Folytatja nyomasztó menetét az interneten, megfertőzi a számítógépeket és titkosítja a fontos adatokat. Hogyan védheti meg magát a zsarolóvírusoktól, védheti meg a Windowst a zsarolóvírusoktól – megjelentek-e javítások a fájlok visszafejtésére és fertőtlenítésére?

Új ransomware vírus 2017 Sírni akarok továbbra is megfertőzi a vállalati és magán számítógépeket. U A vírustámadás okozta kár összesen 1 milliárd dollár. 2 hét alatt legalább megfertőződött a ransomware vírus 300 ezer számítógép figyelmeztetések és biztonsági intézkedések ellenére.

Ransomware vírus 2017, mi az?- általában a látszólag legártalmatlanabb oldalakon, például a felhasználói hozzáféréssel rendelkező banki szervereken „felveheti”. Egyszer merevlemezáldozatok, a ransomware „betelepül”. rendszermappa Rendszer32. Innentől a program azonnal letiltja a vírusirtót és bemegy az "Autorun"-ba" Minden újraindítás után ransomware befut a registry-be, elkezdi piszkos munkáját. A ransomware elkezdi letölteni az olyan programok hasonló példányait, mint a Ransom és a Trojan. Az is gyakran előfordul ransomware önreplikáció. Ez a folyamat lehet pillanatnyi, vagy hetekbe telhet, amíg az áldozat észreveszi, hogy valami nincs rendben.

A ransomware gyakran közönséges képeknek vagy szöveges fájloknak álcázza magát, de a lényeg mindig ugyanaz - ez egy futtatható fájl .exe, .drv, .xvd kiterjesztéssel; Néha- libraries.dll. Leggyakrabban a fájlnak teljesen ártalmatlan neve van, például " dokumentum. doc", vagy " kép.jpg", ahol a kiterjesztést manuálisan írják be, és a valódi fájltípus rejtve van.

A titkosítás befejezése után a felhasználó az ismerős fájlok helyett „véletlenszerű” karakterkészletet lát a névben és belül, és a kiterjesztés egy korábban ismeretlenre változik - .NO_MORE_RANSOM, .xdataés mások.

Wanna Cry ransomware virus 2017 – hogyan védekezhet. Azonnal szeretném megjegyezni, hogy a Wanna Cry inkább egy gyűjtőfogalom az összes titkosító vírusra és ransomware-re, mivel utóbbi időben leggyakrabban fertőzött számítógépek. Szóval, megbeszéljük Védje magát a Ransom Ware ransomware ellen, amelyek közül nagyon sok van: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Hogyan védjük meg a Windows-t a zsarolóprogramoktól. – EternalBlue az SMB port protokollon keresztül.

A Windows védelme a ransomware 2017-től – alapvető szabályok:

• Windows frissítés, időszerű átállás licencelt operációs rendszerre (megjegyzés: az XP verzió nem frissül)
• frissítés víruskereső adatbázisokés tűzfalak igény szerint
• rendkívüli elővigyázatosság a fájlok letöltésénél (az aranyos „pecsétek” az összes adat elvesztését okozhatják)
• biztonsági mentés fontos információkat cserélhető adathordozóra.

Ransomware vírus 2017: a fájlok fertőtlenítése és visszafejtése.

A víruskereső szoftverre támaszkodva egy időre elfelejtheti a visszafejtőt. Laboratóriumokban Kaspersky, dr. Web, Avast!és egyelőre egyéb vírusirtókkal nem találtunk megoldást a fertőzött fájlok kezelésére. On pillanatnyilag Lehetséges vírusirtó segítségével eltávolítani a vírust, de még nincsenek olyan algoritmusok, amelyek mindent „normálra” állítanának vissza.

Néhányan dekódolókat próbálnak használni, például a RectorDecryptor segédprogramot, de ez nem segít: még nem állították össze az új vírusok visszafejtésére szolgáló algoritmust. Az sem ismert, hogy a vírus hogyan fog viselkedni, ha nem távolítják el az ilyen programok használata után. Ez gyakran az összes fájl törlését eredményezheti - figyelmeztetésül azoknak, akik nem akarnak fizetni a támadóknak, a vírus szerzőinek.

Jelenleg a legtöbb hatékony módon Az elveszett adatok visszaállítása azt jelenti, hogy kapcsolatba kell lépni a műszaki támogatással. beszállítói támogatás víruskereső program amit használsz. Ehhez küldjön egy levelet, vagy használja az űrlapot a címre visszacsatolás a gyártó honlapján. Feltétlenül adja hozzá a titkosított fájlt a melléklethez, és ha rendelkezésre áll, az eredeti másolatát. Ez segít a programozóknak az algoritmus összeállításában. Sajnos sokak számára teljes meglepetést okoz egy vírustámadás, és nem találnak másolatot, ami nagymértékben bonyolítja a helyzetet.

