Cara melawan virus ransomware baru. Virus enkripsi: bagaimana cara mendisinfeksi dan mendekripsi file? Mendekripsi file setelah virus ransomware. Metode perlindungan terhadap virus CRYPTED000007

Virus ini terus melakukan penindasan di Internet, menginfeksi komputer dan mengenkripsi data penting. Bagaimana cara melindungi diri Anda dari ransomware, melindungi Windows dari ransomware - apakah patch telah dirilis untuk mendekripsi dan mendisinfeksi file?

Virus ransomware baru 2017 Ingin Menangis terus menginfeksi PC perusahaan dan pribadi. kamu Kerugian akibat serangan virus berjumlah $1 miliar. Dalam 2 minggu, virus ransomware setidaknya menginfeksi 300 ribu komputer, meskipun ada peringatan dan tindakan keamanan.

Virus Ransomware 2017, Apa Itu?- sebagai aturan, Anda dapat "mengambil" di situs yang tampaknya paling tidak berbahaya, misalnya, server bank dengan akses pengguna. Sekali perangkat keras korbannya, ransomware “menetap” di dalamnya folder sistem Sistem32. Dari situ program langsung menonaktifkan antivirus dan masuk ke "Jalan Otomatis"" Setelah setiap reboot, ransomware berjalan ke dalam registri, memulai pekerjaan kotornya. Ransomware mulai mengunduh salinan program serupa seperti Ransom dan Trojan. Hal ini juga sering terjadi replikasi diri ransomware. Proses ini bisa berlangsung sesaat, atau bisa memakan waktu berminggu-minggu hingga korban menyadari ada yang tidak beres.

Ransomware sering kali menyamar sebagai gambar atau file teks biasa, tapi intinya selalu sama - ini adalah file yang dapat dieksekusi dengan ekstensi .exe, .drv, .xvd; Kadang-kadang - perpustakaan.dll. Paling sering, file tersebut memiliki nama yang sama sekali tidak berbahaya, misalnya “ dokumen. dokter", atau " gambar.jpg", dimana ekstensinya ditulis secara manual, dan jenis file sebenarnya disembunyikan.

Setelah enkripsi selesai, pengguna melihat, alih-alih file yang sudah dikenal, sekumpulan karakter "acak" dalam nama dan di dalamnya, dan ekstensi berubah menjadi yang sebelumnya tidak diketahui - .NO_MORE_RANSOM, .xdata dan lainnya.

Virus ransomware Wanna Cry 2017 – cara melindungi diri Anda sendiri. Saya ingin segera mencatat bahwa Wanna Cry adalah istilah kolektif untuk semua virus enkripsi dan ransomware akhir-akhir ini komputer yang paling sering terinfeksi. Jadi, kita akan membicarakannya Lindungi diri Anda dari ransomware Ransom Ware, yang banyak sekali: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Bagaimana melindungi Windows dari ransomware.EternalBlue melalui protokol port SMB.

Melindungi Windows dari ransomware 2017 – aturan dasar:

  • Pembaruan Windows, transisi tepat waktu ke OS berlisensi (catatan: versi XP tidak diperbarui)
  • memperbarui database antivirus dan firewall sesuai permintaan
  • sangat berhati-hati saat mengunduh file apa pun (“segel” yang lucu dapat mengakibatkan hilangnya semua data)
  • cadangan informasi penting ke media yang dapat dipindahkan.

Virus Ransomware 2017: cara mendisinfeksi dan mendekripsi file.

Mengandalkan perangkat lunak antivirus, Anda bisa melupakan decryptor untuk sementara waktu. Di laboratorium Kaspersky, Dr. Web, Avast! dan antivirus lainnya untuk saat ini tidak ada solusi yang ditemukan untuk menangani file yang terinfeksi. Pada saat ini Dimungkinkan untuk menghapus virus menggunakan antivirus, tetapi belum ada algoritma untuk mengembalikan semuanya “normal”.

Beberapa mencoba menggunakan decryptor seperti utilitas RectorDecryptor, tapi ini tidak akan membantu: algoritma untuk mendekripsi virus baru belum dikompilasi. Juga tidak diketahui secara pasti bagaimana virus akan berperilaku jika tidak dihapus setelah menggunakan program tersebut. Seringkali hal ini dapat mengakibatkan penghapusan semua file - sebagai peringatan bagi mereka yang tidak mau membayar kepada penyerang, pembuat virus.

Saat ini yang paling banyak dengan cara yang efisien mendapatkan kembali data yang hilang berarti menghubungi dukungan teknis. dukungan pemasok program antivirus yang Anda gunakan. Untuk melakukan ini, kirim surat atau gunakan formulir ke masukan di situs web produsen. Pastikan untuk menambahkan file terenkripsi ke lampiran dan, jika tersedia, salinan aslinya. Hal ini akan membantu programmer dalam menyusun algoritmanya. Sayangnya, bagi banyak orang, serangan virus benar-benar mengejutkan, dan tidak ada salinan yang ditemukan, sehingga memperumit situasi.

