როგორ ვებრძოლოთ ახალ გამოსასყიდ ვირუსს. დაშიფვრის ვირუსი: როგორ ხდება ფაილების დეზინფექცია და გაშიფვრა? ფაილების გაშიფვრა გამოსასყიდი პროგრამის ვირუსის შემდეგ. CRYPTED000007 ვირუსისგან დაცვის მეთოდები

ის აგრძელებს თავის მჩაგვრელ მსვლელობას ინტერნეტში, აინფიცირებს კომპიუტერებს და შიფრავს მნიშვნელოვან მონაცემებს. როგორ დავიცვათ თავი გამოსასყიდისგან, დავიცვათ Windows გამოსასყიდი პროგრამებისგან - გამოვიდა თუ არა პატჩები ფაილების გაშიფვრისა და დეზინფექციისთვის?

ახალი ransomware ვირუსი 2017 ტირილი გინდა აგრძელებს კორპორატიული და კერძო კომპიუტერების ინფიცირებას. უ ვირუსის შეტევის შედეგად მიყენებული ზარალი 1 მილიარდ დოლარს შეადგენს. 2 კვირაში ransomware ვირუსი მაინც დაინფიცირდა 300 ათასი კომპიუტერიმიუხედავად გაფრთხილებისა და უსაფრთხოების ზომებისა.

Ransomware ვირუსი 2017, რა არის ეს?- როგორც წესი, შეგიძლიათ „აიღოთ“ ერთი შეხედვით ყველაზე უვნებელ საიტებზე, მაგალითად, ბანკის სერვერებზე მომხმარებლის წვდომით. ერთხელ მყარი დისკიმსხვერპლი, გამოსასყიდი პროგრამა „დასახლდება“. სისტემის საქაღალდე System32. იქიდან პროგრამა დაუყოვნებლივ თიშავს ანტივირუსს და გადადის "ავტორუნში"" ყოველი გადატვირთვის შემდეგ, გამოსასყიდი პროგრამა გადის რეესტრში, იწყებს თავის ბინძურ საქმეს. გამოსასყიდი იწყებს პროგრამების მსგავსი ასლების ჩამოტვირთვას, როგორიცაა Ransom და Trojan. ასევე ხშირად ხდება ransomware თვითრეპლიკაცია. ეს პროცესი შეიძლება იყოს მომენტალური, ან შეიძლება დასჭირდეს კვირები, სანამ მსხვერპლი შეამჩნევს, რომ რაღაც არასწორია.

გამოსასყიდი პროგრამა ხშირად შენიღბავს თავს ჩვეულებრივ სურათებად ან ტექსტურ ფაილებად, მაგრამ არსი ყოველთვის იგივეა - ეს არის შესრულებადი ფაილი გაფართოებით .exe, .drv, .xvd; ხანდახან - libraries.dll. ყველაზე ხშირად, ფაილს აქვს სრულიად უვნებელი სახელი, მაგალითად " დოკუმენტი. დოკ", ან" picture.jpg", სადაც გაფართოება იწერება ხელით და ფაილის ნამდვილი ტიპი დამალულია.

დაშიფვრის დასრულების შემდეგ, მომხმარებელი ნაცნობი ფაილების ნაცვლად ხედავს "შემთხვევითი" სიმბოლოების ერთობლიობას სახელში და შიგნით, და გაფართოება იცვლება ადრე უცნობში - .NO_MORE_RANSOM, .xdataდა სხვები.

Wanna Cry ransomware ვირუსი 2017 – როგორ დავიცვათ თავი. დაუყოვნებლივ მინდა აღვნიშნო, რომ Wanna Cry უფრო კოლექტიური ტერმინია ყველა დაშიფვრის ვირუსისა და გამოსასყიდისთვის, რადგან ბოლო დროსყველაზე ხშირად ინფიცირებული კომპიუტერები. ასე რომ, ჩვენ ვისაუბრებთ დაიცავით თავი Ransom Ware ransomware-ისგან, რომელთაგან ბევრია: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

როგორ დავიცვათ Windows გამოსასყიდი პროგრამებისგან.EternalBlue SMB პორტის პროტოკოლით.

Windows-ის დაცვა ransomware 2017 – ძირითადი წესები:

  • Windows განახლება, დროული გადასვლა ლიცენზირებულ OS-ზე (შენიშვნა: XP ვერსია არ არის განახლებული)
  • განახლება ანტივირუსული მონაცემთა ბაზებიდა firewalls მოთხოვნით
  • უკიდურესი სიფრთხილე ნებისმიერი ფაილის ჩამოტვირთვისას (ლამაზმა „დალუქებმა“ შეიძლება გამოიწვიოს ყველა მონაცემის დაკარგვა)
  • სარეზერვო მნიშვნელოვანი ინფორმაციამოსახსნელი მედიისთვის.

Ransomware virus 2017: როგორ ხდება ფაილების დეზინფექცია და გაშიფვრა.

ანტივირუსულ პროგრამაზე დაყრდნობით, შეგიძლიათ ცოტა ხნით დაივიწყოთ დეშიფრატორი. ლაბორატორიებში კასპერსკი, Dr. ვებ, Avast!და სხვა ანტივირუსები ამჟამად ინფიცირებული ფაილების მკურნალობის გამოსავალი არ მოიძებნა. ჩართულია მომენტშიშესაძლებელია ვირუსის ამოღება ანტივირუსის გამოყენებით, მაგრამ ჯერ არ არსებობს ალგორითმები, რომ ყველაფერი "ნორმალურად" დაბრუნდეს.

