Actualizare virus ransomware. Cum să te protejezi de virusul Wannacry pe Windows? Protecția punctului final

Un val al unui nou virus de criptare, WannaCry (alte denumiri Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a cuprins lumea, care criptează documentele pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, va trebui să reporniți computerul.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitar antivirus, detectează un virus, fie îl va elimina imediat, fie vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nimic reconfortant în acest moment Nu putem spune. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, un expert în domeniul securitatea calculatorului, momentan infractorii au primit doar 26.000 USD, adică doar vreo 58 de persoane au fost de acord să plătească răscumpărarea estorcatorilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

În cazul WannaCry, soluția problemei poate fi blocarea portului 445 de pe Firewall, prin care apare infecția.

În urmă cu aproximativ o săptămână sau două, pe Internet a apărut un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după un virus ransomware criptat000007și recuperați fișierele criptate. ÎN în acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare.

Decriptare garantată a fișierelor după un virus ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact în același mod. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnicile de inginerie socială sunt folosite pentru a se asigura că utilizatorul devine interesat de scrisoare și o deschide. În cazul meu, scrisoarea vorbea despre un fel de instanță și informatii importante asupra cazului din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras de la Curtea de Arbitraj din Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, atunci copii de rezervă fișiere în umbră copii ale Windows vor fi șterse și recuperarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. În acest criptator, aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să fie de acord și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere a copiilor umbre fără să mă opresc. De obicei, după 5-10 oferte s-au oprit.

Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze avertismentele de control al contului de utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant sub contul de administrator al computerului decât dacă există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor fi mulți fișiere text cu acelasi continut.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Browser Tor prin linkul: https://www.torproject.org/download/download-easy.html.en În caseta de adrese Tor Browser, introduceți adresa: http://cryptsen7fo43rr6.onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul dvs. au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți face acest lucru în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http:/ /cryptsen7fo43rr6.onion/Press Intră și apoi se va încărca pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. De asemenea, am dat peste următoarele adrese:

• [email protected]
• [email protected]

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare ca în calculator local, și pe unitățile de rețea. Un virus ransomware poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, ransomware-ul nu a avut timp să cripteze totul pe o unitate de rețea cu o capacitate de aproximativ 100 de gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de cineva care se pricepe sisteme informatice. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiunile incorecte în această etapă pot complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia fișierului va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arata cam asa.

Într-o astfel de situație, va fi dificil să evaluați amploarea tragediei, deoarece nu vă veți putea aminti pe deplin ce ați avut în diferite dosare. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Și dacă folderele dvs. de rețea au fost criptate și nu există copii de siguranță complete, atunci acest lucru poate opri complet activitatea întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai importantă întrebare este cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul dvs., șansele de decriptare a datelor scad. Dacă trebuie să restaurați fișierele cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptarea completă a fișierelor, este și mai profitabil pentru el să se ștergă și să dispară, ceea ce face mai dificilă investigarea incidentului și decriptarea fișierelor.

Descrie îndepărtarea manuală virusul este dificil, deși am încercat să fac asta înainte, dar văd că cel mai adesea este inutil. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant într-o săptămână sau două. De obicei, virușii sunt trimiși prin poștă în valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Instrumentele universale care verifică pornirea și detectează activități suspecte în folderele de sistem ajută.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

1. Kaspersky Virus Removal Tool - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați virusul manual. Am dat un exemplu de metodă de eliminare și îl puteți vedea acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
2. Găsim procesul virusului, deschidem folderul în care se află și îl ștergem.
3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere apare pe primul loc când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina de start faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista un decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptare pentru descărcare pe o pagină separată - https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care decriptoarele pentru unele modificări ale criptoarelor au apărut pe Internet. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișierele folosind metode improvizate. Acestea includ:

• Instrument copii umbră ferestre.
• Programe de recuperare a datelor șterse

În primul rând, să verificăm dacă avem copiile umbră activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă în timpul infecției nu ați confirmat solicitarea UAC de ștergere a fișierelor în copii umbră, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai pe larg la începutul poveștii, când am vorbit despre munca virusului.