Metode jantung Perawatan jendela dari ransomware. Sayangnya, terkadang Anda harus terpaksa melakukannya pemformatan penuh hard drive, yang memerlukan perubahan total pada OS. Banyak yang akan berpikir untuk memulihkan sistem, tetapi ini bukanlah suatu pilihan - bahkan "rollback" akan menghilangkan virus, namun file akan tetap terenkripsi.

Sekitar satu atau dua minggu yang lalu, peretasan lain dari pembuat virus modern muncul di Internet, yang mengenkripsi semua file pengguna. Sekali lagi saya akan mempertimbangkan pertanyaan tentang bagaimana menyembuhkan komputer setelah terkena virus ransomware terenkripsi000007 dan memulihkan file terenkripsi. Dalam hal ini tidak ada hal baru atau unik yang muncul, hanya modifikasi dari versi sebelumnya.

Dekripsi file yang dijamin setelah virus ransomware - dr-shifro.ru. Detail pekerjaan dan skema interaksi dengan pelanggan ada di bawah artikel saya atau di situs web di bagian “Prosedur Kerja”.

Deskripsi virus ransomware CRYPTED000007

Enkripsi CRYPTED000007 pada dasarnya tidak berbeda dari pendahulunya. Cara kerjanya hampir persis sama. Namun tetap saja ada beberapa nuansa yang membedakannya. Saya akan memberi tahu Anda semuanya secara berurutan.

Ia tiba, seperti analognya, melalui surat. Teknik rekayasa sosial digunakan untuk memastikan bahwa pengguna menjadi tertarik pada surat tersebut dan membukanya. Dalam kasus saya, surat tersebut berbicara tentang beberapa jenis pengadilan dan informasi penting tentang kasus tersebut di lampiran. Setelah meluncurkan lampiran, pengguna membuka dokumen Word dengan ekstrak dari Pengadilan Arbitrase Moskow.

Sejalan dengan pembukaan dokumen, enkripsi file dimulai. Mulai bermunculan sepanjang waktu pesan informasi dari Kontrol Akun Pengguna Windows.

Jika Anda menyetujui proposal tersebut, maka salinan cadangan file dalam salinan bayangan Windows akan dihapus dan memulihkan informasi akan sangat sulit. Jelas sekali bahwa Anda tidak dapat menyetujui proposal tersebut dalam keadaan apa pun. Dalam enkripsi ini, permintaan ini muncul terus-menerus, satu demi satu dan tidak berhenti, memaksa pengguna untuk menyetujui dan menghapus salinan cadangan. Inilah perbedaan utama dari modifikasi enkripsi sebelumnya. Saya belum pernah menemukan permintaan untuk menghapus salinan bayangan tanpa henti. Biasanya setelah 5-10 tawaran mereka berhenti.

Saya akan segera memberikan rekomendasi untuk kedepannya. Sangat umum bagi orang untuk menonaktifkan peringatan Kontrol Akun Pengguna. Tidak perlu melakukan ini. Mekanisme ini benar-benar dapat membantu dalam melawan virus. Nasihat kedua yang jelas adalah jangan terus-menerus bekerja di bawah akun administrator komputer, kecuali ada kebutuhan obyektif untuk itu. Dalam hal ini, virus tidak akan mempunyai peluang untuk menimbulkan banyak kerugian. Anda akan memiliki peluang lebih besar untuk melawannya.

Namun meskipun Anda selalu menjawab negatif permintaan ransomware, semua data Anda sudah dienkripsi. Setelah proses enkripsi selesai, Anda akan melihat gambar di desktop Anda.

Pada saat yang sama, akan ada banyak orang file teks dengan konten yang sama.

File Anda telah dienkripsi. Untuk mendekripsi ux, Anda perlu mengirimkan kode: 329D54752553ED978F94|0 ke alamat email [dilindungi email]. Selanjutnya Anda akan menerima semua instruksi yang diperlukan. Upaya untuk menguraikannya sendiri tidak akan menghasilkan apa pun selain sejumlah informasi yang tidak dapat dibatalkan. Jika Anda masih ingin mencoba, buatlah salinan cadangan file terlebih dahulu, jika tidak, jika terjadi perubahan, dekripsi menjadi tidak mungkin dilakukan dalam keadaan apa pun. Jika Anda belum menerima pemberitahuan di alamat di atas dalam waktu 48 jam (hanya dalam kasus ini!), gunakan formulir kontak. Hal ini dapat dilakukan dengan dua cara: 1) Unduh dan instal Tor Browser menggunakan tautan: https://www.torproject.org/download/download-easy.html.en Di ruang alamat Peramban Tor masukkan alamat: http://cryptsen7fo43rr6.onion/ dan tekan Enter. Halaman dengan formulir kontak akan dimuat. 2) Di browser apa pun, buka salah satu alamat: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Semua file penting di komputer Anda telah dienkripsi. Untuk mendekripsi file yang harus Anda kirim berikut ini kode: 329D54752553ED978F94|0 ke alamat email [dilindungi email]. Kemudian Anda akan menerima semua instruksi yang diperlukan. Semua upaya dekripsi sendiri hanya akan mengakibatkan hilangnya data Anda yang tidak dapat dibatalkan. Jika Anda masih ingin mencoba mendekripsinya sendiri, harap buat cadangan terlebih dahulu karena dekripsi menjadi tidak mungkin dilakukan jika ada perubahan di dalam file. Jika Anda tidak menerima jawaban dari email tersebut selama lebih dari 48 jam (dan hanya dalam kasus ini!), gunakan formulir umpan balik. Anda dapat melakukannya dengan dua cara: 1) Unduh Tor Browser dari sini: https://www.torproject.org/download/download-easy.html.en Instal dan ketik alamat berikut ke dalam bilah alamat: http://cryptsen7fo43rr6.onion/ Tekan Masukkan dan kemudian halaman dengan formulir umpan balik akan dimuat. 2) Pergi ke yang satu dari alamat berikut di browser apa pun: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Alamat surat dapat berubah. Saya juga menemukan alamat berikut:

Alamat terus diperbarui, sehingga bisa sangat berbeda.

Segera setelah Anda mengetahui bahwa file Anda dienkripsi, segera matikan komputer Anda. Ini harus dilakukan untuk menghentikan proses enkripsi seperti pada komputer lokal, dan pada drive jaringan. Virus ransomware dapat mengenkripsi semua informasi yang dapat dijangkau, termasuk pada drive jaringan. Namun jika informasinya banyak, maka akan memakan waktu yang cukup lama. Kadang-kadang bahkan setelah beberapa jam, kriptografer tidak punya waktu untuk mengenkripsi semua yang ada penggerak jaringan sekitar 100 gigabyte.

Selanjutnya Anda perlu memikirkan baik-baik bagaimana harus bertindak. Jika Anda memerlukan informasi di komputer Anda dengan cara apa pun dan Anda tidak memiliki salinan cadangan, maka lebih baik beralih ke spesialis saat ini. Belum tentu demi uang bagi beberapa perusahaan. Anda hanya membutuhkan seseorang yang pandai sistem Informasi. Penting untuk menilai skala bencana, menghilangkan virus, dan mengumpulkan semua informasi yang tersedia mengenai situasi tersebut untuk memahami bagaimana tindakan selanjutnya.

Tindakan yang salah aktif pada tahap ini dapat secara signifikan mempersulit proses mendekripsi atau memulihkan file. Dalam kasus terburuk, mereka dapat membuat hal tersebut menjadi mustahil. Jadi luangkan waktu Anda, hati-hati dan konsisten.

Bagaimana virus ransomware CRYPTED000007 mengenkripsi file

Setelah virus diluncurkan dan menyelesaikan aktivitasnya, semua file berguna akan dienkripsi, diganti namanya dari ekstensi.crypted000007. Selain itu, tidak hanya ekstensi file yang akan diganti, tetapi juga nama filenya, sehingga Anda tidak akan tahu persis jenis file apa yang Anda miliki jika Anda tidak mengingatnya. Ini akan terlihat seperti ini.

Dalam situasi seperti ini, akan sulit untuk menilai skala tragedi tersebut, karena Anda tidak akan dapat sepenuhnya mengingat apa yang Anda miliki di folder yang berbeda. Hal ini dilakukan secara khusus untuk membingungkan orang dan mendorong mereka membayar untuk dekripsi file.

Dan jika folder jaringan Anda dienkripsi dan tidak ada cadangan lengkap, hal ini dapat menghentikan pekerjaan seluruh organisasi sepenuhnya. Anda perlu beberapa saat untuk mencari tahu apa yang akhirnya hilang untuk memulai restorasi.

Cara merawat komputer Anda dan menghapus ransomware CRYPTED000007

Virus CRYPTED000007 sudah ada di komputer Anda. Pertanyaan pertama dan terpenting adalah bagaimana cara mendisinfeksi komputer dan cara menghapus virus untuk mencegah enkripsi lebih lanjut jika belum selesai. Saya ingin segera menarik perhatian Anda pada fakta bahwa setelah Anda sendiri mulai melakukan beberapa tindakan dengan komputer Anda, kemungkinan mendekripsi data berkurang. Jika Anda perlu memulihkan file dengan cara apa pun, jangan sentuh komputer Anda, tetapi segera hubungi profesional. Di bawah ini saya akan membicarakannya dan memberikan tautan ke situs tersebut serta menjelaskan cara kerjanya.

Sementara itu, kami akan terus merawat komputer secara mandiri dan menghapus virusnya. Secara tradisional, ransomware mudah dihapus dari komputer, karena virus tidak mempunyai tugas untuk tetap berada di komputer dengan cara apa pun. Setelah mengenkripsi file sepenuhnya, akan lebih menguntungkan baginya untuk menghapus dirinya sendiri dan menghilang, sehingga lebih sulit untuk menyelidiki kejadian tersebut dan mendekripsi file.

