Il poursuit sa progression oppressive sur Internet, infectant les ordinateurs et cryptant des données importantes. Comment vous protéger contre les ransomwares, protéger Windows contre les ransomwares - des correctifs ont-ils été publiés pour décrypter et désinfecter les fichiers ?

Nouveau virus ransomware 2017 Je veux pleurer continue d’infecter les PC d’entreprise et privés. U Les dégâts causés par une attaque virale s'élèvent à 1 milliard de dollars. En 2 semaines, le virus ransomware a infecté au moins 300 mille ordinateurs, malgré les avertissements et les mesures de sécurité.

Virus Ransomware 2017, qu’est-ce que c’est ?- en règle générale, vous pouvez « récupérer » sur les sites apparemment les plus inoffensifs, par exemple les serveurs bancaires avec accès utilisateur. Une fois sur disque dur victimes, le ransomware « s’installe » dossier système Système32. À partir de là, le programme désactive immédiatement l'antivirus et va dans "Autorun"" Après chaque redémarrage, un ransomware court dans le registre, commençant son sale boulot. Le ransomware commence à télécharger des copies similaires de programmes comme Ransom et Trojan. Cela arrive aussi souvent auto-réplication du ransomware. Ce processus peut être momentané ou prendre des semaines jusqu'à ce que la victime remarque que quelque chose ne va pas.

Le ransomware se déguise souvent en images ou en fichiers texte ordinaires., mais l'essence est toujours la même - il s'agit d'un fichier exécutable avec l'extension .exe, .drv, .xvd; Parfois - bibliothèques.dll. Le plus souvent, le fichier porte un nom totalement anodin, par exemple « document. doc", ou " image.jpg", où l'extension est écrite manuellement, et le vrai type de fichier est masqué.

Une fois le cryptage terminé, l'utilisateur voit, au lieu des fichiers familiers, un ensemble de caractères « aléatoires » dans le nom et à l'intérieur, et l'extension devient une extension auparavant inconnue - .NO_MORE_RANSOM, .xdata et d'autres.

Virus ransomware Wanna Cry 2017 – comment vous protéger. Je voudrais immédiatement noter que Wanna Cry est plutôt un terme collectif désignant tous les virus de cryptage et ransomwares, puisque dernièrement ordinateurs infectés le plus souvent. Alors, nous parlerons de Protégez-vous des ransomwares Ransom Ware, qui sont très nombreux : Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Comment protéger Windows contre les ransomwares. – EternalBlue via le protocole de port SMB.

Protéger Windows contre les ransomwares 2017 – règles de base :

• Mise à jour Windows, transition rapide vers un système d'exploitation sous licence (remarque : la version XP n'est pas mise à jour)
• mise à jour bases de données antivirus et pare-feux à la demande
• une extrême prudence lors du téléchargement de fichiers (de jolis « sceaux » peuvent entraîner la perte de toutes les données)
• sauvegarde informations importantes sur un support amovible.

Virus Ransomware 2017 : comment désinfecter et décrypter les fichiers.

En vous appuyant sur un logiciel antivirus, vous pouvez oublier le décrypteur pendant un moment. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus pour l'instant aucune solution pour traiter les fichiers infectés n'a été trouvée. Sur à l'heure actuelle Il est possible de supprimer le virus à l'aide d'un antivirus, mais il n'existe pas encore d'algorithmes permettant de tout ramener « à la normale ».

Certains essaient d'utiliser des décrypteurs comme l'utilitaire RectorDecryptor, mais cela n'aidera pas : un algorithme pour décrypter les nouveaux virus n'a pas encore été compilé. On ne sait absolument pas non plus comment le virus se comportera s'il n'est pas supprimé après l'utilisation de tels programmes. Souvent, cela peut entraîner l'effacement de tous les fichiers - pour avertir ceux qui ne veulent pas payer les attaquants, les auteurs du virus.

Pour le moment le plus de manière efficace récupérer les données perdues signifie contacter le support technique. assistance fournisseur programme antivirus que vous utilisez. Pour ce faire, envoyez un courrier ou utilisez le formulaire pour retour sur le site du fabricant. Assurez-vous d'ajouter le fichier crypté à la pièce jointe et, si disponible, une copie de l'original. Cela aidera les programmeurs à composer l'algorithme. Malheureusement, pour beaucoup, une attaque de virus est une surprise totale et aucune copie n'est trouvée, ce qui complique grandement la situation.

Méthodes cardiaques Traitement des fenêtres contre un rançongiciel. Malheureusement, il faut parfois recourir à formatage complet disque dur, ce qui implique un changement complet d'OS. Beaucoup penseront à restaurer le système, mais ce n'est pas une option - même un « rollback » éliminera le virus, mais les fichiers resteront toujours cryptés.