Pentru a restaura cu ușurință fișierele din copii umbre, vă sugerez să utilizați program gratuitîn acest scop - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Cea mai recentă copie a fișierelor și rădăcina unității C se vor deschide În colțul din stânga sus, puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verificați diferite copii pentru fișierele necesare. Comparați după date, unde mai multe ultima versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am dat clic clic dreapta mouse-ul, a selectat Export și a indicat folderul în care să le restaurați.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi o versiune mai veche decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare fișiere șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansarea versiunii grafice a programului execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau dur extern disc pentru asta.

Procesul de căutare va dura mult timp. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, câteva fișiere utile pot fi găsite în această listă. Nu există garanții aici, ceea ce vei găsi este ceea ce vei găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei când trebuie să recuperez numărul maxim de fișiere:

• R.saver
• Recuperare fișier Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

În mod tradițional, antivirușii ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Se dovedește noua versiune ransomware, antivirusurile nu răspund la acesta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanțe tehnice pe acest subiect care nu ne permite să răspundem în mod adecvat și să împiedicăm criptarea fișierelor utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să vă oferiți oprirea procesului.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși de criptare, inclusiv CRYPTED000007. Adresa lor este http://www.dr-shifro.ru. Plata numai dupa transcrierea integralăși verificarea dvs. Iată o schemă aproximativă de lucru:

1. Un specialist al companiei vine la birou sau acasă și semnează un acord cu tine, care stabilește costul lucrării.
2. Lansează decriptorul și decriptează toate fișierele.
3. Vă asigurați că toate fișierele sunt deschise și semnați certificatul de livrare/acceptare pentru lucrarea finalizată.
4. Plata se face numai pe baza rezultatelor reușite ale decriptării.

Sincer să fiu, nu știu cum fac, dar nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să eviți daune materiale și morale? Există câteva sfaturi simple și eficiente:

1. Backup! Copiere de rezervă a tuturor datelor importante. Și nu doar o copie de rezervă, ci o rezervă la care nu există acces permanent. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de distribuție a unei noi modificări a ransomware-ului.
3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
4. Nu deschideți neatenționat link-uri trimise către dvs. de la prieteni prin rețelele sociale sau mesagerie instantanee. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
5. Porniți afişajul ferestrelor extensii de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Video despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.

Bună ziua, dragi cititori și oaspeți ai blogului, după cum vă amintiți în mai 2017, a început un val de infecție pe scară largă a computerelor sistem de operare Windows, cu un nou virus ransomware numit WannaCry, în urma căruia a reușit să infecteze și să cripteze datele de pe peste 500.000 de computere, gândiți-vă doar la această cifră. Cel mai rău lucru este că acest tip de virus practic nu este prins de soluțiile antivirus moderne, ceea ce îl face și mai amenințător Mai jos vă voi spune o metodă despre cum să vă protejați datele de influența sa cum să te protejezi de ransomwareîntr-un minut, cred că îl vei găsi interesant.

Ce este un virus ransomware?

Un virus ransomware este un tip de program troian a cărui sarcină este să infecteze stația de lucru a utilizatorului, să identifice fișierele cu formatul necesar pe ea (de exemplu, fotografii, înregistrări audio, fișiere video), apoi să le cripteze și să schimbe tipul fișierului, ca rezultat din care utilizatorul nu le va mai putea deschide, fără program special decodor. Arata cam asa.

