dispose d'un système d'exploitation installé :

• Windows XP ;
• Windows 8 ;
• Windows Serveur 2003 ;
• Windows intégré

Installez ce patch, vous pouvez le télécharger à partir du lien sur le site officiel de Microsoft.

Pour toutes les autres versions du système d'exploitation Windows, il suffira d'installer toutes les mises à jour disponibles. Rien qu’avec ces mises à jour, vous comblerez les trous du système Sécurité Windows.

Suppression du virus Wanna Cry.

Afin de supprimer le ransomware "là-bas", essayez d'utiliser l'un des plus meilleurs utilitaires suppression des logiciels malveillants.

Faites attention! Après le travail programme antivirus, les fichiers cryptés ne seront pas déchiffrés. Et vous devrez probablement les supprimer.

Est-il possible de décrypter les fichiers vous-même après Wanna Cry.

En règle générale, les bloqueurs de ransomwares, parmi lesquels notre système « over the edge », chiffrent les fichiers à l'aide de clés de 128 et 256 bits. Dans le même temps, la clé de chaque ordinateur est unique et n'est répétée nulle part. Par conséquent, si vous essayez de déchiffrer ces données chez vous, cela vous prendra des centaines d’années.

Pour le moment, il n'existe pas un seul décodeur Wanna Cry dans la nature. Par conséquent, aucun utilisateur ne pourra décrypter les fichiers une fois le virus exécuté. Par conséquent, si vous n'en êtes pas encore victime, je vous recommande de veiller à la sécurité de votre ordinateur ; si vous n'avez pas de chance, il existe plusieurs options pour résoudre le problème :

• Payez la rançon. Ici, vous donnez de l'argent à vos risques et périls. Puisque personne ne vous garantit qu'après avoir envoyé l'argent, le programme sera capable de décrypter tous les fichiers ;
• Si le virus n'a pas contourné votre ordinateur, vous pouvez simplement déconnecter le disque dur et le placer sur une étagère distante jusqu'à des temps meilleurs, lorsqu'un décrypteur apparaîtra. Pour le moment, cela n’existe pas, mais il apparaîtra très probablement dans un avenir proche. Je veux vous révéler un secret : les décrypteurs sont développés par Kaspersky Lab et publiés sur le site Web No Ramsom ;
• Pour les utilisateurs de l'antivirus Kaspersky sous licence, il est possible de postuler pour décrypter les fichiers cryptés par le virus Wanna Cry ;
• S'il n'y a rien d'important sur le disque dur de votre PC, n'hésitez pas à le formater et à installer un système d'exploitation propre ;

Je veux pleurer le virus en Russie.

Je présente un graphique qui montre clairement ce qui est le plus grand nombre des ordinateurs ont été touchés par le virus sur le territoire de la Fédération de Russie.

Très probablement, cela est dû au fait que les utilisateurs russes n'aiment pas particulièrement acheter des logiciels sous licence et utilisent le plus souvent des copies piratées du système d'exploitation Windows. De ce fait, le système n’est pas mis à jour et reste très vulnérable aux virus.

Ces ordinateurs n’ont pas été épargnés par le virus Wanna Cry. Je recommande d'installer version sous licence système d'exploitation et ne désactivez pas les mises à jour automatiques.

À propos, non seulement les ordinateurs des utilisateurs privés ont été affectés par le bloqueur « là-bas », mais aussi organisations gouvernementales tels que : Ministère de l'Intérieur, Ministère des Situations d'Urgence, Banque Centrale, ainsi que de grandes entreprises privées telles que : opérateur communications cellulaires Megafon, Sberbank de Russie et chemins de fer russes.

Comme je l'ai dit plus haut, il était possible de se protéger de la pénétration du virus. Ainsi, en mars de cette année, Microsoft a publié des mises à jour de sécurité Windows. Certes, tous les utilisateurs ne l'ont pas installé, c'est pourquoi ils sont tombés dans un piège.

Si vous utilisez ancienne version système d'exploitation, puis assurez-vous de télécharger et d'installer le correctif dont j'ai parlé dans le paragraphe ci-dessus.