ზოგიერთი ცდილობს გამოიყენოს დეშიფრატორები, როგორიცაა RectorDecryptor პროგრამა, მაგრამ ეს არ დაეხმარება: ახალი ვირუსების გაშიფვრის ალგორითმი ჯერ არ არის შედგენილი. ასევე აბსოლუტურად უცნობია, როგორ მოიქცევა ვირუსი, თუ ის არ მოიხსნება ასეთი პროგრამების გამოყენების შემდეგ. ხშირად ამან შეიძლება გამოიწვიოს ყველა ფაილის წაშლა - როგორც გაფრთხილება მათთვის, ვისაც არ სურს გადაიხადოს თავდამსხმელები, ვირუსის ავტორები.

ამ მომენტში ყველაზე მეტად ეფექტური გზითდაკარგული მონაცემების დაბრუნება ნიშნავს ტექნიკურ მხარდაჭერას. მომწოდებლის მხარდაჭერა ანტივირუსული პროგრამარომელსაც იყენებთ. ამისათვის გაგზავნეთ წერილი ან გამოიყენეთ ფორმა უკუკავშირიმწარმოებლის ვებსაიტზე. დარწმუნდით, რომ დაამატეთ დაშიფრული ფაილი დანართში და, თუ ეს შესაძლებელია, ორიგინალის ასლი. ეს დაეხმარება პროგრამისტებს ალგორითმის შედგენაში. სამწუხაროდ, ბევრისთვის ვირუსის შეტევა სრულიად მოულოდნელია და არცერთი ასლი არ არის ნაპოვნი, რაც მნიშვნელოვნად ართულებს სიტუაციას.

გულის მეთოდები Windows მკურნალობაგამოსასყიდი პროგრამისგან. სამწუხაროდ, ზოგჯერ თქვენ უნდა მიმართოთ სრული ფორმატირებამყარი დისკი, რაც გულისხმობს OS-ის სრულ შეცვლას. ბევრი იფიქრებს სისტემის აღდგენაზე, მაგრამ ეს არ არის ვარიანტი - თუნდაც „დაბრუნება“ მოიშორებს ვირუსს, მაგრამ ფაილები მაინც დარჩება დაშიფრული.

დაახლოებით ერთი-ორი კვირის წინ, ინტერნეტში გამოჩნდა თანამედროვე ვირუსების შემქმნელების კიდევ ერთი ჰაკი, რომელიც შიფრავს მომხმარებლის ყველა ფაილს. კიდევ ერთხელ განვიხილავ კითხვას, თუ როგორ უნდა განკურნოს კომპიუტერი გამოსასყიდის ვირუსის შემდეგ დაშიფრული000007და აღადგინეთ დაშიფრული ფაილები. ამ შემთხვევაში, არაფერი ახალი ან უნიკალური არ გამოჩნდა, მხოლოდ წინა ვერსიის მოდიფიკაცია.

ფაილების გარანტირებული გაშიფვრა ransomware ვირუსის შემდეგ - dr-shifro.ru. სამუშაოს დეტალები და მომხმარებელთან ურთიერთობის სქემა მოცემულია ქვემოთ ჩემს სტატიაში ან ვებსაიტზე "სამუშაო პროცედურის" განყოფილებაში.

CRYPTED000007 ransomware ვირუსის აღწერა

CRYPTED000007 შიფრატორი არსებითად არ განსხვავდება მისი წინამორბედებისგან. იგი მუშაობს თითქმის ზუსტად იგივე გზით. მაგრამ მაინც არსებობს რამდენიმე ნიუანსი, რომელიც განასხვავებს მას. ყველაფერს თანმიმდევრობით მოგიყვებით.

ის ჩამოდის, ისევე როგორც მისი ანალოგები, ფოსტით. სოციალური ინჟინერიის ტექნიკა გამოიყენება იმისთვის, რომ მომხმარებელი დაინტერესდეს წერილით და გახსნას იგი. ჩემს შემთხვევაში, წერილში საუბარი იყო ერთგვარ სასამართლოზე და დანართში მოცემულ საქმის შესახებ მნიშვნელოვან ინფორმაციას. დანართის გაშვების შემდეგ მომხმარებელი ხსნის Word დოკუმენტს მოსკოვის საარბიტრაჟო სასამართლოს ამონაწერით.

დოკუმენტის გახსნის პარალელურად იწყება ფაილის დაშიფვრა. მუდმივად იწყებს ამოსვლას საინფორმაციო შეტყობინება Windows მომხმარებლის ანგარიშის კონტროლიდან.

თუ დაეთანხმებით წინადადებას, მაშინ Windows-ის ჩრდილოვანი ასლების ფაილების სარეზერვო ასლები წაიშლება და ინფორმაციის აღდგენა ძალიან რთული იქნება. აშკარაა, რომ თქვენ ვერ დაეთანხმებით წინადადებას არავითარ შემთხვევაში. ამ შიფრატორში ეს მოთხოვნები მუდმივად ჩნდება ერთმანეთის მიყოლებით და არ ჩერდება, რაც აიძულებს მომხმარებელს დათანხმდეს და წაშალოს სარეზერვო ასლები. ეს არის მთავარი განსხვავება შიფრატორების წინა მოდიფიკაციებისგან. მე არასოდეს შემხვედრია ჩრდილოვანი ასლების წაშლის მოთხოვნა შეჩერების გარეშე. ჩვეულებრივ, 5-10 შეთავაზების შემდეგ ჩერდებოდნენ.