Formate de fișiere criptate

Cele mai comune formate de fișiere după criptare sunt:

• nu_mai_mai_răscumpărare
• bolta

Consecințele unui virus ransomware

Voi descrie cel mai frecvent caz în care este implicat un virus codificator. Să ne imaginăm un utilizator obișnuit în orice organizație abstractă, în 90 la sută din cazuri utilizatorul are internetul la locul său de muncă, deoarece cu ajutorul acestuia aduce profit companiei, navighează în spațiul de internet. O persoană nu este un robot și poate fi distrasă de la muncă uitându-se pe site-uri care îl interesează sau pe site-uri care i-au fost recomandate de prietenul său. Ca urmare a acestei activități, își poate infecta computerul cu un criptator de fișiere fără să știe și să afle despre asta când este deja prea târziu. Virusul și-a făcut treaba.

Virusul, în momentul funcționării sale, încearcă să proceseze toate fișierele la care are acces și de aici începe ca documentele importante din folderul departamentului la care utilizatorul are acces se transformă brusc în gunoi digitale, fișiere locale și mult mai mult. Este clar că ar trebui să existe copii de rezervă ale partajărilor de fișiere, dar cum rămâne cu fișierele locale, care pot constitui întreaga activitate a unei persoane, ca urmare, compania pierde bani pentru munca inactivă, iar administratorul de sistem își părăsește zona de confort și își cheltuiește pe a lui; timp de decriptare a fișierelor.

Același lucru poate fi valabil și pentru o persoană obișnuită, dar consecințele aici sunt locale și îl privesc pe el și pe familia lui personal. Este foarte trist să vezi cazuri în care un virus a criptat toate fișierele, inclusiv o arhivă foto de familie, iar oamenii nu au o copie de rezervă. , ei bine, nu este obișnuit utilizatori obișnuiți fă-o.

CU servicii cloud totul nu este atât de simplu, dacă stocați totul acolo și nu utilizați un client gros în sistemul dvs. de operare Windows, este un lucru, în 99% din timp, nimic nu vă amenință acolo, dar dacă utilizați, de exemplu, „disc Yandex” sau „mail Cloud” „prin sincronizarea fișierelor de pe computer cu acesta, apoi dacă te infectezi și primești că toate fișierele sunt criptate, programul le va trimite direct în cloud și vei pierde tot.

Drept urmare, vezi o poză ca aceasta, în care ți se spune că toate fișierele sunt criptate și trebuie să trimiți bani, acum asta se face în bitcoins pentru a nu identifica atacatorii. După plată, ar trebui să vă trimită un decriptor și veți restaura totul.

Nu trimite niciodată bani criminalilor

Amintiți-vă că nici un singur antivirus modern nu poate oferi Windows protecție împotriva ransomware-ului, dintr-un simplu motiv că acest troian nu face nimic suspect din punctul său de vedere, în esență se comportă ca un utilizator, citește fișiere, scrie, spre deosebire de viruși, nu încearcă să se schimbe fișiere de sistem sau adăugați chei de registry, motiv pentru care detectarea sa este atât de dificilă, nu există nicio linie care să o deosebească de utilizator

Surse ale troienilor ransomware

Să încercăm să evidențiem principalele surse ale pătrunderii criptatorului în computerul tău.

1. E-mail > foarte des oamenii primesc e-mailuri ciudate sau false cu link-uri sau atașamente infectate, la clic pe care victima începe să aibă o noapte nedorită. Ți-am spus cum să protejezi e-mailul, te sfătuiesc să-l citești.
2. Prin software- ai descărcat un program dintr-o sursă necunoscută sau un site fals, acesta conține un virus codificator, iar când instalezi software-ul îl adaugi în sistemul tău de operare.
3. Prin unități flash - oamenii încă se vizitează foarte des și transferă o grămadă de viruși prin unități flash, vă sfătuiesc să citiți „Protejarea unei unități flash de viruși”
4. Prin camere IP și dispozitive de rețea având acces la Internet - de foarte multe ori, din cauza setărilor incorecte ale unui router sau camerei IP conectate la o rețea locală, hackerii infectează computerele din aceeași rețea.