Kardiológiai módszerek Windows kezelés ransomware-től. Sajnos néha ehhez kell folyamodni teljes formázás merevlemez, ami az operációs rendszer teljes megváltoztatását vonja maga után. Sokan gondolkodnak a rendszer visszaállításán, de ez nem lehetséges - még a „visszaállítás” is megszabadul a vírustól, de a fájlok továbbra is titkosítva maradnak.

Körülbelül egy-két hete jelent meg az interneten egy újabb hack a modern vírusgyártóktól, amely a felhasználó összes fájlját titkosítja. Még egyszer megvizsgálom azt a kérdést, hogyan lehet meggyógyítani a számítógépet egy ransomware vírus után titkosított000007és visszaállíthatja a titkosított fájlokat. Ebben az esetben semmi új vagy egyedi nem jelent meg, csak az előző verzió módosítása.

A fájlok garantált visszafejtése ransomware vírus után - dr-shifro.ru. A munka részletei és az ügyféllel való interakció sémája alább található a cikkemben vagy a webhelyen a „Munkafolyamat” részben.

A CRYPTED000007 ransomware vírus leírása

A CRYPTED000007 titkosító alapvetően nem különbözik elődeitől. Szinte pontosan ugyanúgy működik. De mégis van néhány árnyalat, amely megkülönbözteti. Elmondok mindent sorban.

Hasonlóan analógjaihoz, postai úton érkezik. Social engineering technikákat alkalmaznak annak biztosítására, hogy a felhasználó érdeklődni kezd a levél iránt, és felnyitja azt. Az én esetemben a levél valamiféle bíróságról és az üggyel kapcsolatos fontos információkról szólt a mellékletben. A melléklet indítása után a felhasználó megnyit egy Word-dokumentumot a Moszkvai Választottbíróság kivonatával.

A dokumentum megnyitásával párhuzamosan elindul a fájltitkosítás. Folyamatosan elkezd felbukkanni információs üzenet a Windows felhasználói fiókok felügyeletéből.

Ha elfogadja a javaslatot, akkor a Windows árnyékmásolatában lévő fájlok biztonsági másolatai törlődnek, és az információk visszaállítása nagyon nehéz lesz. Nyilvánvaló, hogy a javaslattal semmilyen körülmények között nem érthet egyet. Ebben a titkosítóban ezek a kérések folyamatosan, egymás után bukkannak fel, és nem állnak le, kényszerítve a felhasználót, hogy beleegyezzen és törölje a biztonsági másolatokat. Ez a fő különbség a titkosítók korábbi módosításaihoz képest. Még soha nem találkoztam olyan kéréssel, hogy megállás nélkül töröljem az árnyékmásolatokat. Általában 5-10 ajánlat után abbahagyták.

Azonnal adok ajánlást a jövőre nézve. Nagyon gyakori, hogy az emberek letiltják a felhasználói fiókok felügyeletére vonatkozó figyelmeztetéseket. Erre nincs szükség. Ez a mechanizmus valóban segíthet a vírusok elleni küzdelemben. A második kézenfekvő tanács, hogy ne dolgozz állandóan alatta fiókot számítógépes rendszergazda, hacsak nincs rá objektív igény. Ebben az esetben a vírusnak nem lesz lehetősége nagy kárt okozni. Nagyobb esélye lesz ellenállni neki.

De még ha mindig is negatívan válaszolt a ransomware kérésére, minden adata már titkosítva van. A titkosítási folyamat befejezése után egy kép jelenik meg az asztalon.

Ugyanakkor sokan lesznek szöveges fájlok azonos tartalommal.

A fájljai titkosítva lettek. Az ux visszafejtéséhez el kell küldenie a következő kódot: 329D54752553ED978F94|0 az ​​e-mail címre [e-mail védett]. Ezután megkapja az összes szükséges utasítást. Az önálló megfejtési kísérletek nem vezetnek máshoz, mint visszavonhatatlan számú információhoz. Ha mégis meg akarja próbálni, akkor először készítsen biztonsági másolatot a fájlokról, különben változás esetén a visszafejtés semmilyen körülmények között lehetetlenné válik. Ha 48 órán belül nem kap értesítést a fenti címre (csak ebben az esetben), használja a kapcsolatfelvételi űrlapot. Ezt kétféleképpen lehet megtenni: 1) Töltse le és telepítse a Tor Browser-t a következő hivatkozás segítségével: https://www.torproject.org/download/download-easy.html.en A címtérben Tor böngészőírja be a címet: http://cryptsen7fo43rr6.onion/ és nyomja meg az Enter billentyűt. A kapcsolatfelvételi űrlapot tartalmazó oldal betöltődik. 2) Bármely böngészőben nyissa meg a következő címek egyikét: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ A számítógépén lévő összes fontos fájl titkosítva volt. A fájlok visszafejtéséhez el kell küldenie a következőket kód: 329D54752553ED978F94|0 e-mail címre [e-mail védett]. Ezután megkapja az összes szükséges utasítást. Az ön által végzett visszafejtési kísérletek csak az adatok visszavonhatatlan elvesztését eredményezik. Ha továbbra is meg akarja próbálni egyedül visszafejteni őket, kérjük, először készítsen biztonsági másolatot, mert a visszafejtés lehetetlenné válik a fájlokon belüli változtatások esetén. Ha több mint 48 órán keresztül (és csak ebben az esetben!) nem kapta meg a választ a fent említett e-mailből, használja a visszajelzési űrlapot. Ezt kétféleképpen teheti meg: 1) Töltse le a Tor böngészőt innen: https://www.torproject.org/download/download-easy.html.en Telepítse és írja be a következő címet a címsor: http://cryptsen7fo43rr6.onion/ Nyomja meg Írja be és akkor betöltődik a visszajelzési űrlapot tartalmazó oldal. 2) Lépjen ide az egy a következő címek közül bármelyik böngészőben: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