Il y a environ une semaine ou deux, un autre hack de créateurs de virus modernes est apparu sur Internet, qui crypte tous les fichiers de l'utilisateur. Encore une fois, j'examinerai la question de savoir comment guérir un ordinateur après un virus ransomware chiffré000007 et récupérer des fichiers cryptés. Dans ce cas, rien de nouveau ou d’unique n’est apparu, juste une modification de la version précédente.

Décryptage garanti des fichiers après un virus ransomware - dr-shifro.ru. Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans mon article ou sur le site Internet dans la rubrique « Procédure de travail ».

Description du virus rançongiciel CRYPTED000007

Le chiffreur CRYPTED000007 n'est pas fondamentalement différent de ses prédécesseurs. Cela fonctionne presque exactement de la même manière. Mais il existe néanmoins plusieurs nuances qui le distinguent. Je vais vous raconter tout dans l'ordre.

Il arrive, comme ses analogues, par courrier. Des techniques d'ingénierie sociale sont utilisées pour garantir que l'utilisateur s'intéresse à la lettre et l'ouvre. Dans mon cas, la lettre parlait d'une sorte de tribunal et d'informations importantes sur l'affaire dans la pièce jointe. Après avoir lancé la pièce jointe, l'utilisateur ouvre un document Word avec un extrait du tribunal d'arbitrage de Moscou.

Parallèlement à l'ouverture du document, le cryptage des fichiers démarre. Commence à apparaître tout le temps message d'informationà partir du contrôle de compte d'utilisateur Windows.

Si vous acceptez la proposition, les copies de sauvegarde des fichiers dans les clichés instantanés de Windows seront supprimées et la restauration des informations sera très difficile. Il est évident que vous ne pouvez en aucun cas être d’accord avec la proposition. Dans ce chiffreur, ces demandes apparaissent constamment, les unes après les autres et ne s'arrêtent pas, obligeant l'utilisateur à accepter et à supprimer les copies de sauvegarde. C'est la principale différence par rapport aux modifications précédentes des chiffreurs. Je n'ai jamais rencontré de demandes de suppression de clichés instantanés sans m'arrêter. Habituellement, après 5 à 10 offres, ils s’arrêtaient.

Je donnerai immédiatement une recommandation pour l'avenir. Il est très courant que les gens désactivent les alertes de contrôle de compte d’utilisateur. Il n'est pas nécessaire de faire cela. Ce mécanisme peut vraiment aider à résister aux virus. Le deuxième conseil évident est de ne pas travailler constamment sous compte administrateur informatique, à moins qu'il n'y ait un besoin objectif. Dans ce cas, le virus n’aura pas la possibilité de faire beaucoup de mal. Vous aurez plus de chance de lui résister.

Mais même si vous avez toujours répondu négativement aux demandes du ransomware, toutes vos données sont déjà cryptées. Une fois le processus de cryptage terminé, vous verrez une image sur votre bureau.

En même temps, il y aura beaucoup fichiers texte avec le même contenu.

Vos fichiers ont été cryptés. Pour décrypter ux, vous devez envoyer le code : 329D54752553ED978F94|0 à l'adresse email [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de déchiffrement par vous-même ne mèneront à rien d'autre qu'à un nombre irrévocable d'informations. Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde des fichiers, sinon, en cas de modification, le décryptage deviendra en aucun cas impossible. Si vous n'avez pas reçu de notification à l'adresse ci-dessus dans les 48 heures (uniquement dans ce cas !), utilisez le formulaire de contact. Cela peut être fait de deux manières : 1) Téléchargez et installez le navigateur Tor en utilisant le lien : https://www.torproject.org/download/download-easy.html.en Dans l'espace d'adressage Navigateur Tor entrez l'adresse : http://cryptsen7fo43rr6.onion/ et appuyez sur Entrée. La page avec le formulaire de contact se chargera. 2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tous les fichiers importants de votre ordinateur ont été cryptés. Pour décrypter les fichiers que vous devez envoyer ce qui suit code : 329D54752553ED978F94|0 à l'adresse e-mail [email protégé]. Vous recevrez ensuite toutes les instructions nécessaires. Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données. Si vous souhaitez quand même essayer de les décrypter par vous-même, veuillez d'abord effectuer une sauvegarde car le décryptage deviendra impossible en cas de modification dans les fichiers. Si vous n'avez pas reçu de réponse à l'e-mail susmentionné pendant plus de 48 heures (et seulement dans ce cas !), utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières : 1) Téléchargez le navigateur Tor à partir d'ici : https://www.torproject.org/download/download-easy.html.en Installez-le et saisissez l'adresse suivante dans le barre d'adresse : http://cryptsen7fo43rr6.onion/ Appuyez sur Entrez et alors la page avec le formulaire de commentaires sera chargée. 2) Allez sur celui des adresses suivantes dans n'importe quel navigateur : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

L'adresse postale peut changer. Je suis également tombé sur les adresses suivantes :

• [email protégé]
• [email protégé]

Les adresses sont constamment mises à jour et peuvent donc être complètement différentes.