Menggambarkan penghapusan manual virus itu sulit, meskipun saya telah mencoba melakukan ini sebelumnya, tetapi saya melihat bahwa seringkali tidak ada gunanya. Nama file dan jalur penempatan virus terus berubah. Apa yang saya lihat tidak lagi relevan dalam satu atau dua minggu. Biasanya virus dikirim melalui surat secara bergelombang, dan setiap kali ada modifikasi baru yang belum terdeteksi oleh antivirus. Alat universal yang memeriksa startup dan mendeteksi aktivitas mencurigakan di folder sistem membantu.

Untuk menghapus virus CRYPTED000007, Anda dapat menggunakan program berikut:

  1. Alat Penghapus Virus Kaspersky - utilitas dari Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - produk serupa dari web lain http://free.drweb.ru/cureit.
  3. Jika dua utilitas pertama tidak membantu, coba MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Kemungkinan besar, salah satu produk ini akan membersihkan komputer Anda dari ransomware CRYPTED000007. Jika tiba-tiba tidak membantu, coba hapus virus secara manual. Saya memberikan contoh metode penghapusan dan Anda dapat melihatnya di sana. Singkatnya, selangkah demi selangkah, Anda perlu bertindak seperti ini:

  1. Kami melihat daftar proses, setelah menambahkan beberapa kolom tambahan ke pengelola tugas.
  2. Kami menemukan proses virus, buka folder tempatnya berada dan hapus.
  3. Kami menghapus penyebutan proses virus berdasarkan nama file di registri.
  4. Kami reboot dan memastikan bahwa virus CRYPTED000007 tidak ada dalam daftar proses yang berjalan.

Di mana mengunduh decryptor CRYPTED000007

Pertanyaan tentang dekripsi yang sederhana dan andal pertama-tama muncul ketika menyangkut virus ransomware. Hal pertama yang saya rekomendasikan adalah menggunakan layanan https://www.nomoreransom.org. Bagaimana jika Anda beruntung dan mereka memiliki dekripsi untuk versi enkripsi CRYPTED000007 Anda. Saya akan langsung mengatakan bahwa Anda tidak memiliki banyak peluang, tetapi mencoba bukanlah penyiksaan. Pada halaman rumah klik Ya:

Kemudian unduh beberapa file terenkripsi dan klik Buka! Mengetahui:

Pada saat penulisan, tidak ada decryptor di situs tersebut.

Mungkin Anda akan lebih beruntung. Anda juga dapat melihat daftar dekripsi untuk diunduh di halaman terpisah - https://www.nomoreransom.org/decryption-tools.html. Mungkin ada sesuatu yang berguna di sana. Ketika virus masih segar, kemungkinan hal ini kecil terjadi, namun seiring berjalannya waktu, sesuatu mungkin muncul. Ada contoh ketika dekripsi untuk beberapa modifikasi enkripsi muncul di Internet. Dan contoh-contoh ini ada di halaman yang ditentukan.

Saya tidak tahu di mana lagi Anda bisa menemukan dekoder. Kecil kemungkinannya bahwa itu akan benar-benar ada, mengingat kekhasan pekerjaan enkripsi modern. Hanya pembuat virus yang dapat memiliki dekripsi lengkap.

Cara mendekripsi dan memulihkan file setelah virus CRYPTED000007

Apa yang harus dilakukan ketika virus CRYPTED000007 telah mengenkripsi file Anda? Penerapan teknis enkripsi tidak mengizinkan mendekripsi file tanpa kunci atau dekripsi, yang hanya dimiliki oleh pembuat enkripsi. Mungkin ada cara lain untuk mendapatkannya, tapi saya tidak punya informasinya. Kami hanya dapat mencoba memulihkan file menggunakan metode improvisasi. Ini termasuk:

  • Alat salinan bayangan jendela.
  • Program pemulihan data yang dihapus

Pertama, mari kita periksa apakah kita mengaktifkan salinan bayangan. Alat ini berfungsi secara default di Windows 7 dan lebih tinggi, kecuali Anda menonaktifkannya secara manual. Untuk memeriksanya, buka properti komputer dan buka bagian perlindungan sistem.

Jika selama infeksi Anda tidak mengkonfirmasi permintaan UAC untuk menghapus file dalam salinan bayangan, maka beberapa data akan tetap ada. Saya berbicara lebih detail tentang permintaan ini di awal cerita, ketika saya berbicara tentang cara kerja virus.

Untuk memulihkan file dari salinan bayangan dengan mudah, saya sarankan menggunakan program gratis untuk tujuan ini - ShadowExplorer. Unduh arsip, buka paket program dan jalankan.

Salinan file terbaru dan root drive C akan terbuka di sudut kiri atas, Anda dapat memilih salinan cadangan jika Anda memiliki beberapa. Periksa salinan yang berbeda untuk ketersediaan file yang diperlukan. Bandingkan berdasarkan tanggal, mana yang lebih banyak versi terbaru. Dalam contoh saya di bawah ini, saya menemukan 2 file di desktop saya dari tiga bulan lalu saat terakhir diedit.

Saya dapat memulihkan file-file ini. Untuk melakukan ini, saya memilihnya, mengklik kanan, memilih Ekspor dan menentukan folder tempat memulihkannya.