Cum să vă protejați computerul de ransomware

Utilizarea corectă a computerului vă protejează de ransomware, și anume:

• Nu deschide e-mailuri pe care nu le cunoști și nu urmezi link-uri necunoscute, indiferent cum ajung la tine, fie e-mail sau oricare dintre mesageri
• Instalați actualizările pentru sistemul de operare Windows sau Linux cât mai repede posibil, acestea sunt lansate nu atât de des, aproximativ o dată pe lună. Dacă vorbim despre Microsoft, atunci aceasta este a doua zi de marți a fiecărei luni, dar în cazul criptoarelor de fișiere, actualizările pot fi și ele anormale.
• Nu conectați unități flash necunoscute la computer; cereți-le prietenilor să le trimită un link către cloud.
• Asigurați-vă că, dacă computerul dvs. nu trebuie să fie accesibil în retea locala pentru alte computere, apoi dezactivați accesul la acesta.
• Limitați drepturile de acces la fișiere și foldere
• Instalarea unei soluții antivirus
• Nu instalați programe de neînțeles piratate de cineva necunoscut

Totul este clar cu primele trei puncte, dar mă voi opri mai detaliat asupra celor două rămase.

Dezactivați accesul la rețea la computer

Când oamenii mă întreabă cum să mă protejez împotriva ransomware-ului în Windows, primul lucru pe care îl recomand este ca oamenii să dezactiveze „Serviciul de partajare a fișierelor și imprimantelor Microsoft Networks”, care permite altor computere să acceseze resurse. a acestui calculator folosind rețele Microsoft. Acest lucru este relevant și pentru curioși administratorii de sistem, lucrând pentru furnizorul dvs.

Dezactivați acest serviciu și protejați-vă de ransomwareîntr-o rețea locală sau de furnizor, după cum urmează. Apăsați combinația de taste WIN+R și în fereastra care se deschide, executați, introduceți comanda ncpa.cpl. Voi afișa acest lucru pe computerul meu de testare care rulează Windows 10 Creators Update.

Selectați interfața de rețea dorită și faceți clic dreapta pe ea, din meniul contextual selectați „Proprietăți”

Găsiți articolul " Partajarea la fișiere și imprimante pentru rețelele Microsoft” și debifați-l, apoi salvați, toate acestea vă vor ajuta să vă protejați computerul de un virus ransomware din rețeaua locală; stația de lucru pur și simplu nu va fi accesibilă.

Restricționarea drepturilor de acces

Protecția împotriva virusului ransomware în Windows poate fi implementată astfel intr-un mod interesant, vă spun cum am făcut-o pentru mine. Și astfel, principala problemă în lupta împotriva criptatorilor este că antivirusurile pur și simplu nu le pot lupta în timp real, ei bine, nu te pot proteja în acest moment, așa că vom fi mai vicleni. Dacă virusul de criptare nu are drepturi de scriere, atunci nu va putea face nimic cu datele dvs. Să vă dau un exemplu, am un folder foto, este stocat local pe computer, plus există două copii de rezervă pe diferite hard disk-uri. Pe computerul meu local i-am dat permisiuni, numai citire, pentru asta cont sub care stau la calculator. Dacă virusul ar fi pătruns, pur și simplu nu ar fi avut suficiente drepturi, după cum puteți vedea, totul este simplu.

Cum să implementați toate acestea pentru a vă proteja de criptatorii de fișiere și pentru a proteja totul, facem următoarele.

• Selectați folderele de care aveți nevoie. Încercați să utilizați foldere; acestea facilitează atribuirea drepturilor. În mod ideal, creați un folder numit doar citire și plasați toate fișierele și folderele de care aveți nevoie în el. Lucrul bun este că, prin atribuirea de drepturi folderului de sus, acestea vor fi aplicate automat altor foldere din acesta. Odată ce ai copiat totul fisierele necesareși folderele din el, treceți la pasul următor
• Faceți clic dreapta pe folder din meniu și selectați „Proprietăți”

• Accesați fila „Securitate” și faceți clic pe butonul „Editați”.