Dès que vous découvrez que vos fichiers sont cryptés, éteignez immédiatement votre ordinateur. Cela doit être fait pour interrompre le processus de cryptage comme dans ordinateur local, et sur les lecteurs réseau. Un virus de chiffrement peut chiffrer toutes les informations qu'il peut atteindre, y compris sur les lecteurs réseau. Mais s'il y a une grande quantité d'informations, cela lui prendra beaucoup de temps. Parfois, même en quelques heures, le cryptographe n'avait pas le temps de tout chiffrer. lecteur réseau environ 100 gigaoctets.

Ensuite, vous devez bien réfléchir à la manière d’agir. Si vous avez besoin à tout prix d'informations sur votre ordinateur et que vous ne disposez pas de copies de sauvegarde, alors il vaut mieux à ce moment se tourner vers des spécialistes. Pas nécessairement pour de l'argent pour certaines entreprises. Tu as juste besoin de quelqu'un qui sait bien systèmes d'informations. Il est nécessaire d’évaluer l’ampleur de la catastrophe, d’éliminer le virus et de collecter toutes les informations disponibles sur la situation afin de comprendre comment procéder.

Actions incorrectes sur à ce stade peut considérablement compliquer le processus de décryptage ou de restauration de fichiers. Dans le pire des cas, ils peuvent rendre cela impossible. Alors prenez votre temps, soyez prudent et cohérent.

Comment le virus ransomware CRYPTED000007 crypte les fichiers

Une fois le virus lancé et terminé son activité, tous les fichiers utiles seront cryptés, renommés de extension.crypted000007. De plus, non seulement l’extension du fichier sera remplacée, mais également le nom du fichier, de sorte que vous ne saurez pas exactement de quel type de fichiers vous aviez si vous ne vous en souvenez pas. Cela ressemblera à ceci.

Dans une telle situation, il sera difficile d'évaluer l'ampleur du drame, puisque vous ne pourrez pas vous souvenir pleinement de ce que vous aviez dans différents dossiers. Cela a été fait spécifiquement pour semer la confusion chez les gens et les encourager à payer pour le décryptage des fichiers.

Et si vos dossiers réseau étaient cryptés et qu'il n'y avait pas de sauvegardes complètes, cela peut arrêter complètement le travail de toute l'organisation. Il vous faudra un certain temps pour comprendre ce qui a finalement été perdu afin de commencer la restauration.

Comment traiter votre ordinateur et supprimer le ransomware CRYPTED000007

Le virus CRYPTED000007 est déjà présent sur votre ordinateur. La première et la plus importante question est de savoir comment désinfecter un ordinateur et comment en supprimer un virus afin d'empêcher un cryptage ultérieur s'il n'est pas encore terminé. Je voudrais immédiatement attirer votre attention sur le fait qu'une fois que vous avez vous-même commencé à effectuer certaines actions avec votre ordinateur, les chances de décrypter les données diminuent. Si vous avez besoin à tout prix de récupérer des fichiers, ne touchez pas à votre ordinateur, mais contactez immédiatement des professionnels. Ci-dessous, je vais en parler, fournir un lien vers le site et décrire leur fonctionnement.

En attendant, nous continuerons à traiter l'ordinateur de manière indépendante et à supprimer le virus. Traditionnellement, les ransomwares sont facilement supprimés d'un ordinateur, car le virus n'a pas pour tâche de rester à tout prix sur l'ordinateur. Après avoir complètement crypté les fichiers, il est encore plus rentable pour lui de se supprimer et de disparaître, de sorte qu'il est plus difficile d'enquêter sur l'incident et de décrypter les fichiers.

Décrire suppression manuelle le virus est difficile, même si j'ai déjà essayé de le faire, mais je vois que le plus souvent cela ne sert à rien. Les noms de fichiers et les chemins de placement des virus changent constamment. Ce que j'ai vu n'est plus d'actualité dans une semaine ou deux. Habituellement, les virus sont envoyés par courrier par vagues, et à chaque fois il y a une nouvelle modification qui n'est pas encore détectée par les antivirus. Des outils universels qui vérifient le démarrage et détectent les activités suspectes dans les dossiers système aident.