A levelezési cím változhat. A következő címekre is akadtam:

• [e-mail védett]
• [e-mail védett]

A címek folyamatosan frissülnek, így teljesen eltérőek lehetnek.

Amint rájön, hogy a fájlok titkosítva vannak, azonnal kapcsolja ki a számítógépet. Ezt meg kell tenni a titkosítási folyamat megszakításához helyi számítógépés a hálózati meghajtókon. A ransomware vírus titkosíthat minden információt, amelyet elérhet, beleértve a hálózati meghajtókat is. De ha nagy mennyiségű információ van ott, akkor ez sok időt vesz igénybe. Néha a kriptográfusnak néhány óra alatt sem volt ideje mindent titkosítani hálózati meghajtó körülbelül 100 gigabájt.

Ezután alaposan át kell gondolnia, hogyan cselekedjen. Ha bármilyen áron információra van szüksége a számítógépéről, és nincs biztonsági másolata, akkor ebben a pillanatban jobb, ha szakemberekhez fordul. Nem feltétlenül pénzért egyes cégeknek. Csak kell valaki, aki jó információs rendszerek. Fel kell mérni a katasztrófa mértékét, el kell távolítani a vírust, és össze kell gyűjteni minden rendelkezésre álló információt a helyzetről, hogy megértsük, hogyan tovább.

Helytelen műveletek ebben a szakaszban jelentősen megnehezítheti a fájlok visszafejtésének vagy visszaállításának folyamatát. A legrosszabb esetben ellehetetleníthetik. Tehát szánjon időt, legyen óvatos és következetes.

Hogyan titkosítja a fájlokat a CRYPTED000007 ransomware vírus

Miután a vírus elindult, és befejezte tevékenységét, minden hasznos fájl titkosításra kerül, és átnevezi őket kiterjesztés.crypted000007. Sőt, nem csak a fájlkiterjesztés cserélődik le, hanem a fájlnév is, így ha nem emlékszik, nem fogja tudni pontosan, milyen fájljai voltak. Valahogy így fog kinézni.

Ilyen helyzetben nehéz lesz felmérni a tragédia mértékét, mivel nem fog tudni teljesen emlékezni arra, hogy mi volt a különböző mappákban. Ezt kifejezetten azért tették, hogy megzavarják az embereket, és arra ösztönözzék őket, hogy fizessenek a fájlok visszafejtésére.

És ha a hálózati mappák titkosítva voltak, és nincs teljes biztonsági másolat, akkor ez teljesen leállíthatja az egész szervezet munkáját. Eltart egy ideig, amíg rájön, mi veszett el végül, és elkezdheti a helyreállítást.

Hogyan kezeljük számítógépét és távolítsuk el a CRYPTED000007 ransomware-t

A CRYPTED000007 vírus már megtalálható a számítógépén. Az első és legfontosabb kérdés az, hogyan fertőtlenítsük a számítógépet, és hogyan távolítsuk el a vírust, hogy megakadályozzuk a további titkosítást, ha az még nem fejeződött be. Azonnal szeretném felhívni a figyelmet arra a tényre, hogy miután Ön elkezdett néhány műveletet végrehajtani a számítógépével, az adatok visszafejtésének esélye csökken. Ha bármilyen áron vissza kell állítania a fájlokat, ne érintse meg számítógépét, hanem azonnal forduljon a szakemberekhez. Az alábbiakban beszélek róluk, linket adok az oldalra, és leírom, hogyan működnek.

Addig is folytatjuk a számítógép önálló kezelését és a vírus eltávolítását. A zsarolóprogramok hagyományosan könnyen eltávolíthatók a számítógépről, mivel a vírusnak nem az a feladata, hogy bármi áron a számítógépen maradjon. A fájlok teljes titkosítása után még jövedelmezőbb számára, ha törli magát és eltűnik, ami megnehezíti az incidens kivizsgálását és a fájlok visszafejtését.

Írd le kézi eltávolítás A vírus nehéz, bár korábban próbálkoztam ezzel, de úgy látom, hogy legtöbbször értelmetlen. A fájlnevek és a víruselhelyezési útvonalak folyamatosan változnak. Amit láttam, egy-két hét múlva már nem aktuális. A vírusokat általában hullámokban küldik levélben, és minden alkalommal új módosítás történik, amelyet a vírusirtó még nem észlel. Segítenek az univerzális eszközök, amelyek ellenőrzik az indítást és észlelik a gyanús tevékenységeket a rendszermappákban.