• Încercăm să ștergem grupurile de acces, dacă primim o fereastră de avertizare că „Grupul nu poate fi șters deoarece acest obiect moștenește permisiuni de la părintele său”, apoi îl închidem.

• Faceți clic pe butonul „Avansat”. În elementul care se deschide, faceți clic pe „dezactivați moștenirea”

• Când ați întrebat „Ce doriți să faceți cu permisiunile moștenite curente” selectați „Eliminați toate permisiunile moștenite de la acest obiect”

• Ca urmare, totul din câmpul „Permisiuni” va fi șters.

• Salvați modificările. Vă rugăm să rețineți că acum doar proprietarul folderului poate schimba permisiunile.

• Acum, în fila „Securitate”, faceți clic pe „Editați”

• Apoi, faceți clic pe „Adăugați - Avansat”

• Trebuie să adăugăm grupul „Toți”, pentru a face acest lucru, faceți clic pe „Căutare” și selectați grupul dorit.

• Pentru a proteja Windows de ransomware, trebuie să aveți permisiuni setate pentru grupul „Toți”, ca în imagine.

• Acum niciun virus de criptare nu vă va amenința pentru fișierele din acest director.

Sper că Microsoft și alte soluții antivirus vor putea să-și îmbunătățească produsele și să protejeze computerele de ransomware înainte de a face ceva rău intenționat, dar până când se întâmplă acest lucru, urmați regulile pe care vi le-am descris și faceți întotdeauna copii de rezervă ale datelor importante.

Salutare tuturor! Mai nou, internetul a fost agitat de un eveniment care a afectat calculatoarele multor companii și utilizatori privați. Toate acestea se datorează apariției virusului Wanna Cry, care în scurt timp a pătruns și a infectat rapid un număr mare de computere în diferite țări ale lumii. În acest moment, răspândirea virusului a scăzut, dar nu s-a oprit complet. Din această cauză, utilizatorii cad periodic în capcana acesteia și nu știu ce să facă, deoarece nu toate programele antivirus sunt capabile să o neutralizeze. Potrivit datelor preliminare, peste 200 de mii de computere din întreaga lume au fost atacate. Virusul Wanna Cry poate fi considerat pe bună dreptate cea mai gravă amenințare a anului curent și, probabil, computerul tău va fi următorul pe calea sa. Prin urmare, să aruncăm o privire mai atentă asupra modului în care acest cod rău intenționat se răspândește și cum îl puteți combate.

Ce fel de răufăcător este virusul Wanna Cry?

„Vona Krai”, așa cum numesc și utilizatorii ruși acest virus, se referă la un tip de malware care se instalează pe un computer ca un troian și începe să stoarcă bani de la utilizatorul PC-ului. Principiul funcționării acestuia este următorul: pe desktopul computerului apare un banner, care blochează toată munca utilizatorului și îl invită să trimită un mesaj SMS plătit pentru a elimina blocarea. Dacă utilizatorul refuză să plătească banii, informațiile de pe computer vor fi criptate fără posibilitatea de recuperare. În mod obișnuit, dacă nu întreprindeți nicio măsură, vă puteți lua rămas bun de la toate informațiile stocate pe hard disk.

De fapt, virusul Wanna Cry poate fi clasificat ca un grup de viruși, blocanți de ransomware, care strică periodic nervii multor utilizatori.

Cum funcționează noul dăunător?

Odată ajuns pe computer, acesta criptează rapid informațiile aflate pe hard disk.

După aceasta, pe desktop apare un mesaj special în care utilizatorului i se cere să plătească 300 de dolari SUA pentru ca programul să decripteze fișierele. Dacă utilizatorul se gândește mult timp și banii nu ajung la special portofel electronic Bitcoin, atunci suma răscumpărării se va dubla și va trebui să plătiți 600 de dolari, adică aproximativ 34.000 de mii de ruble cu banii noștri, o sumă decentă, nu-i așa?

După șapte zile, dacă utilizatorul nu trimite o recompensă pentru a decripta fișierele, acele fișiere vor fi șterse definitiv de ransomware.