სასწრაფოდ გავცემ რეკომენდაციას სამომავლოდ. ძალიან ხშირია ადამიანების მიერ მომხმარებლის ანგარიშის კონტროლის გაფრთხილების გამორთვა. ამის გაკეთება არ არის საჭირო. ეს მექანიზმინამდვილად შეუძლია დაეხმაროს ვირუსების წინააღმდეგობას. მეორე აშკარა რჩევაა მუდმივად არ იმუშაოთ ქვეშ ანგარიშიკომპიუტერის ადმინისტრატორი, თუ არ არის ამის ობიექტური საჭიროება. ამ შემთხვევაში ვირუსს დიდი ზიანის მიყენების შესაძლებლობა არ ექნება. უფრო მეტი შანსი გექნებათ მას წინააღმდეგობის გაწევა.

მაგრამ მაშინაც კი, თუ თქვენ ყოველთვის უარყოფითად პასუხობდით გამოსასყიდის მოთხოვნებს, თქვენი ყველა მონაცემი უკვე დაშიფრულია. დაშიფვრის პროცესის დასრულების შემდეგ, თქვენს სამუშაო მაგიდაზე ნახავთ სურათს.

ამავე დროს, ბევრი იქნება ტექსტური ფაილებიიგივე შინაარსით.

თქვენი ფაილები დაშიფრულია. ux-ის გაშიფვრისთვის, თქვენ უნდა გამოაგზავნოთ კოდი: 329D54752553ED978F94|0 ელფოსტის მისამართზე [ელფოსტა დაცულია]. შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას. დამოუკიდებლად გაშიფვრის მცდელობა არ გამოიწვევს სხვა რამეს, გარდა ინფორმაციის შეუქცევადი რაოდენობისა. თუ მაინც გსურთ სცადოთ, მაშინ ჯერ გააკეთეთ ფაილების სარეზერვო ასლები, წინააღმდეგ შემთხვევაში, ცვლილების შემთხვევაში, გაშიფვრა შეუძლებელი გახდება ნებისმიერ ვითარებაში. თუ არ მიგიღიათ შეტყობინება ზემოთ მოცემულ მისამართზე 48 საათის განმავლობაში (მხოლოდ ამ შემთხვევაში!), გამოიყენეთ საკონტაქტო ფორმა. ეს შეიძლება გაკეთდეს ორი გზით: 1) ჩამოტვირთეთ და დააინსტალირეთ Tor ბრაუზერი ბმულის გამოყენებით: https://www.torproject.org/download/download-easy.html.en მისამართების სივრცეში Tor ბრაუზერიშეიყვანეთ მისამართი: http://cryptsen7fo43rr6.onion/ და დააჭირეთ Enter. გვერდი ჩაიტვირთება საკონტაქტო ფორმით. 2) ნებისმიერ ბრაუზერში გადადით ერთ-ერთ მისამართზე: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ თქვენს კომპიუტერში არსებული ყველა მნიშვნელოვანი ფაილი დაშიფრულია. ფაილების გასაშიფრად, რომელიც უნდა გაგზავნოთ შემდეგიკოდი: 329D54752553ED978F94|0 ელფოსტის მისამართზე [ელფოსტა დაცულია]. შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას. თქვენ მიერ გაშიფვრის ყველა მცდელობა გამოიწვევს მხოლოდ თქვენი მონაცემების გამოუქცევად დაკარგვას. თუ თქვენ კვლავ გსურთ სცადოთ მათი გაშიფვრა, გთხოვთ, თავდაპირველად გააკეთოთ სარეზერვო ასლი, რადგან ფაილების შიგნით რაიმე ცვლილების შემთხვევაში გაშიფვრა შეუძლებელი გახდება. თუ პასუხი არ მიგიღიათ ზემოაღნიშნული ელფოსტიდან 48 საათზე მეტი ხნის განმავლობაში (და მხოლოდ ამ შემთხვევაში!), გამოიყენეთ გამოხმაურების ფორმა. ამის გაკეთება შეგიძლიათ ორი გზით: 1) ჩამოტვირთეთ Tor Browser აქედან: https://www.torproject.org/download/download-easy.html.en დააინსტალირეთ და ჩაწერეთ შემდეგი მისამართი შევიდამისამართის ზოლი: http://cryptsen7fo43rr6.onion/ დააჭირეთ შედი დაშემდეგ ჩაიტვირთება გვერდი უკუკავშირის ფორმით. 2) გადადით ერთინებისმიერ ბრაუზერში შემდეგი მისამართებიდან: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

საფოსტო მისამართი შეიძლება შეიცვალოს. ასევე წავაწყდი შემდეგ მისამართებს:

მისამართები მუდმივად განახლდება, ამიტომ ისინი შეიძლება სრულიად განსხვავებული იყოს.