A CRYPTED000007 vírus eltávolításához a következő programokat használhatja:

1. Kaspersky Virus Removal Tool – a Kaspersky segédprogramja http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - hasonló termék más webről http://free.drweb.ru/cureit.
3. Ha az első két segédprogram nem segít, próbálja ki a MALWAREBYTES 3.0-t – https://ru.malwarebytes.com.

Valószínűleg az egyik ilyen termék megtisztítja a számítógépét a CRYPTED000007 zsarolóvírustól. Ha hirtelen úgy történik, hogy nem segítenek, próbálja meg manuálisan eltávolítani a vírust. Adtam egy példát az eltávolítási módszerre, és ott láthatod. Röviden, lépésről lépésre a következőképpen kell eljárnia:

1. Megnézzük a folyamatok listáját, miután több további oszlopot adtunk a feladatkezelőhöz.
2. Megtaláljuk a vírus folyamatát, megnyitjuk a mappát, amelyben található, és töröljük.
3. Töröljük a vírusfolyamat említését fájlnévvel a rendszerleíró adatbázisban.
4. Újraindítjuk, és megbizonyosodunk arról, hogy a CRYPTED000007 vírus nem szerepel a futó folyamatok listájában.

Hol lehet letölteni a CRYPTED000007 dekódolót

Az egyszerű és megbízható visszafejtő kérdése mindenekelőtt akkor merül fel, ha egy ransomware vírusról van szó. Elsőként a https://www.nomoreransom.org szolgáltatás használatát javaslom. Mi van, ha szerencséd van, és van egy visszafejtőjük a CRYPTED000007 titkosító verziójához. Azonnal mondom, hogy nincs sok esélyed, de a próbálkozás nem kínzás. On kezdőlap kattintson az Igen gombra:

Ezután töltsön le néhány titkosított fájlt, és kattintson a Go! Tudja meg:

A cikk írásakor még nem volt dekódoló az oldalon.

Talán jobb szerencséd lesz. A letölthető dekódolók listáját egy külön oldalon is megtekintheti - https://www.nomoreransom.org/decryption-tools.html. Talán van benne valami hasznos. Amikor a vírus teljesen friss, ennek kicsi az esélye, de idővel megjelenhet valami. Vannak példák arra, hogy a titkosítók bizonyos módosításainak dekódolói megjelentek az interneten. És ezek a példák a megadott oldalon találhatók.

Nem tudom, hol találsz még dekódert. Nem valószínű, hogy valóban létezik, figyelembe véve a modern titkosítók munkájának sajátosságait. Csak a vírus szerzői rendelkezhetnek teljes értékű dekódolóval.

Hogyan lehet visszafejteni és visszaállítani a fájlokat a CRYPTED000007 vírus után

Mi a teendő, ha a CRYPTED000007 vírus titkosította a fájlokat? A titkosítás technikai megvalósítása nem teszi lehetővé a fájlok visszafejtését kulcs vagy dekódoló nélkül, amivel csak a titkosító szerzője rendelkezik. Lehet, hogy más módon is meg lehet szerezni, de nincs ilyen információm. Csak rögtönzött módszerekkel próbálhatjuk meg helyreállítani a fájlokat. Ezek a következők:

• Eszköz árnyékmásolatok ablakok.
• Törölt adat-helyreállító programok

Először is ellenőrizzük, hogy engedélyezve vannak-e az árnyékmásolatok. Ez az eszköz alapértelmezés szerint működik a Windows 7 és újabb rendszerekben, hacsak nem manuálisan tiltja le. Az ellenőrzéshez nyissa meg a számítógép tulajdonságait, és lépjen a rendszervédelem részre.

Ha a fertőzés során nem erősítette meg az UAC kérését az árnyékmásolatokban lévő fájlok törlésére, akkor néhány adatnak ott kell maradnia. Erről a kérésről a történet elején részletesebben szóltam, amikor a vírus munkájáról beszéltem.

A fájlok árnyékmásolatokból történő egyszerű visszaállításához javaslom a használatát ingyenes program erre a célra - ShadowExplorer. Töltse le az archívumot, csomagolja ki a programot és futtassa.

Megnyílik a fájlok legfrissebb példánya és a C meghajtó gyökere. A bal felső sarokban kiválaszthat egy biztonsági másolatot, ha több van belőlük. Ellenőrizze a különböző példányok elérhetőségét szükséges fájlokat. Hasonlítsa össze dátum szerint, hol több legújabb verziója. Az alábbi példámban 2 fájlt találtam az asztalomon három hónappal ezelőttről, amikor legutóbb szerkesztették őket.

Sikerült visszaállítani ezeket a fájlokat. Ehhez kijelöltem őket, jobb gombbal rákattintottam, az Export lehetőséget választottam, és megadtam a mappát, ahová visszaállítom őket.