Virusul Wanna Cry poate funcționa cu aproape toate tipurile de fișiere moderne. Iată o mică listă de extensii care sunt în pericol: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4 , .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

După cum puteți vedea, această mică listă conține toate fișierele populare pe care virusul le poate cripta.

Cine este creatorul virusului Wanna Cry?

Potrivit Agenției Naționale de Securitate a Statelor Unite ale Americii, acesta a fost descoperit anterior codul programului numit „Eternal Blue”, deși informațiile despre acest cod au fost ascunse pentru a fi folosite în interese personale. Deja în aprilie a acestui an, comunitatea de hackeri a publicat informații despre acest exploit.

Cel mai probabil, creatorul terenului a folosit acest cod pentru a scrie un virus foarte eficient. În prezent, nu s-a stabilit încă cine este autorul principal al ransomware-ului.

Cum se răspândește virusul Wanna Cry și ajunge pe computerul tău?

Dacă nu ați căzut încă în capcana virusului Wanna Cry, atunci aveți grijă. Cel mai adesea este răspândit prin e-mailuri cu atasamente.

Să ne imaginăm o astfel de situație! Primiți un mesaj de e-mail, poate chiar de la un utilizator pe care îl cunoașteți, care conține o înregistrare audio, un videoclip sau o fotografie După ce a deschis scrisoarea, utilizatorul dă clic cu plăcere pe atașament, fără a observa faptul că fișierul are extensia exe. Adică, în esență, utilizatorul însuși începe să instaleze programul, în urma căruia fișierele computerului devin infectate și folosesc cod rău intenționat se descarcă un virus care criptează datele.

Fiţi atenți! Vă puteți infecta computerul cu blocantul Vona Krai descărcând fișiere din trackere torrent sau primind un mesaj personal în rețelele sociale sau mesageri.

Cum să vă protejați computerul de virusul Wanna Cry?

Probabil că în capul tău a apărut o întrebare rezonabilă: „Cum să te protejezi de virusul Wanna Cry?”

Aici vă pot oferi câteva metode de bază:

• Deoarece dezvoltatorii Microsoft erau foarte îngrijorați de acțiunile virusului, au lansat imediat o actualizare pentru toate versiunile sistemului de operare Windows. Prin urmare, pentru a vă proteja computerul de acest dăunător, trebuie să descărcați și să instalați urgent un patch de securitate;
• Monitorizați cu atenție ce scrisori primiți prin e-mail. Dacă primiți un e-mail cu un atașament, chiar și de la un destinatar pe care îl cunoașteți, fiți atenți la extensia fișierului. Sub nicio formă, nu deschideți fișierele descărcate cu extensia: .exe; .vbs; .scr. Extensia poate fi, de asemenea, mascată și să arate astfel: avi.exe; doc.scr ;
• Pentru a evita căderea în ghearele unui virus, activați afișarea extensiilor de fișiere în setările sistemului de operare. Acest lucru vă va permite să vedeți ce tip de fișiere încercați să rulați. Tipul de fișiere mascate va fi, de asemenea, clar vizibil;
• Instalarea chiar și a lui L în sine nu va salva, cel mai probabil, situația, deoarece virusul folosește vulnerabilitățile sistemului de operare pentru a accesa fișierele. Prin urmare, în primul rând, instalați toate actualizările pentru Windows, apoi instalați ;
• Dacă este posibil, transferați toate datele importante către un extern hard disk. Acest lucru vă va proteja de pierderea informațiilor;
• Dacă averea ți-a întors spatele și ai căzut sub influența virusului Wanna Cry, atunci pentru a scăpa de el, reinstalează sistemul de operare;
• Păstrați-vă bazele de date cu viruși antivirusuri instalate la zi;
• Recomand descărcarea și instalarea utilitate gratuită Produse Kaspersky Anti-Ransom. Acest utilitar vă permite să vă protejați computerul în timp real împotriva diferitelor agenți de blocare a ransomware.