Anda dapat segera memulihkan folder menggunakan prinsip yang sama. Jika Anda memiliki salinan bayangan yang berfungsi dan tidak menghapusnya, Anda memiliki peluang bagus untuk memulihkan semua, atau hampir semua, file yang dienkripsi oleh virus. Mungkin beberapa di antaranya akan lebih banyak lagi versi lama, daripada yang kita inginkan, namun demikian, ini lebih baik daripada tidak sama sekali.

Jika karena alasan tertentu Anda tidak memiliki salinan bayangan file Anda, satu-satunya kesempatan Anda untuk mendapatkan setidaknya sesuatu dari file terenkripsi adalah memulihkannya menggunakan alat pemulihan. file yang dihapus. Untuk melakukan ini, saya sarankan menggunakan program gratis Photorec.

Luncurkan program dan pilih disk tempat Anda akan memulihkan file. Meluncurkan versi grafis program mengeksekusi file qphotorec_win.exe. Anda harus memilih folder tempat file yang ditemukan akan ditempatkan. Sebaiknya folder ini tidak terletak di drive yang sama tempat kita mencari. Hubungkan flash drive atau keras eksternal disk untuk ini.

Proses pencariannya akan memakan waktu lama. Pada akhirnya Anda akan melihat statistik. Sekarang Anda dapat pergi ke folder yang ditentukan sebelumnya dan melihat apa yang ditemukan di sana. Kemungkinan besar akan ada banyak file dan sebagian besar akan rusak atau berupa file sistem dan tidak berguna. Namun demikian, beberapa file berguna dapat ditemukan dalam daftar ini. Tidak ada jaminan di sini, apa yang Anda temukan itulah yang akan Anda temukan. Gambar biasanya dikembalikan paling baik.

Jika hasilnya tidak memuaskan Anda, maka ada juga program untuk memulihkan file yang terhapus. Di bawah ini adalah daftar program yang biasanya saya gunakan ketika saya perlu melakukan pemulihan kuantitas maksimum file:

  • R.penghemat
  • bintang Pemulihan Berkas
  • Pemulihan JPEG Pro
  • Profesional Pemulihan File Aktif

Program-program ini tidak gratis, jadi saya tidak akan memberikan linknya. Jika Anda benar-benar menginginkannya, Anda dapat menemukannya sendiri di Internet.

Seluruh proses pemulihan file ditampilkan secara rinci dalam video di akhir artikel.

Kaspersky, eset nod32 dan lainnya dalam perang melawan enkripsi Filecoder.ED

Antivirus populer mendeteksi ransomware CRYPTED000007 sebagai Pembuat file.ED dan kemudian mungkin ada sebutan lain. Saya menelusuri forum antivirus utama dan tidak melihat sesuatu yang berguna di sana. Sayangnya, seperti biasa, software antivirus ternyata tidak siap menghadapi serbuan gelombang baru ransomware. Berikut ini postingan dari forum Kaspersky.

Antivirus biasanya melewatkan modifikasi baru dari Trojan ransomware. Meskipun demikian, saya merekomendasikan untuk menggunakannya. Jika Anda beruntung dan menerima email ransomware bukan pada gelombang pertama infeksi, tetapi beberapa saat kemudian, ada kemungkinan antivirus akan membantu Anda. Mereka semua bekerja satu langkah di belakang para penyerang. Ternyata versi baru ransomware, antivirus tidak meresponsnya. Segera setelah sejumlah bahan untuk penelitian tentang virus baru terkumpul, perangkat lunak antivirus merilis pembaruan dan mulai meresponsnya.

Saya tidak mengerti apa yang menghalangi antivirus untuk segera merespons proses enkripsi apa pun di sistem. Mungkin ada beberapa nuansa teknis pada topik ini yang tidak memungkinkan kami merespons dan mencegah enkripsi file pengguna secara memadai. Tampak bagi saya bahwa setidaknya ada kemungkinan untuk menampilkan peringatan tentang fakta bahwa seseorang mengenkripsi file Anda, dan menawarkan untuk menghentikan prosesnya.

Ke mana harus mencari jaminan dekripsi

Saya berkesempatan bertemu dengan salah satu perusahaan yang benar-benar mendekripsi data setelah berbagai virus enkripsi bekerja, termasuk CRYPTED000007. Alamat mereka adalah http://www.dr-shifro.ru. Pembayaran hanya setelah dekripsi penuh dan verifikasi Anda. Berikut adalah perkiraan skema kerja:

  1. Seorang spesialis perusahaan datang ke kantor atau rumah Anda dan menandatangani perjanjian dengan Anda, yang menetapkan biaya pekerjaan.
  2. Meluncurkan decryptor dan mendekripsi semua file.
  3. Anda memastikan bahwa semua file dibuka dan menandatangani sertifikat pengiriman/penerimaan untuk pekerjaan yang telah selesai.
  4. Pembayaran dilakukan hanya setelah hasil dekripsi berhasil.