Ugyanezen elv alapján azonnal visszaállíthatja a mappákat. Ha működtek az árnyékmásolatok, és nem törölte őket, jó eséllyel helyreállíthatja az összes, vagy majdnem az összes vírus által titkosított fájlt. Talán néhány közülük több lesz régi verzió, mint szeretnénk, de mégis jobb, mint a semmi.

Ha valamilyen okból nem rendelkezik árnyékmásolatokkal a fájlokról, az egyetlen esélye, hogy legalább valamit megszerezzen a titkosított fájlokból, ha visszaállítja azokat helyreállítási eszközökkel. törölt fájlok. Ehhez az ingyenes Photorec programot javaslom.

Indítsa el a programot, és válassza ki a lemezt, amelyen visszaállítja a fájlokat. Dob grafikus változat a program végrehajtja a fájlt qphotorec_win.exe. Ki kell választani egy mappát, ahová a talált fájlok kerülnek. Jobb, ha ez a mappa nem ugyanazon a meghajtón található, ahol keresünk. Csatlakoztasson egy flash meghajtót, ill külső kemény lemez ehhez.

A keresési folyamat sokáig fog tartani. A végén látni fogja a statisztikákat. Most beléphet a korábban megadott mappába, és megnézheti, mi található ott. Valószínűleg sok fájl lesz, és a legtöbb vagy megsérül, vagy valamilyen rendszer és haszontalan fájlok lesznek. Ennek ellenére néhány hasznos fájl található ebben a listában. Itt nincs garancia, amit találsz, azt megtalálod. A képek általában a legjobban helyreállíthatók.

Ha az eredmény nem kielégítő, akkor vannak programok a törölt fájlok helyreállítására is. Az alábbiakban felsoroljuk azokat a programokat, amelyeket általában akkor használok, amikor vissza kell állítani maximális mennyiség fájlok:

• R.saver
• Starus Fájl-helyreállítás
• JPEG Recovery Pro
• Active File Recovery Professional

Ezek a programok nem ingyenesek, ezért nem adok hivatkozásokat. Ha igazán akarod, magad is megtalálhatod őket az interneten.

A teljes fájl-helyreállítási folyamatot részletesen bemutatja a cikk végén található videó.

Kaspersky, eset nod32 és mások a Filecoder.ED titkosító elleni küzdelemben

A népszerű antivírusok észlelik a CRYPTED000007 zsarolóvírust, mint Filecoder.EDés akkor lehet valami más megnevezés. Átnéztem a nagyobb vírusirtó fórumokat, és nem találtam ott semmi hasznosat. Sajnos, ahogy az lenni szokott, a víruskereső szoftverekről kiderült, hogy nincsenek felkészülve a ransomware új hullámának inváziójára. Íme egy bejegyzés a Kaspersky fórumról.

A vírusirtóknak hagyományosan hiányoznak a ransomware trójaiak új módosításai. Ennek ellenére javaslom a használatát. Ha szerencséd van, és nem a fertőzések első hullámában, hanem kicsit később kapsz egy ransomware e-mailt, akkor van esély arra, hogy a vírusirtó segítségedre lesz. Mindannyian egy lépéssel a támadók mögött dolgoznak. Kiderül új verzió ransomware, az antivírusok nem reagálnak rá. Amint összegyűlik egy bizonyos mennyiségű anyag egy új vírus kutatásához, a víruskereső szoftver frissítést bocsát ki, és reagál rá.

Nem értem, mi akadályozza meg a víruskeresőket abban, hogy azonnal reagáljanak a rendszer bármely titkosítási folyamatára. Talán van néhány technikai árnyalat ebben a témában, amely nem teszi lehetővé számunkra, hogy megfelelően reagáljunk és megakadályozzuk a felhasználói fájlok titkosítását. Számomra úgy tűnik, hogy lehetséges lenne legalább egy figyelmeztetést megjeleníteni arról, hogy valaki titkosítja a fájljait, és felajánlhatná a folyamat leállítását.

Hová forduljunk a garantált visszafejtésért

Lehetőségem volt találkozni egy olyan céggel, amely ténylegesen visszafejti az adatokat különböző titkosító vírusok, köztük a CRYPTED000007 munkája után. Címük: http://www.dr-shifro.ru. Fizetés csak a teljes visszafejtés és az Ön ellenőrzése után. Íme egy hozzávetőleges munkaséma:

1. A cég szakembere eljön az irodájába vagy otthonába, és aláír Önnel egy szerződést, amely meghatározza a munka költségét.
2. Elindítja a visszafejtőt, és visszafejti az összes fájlt.
3. Győződjön meg arról, hogy minden fájl meg van nyitva, és aláírja az átadási/átvételi igazolást az elvégzett munkáról.
4. A fizetés csak a sikeres visszafejtési eredmények után történik.

Őszinte leszek, nem tudom, hogy csinálják, de nem kockáztatsz semmit. Fizetés csak a dekóder működésének bemutatása után. Kérjük, írjon véleményt a céggel kapcsolatos tapasztalatairól.