Patch Windows de la Wanna Cry pentru a împiedica computerul să se îmbolnăvească.

Dacă computerul dvs. are instalat un sistem de operare:

• Windows XP;
• Windows 8;
• Windows Server 2003;
• Windows Embedded

Instalați acest patch, îl puteți descărca de pe linkul de pe site-ul oficial Microsoft.

Pentru toate celelalte versiuni ale sistemului de operare Windows, va fi suficient să instalați toate actualizările disponibile. Doar cu aceste actualizări vei închide găurile din sistem securitate Windows.

Eliminarea virusului Wanna Cry.

Pentru a elimina ransomware-ul „acolo”, încercați să utilizați unul dintre cele mai multe cele mai bune utilitati eliminarea programelor malware.

Fiţi atenți! După muncă program antivirus, fișierele criptate nu vor fi decriptate. Și cel mai probabil va trebui să le eliminați.

Este posibil să decriptați singur fișierele după Wanna Cry.

De regulă, agenții de blocare a ransomware, care includ „de-a lungul marginii”, criptează fișierele folosind chei de 128 și 256 de biți. În același timp, cheia pentru fiecare computer este unică și nu se repetă nicăieri. Prin urmare, dacă încercați să decriptați astfel de date acasă, vă va lua sute de ani.

În acest moment, nu există un singur decodor Wanna Cry în natură. Prin urmare, niciun utilizator nu va putea decripta fișierele după ce virusul rulează. Prin urmare, dacă nu ați devenit încă victima acesteia, vă recomand să aveți grijă de securitatea computerului dvs. dacă aveți ghinion, atunci există mai multe opțiuni pentru rezolvarea problemei:

• Plătește răscumpărarea. Aici dai bani pe riscul și riscul tău. Deoarece nimeni nu vă garantează că după ce veți trimite banii, programul va putea decripta toate fișierele înapoi;
• Dacă virusul nu v-a ocolit computerul, atunci puteți pur și simplu să deconectați hard disk-ul și să îl puneți pe un raft îndepărtat până la vremuri mai bune, când apare un decriptor. Momentan nu există, dar cel mai probabil va apărea în viitorul apropiat. Vreau să vă spun un secret că decriptoarele sunt dezvoltate de Kaspersky Lab și postate pe site-ul web No Ramsom;
• Pentru utilizatorii de antivirus Kaspersky licențiat, este posibil să se aplice pentru decriptarea fișierelor care au fost criptate de virusul Wanna Cry;
• Dacă nu există nimic important pe hard disk-ul computerului dvs., atunci nu ezitați să îl formatați și să instalați un sistem de operare curat;

Virusul Wanna Cry în Rusia.

Vă prezint un grafic care arată clar ce este cel mai mult număr mare computerele au fost afectate de virus pe teritoriul Federației Ruse.

Cel mai probabil, acest lucru s-a întâmplat deoarece utilizatorilor ruși nu le place în mod deosebit să cumpere software cu licență și cel mai adesea folosesc copii piratate ale sistemului de operare Windows. Din acest motiv, sistemul nu este actualizat și rămâne foarte vulnerabil la viruși.

Astfel de computere nu au fost ferite de virusul Wanna Cry. Recomand instalarea versiune licenţiată sistem de operare și nu dezactivați actualizările automate.

Apropo, nu numai computerele utilizatorilor privați au fost afectate de blocantul „acolo”, ci și organizatii guvernamentale precum: Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență, Banca Centrală, precum și mari companii private precum: operator comunicatii celulare Megafon, Sberbank a Rusiei și Căile Ferate Ruse.

După cum am spus mai sus, a fost posibil să vă protejați de pătrunderea virusului. Deci, în martie a acestui an, Microsoft a lansat actualizări de securitate Windows. Adevărat, nu toți utilizatorii l-au instalat, motiv pentru care au căzut într-o capcană.