Pour supprimer le virus CRYPTED000007, vous pouvez utiliser les programmes suivants :

1. Kaspersky Virus Removal Tool - un utilitaire de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produit similaire provenant d'un autre site Web http://free.drweb.ru/cureit.
3. Si les deux premiers utilitaires ne vous aident pas, essayez MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Très probablement, l'un de ces produits effacera votre ordinateur du ransomware CRYPTED000007. S'il arrive soudainement qu'ils ne vous aident pas, essayez de supprimer le virus manuellement. J'ai donné un exemple de la méthode de suppression et vous pouvez le voir ici. En bref, étape par étape, vous devez agir comme ceci :

1. Nous examinons la liste des processus, après avoir ajouté plusieurs colonnes supplémentaires au gestionnaire de tâches.
2. Nous trouvons le processus viral, ouvrons le dossier dans lequel il se trouve et le supprimons.
3. Nous effaçons la mention du processus viral par nom de fichier dans le registre.
4. Nous redémarrons et veillons à ce que le virus CRYPTED000007 ne figure pas dans la liste des processus en cours d'exécution.

Où télécharger le décrypteur CRYPTED000007

La question d’un décrypteur simple et fiable se pose en premier lorsqu’il s’agit d’un virus ransomware. La première chose que je recommande est d'utiliser le service https://www.nomoreransom.org. Et si vous avez de la chance et qu'ils ont un décrypteur pour votre version du chiffreur CRYPTED000007. Je dirai tout de suite que vous n'avez pas beaucoup de chances, mais essayer n'est pas une torture. Sur page d'accueil cliquez sur Oui :

Téléchargez ensuite quelques fichiers cryptés et cliquez sur Go ! Découvrir:

Au moment de la rédaction de cet article, il n'y avait pas de décrypteur sur le site.

Peut-être aurez-vous plus de chance. Vous pouvez également voir la liste des décrypteurs à télécharger sur une page séparée - https://www.nomoreransom.org/decryption-tools.html. Il y a peut-être quelque chose d'utile là-dedans. Lorsque le virus est complètement frais, il y a peu de chances que cela se produise, mais avec le temps, quelque chose peut apparaître. Il existe des exemples où des décrypteurs pour certaines modifications de chiffreurs sont apparus sur Internet. Et ces exemples se trouvent sur la page spécifiée.

Je ne sais pas où trouver un décodeur. Il est peu probable qu'il existe réellement, compte tenu des particularités du travail des chiffreurs modernes. Seuls les auteurs du virus peuvent disposer d’un décrypteur à part entière.

Comment décrypter et récupérer des fichiers après le virus CRYPTED000007

Que faire lorsque le virus CRYPTED000007 a crypté vos fichiers ? La mise en œuvre technique du cryptage ne permet pas de décrypter des fichiers sans clé ni décrypteur, dont seul l'auteur du crypteur dispose. Il existe peut-être un autre moyen de l'obtenir, mais je n'ai pas cette information. Nous ne pouvons essayer de récupérer des fichiers qu'en utilisant des méthodes improvisées. Ceux-ci incluent :

• Outil clichés instantanés fenêtres.
• Programmes de récupération de données supprimées

Tout d’abord, vérifions si les clichés instantanés sont activés. Cet outil fonctionne par défaut sous Windows 7 et versions ultérieures, sauf si vous le désactivez manuellement. Pour vérifier, ouvrez les propriétés de l'ordinateur et accédez à la section protection du système.

Si, lors de l'infection, vous n'avez pas confirmé la demande de l'UAC de suppression des fichiers dans les clichés instantanés, certaines données devraient y rester. J'ai parlé plus en détail de cette demande au début de l'histoire, lorsque j'ai parlé du travail du virus.

Pour restaurer facilement des fichiers à partir de clichés instantanés, je suggère d'utiliser programme gratuità cet effet - ShadowExplorer. Téléchargez l'archive, décompressez le programme et exécutez-le.

La dernière copie des fichiers et la racine du lecteur C s'ouvriront dans le coin supérieur gauche, vous pouvez sélectionner une copie de sauvegarde si vous en avez plusieurs. Vérifiez la disponibilité des différents exemplaires fichiers nécessaires. Comparez par date, où plus dernière version. Dans mon exemple ci-dessous, j'ai trouvé 2 fichiers sur mon bureau datant d'il y a trois mois lors de leur dernière modification.

J'ai pu récupérer ces fichiers. Pour ce faire, je les ai sélectionnés, j'ai fait un clic droit, j'ai sélectionné Exporter et j'ai spécifié le dossier dans lequel les restaurer.