A CRYPTED000007 vírus elleni védekezési módszerek

Hogyan védekezhet a ransomware ellen, és hogyan kerülheti el az anyagi és erkölcsi károkat? Van néhány egyszerű és hatékony tipp:

1. Biztonsági mentés! Biztonsági mentés minden fontos adatot. És nem csak egy biztonsági másolat, hanem egy olyan mentés, amelyhez nincs állandó hozzáférés. Ellenkező esetben a vírus megfertőzheti a dokumentumokat és a biztonsági másolatokat is.
2. Licenc vírusirtó. Bár nem adnak 100%-os garanciát, növelik a titkosítás elkerülésének esélyét. Leggyakrabban nem állnak készen a titkosító új verzióira, de 3-4 nap múlva elkezdenek válaszolni. Ez növeli a fertőzés elkerülésének esélyét, ha nem szerepel a ransomware új módosításának első terjesztési hullámában.
3. Ne nyissa meg a gyanús mellékleteket a levélben. Itt nincs mit kommentálni. Az általam ismert összes zsarolóprogram e-mailben elérte a felhasználókat. Ráadásul minden alkalommal új trükköket találnak ki az áldozat megtévesztésére.
4. Ne nyisson meg meggondolatlanul az ismerőseitől küldött linkeket közösségi média vagy hírnökök. A vírusok is így terjednek néha.
5. Bekapcsol windows kijelző fájlkiterjesztéseket. Ennek módja könnyen megtalálható az interneten. Ez lehetővé teszi, hogy észrevegye a vírus fájlkiterjesztését. Leggyakrabban az lesz .exe, .vbs, .src. A dokumentumokkal végzett mindennapi munkája során valószínűleg nem találkozik ilyen fájlkiterjesztésekkel.

Igyekeztem minden, a ransomware vírusról szóló cikkben kiegészíteni a korábban már leírtakat. Közben elköszönök. Örülnék, ha hasznos észrevételeket kapnék a cikkről és általában a CRYPTED000007 ransomware vírusról.

Videó a fájlok visszafejtéséről és helyreállításáról

Itt van egy példa a vírus korábbi módosítására, de a videó teljesen releváns a CRYPTED000007 esetében.

Az első hírek szerint a támadók által kedden aktivált titkosító vírus a már ismert Petya ransomware család tagja volt, de később kiderült, hogy ez egy új, jelentősen eltérő funkcionalitású kártevőcsalád. Kaspersky Lab szinkronizált új vírus ExPetr.

„A szakértőink által végzett elemzés azt mutatta, hogy az áldozatoknak kezdetben esélyük sem volt visszaszerezni irataikat. "A Kaspersky Lab kutatói elemezték a kártevő kódnak azt a részét, amely a fájltitkosításhoz kapcsolódik, és megállapították, hogy a lemez titkosítása után a vírus létrehozói már nem tudják visszafejteni" - írja a laboratórium.

Ahogy a vállalat megjegyzi, a visszafejtéshez egyedi azonosítóra van szükség egy adott trójai telepítéshez. Korábban ismert változatai hasonló titkosítók Petya/Mischa/GoldenEye, a telepítési azonosító a visszafejtéshez szükséges információkat tartalmazta. Az ExPetr esetében ez az azonosító nem létezik. Ez azt jelenti, hogy a kártevő létrehozói nem tudják megszerezni a fájlok visszafejtéséhez szükséges információkat. Más szavakkal, a ransomware áldozatainak nincs módjuk visszaszerezni adataikat – magyarázza a Kaspersky Lab.

A vírus blokkolja a számítógépeket, és 300 dollár bitcoint követel – mondta a Group-IB a RIA Novostinak. A támadás kedden 11 óra körül kezdődött. Sajtóértesülések szerint szerda 18 óráig kilenc átutalást kapott a bitcoin pénztárca, amelyet a zsarolóknak való pénz átutalására írtak elő. Az átutalási jutalékot figyelembe véve az áldozatok mintegy 2,7 ​​ezer dollárt utaltak át a hackereknek.

A WannaCry-hez képest ez a vírus pusztítóbbnak számít, mivel többféle módszerrel terjed - től Windows használatával Management Instrumentation, PsExec és EternalBlue exploit. Ezenkívül a zsarolóprogram be van ágyazva ingyenes segédprogram Mimikatz.

Elérte a kétezret az új „új Petya” titkosítóvírus által megtámadott felhasználók száma – közölte szerdán a számítógépes fertőzési hullámot vizsgáló Kaspersky Lab.

Az ESET vírusirtó cég szerint a támadás Ukrajnában kezdődött, amely többet szenvedett, mint más országok. A vírus által érintett országokra vonatkozó cégértékelés szerint Ukrajna után Olaszország áll a második helyen, Izrael pedig a harmadik helyen. Az első tízbe Szerbia, Magyarország, Románia, Lengyelország, Argentína, Csehország és Németország is bekerült. Oroszország benne ezt a listát a 14. helyet szerezte meg.

Ráadásul az Avast elmondta, hogy pontosan mit operációs rendszerek szenvedett a legtöbbet a vírustól.