Dacă utilizați versiunea veche sistem de operare, apoi asigurați-vă că descărcați și instalați patch-ul despre care am scris în paragraful de mai sus.

Să rezumam.

În articolul de astăzi v-am vorbit despre noul virus Wanna Cry. Am încercat să explic cât mai detaliat ce este acest dăunător și cum vă puteți proteja de el. De asemenea, acum știi de unde poți descărca un patch care va închide găurile în sistemul de securitate Windows.

Un virus informatic sub numele original Wanna Crypt (Vreau să criptez) și numele prescurtat corespunzător WannaCry (Vreau să plâng) au blocat zeci de mii de computere din întreaga lume pe 12 mai 2017. Chiar a doua zi epidemia a fost oprită. Cu toate acestea, dezvoltatorii de viruși au făcut modificări codului și au rulat milioane de computere sistem Windows s-au trezit din nou atacați.

Virusul criptează fișierele și solicită o răscumpărare de 300 USD. Victimele au donat deja zeci de mii de dolari, dar încă nu există informații despre decriptare. În orice caz, este mai bine să preveniți infecția și posibilele consecințe decât să încercați să salvați informații după un atac.

1. Instalați actualizări Windows

Descărcați de pe https://technet.microsoft.com/library/security/MS17-010 și instalați patch-ul pentru a vă proteja împotriva WannaCry. Microsoft consideră acest lucru atât de important încât a lansat chiar și o versiune pentru Windows XP (suportul pentru care a fost întrerupt în 2014).

În plus, vulnerabilitatea pe care se bazează atacurile WannaCry a fost remediată în mod regulat Actualizare Windowsînapoi în martie. Actualizați Windows.

2. Faceți copii de rezervă ale fișierelor importante

Salvează-ți muncitorii și dosare personale. Le puteți copia pe un hard disk extern sau pe o unitate flash, le puteți încărca în cloud, le puteți încărca pe un server FTP sau le puteți trimite prin e-mail dvs., unui coleg sau unui prieten. Doar nu suprascrie fișierele „curate” salvate recent cu versiunile lor criptate. Folosiți alte medii. Este mai bine să ai două copii decât niciunul.

3. Închideți porturile 139 și 445

Sună ca ceva dintr-un film cu hackeri, dar nu este atât de dificil. Și este foarte util pentru că vă va proteja computerul de WannaCry. Trebuie să faceți următoarele:

• Deschide Windows Firewall(Firewall) – de exemplu, prin „Conexiuni de rețea”;
• Selectați articolul " Opțiuni suplimentare„(Setări avansate);
• Găsiți „Reguli pentru conexiunile de intrare” (Reguli de intrare) - în mijlocul ecranului, derulați puțin în jos;
• Apoi, începând din meniul principal: „Acțiune / Regulă nouă... / Port / Porturi locale specificate – 139 / Blocați conexiunea”;
• similar pentru portul 445.

4. Găsiți un administrator de rețea sau Google-l singur

Principalul lucru a fost deja făcut, sunteți în siguranţă relativă. De asemenea, trebuie să blocați SMB v1, să inspectați setările VPN și să verificați sistemul pentru viruși. În principiu, este posibil să faci toate acestea singur. Dar va fi mai ușor și mai de încredere să găsești specialiști.

5. Dacă nu puteți finaliza cel puțin pașii 1-2, opriți computerul

Dacă dintr-un motiv oarecare nu ați reușit să instalați un patch de la Microsoft, actualizați Windows și salvați fișierele importante în medii externe– Este mai bine să opriți computerul. Doar opriți alimentarea, astfel încât virusul să nu aibă șansa de a vă distruge activele digitale. Ca ultimă soluție, cel puțin dezactivați accesul la internet.

Așteptați să vină specialiștii, pentru lansarea unui decriptor, versiuni speciale de antivirusuri „un singur clic”. Acest lucru nu va dura mult timp, dar va economisi ani de muncă petrecuți pentru crearea tuturor acelor fișiere care sunt acum în pericol.