როგორც კი აღმოაჩენთ, რომ თქვენი ფაილები დაშიფრულია, დაუყოვნებლივ გამორთეთ კომპიუტერი. ეს უნდა გაკეთდეს იმისათვის, რომ შეფერხდეს დაშიფვრის პროცესი ლოკალური კომპიუტერიდა ქსელის დისკებზე. დაშიფვრის ვირუსს შეუძლია დაშიფროს ყველა ის ინფორმაცია, რომელსაც შეუძლია მიაღწიოს, მათ შორის ქსელის დისკებზე. მაგრამ თუ იქ არის დიდი რაოდენობით ინფორმაცია, მაშინ მას მნიშვნელოვანი დრო დასჭირდება. ზოგჯერ რამდენიმე საათშიც კი კრიპტოგრაფს არ ჰქონდა დრო, რომ ყველაფერი დაშიფრულიყო ქსელის დისკიდაახლოებით 100 გიგაბაიტი.

შემდეგ თქვენ უნდა ყურადღებით იფიქროთ იმაზე, თუ როგორ უნდა მოიქცეთ. თუ ნებისმიერ ფასად გჭირდებათ ინფორმაცია თქვენს კომპიუტერზე და არ გაქვთ სარეზერვო ასლები, მაშინ უმჯობესია ამ მომენტში მიმართოთ სპეციალისტებს. არ არის აუცილებელი ფულისთვის ზოგიერთი კომპანიისთვის. თქვენ უბრალოდ გჭირდებათ ადამიანი, რომელიც კარგად არის საინფორმაციო სისტემები. აუცილებელია კატასტროფის მასშტაბის შეფასება, ვირუსის მოცილება და სიტუაციის შესახებ არსებული ყველა ინფორმაციის შეგროვება, რათა გავიგოთ, როგორ გავაგრძელოთ მოქმედება.

არასწორი ქმედებები ამ ეტაპზეშეიძლება მნიშვნელოვნად გაართულოს ფაილების გაშიფვრის ან აღდგენის პროცესი. უარეს შემთხვევაში, მათ შეუძლიათ ეს შეუძლებელი გახადონ. ასე რომ, დაუთმეთ დრო, იყავით ფრთხილად და თანმიმდევრული.

როგორ შიფრავს ფაილებს CRYPTED000007 ransomware ვირუსი

ვირუსის გაშვების და მისი მოქმედების დასრულების შემდეგ, ყველა სასარგებლო ფაილი იქნება დაშიფრული, გადარქმეული სახელიდან გაფართოება.crypted000007. უფრო მეტიც, შეიცვლება არა მხოლოდ ფაილის გაფართოება, არამედ ფაილის სახელიც, ასე რომ თქვენ არ გეცოდინებათ ზუსტად რა სახის ფაილები გქონდათ, თუ არ გახსოვთ. ეს დაახლოებით ასე გამოიყურება.

ასეთ ვითარებაში რთული იქნება ტრაგედიის მასშტაბის შეფასება, ვინაიდან ბოლომდე ვერ გაიხსენებთ რა გქონდათ სხვადასხვა საქაღალდეებში. ეს გაკეთდა სპეციალურად ხალხის დასაბნევად და წახალისების მიზნით, გადაიხადონ ფაილების გაშიფვრა.

და თუ თქვენი ქსელის საქაღალდეები დაშიფრულია და არ არის სრული სარეზერვო ასლები, მაშინ ამან შეიძლება მთლიანად შეაჩეროს მთელი ორგანიზაციის მუშაობა. გარკვეული დრო დაგჭირდებათ იმის გასარკვევად, თუ რა დაიკარგა საბოლოოდ, რათა დაიწყოთ აღდგენა.

როგორ მოვუაროთ თქვენს კომპიუტერს და წავშალოთ CRYPTED000007 გამოსასყიდი პროგრამა

CRYPTED000007 ვირუსი უკვე თქვენს კომპიუტერშია. პირველი და ყველაზე მნიშვნელოვანი კითხვაა, თუ როგორ უნდა მოხდეს კომპიუტერის დეზინფექცია და როგორ ამოიღოთ ვირუსი მისგან, რათა თავიდან აიცილოთ შემდგომი დაშიფვრა, თუ ის ჯერ კიდევ არ არის დასრულებული. მსურს დაუყოვნებლივ გავამახვილო თქვენი ყურადღება იმ ფაქტზე, რომ მას შემდეგ რაც თქვენ თავად დაიწყებთ კომპიუტერთან გარკვეული მოქმედებების შესრულებას, მონაცემთა გაშიფვრის შანსები მცირდება. თუ თქვენ გჭირდებათ ფაილების აღდგენა ნებისმიერ ფასად, არ შეეხოთ თქვენს კომპიუტერს, მაგრამ დაუყოვნებლივ დაუკავშირდით პროფესიონალებს. ქვემოთ მე ვისაუბრებ მათზე და მივცემ საიტის ბმულს და აღვწერ, თუ როგორ მუშაობენ ისინი.

ამასობაში ჩვენ გავაგრძელებთ კომპიუტერის დამოუკიდებელ მკურნალობას და ვირუსის მოცილებას. ტრადიციულად, გამოსასყიდი პროგრამა ადვილად იშლება კომპიუტერიდან, რადგან ვირუსს არ აქვს კომპიუტერში დარჩენის ამოცანა ნებისმიერ ფასად. ფაილების სრული დაშიფვრის შემდეგ, მისთვის კიდევ უფრო მომგებიანია საკუთარი თავის წაშლა და გაქრობა, რათა გართულდეს ინციდენტის გამოძიება და ფაილების გაშიფვრა.