A Windows 7 volt az első helyen – az összes fertőzött számítógép 78%-a. Következik a Windows XP (18%), a Windows 10 (6%) és a Windows 8.1 (2%).

Így a WannaCry gyakorlatilag semmit nem tanított meg a globális közösségnek – a számítógépek védtelenek maradtak, a rendszerek nem frissültek, és a Microsoft azon törekvése, hogy még az elavult rendszerekre is javításokat bocsásson ki, egyszerűen kárba ment.

A kiberbűnözők évtizedek óta sikeresen használják ki a világháló hibáit és sebezhetőségeit. Az elmúlt években azonban egyértelműen nőtt a támadások száma, illetve szintje is – a támadók egyre veszélyesebbek, ill. rosszindulatú program soha nem látott ütemben terjednek.

Bevezetés

A ransomware-ről beszélünk, amely hihetetlen ugrást tett 2017-ben, és szervezetek ezreinek okozott károkat szerte a világon. Például Ausztráliában a ransomware támadások, mint például a WannaCry és a NotPetya, még kormányzati szinten is aggodalmat keltettek.

Összefoglalva a ransomware kártevők idei „sikereit”, megvizsgáljuk a 10 legveszélyesebbet, amelyek a legnagyobb kárt okozták a szervezeteknek. Bízzunk benne, hogy jövőre levonjuk a leckét, és megakadályozzuk, hogy ilyen jellegű probléma bekerüljön hálózatunkba.

Nem Petya

Ennek a ransomware-nek a támadása az ukrán M.E.Doc könyvelőprogrammal kezdődött, amely az Ukrajnában betiltott 1C-t váltotta fel. A NotPetya néhány nap alatt több százezer számítógépet fertőzött meg több mint 100 országban. Ez a rosszindulatú program egy régebbi verziója Petya ransomware, az egyetlen különbség köztük az, hogy a NotPetya támadások ugyanazt az exploitot használták, mint a WannaCry támadások.

A NotPetya terjedésével több ausztrál szervezetet is érintett, például a tasmániai Cadbury csokoládégyárat, amelynek ideiglenesen le kellett állítania a teljes informatikai rendszerét. Ennek a ransomware-nek sikerült behatolnia a világ legnagyobb konténerhajójába is, cég tulajdonában van A Maersk, amely állítólag akár 300 millió dollár bevételtől is elesett.

WannaCry

Ez a ransomware, a maga méretében szörnyű, gyakorlatilag az egész világot elfoglalta. Támadásai a hírhedt EternalBlue exploitot használták, amely a Microsoft Server Message Block (SMB) protokoll egy sebezhetőségét használja ki.

A WannaCry 150 országban és több mint 200 000 gépen fertőzött meg áldozatokat csak az első napon. Kiadtuk ezt a szenzációs rosszindulatú programot.

Locky

A Locky volt a legnépszerűbb zsarolóvírus 2016-ban, de 2017-ben is aktív maradt. A Locky új változatai, Diablo és Lukitus névre keresztelve jelentek meg ebben az évben, ugyanazt a támadási vektort (adathalászat) használva a támadások elindításához.

Locky állt az Australia Post e-mail-csalási botrányának hátterében. Az Ausztrál Versenyügyi és Fogyasztói Bizottság szerint a polgárok több mint 80 000 dollárt veszítettek e csalás miatt.

CrySis

Ezt a példányt a Remote Desktop Protocol (RDP) mesteri használata jellemezte. Az RDP az egyik legnépszerűbb módszer a zsarolóvírusok terjesztésére, mivel lehetővé teszi a kiberbűnözők számára, hogy kompromittáljanak olyan gépeket, amelyek egész szervezeteket irányítanak.

A CrySis áldozatainak 455 és 1022 dollár közötti összeget kellett fizetniük fájljaik visszaszerzéséért.

Nemucod

A Nemucod egy adathalász e-mail segítségével kerül terjesztésre, amely úgy néz ki, mint egy szállítási szolgáltatásokról szóló számla. Ez a zsarolóprogram letölti a feltört webhelyeken tárolt rosszindulatú fájlokat.

Az adathalász e-mailek használatát tekintve a Nemucod a Locky után a második.

Jaff

A Jaff hasonló a Lockyhoz, és hasonló technikákat használ. Ez a ransomware nem az eredeti fájlok terjesztési vagy titkosítási módszereiről nevezetes, hanem éppen ellenkezőleg, a legsikeresebb gyakorlatokat ötvözi.

A mögötte álló támadók akár 3700 dollárt is követeltek a titkosított fájlokhoz való hozzáférésért.

Spora

Az ilyen típusú zsarolóvírusok terjesztése érdekében a kiberbűnözők JavaScript-kód hozzáadásával törik fel a legitim webhelyeket. Az ilyen webhelyre érkező felhasználók felugró figyelmeztetést fognak látni, amely frissítésre kéri őket. Chrome böngésző az oldal böngészésének folytatásához. Az úgynevezett Chrome Font Pack letöltése után a felhasználók megfertőződtek a Sporával.