Vous pouvez restaurer des dossiers immédiatement en utilisant le même principe. Si vos clichés instantanés fonctionnaient et ne les supprimaient pas, vous avez de bonnes chances de récupérer tous, ou presque, tous les fichiers cryptés par le virus. Peut-être que certains d'entre eux seront plus ancienne version, que nous le souhaiterions, mais néanmoins, c'est mieux que rien.

Si, pour une raison quelconque, vous n'avez pas de clichés instantanés de vos fichiers, votre seule chance d'obtenir au moins quelque chose des fichiers cryptés est de les restaurer à l'aide d'outils de récupération. fichiers supprimés. Pour ce faire, je suggère d'utiliser le programme gratuit Photorec.

Lancez le programme et sélectionnez le disque sur lequel vous restaurerez les fichiers. Lancement version graphique le programme exécute le fichier qphotorec_win.exe. Vous devez sélectionner un dossier dans lequel les fichiers trouvés seront placés. Il est préférable que ce dossier ne se trouve pas sur le même lecteur que celui sur lequel nous recherchons. Connectez une clé USB ou externe dur disque pour cela.

Le processus de recherche prendra beaucoup de temps. À la fin, vous verrez des statistiques. Vous pouvez maintenant accéder au dossier spécifié précédemment et voir ce qui s'y trouve. Il y aura probablement beaucoup de fichiers et la plupart d'entre eux seront soit endommagés, soit il s'agira d'une sorte de système et de fichiers inutiles. Néanmoins, quelques fichiers utiles peuvent être trouvés dans cette liste. Il n'y a aucune garantie ici ; ce que vous trouvez est ce que vous trouverez. Les images sont généralement mieux restaurées.

Si le résultat ne vous satisfait pas, il existe également des programmes permettant de récupérer des fichiers supprimés. Vous trouverez ci-dessous une liste de programmes que j'utilise habituellement lorsque j'ai besoin de restaurer quantité maximale fichiers :

• R. économiseur
• Étoile Récupération de fichiers
• Récupération JPEG Pro
• Professionnel de récupération de fichiers actifs

Ces programmes ne sont pas gratuits, je ne fournirai donc pas de liens. Si vous le souhaitez vraiment, vous pouvez les trouver vous-même sur Internet.

L'ensemble du processus de récupération de fichiers est présenté en détail dans la vidéo à la toute fin de l'article.

Kaspersky, eset nod32 et d'autres dans la lutte contre le chiffreur Filecoder.ED

Les antivirus populaires détectent le ransomware CRYPTED000007 comme Codeur de fichiers.ED et puis il peut y avoir une autre désignation. J'ai parcouru les principaux forums antivirus et je n'y ai rien vu d'utile. Malheureusement, comme d’habitude, les logiciels antivirus se sont révélés mal préparés à l’invasion d’une nouvelle vague de ransomwares. Voici un message du forum Kaspersky.

Les antivirus ignorent généralement les nouvelles modifications des chevaux de Troie ransomware. Néanmoins, je recommande de les utiliser. Si vous avez de la chance et recevez un e-mail de ransomware non pas lors de la première vague d'infections, mais un peu plus tard, il est possible que l'antivirus vous aide. Ils travaillent tous à un pas derrière les attaquants. Il s'avère nouvelle version ransomware, les antivirus n’y répondent pas. Dès qu'une certaine quantité de matériel de recherche sur un nouveau virus s'accumule, le logiciel antivirus publie une mise à jour et commence à y répondre.

Je ne comprends pas ce qui empêche les antivirus de répondre immédiatement à tout processus de cryptage du système. Il existe peut-être des nuances techniques à ce sujet qui ne nous permettent pas de réagir de manière adéquate et d'empêcher le cryptage des fichiers des utilisateurs. Il me semble qu'il serait possible d'afficher au moins un avertissement indiquant que quelqu'un crypte vos fichiers et de proposer d'arrêter le processus.

Où aller pour un décryptage garanti

Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus de cryptage, dont CRYPTED000007. Leur adresse est http://www.dr-shifro.ru. Paiement uniquement après décryptage complet et votre vérification. Voici un plan de travail approximatif :

1. Un spécialiste de l'entreprise se déplace à votre bureau ou à votre domicile et signe avec vous une convention qui précise le coût des travaux.
2. Lance le décrypteur et décrypte tous les fichiers.
3. Vous vous assurez que tous les dossiers sont ouverts et signez le certificat de livraison/réception des travaux terminés.
4. Le paiement est effectué uniquement en cas de résultats de décryptage réussis.

Je vais être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après démonstration du fonctionnement du décodeur. Veuillez rédiger un avis sur votre expérience avec cette entreprise.