Résumons.

Dans l'article d'aujourd'hui, nous vous avons parlé du nouveau virus Wanna Cry. J'ai essayé d'expliquer le plus en détail possible ce qu'est ce ravageur et comment vous pouvez vous en protéger. De plus, vous savez maintenant où vous pouvez télécharger un correctif qui comblera les failles du système de sécurité Windows.

Un virus informatique portant le nom original Wanna Crypt (Je veux chiffrer) et le nom abrégé approprié WannaCry (Je veux pleurer) a bloqué des dizaines de milliers d'ordinateurs dans le monde le 12 mai 2017. Dès le lendemain, l'épidémie était stoppée. Cependant, les développeurs du virus ont modifié le code et des millions d'ordinateurs exécutant Système Windows se sont retrouvés à nouveau attaqués.

Le virus crypte les fichiers et demande une rançon de 300 $. Les victimes ont déjà fait don de dizaines de milliers de dollars, mais il n'y a pas encore d'informations sur le décryptage. Dans tous les cas, il vaut mieux prévenir l’infection et ses conséquences possibles que d’essayer de sauvegarder les informations après une attaque.

1. Installez les mises à jour Windows

Téléchargez depuis https://technet.microsoft.com/library/security/MS17-010 et installez le correctif pour vous protéger contre WannaCry. Microsoft considère cela si important qu'il a même publié une version pour Windows XP (dont la prise en charge a été interrompue en 2014).

De plus, la vulnérabilité sur laquelle sont basées les attaques WannaCry a été corrigée dans les versions régulières. Mise à jour Windows en mars. Mettez à jour Windows.

2. Sauvegardez les fichiers importants

Sauvez vos travailleurs et dossiers personnels. Vous pouvez les copier sur un disque dur externe ou une clé USB, les télécharger sur le cloud, les télécharger sur un serveur FTP ou les envoyer par courrier électronique à vous-même, à un collègue ou à un ami. N’écrasez simplement pas les fichiers « propres » récemment enregistrés par leurs versions cryptées. Utilisez d’autres médias. Il vaut mieux avoir deux exemplaires que rien.

3. Fermez les ports 139 et 445

Cela ressemble à un film de hackers, mais ce n'est pas si difficile. Et c'est très utile car cela protégera votre ordinateur de WannaCry. Vous devez procéder comme suit :

• Ouvrir Pare-feu Windows(Pare-feu) – par exemple, via « Connexions réseau » ;
• Sélectionnez l'élément " Options supplémentaires"(Paramètres avancés);
• Recherchez « Règles pour les connexions entrantes » (Règles entrantes) - au milieu de l'écran, faites défiler un peu vers le bas ;
• Ensuite, à partir du menu principal : « Action / Nouvelle règle... / Port / Ports locaux spécifiés – 139 / Bloquer la connexion » ;
• de même pour le port 445.

4. Trouvez un administrateur réseau ou recherchez-le vous-même sur Google

L'essentiel a déjà été fait, vous y êtes sécurité relative. Vous devez également bloquer SMB v1, inspecter les paramètres VPN et rechercher des virus dans le système. En principe, il est possible de faire tout cela soi-même. Mais il sera plus facile et plus fiable de trouver des spécialistes.

5. Si vous ne parvenez pas à effectuer au moins les étapes 1 à 2, éteignez l'ordinateur

Si, pour une raison quelconque, vous ne parvenez pas à installer un correctif de Microsoft, mettez à jour Windows et enregistrez les fichiers importants sur médias externes– Il vaut mieux éteindre l’ordinateur. Coupez simplement l’alimentation pour que le virus n’ait aucune chance de détruire vos actifs numériques. En dernier recours, désactivez au moins l’accès à Internet.

Attendez l'arrivée des spécialistes, pour la sortie d'un décrypteur, des versions spéciales d'antivirus « en un clic ». Cela ne prendra pas beaucoup de temps, mais permettra d'économiser des années de travail consacrées à la création de tous ces fichiers désormais menacés.