Cerber

A Cerber által használt számos támadási vektor egyike a RaaS (Ransomware-as-a-Service). E séma szerint a támadók felajánlják, hogy fizetnek a trójai terjesztéséért, a kapott pénz egy százalékát ígérve. Ezen a „szolgáltatáson” keresztül a kiberbűnözők zsarolóprogramokat küldenek ki, majd a többi támadót a terjesztésükhöz szükséges eszközökkel látják el.

Cryptomix

Ez azon kevés ransomware egyike, amely nem rendelkezik meghatározott típusú fizetési portállal a sötét weben. Az érintett felhasználóknak meg kell várniuk, amíg a kiberbűnözők elküldik őket email utasítás.

29 országból származó felhasználók voltak a Cryptomix áldozatai, kénytelenek voltak akár 3000 dollárt fizetni.

Lombfűrész

Egy másik rosszindulatú program a listáról, amely 2016-ban kezdte meg tevékenységét. A Jigsaw a Fűrész filmsorozat bohócának képét szúrja be a spam e-mailekbe. Amint a felhasználó rákattint a képre, a ransomware nem csak titkosítja, hanem törli is a fájlokat, ha a felhasználó túl későn fizeti ki a 150 dolláros váltságdíjat.

Következtetések

Amint látjuk, a modern fenyegetések egyre kifinomultabb támadásokat alkalmaznak a jól védett hálózatok ellen. Míg az alkalmazottak fokozott tudatossága segíthet a fertőzések hatásainak kezelésében, a vállalkozásoknak túl kell lépniük az alapvető kiberbiztonsági szabványokon, hogy megvédjék magukat. A mai fenyegetésekkel szembeni védekezéshez olyan proaktív megközelítésekre van szükség, amelyek a valós idejű elemzést olyan tanulómotorral hajtják végre, amely magában foglalja a fenyegetések viselkedésének és kontextusának megértését.

Kaspersky Lab a WannaCry ransomware-ről

A Kaspersky Lab szakemberei a „WannaCry” nevű ransomware programmal elemezték a fertőzésekkel kapcsolatos információkat, amelyekkel május 12-én találkoztak a vállalatok világszerte.

A Kaspersky Lab szakemberei elemezték a „WannaCry” névre keresztelt zsarolóvírus-fertőzésekkel kapcsolatos információkat, amelyekkel május 12-én találkoztak a vállalatok világszerte. Amint az elemzés kimutatta, a támadás a jól ismert Microsoft Security Bulletin MS17-010 hálózati sebezhetőségen keresztül történt. Ezután egy rootkitet telepítettek a fertőzött rendszerre, amellyel a támadók titkosító programot indítottak el.

A Kaspersky Lab összes megoldása a következő ítéletekkel észleli ezt a kártevőt, amelyet ebben a támadásban használtak:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (a rosszindulatú program észleléséhez engedélyezni kell a Rendszerfigyelő összetevőt)

Az adatok visszafejtéséhez a támadók 600 dollár váltságdíjat követelnek Bitcoin kriptovalutában. Jelenleg a Kaspersky Lab mintegy 45 000 támadási kísérletet rögzített a világ 74 országában. Legnagyobb szám fertőzési kísérletek figyelhetők meg Oroszországban.

Ha a fájlok titkosítva vannak, semmiképpen ne használjon semmit az interneten kínált vagy e-mailen keresztül kapott e-maileket visszafejtő eszközök. A fájlok titkosítása erős titkosítási algoritmussal történik, és nem lehet visszafejteni, a letöltött segédprogramok pedig még nagyobb károkat okozhatnak mind az Ön számítógépében, mind a szervezeten belüli számítógépeiben, mivel potenciálisan rosszindulatúak, és a járvány új hullámát célozzák.

Ha azt tapasztalja, hogy számítógépe fertőzött, kapcsolja ki, és lépjen kapcsolatba a információbiztonság további utasításokért.

• Telepítéshivatalos javítás innenMicrosoft , amely bezárja a támadásban használt sebezhetőséget (különösen a verziókhoz már elérhetők frissítésekWindowsXPÉsWindows2003);
• Győződjön meg arról, hogy a biztonsági megoldások minden hálózati csomóponton engedélyezve vannak;
• Ha Kaspersky Lab biztonsági megoldást használ, győződjön meg arról, hogy annak verziója tartalmazza a „Rendszerfigyelés” összetevőt, és engedélyezve van;
• Futtassa a kritikus területek vizsgálatát a Kaspersky Lab biztonsági megoldásában, hogy a lehető legkorábban észlelje az esetleges fertőzést (ellenkező esetben az észlelés 24 órán belül automatikusan megtörténik);
• A Trojan.Win64.EquationDrug.gen észlelése után indítsa újra a rendszert;
• A jövőben az ilyen incidensek megelőzése érdekében használja a fenyegetésinformációs szolgáltatásokat, hogy azonnal megkapja az adatokat a legveszélyesebb célzott támadásokról és lehetséges fertőzésekről.

Több részletes információkat A „WannaCry” támadásokról a Kaspersky Lab jelentésében olvashat