Jujur saja, saya tidak tahu bagaimana mereka melakukannya, tapi Anda tidak mengambil risiko apa pun. Pembayaran hanya setelah demonstrasi pengoperasian dekoder. Silakan tulis ulasan tentang pengalaman Anda dengan perusahaan ini.

Metode perlindungan terhadap virus CRYPTED000007

Bagaimana cara melindungi diri Anda dari ransomware dan menghindari kerusakan materi dan moral? Ada beberapa tips sederhana dan efektif:

  1. Cadangan! Cadangan semua data penting. Dan bukan hanya cadangan, tetapi cadangan yang tidak dapat diakses terus-menerus. Jika tidak, virus dapat menginfeksi dokumen dan salinan cadangan Anda.
  2. Antivirus berlisensi. Meskipun tidak memberikan jaminan 100%, namun meningkatkan kemungkinan menghindari enkripsi. Mereka paling sering tidak siap untuk versi enkripsi baru, tetapi setelah 3-4 hari mereka mulai merespons. Hal ini meningkatkan peluang Anda untuk menghindari infeksi jika Anda tidak termasuk dalam gelombang pertama distribusi modifikasi baru ransomware.
  3. Jangan membuka lampiran mencurigakan di email. Tidak ada yang perlu dikomentari di sini. Semua ransomware yang saya kenal menjangkau pengguna melalui email. Apalagi setiap saat diciptakan trik-trik baru untuk menipu korbannya.
  4. Jangan sembarangan membuka tautan yang dikirimkan kepada Anda dari teman Anda melalui media sosial atau utusan. Kadang-kadang virus juga menyebar dengan cara ini.
  5. Menyalakan tampilan jendela ekstensi file. Cara melakukannya mudah ditemukan di Internet. Ini akan memungkinkan Anda melihat ekstensi file pada virus. Seringkali memang demikian .exe, .vbs, .src. Dalam pekerjaan Anda sehari-hari dengan dokumen, Anda tidak mungkin menemukan ekstensi file seperti itu.

Saya mencoba melengkapi apa yang sudah saya tulis sebelumnya di setiap artikel tentang virus ransomware. Sementara itu, saya mengucapkan selamat tinggal. Saya akan senang menerima komentar bermanfaat tentang artikel ini dan virus ransomware CRYPTED000007 secara umum.

Video tentang dekripsi dan pemulihan file

Berikut adalah contoh modifikasi virus sebelumnya, tetapi videonya sepenuhnya relevan untuk CRYPTED000007.

Menurut laporan pertama, virus enkripsi yang diaktifkan oleh penyerang pada hari Selasa diklasifikasikan sebagai anggota keluarga ransomware Petya yang sudah dikenal, namun kemudian ternyata ini adalah keluarga malware baru dengan fungsi yang sangat berbeda. Lab Kaspersky di-dubbing virus baru MantanPetr.

“Analisis yang dilakukan oleh para ahli kami menunjukkan bahwa para korban pada awalnya tidak memiliki kesempatan untuk mendapatkan kembali file mereka. “Peneliti Kaspersky Lab menganalisis bagian kode malware yang terkait dengan enkripsi file dan menemukan bahwa setelah disk dienkripsi, pembuat virus tidak lagi memiliki kemampuan untuk mendekripsinya kembali,” laboratorium tersebut melaporkan.

Seperti yang dicatat oleh perusahaan, dekripsi memerlukan pengidentifikasi unik untuk instalasi Trojan tertentu. Sebelumnya versi yang diketahui enkripsi serupa Petya/Mischa/GoldenEye, pengidentifikasi instalasi berisi informasi yang diperlukan untuk dekripsi. Dalam kasus ExPetr, pengidentifikasi ini tidak ada. Ini berarti pembuat malware tidak dapat memperoleh informasi yang mereka perlukan untuk mendekripsi file. Dengan kata lain, korban ransomware tidak memiliki cara untuk mendapatkan kembali datanya, jelas Kaspersky Lab.

Virus ini memblokir komputer dan meminta bitcoin senilai $300, kata Group-IB kepada RIA Novosti. Serangan dimulai pada hari Selasa sekitar pukul 11.00. Menurut laporan media, pada hari Rabu pukul 6 sore, dompet Bitcoin yang dikhususkan untuk mentransfer dana ke pemeras telah menerima sembilan transfer. Dengan memperhitungkan komisi transfer, para korban mentransfer sekitar 2,7 ribu dolar kepada para peretas.

Dibandingkan WannaCry, virus ini dinilai lebih merusak karena menyebar melalui beberapa cara - mulai dari menggunakan Windows Instrumentasi Manajemen, eksploitasi PsExec dan EternalBlue. Selain itu, ransomware juga tertanam utilitas gratis Meniru.

Jumlah pengguna yang diserang oleh virus enkripsi “Petya baru” telah mencapai 2 ribu, Kaspersky Lab, yang sedang menyelidiki gelombang infeksi komputer, melaporkan pada hari Rabu.