აღწერეთ ხელით მოხსნავირუსი რთულია, თუმცა ადრეც ვცადე ამის გაკეთება, მაგრამ ვხედავ, რომ ყველაზე ხშირად უაზროა. ფაილების სახელები და ვირუსების განთავსების გზები მუდმივად იცვლება. რაც ვნახე, ერთ-ორ კვირაში აღარ არის აქტუალური. ჩვეულებრივ, ვირუსები იგზავნება ფოსტით ტალღებით და ყოველ ჯერზე არის ახალი მოდიფიკაცია, რომელიც ჯერ კიდევ არ არის გამოვლენილი ანტივირუსებით. დაგვეხმარება უნივერსალური ხელსაწყოები, რომლებიც ამოწმებს გაშვებას და აღმოაჩენს საეჭვო აქტივობას სისტემის საქაღალდეებში.

CRYPTED000007 ვირუსის მოსაშორებლად შეგიძლიათ გამოიყენოთ შემდეგი პროგრამები:

  1. Kaspersky Virus Removal Tool - პროგრამა Kaspersky-დან http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - მსგავსი პროდუქტი სხვა ვებ – გვერდიდან http://free.drweb.ru/cureit.
  3. თუ პირველი ორი კომუნალური პროგრამა არ დაგვეხმარება, სცადეთ MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

სავარაუდოდ, ერთ-ერთი ასეთი პროდუქტი გაასუფთავებს თქვენს კომპიუტერს CRYPTED000007 გამოსასყიდი პროგრამისგან. თუ მოულოდნელად მოხდა, რომ ისინი არ დაეხმარნენ, სცადეთ ვირუსის ხელით ამოღება. მოხსნის მეთოდის მაგალითი მოვიყვანე და იქ ნახავთ. მოკლედ, ეტაპობრივად, თქვენ უნდა მოიქცეთ ასე:

  1. ჩვენ ვუყურებთ პროცესების ჩამონათვალს, დავალების მენეჯერში რამდენიმე დამატებითი სვეტის დამატების შემდეგ.
  2. ჩვენ ვპოულობთ ვირუსის პროცესს, ვხსნით საქაღალდეს, რომელშიც ის მდებარეობს და ვშლით.
  3. ჩვენ ვასუფთავებთ ვირუსის პროცესის ხსენებას ფაილის სახელით რეესტრში.
  4. ჩვენ გადატვირთეთ და დარწმუნდით, რომ CRYPTED000007 ვირუსი არ არის გაშვებული პროცესების სიაში.

სად ჩამოტვირთოთ დეშიფრატორი CRYPTED000007

მარტივი და საიმედო დეშიფრატორის საკითხი პირველ რიგში ჩნდება, როდესაც საქმე ეხება გამოსასყიდ ვირუსს. პირველი, რასაც გირჩევთ, არის სერვისის გამოყენება https://www.nomoreransom.org. რა მოხდება, თუ გაგიმართლათ და მათ აქვთ გაშიფრული CRYPTED000007 დაშიფვრის თქვენი ვერსიისთვის. მაშინვე ვიტყვი, რომ ბევრი შანსი არ გაქვს, მაგრამ მცდელობა არ არის წამება. ჩართულია მთავარი გვერდიდააწკაპუნეთ დიახ:

შემდეგ ჩამოტვირთეთ რამდენიმე დაშიფრული ფაილი და დააწკაპუნეთ Go! შეიტყვეთ:

წერის დროს საიტზე არ იყო გაშიფრული.

ალბათ უკეთესი წარმატება გექნებათ. თქვენ ასევე შეგიძლიათ იხილოთ ჩამოსატვირთი დეშიფრატორების სია ცალკე გვერდზე - https://www.nomoreransom.org/decryption-tools.html. იქნებ იქ არის რამე სასარგებლო. როდესაც ვირუსი სრულიად ახალია, ამის ალბათობა მცირეა, მაგრამ დროთა განმავლობაში შეიძლება რაღაც გამოჩნდეს. არის მაგალითები, როდესაც ინტერნეტში გამოჩნდა დაშიფვრის ზოგიერთი მოდიფიკაციის დეშიფრატორები. და ეს მაგალითები მოცემულია მითითებულ გვერდზე.

არ ვიცი სად შეიძლება სხვაგან იპოვოთ დეკოდერი. ნაკლებად სავარაუდოა, რომ ის რეალურად იარსებებს, თანამედროვე შიფრატორების მუშაობის თავისებურებების გათვალისწინებით. მხოლოდ ვირუსის ავტორებს შეუძლიათ ჰქონდეთ სრულფასოვანი დეშიფრატორი.

როგორ გავაშიფროთ და აღვადგინოთ ფაილები CRYPTED000007 ვირუსის შემდეგ

რა უნდა გააკეთოთ, როდესაც CRYPTED000007 ვირუსმა დაშიფრა თქვენი ფაილები? დაშიფვრის ტექნიკური განხორციელება არ იძლევა ფაილების გაშიფვრას გასაღების ან დეშიფრატორის გარეშე, რაც აქვს მხოლოდ დაშიფვრის ავტორს. შეიძლება სხვა გზა იყოს, მაგრამ მე არ მაქვს ეს ინფორმაცია. ჩვენ შეგვიძლია ვცადოთ ფაილების აღდგენა მხოლოდ იმპროვიზირებული მეთოდების გამოყენებით. ეს მოიცავს:

  • ხელსაწყო ჩრდილოვანი ასლებიფანჯრები.
  • წაშლილი მონაცემების აღდგენის პროგრამები

პირველი, მოდით შევამოწმოთ, გვაქვს თუ არა ჩართული ჩრდილოვანი ასლები. ეს ინსტრუმენტი ნაგულისხმევად მუშაობს Windows 7 და უფრო მაღალ ვერსიაში, თუ ხელით არ გამორთავთ მას. შესამოწმებლად გახსენით კომპიუტერის თვისებები და გადადით სისტემის დაცვის განყოფილებაში.