Méthodes de protection contre le virus CRYPTED000007

Comment se protéger des ransomwares et éviter des dommages matériels et moraux ? Il existe quelques astuces simples et efficaces :

1. Sauvegarde! Sauvegarde toutes les données importantes. Et pas seulement une sauvegarde, mais une sauvegarde à laquelle il n'y a pas d'accès constant. Sinon, le virus peut infecter à la fois vos documents et vos copies de sauvegarde.
2. Antivirus sous licence. Bien qu’ils n’offrent pas une garantie à 100 %, ils augmentent les chances d’éviter le cryptage. Le plus souvent, ils ne sont pas prêts pour les nouvelles versions du chiffreur, mais après 3 à 4 jours, ils commencent à réagir. Cela augmente vos chances d’éviter l’infection si vous n’avez pas été inclus dans la première vague de distribution d’une nouvelle modification du ransomware.
3. N'ouvrez pas les pièces jointes suspectes dans le courrier. Il n'y a rien à commenter ici. Tous les ransomwares que je connais ont atteint les utilisateurs par courrier électronique. De plus, à chaque fois de nouvelles astuces sont inventées pour tromper la victime.
4. N'ouvrez pas sans réfléchir les liens qui vous sont envoyés par vos amis via réseaux sociaux ou messagers. C’est aussi ainsi que les virus se propagent parfois.
5. Allumer affichage des fenêtres extensions de fichiers. Comment procéder est facile à trouver sur Internet. Cela vous permettra de remarquer l'extension du fichier sur le virus. Le plus souvent ce sera .exe, .vbs, .src. Dans votre travail quotidien avec des documents, il est peu probable que vous rencontriez de telles extensions de fichiers.

J'ai essayé de compléter ce que j'ai déjà écrit dans chaque article sur le virus ransomware. En attendant, je vous dis au revoir. Je serais heureux de recevoir des commentaires utiles sur l'article et sur le virus ransomware CRYPTED000007 en général.

Vidéo sur le décryptage et la récupération de fichiers

Voici un exemple d'une modification précédente du virus, mais la vidéo est tout à fait pertinente pour CRYPTED000007.

Selon les premiers rapports, le virus de cryptage activé par les attaquants mardi était classé comme membre de la famille de ransomwares Petya déjà connue, mais il s'est avéré plus tard qu'il s'agissait d'une nouvelle famille de logiciels malveillants avec des fonctionnalités très différentes. Kaspersky Lab doublé nouveau virus ExPetr.

« L'analyse réalisée par nos experts a montré que les victimes n'avaient dans un premier temps aucune chance de récupérer leur dossier. "Les chercheurs de Kaspersky Lab ont analysé la partie du code malveillant associée au cryptage des fichiers et ont constaté qu'une fois le disque crypté, les créateurs du virus n'ont plus la possibilité de le déchiffrer", rapporte le laboratoire.

Comme le note l'entreprise, le décryptage nécessite un identifiant unique pour une installation de cheval de Troie spécifique. Précédemment versions connues chiffreurs similaires Petya/Mischa/GoldenEye, l'identifiant d'installation contenait les informations nécessaires au décryptage. Dans le cas d’ExPetr, cet identifiant n’existe pas. Cela signifie que les créateurs du malware ne peuvent pas obtenir les informations dont ils ont besoin pour décrypter les fichiers. En d’autres termes, les victimes du ransomware n’ont aucun moyen de récupérer leurs données, explique Kaspersky Lab.

Le virus bloque les ordinateurs et exige 300 dollars en bitcoins, a déclaré le groupe IB à RIA Novosti. L'attaque a débuté mardi vers 11 heures. Selon les médias, mercredi à 18 heures, le portefeuille Bitcoin destiné à transférer des fonds aux extorqueurs avait reçu neuf transferts. En tenant compte de la commission sur les transferts, les victimes ont transféré environ 2,7 mille dollars aux pirates.

Comparé à WannaCry, ce virus est considéré comme plus destructeur, car il se propage selon plusieurs méthodes : en utilisant Windows Exploit de Management Instrumentation, PsExec et EternalBlue. De plus, le ransomware est intégré utilitaire gratuit Mimikatz.

Le nombre d'utilisateurs attaqués par le nouveau virus de cryptage « nouveau Petya » a atteint 2 000, a rapporté mercredi Kaspersky Lab, qui enquête sur la vague d'infections informatiques.

Selon la société antivirus ESET, l'attaque a commencé en Ukraine, qui a plus souffert que d'autres pays. Selon le classement des pays touchés par le virus établi par l’entreprise, l’Italie occupe la deuxième place après l’Ukraine et Israël la troisième. Le top dix comprenait également la Serbie, la Hongrie, la Roumanie, la Pologne, l'Argentine, la République tchèque et l'Allemagne. La Russie en cette liste a pris la 14ème place.