Menurut perusahaan antivirus ESET, serangan itu dimulai di Ukraina, yang paling menderita dibandingkan negara lain. Menurut peringkat negara-negara yang terkena dampak virus oleh perusahaan, Italia berada di peringkat kedua setelah Ukraina, dan Israel di peringkat ketiga. Sepuluh teratas juga mencakup Serbia, Hongaria, Rumania, Polandia, Argentina, Republik Ceko, dan Jerman. Rusia di daftar ini menempati posisi ke-14.

Selain itu, Avast menceritakan apa sebenarnya sistem operasi yang paling menderita akibat virus ini.

Windows 7 berada di urutan pertama - 78% dari semua komputer yang terinfeksi. Berikutnya adalah Windows XP (18%), Windows 10 (6%) dan Windows 8.1 (2%).

Oleh karena itu, WannaCry tidak mengajarkan apa pun kepada komunitas global - komputer tetap tidak terlindungi, sistem tidak diperbarui, dan upaya Microsoft untuk memberikan patch bahkan untuk sistem yang sudah ketinggalan zaman sia-sia belaka.

Selama beberapa dekade, penjahat dunia maya telah berhasil mengeksploitasi kelemahan dan kerentanan di World Wide Web. Namun, dalam beberapa tahun terakhir telah terjadi peningkatan yang jelas dalam jumlah serangan, serta peningkatan levelnya - penyerang menjadi lebih berbahaya, dan perangkat lunak perusak menyebar dengan kecepatan yang belum pernah terjadi sebelumnya.

Perkenalan

Kita berbicara tentang ransomware, yang mengalami lompatan luar biasa pada tahun 2017 dan menyebabkan kerugian pada ribuan organisasi di seluruh dunia. Misalnya saja di Australia, serangan ransomware seperti WannaCry dan NotPetya bahkan menimbulkan kekhawatiran di tingkat pemerintah.

Menyimpulkan “keberhasilan” malware ransomware tahun ini, kita akan melihat 10 malware paling berbahaya yang menyebabkan kerusakan terbesar pada organisasi. Mari berharap tahun depan kita bisa mengambil pelajaran dan mencegah masalah seperti ini memasuki jaringan kita.

BukanPetya

Serangan ransomware ini dimulai dengan program akuntansi Ukraina M.E.Doc, yang menggantikan 1C, yang dilarang di Ukraina. Hanya dalam beberapa hari, NotPetya menginfeksi ratusan ribu komputer di lebih dari 100 negara. Malware ini merupakan varian yang lebih lama Ransomware Petya, satu-satunya perbedaan di antara keduanya adalah serangan NotPetya menggunakan eksploitasi yang sama dengan serangan WannaCry.

Ketika NotPetya menyebar, hal ini berdampak pada beberapa organisasi di Australia, seperti pabrik coklat Cadbury di Tasmania, yang harus menutup sementara seluruh sistem TI mereka. Ransomware ini juga berhasil menyusup ke kapal kontainer terbesar di dunia, milik perusahaan Maersk, yang dilaporkan kehilangan pendapatan hingga $300 juta.

Ingin Menangis

Ransomware ini, dengan skala yang mengerikan, praktis telah menguasai seluruh dunia. Serangannya menggunakan eksploitasi EternalBlue yang terkenal, yang mengeksploitasi kerentanan dalam protokol Microsoft Server Message Block (SMB).

WannaCry menginfeksi korbannya di 150 negara dan lebih dari 200.000 mesin pada hari pertama saja. Kami menerbitkan malware sensasional ini.

terkunci

Locky adalah ransomware paling populer pada tahun 2016, namun tetap aktif pada tahun 2017. Varian baru Locky, yang dijuluki Diablo dan Lukitus, muncul tahun ini menggunakan vektor serangan yang sama (phishing) untuk meluncurkan eksploitasi.

Locky-lah yang berada di balik skandal penipuan email di Australia Post. Menurut Komisi Persaingan dan Konsumen Australia, warga negara telah kehilangan lebih dari $80.000 karena penipuan ini.

Menangis

Contoh ini terkenal karena keahliannya dalam menggunakan Remote Desktop Protocol (RDP). RDP adalah salah satu metode paling populer untuk mendistribusikan ransomware karena memungkinkan penjahat dunia maya menyusupi mesin yang mengendalikan seluruh organisasi.

Korban CrySis terpaksa membayar antara $455 dan $1.022 untuk memulihkan file mereka.

Nemukode

Nemucod didistribusikan menggunakan email phishing yang terlihat seperti invoice untuk layanan transportasi. Ransomware ini mengunduh file berbahaya yang disimpan di situs web yang diretas.

Dalam hal penggunaan email phishing, Nemucod berada di urutan kedua setelah Locky.

Jaff

Jaff mirip dengan Locky dan menggunakan teknik serupa. Ransomware ini tidak terkenal karena metode aslinya dalam menyebarkan atau mengenkripsi file, namun sebaliknya, ia menggabungkan praktik yang paling sukses.

Penyerang di baliknya menuntut hingga $3.700 untuk akses ke file terenkripsi.