თუ ინფექციის დროს არ დაადასტურეთ UAC-ის მოთხოვნა ფაილების ჩრდილოვანი ასლების წაშლის შესახებ, მაშინ გარკვეული მონაცემები იქ უნდა დარჩეს. ამ თხოვნაზე უფრო დეტალურად ვისაუბრე ისტორიის დასაწყისში, როცა ვირუსის მუშაობაზე ვისაუბრე.

ფაილების ადვილად აღდგენისთვის ჩრდილოვანი ასლებიდან, გირჩევთ გამოიყენოთ უფასო პროგრამაამ მიზნით - ShadowExplorer. ჩამოტვირთეთ არქივი, გახსენით პროგრამა და გაუშვით.

გაიხსნება ფაილების უახლესი ასლი და დისკის C ძირი ზედა მარცხენა კუთხეში, შეგიძლიათ აირჩიოთ სარეზერვო ასლი, თუ რამდენიმე მათგანი გაქვთ. შეამოწმეთ სხვადასხვა ასლები ხელმისაწვდომობისთვის საჭირო ფაილები. შეადარე თარიღის მიხედვით, სად მეტი უახლესი ვერსია. ჩემს ქვემოთ მოცემულ მაგალითში ვიპოვე 2 ფაილი ჩემს დესკტოპზე სამი თვის წინ, როდესაც ისინი ბოლოს იყო რედაქტირებული.

მე შევძელი ამ ფაილების აღდგენა. ამისთვის მე ავირჩიე ისინი, დავაწკაპუნე მარჯვენა ღილაკით, ავირჩიე Export და მივუთითე საქაღალდე, სადაც უნდა აღვადგინო ისინი.

თქვენ შეგიძლიათ დაუყოვნებლივ აღადგინოთ საქაღალდეები იმავე პრინციპით. თუ მუშაობდა ჩრდილოვანი ასლები და არ წაშალეთ ისინი, თქვენ გაქვთ კარგი შანსი აღადგინოთ ყველა, ან თითქმის ყველა, ვირუსით დაშიფრული ფაილი. ალბათ ზოგიერთი მათგანი იქნება მეტი ძველი ვერსია, ვიდრე ჩვენ გვსურს, მაგრამ მიუხედავად ამისა, ეს არაფერზე უკეთესია.

თუ რაიმე მიზეზით არ გაქვთ თქვენი ფაილების ჩრდილოვანი ასლები, დაშიფრული ფაილებიდან რაიმეს მიღების ერთადერთი შანსია მათი აღდგენა აღდგენის ხელსაწყოების გამოყენებით. წაშლილი ფაილები. ამისათვის მე გირჩევთ გამოიყენოთ უფასო პროგრამა Photorec.

გაუშვით პროგრამა და აირჩიეთ დისკი, რომელზეც აღადგენთ ფაილებს. გაშვება გრაფიკული ვერსიაპროგრამა ახორციელებს ფაილს qphotorec_win.exe. თქვენ უნდა აირჩიოთ საქაღალდე, სადაც განთავსებული იქნება ნაპოვნი ფაილები. უმჯობესია ეს საქაღალდე არ იყოს განთავსებული იმავე დისკზე, სადაც ჩვენ ვეძებთ. დააკავშირეთ ფლეშ დრაივი ან გარე მძიმედისკი ამისთვის.

ძიების პროცესს დიდი დრო დასჭირდება. დასასრულს ნახავთ სტატისტიკას. ახლა შეგიძლიათ გადახვიდეთ ადრე მითითებულ საქაღალდეში და ნახოთ რა არის იქ ნაპოვნი. დიდი ალბათობით ბევრი ფაილი იქნება და მათი უმეტესობა ან დაზიანდება ან იქნება რაღაც სისტემა და უსარგებლო ფაილები. მაგრამ მიუხედავად ამისა, ამ სიაში შეგიძლიათ იპოვოთ რამდენიმე სასარგებლო ფაილი. აქ არ არსებობს გარანტიები, რასაც იპოვით. სურათები, როგორც წესი, საუკეთესოდ აღდგება.

თუ შედეგი არ გაკმაყოფილებთ, მაშინ ასევე არსებობს პროგრამები წაშლილი ფაილების აღდგენისთვის. ქვემოთ მოცემულია პროგრამების სია, რომლებსაც ჩვეულებრივ ვიყენებ, როცა აღდგენა მჭირდება მაქსიმალური რაოდენობაფაილები:

ეს პროგრამები არ არის უფასო, ამიტომ ბმულებს არ მოგაწოდებთ. თუ ნამდვილად გსურთ, შეგიძლიათ იპოვოთ ისინი თავად ინტერნეტში.

ფაილის აღდგენის მთელი პროცესი დეტალურად არის ნაჩვენები სტატიის ბოლოს ვიდეოში.