De plus, Avast a expliqué quoi exactement systèmes d'exploitation celui qui a le plus souffert du virus.

Windows 7 arrive en première position - 78 % de tous les ordinateurs infectés. Viennent ensuite Windows XP (18 %), Windows 10 (6 %) et Windows 8.1 (2 %).

Ainsi, WannaCry n'a pratiquement rien appris à la communauté mondiale : les ordinateurs restaient non protégés, les systèmes n'étaient pas mis à jour et les efforts de Microsoft pour publier des correctifs, même pour les systèmes obsolètes, étaient tout simplement vains.

Depuis des décennies, les cybercriminels exploitent avec succès les failles et les vulnérabilités du World Wide Web. Cependant, ces dernières années, il y a eu une nette augmentation du nombre d'attaques, ainsi qu'une augmentation de leur niveau - les attaquants deviennent plus dangereux et malware se propagent à des rythmes jamais vus auparavant.

Introduction

Nous parlons des ransomwares, qui ont fait un bond incroyable en 2017, causant des dommages à des milliers d’organisations à travers le monde. Par exemple, en Australie, les attaques de ransomwares telles que WannaCry et NotPetya ont même suscité des inquiétudes au niveau gouvernemental.

Pour résumer les « succès » des ransomwares cette année, nous examinerons les 10 plus dangereux qui ont causé le plus de dégâts aux organisations. Espérons que l'année prochaine nous tirerons les leçons et éviterons que ce type de problème n'entre dans nos réseaux.

PasPetya

L'attaque de ce ransomware a commencé avec le programme comptable ukrainien M.E.Doc, qui a remplacé 1C, interdit en Ukraine. En quelques jours seulement, NotPetya a infecté des centaines de milliers d’ordinateurs dans plus de 100 pays. Ce malware est une variante d'un ancien Le rançongiciel Petya, la seule différence entre elles est que les attaques NotPetya ont utilisé le même exploit que les attaques WannaCry.

La propagation de NotPetya a touché plusieurs organisations en Australie, comme la chocolaterie Cadbury en Tasmanie, qui a dû temporairement fermer l'ensemble de son système informatique. Ce ransomware a également réussi à infiltrer le plus grand porte-conteneurs du monde, appartenant à l'entreprise Maersk, qui aurait perdu jusqu'à 300 millions de dollars de revenus.

Je veux pleurer

Ce ransomware, terrible par son ampleur, a pratiquement conquis le monde entier. Ses attaques ont utilisé le fameux exploit EternalBlue, qui exploite une vulnérabilité du protocole Microsoft Server Message Block (SMB).

WannaCry a infecté des victimes dans 150 pays et plus de 200 000 machines dès le premier jour. Nous avons publié ce malware sensationnel.

Verrouillage

Locky était le ransomware le plus populaire en 2016, mais il a continué à fonctionner en 2017. De nouvelles variantes de Locky, baptisées Diablo et Lukitus, sont apparues cette année en utilisant le même vecteur d'attaque (phishing) pour lancer des exploits.

C'est Locky qui était à l'origine du scandale de fraude par courrier électronique à Australia Post. Selon la Commission australienne de la concurrence et de la consommation, les citoyens ont perdu plus de 80 000 dollars à cause de cette arnaque.

CrySis

Cette instance se distinguait par son utilisation magistrale du Remote Desktop Protocol (RDP). RDP est l’une des méthodes de distribution de ransomwares les plus populaires, car elle permet aux cybercriminels de compromettre les machines qui contrôlent des organisations entières.

Les victimes de CrySis ont été obligées de payer entre 455 et 1 022 dollars pour récupérer leurs fichiers.

Némucod

Nemucod est distribué à l'aide d'un e-mail de phishing qui ressemble à une facture de services de transport. Ce ransomware télécharge des fichiers malveillants stockés sur des sites Web piratés.

En termes d'utilisation d'e-mails de phishing, Nemucod est juste derrière Locky.

Jaffa

Jaff est similaire à Locky et utilise des techniques similaires. Ce ransomware ne se distingue pas par ses méthodes originales de diffusion ou de cryptage de fichiers, mais au contraire, il regroupe les pratiques les plus performantes.

Les attaquants à l’origine de cette opération ont exigé jusqu’à 3 700 dollars pour accéder aux fichiers cryptés.

Spora

Pour diffuser ce type de ransomware, les cybercriminels piratent des sites Web légitimes en y ajoutant du code JavaScript. Les utilisateurs qui accèdent à un tel site verront un avertissement contextuel les invitant à mettre à jour. Navigateur Chrome pour continuer à naviguer sur le site. Après avoir téléchargé le Chrome Font Pack, les utilisateurs ont été infectés par Spora.