Spora

Untuk menyebarkan ransomware jenis ini, penjahat dunia maya meretas situs web yang sah dengan menambahkan kode JavaScript ke situs tersebut. Pengguna yang membuka situs tersebut akan melihat peringatan pop-up yang meminta mereka untuk memperbarui. peramban Chrome untuk melanjutkan penjelajahan situs. Setelah mengunduh apa yang disebut Paket Font Chrome, pengguna terinfeksi Spora.

Cerber

Salah satu dari sekian banyak vektor serangan yang digunakan Cerber disebut RaaS (Ransomware-as-a-Service). Menurut skema ini, penyerang menawarkan untuk membayar distribusi Trojan, menjanjikan persentase dari uang yang diterima. Melalui “layanan” ini, penjahat dunia maya mengirimkan ransomware dan kemudian memberikan alat kepada penyerang lain untuk mendistribusikannya.

campuran kripto

Ini adalah salah satu dari sedikit ransomware yang tidak memiliki jenis portal pembayaran khusus yang tersedia di web gelap. Pengguna yang terkena dampak harus menunggu penjahat dunia maya mengirimkannya e-mail instruksi.

Pengguna dari 29 negara menjadi korban Cryptomix; mereka terpaksa membayar hingga $3,000.

Gergaji ukir

Malware lain dari daftar yang memulai aktivitasnya pada tahun 2016. Jigsaw menyisipkan gambar badut dari serial film Saw ke dalam email spam. Segera setelah pengguna mengklik gambar, ransomware tidak hanya mengenkripsi, tetapi juga menghapus file jika pengguna terlambat membayar uang tebusan $150.

Kesimpulan

Seperti yang bisa kita lihat, ancaman modern menggunakan eksploitasi yang semakin canggih terhadap jaringan yang terlindungi dengan baik. Meskipun peningkatan kesadaran di kalangan karyawan dapat membantu mengelola dampak infeksi, dunia usaha perlu melampaui standar keamanan siber dasar untuk melindungi diri mereka sendiri. Untuk bertahan melawan ancaman saat ini memerlukan pendekatan proaktif yang memanfaatkan analisis real-time yang didukung oleh mesin pembelajaran yang mencakup pemahaman perilaku dan konteks ancaman.

Kaspersky Lab tentang ransomware WannaCry

Spesialis Kaspersky Lab menganalisis informasi tentang infeksi program ransomware yang disebut “WannaCry” yang ditemui perusahaan di seluruh dunia pada 12 Mei

Spesialis Kaspersky Lab menganalisis informasi tentang infeksi ransomware, yang dijuluki “WannaCry,” yang ditemui perusahaan di seluruh dunia pada 12 Mei. Analisis menunjukkan, serangan terjadi melalui kerentanan jaringan Microsoft Security Bulletin MS17-010 yang terkenal. Kemudian rootkit diinstal pada sistem yang terinfeksi, yang digunakan penyerang untuk meluncurkan program enkripsi.

Semua solusi Kaspersky Lab mendeteksi malware yang digunakan dalam serangan ini dengan keputusan berikut:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (untuk mendeteksi malware ini, komponen System Monitoring harus diaktifkan)

Untuk mendekripsi data, penyerang meminta uang tebusan sebesar $600 dalam mata uang kripto Bitcoin. Saat ini, Kaspersky Lab telah mencatat sekitar 45.000 upaya serangan di 74 negara di seluruh dunia. Angka terbesar upaya infeksi diamati di Rusia.

Jika file Anda dienkripsi, Anda sebaiknya tidak menggunakan apa pun yang ditawarkan di Internet atau diterima melalui email alat dekripsi. File-file tersebut dienkripsi dengan algoritma enkripsi yang kuat dan tidak dapat didekripsi, dan utilitas yang Anda unduh dapat menyebabkan lebih banyak kerusakan pada komputer Anda dan komputer di seluruh organisasi, karena berpotensi berbahaya dan ditujukan untuk gelombang epidemi baru.

Jika Anda menemukan bahwa komputer Anda telah terinfeksi, Anda harus mematikannya dan menghubungi keamanan informasi untuk instruksi lebih lanjut.

  • Memasangtambalan resmi dariMicrosoft , yang menutup kerentanan yang digunakan dalam serangan (khususnya, pembaruan untuk versi sudah tersediajendelaXPDanjendela2003);
  • Pastikan solusi keamanan diaktifkan di semua node jaringan;
  • Jika Anda menggunakan solusi keamanan Kaspersky Lab, pastikan versinya menyertakan komponen “Pemantauan Sistem” dan diaktifkan;
  • Jalankan tugas pemindaian area penting dalam solusi keamanan Kaspersky Lab untuk mendeteksi kemungkinan infeksi sedini mungkin (jika tidak, deteksi akan terjadi secara otomatis dalam waktu 24 jam);
  • Setelah mendeteksi Trojan.Win64.EquationDrug.gen, reboot sistem;
  • Di masa depan, untuk mencegah insiden seperti itu, gunakan layanan informasi ancaman untuk segera menerima data tentang serangan bertarget yang paling berbahaya dan kemungkinan infeksi.

Lagi informasi rinci tentang serangan “WannaCry” dapat ditemukan di laporan Kaspersky Lab

ARTIKEL TERKAIT