Cerbère

L'un des nombreux vecteurs d'attaque utilisés par Cerber s'appelle RaaS (Ransomware-as-a-Service). Selon ce schéma, les attaquants proposent de payer pour la distribution du cheval de Troie, en promettant un pourcentage de l'argent reçu. Grâce à ce « service », les cybercriminels envoient des ransomwares et fournissent ensuite à d’autres attaquants les outils nécessaires pour les diffuser.

Cryptomix

Il s’agit de l’un des rares ransomwares à ne pas disposer d’un type spécifique de portail de paiement disponible sur le dark web. Les utilisateurs concernés doivent attendre que les cybercriminels les envoient e-mail instructions.

Des utilisateurs de 29 pays ont été victimes de Cryptomix ; ils ont été contraints de payer jusqu'à 3 000 $.

Puzzle

Un autre malware de la liste qui a commencé son activité en 2016. Jigsaw insère une image du clown de la série de films Saw dans les courriers indésirables. Dès que l’utilisateur clique sur l’image, le ransomware non seulement crypte, mais supprime également les fichiers si l’utilisateur paie trop tard la rançon de 150 $.

Conclusions

Comme nous le constatons, les menaces modernes utilisent des exploits de plus en plus sophistiqués contre des réseaux bien protégés. Même si une sensibilisation accrue des employés peut aider à gérer l’impact des infections, les entreprises doivent aller au-delà des normes de base en matière de cybersécurité pour se protéger. Se défendre contre les menaces actuelles nécessite des approches proactives qui exploitent des analyses en temps réel alimentées par un moteur d'apprentissage qui inclut la compréhension du comportement et du contexte des menaces.

Kaspersky Lab à propos du rançongiciel WannaCry

Les spécialistes de Kaspersky Lab ont analysé les informations sur les infections par un programme de rançongiciel appelé « WannaCry » rencontrées par des entreprises du monde entier le 12 mai.

Les spécialistes de Kaspersky Lab ont analysé les informations sur les infections par le ransomware, baptisé « WannaCry », rencontrées par des entreprises du monde entier le 12 mai. Comme l'analyse l'a montré, l'attaque s'est produite via la vulnérabilité réseau bien connue du Bulletin de sécurité Microsoft MS17-010. Ensuite, un rootkit a été installé sur le système infecté, à l'aide duquel les attaquants ont lancé un programme de cryptage.

Toutes les solutions de Kaspersky Lab détectent ce malware utilisé dans cette attaque avec les verdicts suivants :

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Cheval de Troie.Win64.EquationDrug.gen
• Trojan.Win32.Generic (pour détecter ce malware, le composant Surveillance du système doit être activé)

Pour décrypter les données, les attaquants exigent une rançon de 600 $ en cryptomonnaie Bitcoin. Actuellement, Kaspersky Lab a enregistré environ 45 000 tentatives d'attaque dans 74 pays à travers le monde. Le plus grand nombre des tentatives d'infection sont observées en Russie.

Si vos fichiers sont cryptés, vous ne devez absolument pas utiliser quoi que ce soit proposé sur Internet ou reçu via e-mails outils de décryptage. Les fichiers sont cryptés avec un algorithme de cryptage puissant et ne peuvent pas être déchiffrés, et les utilitaires que vous téléchargez peuvent causer encore plus de dommages à votre ordinateur et à ceux de toute l'organisation, car ils sont potentiellement malveillants et visent une nouvelle vague de l'épidémie.

Si vous découvrez que votre ordinateur a été infecté, vous devez l'éteindre et contacter le sécurité des informations pour des instructions supplémentaires.

• Installerpatch officiel deMicrosoft , qui ferme la vulnérabilité utilisée dans l'attaque (en particulier, des mises à jour sont déjà disponibles pour les versionsFenêtresXPEtFenêtres2003);
• Assurez-vous que les solutions de sécurité sont activées sur tous les nœuds du réseau ;
• Si vous utilisez une solution de sécurité de Kaspersky Lab, assurez-vous que sa version inclut le composant « Surveillance du système » et qu'il est activé ;
• Exécutez la tâche d'analyse des zones critiques dans la solution de sécurité de Kaspersky Lab pour détecter une éventuelle infection le plus tôt possible (sinon la détection se fera automatiquement dans les 24 heures) ;
• Après avoir détecté Trojan.Win64.EquationDrug.gen, redémarrez le système ;
• À l'avenir, pour éviter de tels incidents, utilisez les services de reporting sur les menaces pour recevoir rapidement des données sur les attaques ciblées les plus dangereuses et les infections possibles.

Plus informations détaillées sur les attaques « WannaCry » peuvent être trouvées dans le rapport de Kaspersky Lab