Kaspersky, eset nod32 და სხვები Filecoder.ED შიფრატორის წინააღმდეგ ბრძოლაში

პოპულარული ანტივირუსები აღმოაჩენენ გამოსასყიდ პროგრამას CRYPTED000007 როგორც Filecoder.EDდა შემდეგ შეიძლება იყოს სხვა აღნიშვნა. გადავხედე მთავარ ანტივირუსულ ფორუმებს და იქ ვერაფერი სასარგებლო ვერ ვნახე. სამწუხაროდ, როგორც ყოველთვის, ანტივირუსული პროგრამა მოუმზადებელი აღმოჩნდა გამოსასყიდის ახალი ტალღის შეჭრისთვის. აქ არის პოსტი კასპერსკის ფორუმიდან.

ანტივირუსები ტრადიციულად გამოტოვებენ გამოსასყიდის ტროასების ახალ მოდიფიკაციას. მიუხედავად ამისა, გირჩევთ გამოიყენოთ ისინი. თუ გაგიმართლათ და მიიღეთ გამოსასყიდი ელ.წერილი არა ინფექციების პირველ ტალღაზე, არამედ ცოტა მოგვიანებით, არის შანსი, რომ ანტივირუსი დაგეხმაროთ. ისინი ყველა თავდამსხმელებზე ერთი ნაბიჯით უკან მუშაობენ. თურმე ახალი ვერსია ransomware, ანტივირუსები არ რეაგირებენ მასზე. როგორც კი გროვდება გარკვეული რაოდენობის მასალა ახალი ვირუსის კვლევისთვის, ანტივირუსული პროგრამა ავრცელებს განახლებას და იწყებს მასზე რეაგირებას.

მე არ მესმის, რა უშლის ხელს ანტივირუსებს, დაუყოვნებლივ უპასუხონ სისტემაში დაშიფვრის ნებისმიერ პროცესს. შესაძლოა, ამ თემაზე არის გარკვეული ტექნიკური ნიუანსი, რომელიც არ გვაძლევს საშუალებას ადეკვატურად ვუპასუხოთ და თავიდან ავიცილოთ მომხმარებლის ფაილების დაშიფვრა. მეჩვენება, რომ შესაძლებელი იქნებოდა მინიმუმ გაფრთხილების ჩვენება იმის შესახებ, რომ ვიღაც შიფრავს თქვენს ფაილებს და შესთავაზეთ პროცესის შეჩერება.

სად წავიდეთ გარანტირებული გაშიფვრისთვის

შემთხვევით შევხვდი ერთ კომპანიას, რომელიც რეალურად შიფრავს მონაცემებს სხვადასხვა დაშიფვრის ვირუსების მუშაობის შემდეგ, მათ შორის CRYPTED000007. მათი მისამართია http://www.dr-shifro.ru. გადახდა მხოლოდ სრული გაშიფვრისა და თქვენი გადამოწმების შემდეგ. აქ არის მუშაობის სავარაუდო სქემა:

  1. კომპანიის სპეციალისტი მოდის თქვენს ოფისში ან სახლში და ხელს აწერს თქვენთან ხელშეკრულებას, რომელიც განსაზღვრავს სამუშაოს ღირებულებას.
  2. გაუშვებს დეშიფრორს და შიფრავს ყველა ფაილს.
  3. თქვენ დარწმუნდებით, რომ ყველა ფაილი გახსნილია და ხელს აწერთ დასრულებული სამუშაოს მიწოდების/მიღების მოწმობას.
  4. გადახდა ხდება მხოლოდ წარმატებული გაშიფვრის შედეგების საფუძველზე.

მართალი ვიქნები, არ ვიცი, როგორ აკეთებენ ამას, მაგრამ თქვენ არაფერს რისკავთ. გადახდა მხოლოდ დეკოდერის მუშაობის დემონსტრირების შემდეგ. გთხოვთ დაწეროთ მიმოხილვა ამ კომპანიასთან თქვენი გამოცდილების შესახებ.

CRYPTED000007 ვირუსისგან დაცვის მეთოდები

როგორ დავიცვათ თავი გამოსასყიდისგან და თავიდან აიცილოთ მატერიალური და მორალური ზიანი? არსებობს რამდენიმე მარტივი და ეფექტური რჩევა:

  1. სარეზერვო საშუალება! სარეზერვოყველა მნიშვნელოვანი მონაცემი. და არა მხოლოდ სარეზერვო, არამედ სარეზერვო ასლი, რომელზეც მუდმივი წვდომა არ არის. წინააღმდეგ შემთხვევაში, ვირუსმა შეიძლება დააინფიციროს როგორც თქვენი დოკუმენტები, ასევე სარეზერვო ასლები.
  2. ლიცენზირებული ანტივირუსი. მიუხედავად იმისა, რომ ისინი არ იძლევიან 100% გარანტიას, ისინი ზრდის დაშიფვრის თავიდან აცილების შანსებს. ისინი ყველაზე ხშირად არ არიან მზად დაშიფვრის ახალი ვერსიებისთვის, მაგრამ 3-4 დღის შემდეგ ისინი იწყებენ რეაგირებას. ეს ზრდის ინფექციის თავიდან აცილების შანსებს, თუ არ იქნებით გამოსყიდვის ახალი მოდიფიკაციის გავრცელების პირველ ტალღაში.
  3. არ გახსნათ საეჭვო დანართები ფოსტაში. აქ კომენტარის გაკეთება არაფერია. ყველა ჩემთვის ცნობილი გამოსასყიდი პროგრამა მომხმარებლებზე ელფოსტით მიაღწია. უფრო მეტიც, ყოველ ჯერზე იგონებენ ახალ ხრიკებს მსხვერპლის მოსატყუებლად.
  4. დაუფიქრებლად ნუ გახსნით ბმულებს, რომლებიც გამოგიგზავნეთ თქვენი მეგობრების მეშვეობით სოციალური მედიაან მესინჯერები. ვირუსები ზოგჯერ ასეც ვრცელდება.
  5. ჩართეთ windows ჩვენებაფაილის გაფართოებები. როგორ გავაკეთოთ ეს მარტივია ინტერნეტში. ეს საშუალებას მოგცემთ შეამჩნიოთ ფაილის გაფართოება ვირუსზე. ყველაზე ხშირად ეს იქნება .exe, .vbs, .src. დოკუმენტებთან თქვენი ყოველდღიური მუშაობისას, ნაკლებად სავარაუდოა, რომ წააწყდეთ ფაილის ასეთ გაფართოებებს.

მე შევეცადე დამემატებინა ის, რაც ადრე დავწერე ყველა სტატიაში გამოსასყიდის ვირუსის შესახებ. ამასობაში ვემშვიდობები. მოხარული ვიქნები, რომ მივიღო სასარგებლო კომენტარები სტატიაზე და ზოგადად CRYPTED000007 გამოსასყიდ ვირუსზე.

ვიდეო ფაილის გაშიფვრისა და აღდგენის შესახებ

აქ მოცემულია ვირუსის წინა მოდიფიკაციის მაგალითი, მაგრამ ვიდეო სრულიად აქტუალურია CRYPTED000007-ისთვის.

პირველი ცნობების თანახმად, სამშაბათს თავდამსხმელების მიერ გააქტიურებული დაშიფვრის ვირუსი კლასიფიცირებული იყო, როგორც გამოსასყიდი პროგრამის უკვე ცნობილი Petya ოჯახის წევრი, მაგრამ მოგვიანებით გაირკვა, რომ ეს იყო მავნე პროგრამების ახალი ოჯახი, მნიშვნელოვნად განსხვავებული ფუნქციონირებით. კასპერსკის ლაბორატორია გახმოვანებული ახალი ვირუსიექსპეტრ.

„ჩვენი ექსპერტების მიერ ჩატარებულმა ანალიზმა აჩვენა, რომ მსხვერპლს თავდაპირველად არ ჰქონდათ საკუთარი საქმეების დაბრუნების შანსი. „კასპერსკის ლაბორატორიის მკვლევარებმა გააანალიზეს მავნე პროგრამის კოდის ნაწილი, რომელიც დაკავშირებულია ფაილების დაშიფვრასთან და დაადგინეს, რომ დისკის დაშიფვრის შემდეგ, ვირუსის შემქმნელებს აღარ ექნებათ მისი გაშიფვრის შესაძლებლობა“, - იუწყება ლაბორატორია.

როგორც კომპანია აღნიშნავს, გაშიფვრას სჭირდება უნიკალური იდენტიფიკატორი კონკრეტული ტროას ინსტალაციისთვის. ადრე ცნობილი ვერსიებიმსგავსი შიფრატორები Petya/Mischa/GoldenEye, ინსტალაციის იდენტიფიკატორი შეიცავდა გაშიფვრისთვის აუცილებელ ინფორმაციას. ExPetr-ის შემთხვევაში, ეს იდენტიფიკატორი არ არსებობს. ეს ნიშნავს, რომ მავნე პროგრამის შემქმნელებს არ შეუძლიათ მიიღონ ინფორმაცია, რომელიც საჭიროა ფაილების გაშიფვრისთვის. სხვა სიტყვებით რომ ვთქვათ, გამოსასყიდი პროგრამის მსხვერპლებს არ აქვთ საშუალება დაიბრუნონ თავიანთი მონაცემები, განმარტავს კასპერსკის ლაბორატორია.

ვირუსი ბლოკავს კომპიუტერებს და ითხოვს 300 დოლარს ბიტკოინებში, განუცხადა რია ნოვოსტის Group-IB. თავდასხმა სამშაბათს, დაახლოებით 11:00 საათზე დაიწყო. მედიის ცნობით, ოთხშაბათს, საღამოს 6 საათისთვის, ბიტკოინის საფულე, რომელიც მითითებული იყო გამომძალველებისთვის თანხების გადარიცხვის მიზნით, მიიღო ცხრა გადარიცხვა. გადარიცხვების საკომისიოს გათვალისწინებით, დაზარალებულებმა ჰაკერებს დაახლოებით 2,7 ათასი დოლარი გადაურიცხეს.

WannaCry-თან შედარებით, ეს ვირუსი უფრო დესტრუქციულად ითვლება, რადგან ის ვრცელდება რამდენიმე მეთოდის გამოყენებით - დან Windows-ის გამოყენებითმართვის ინსტრუმენტაცია, PsExec და EternalBlue ექსპლოიტი. გარდა ამისა, ჩაშენებულია გამოსასყიდი პროგრამა უფასო კომუნალურიმიმიკაცი.

ახალი „ახალი პეტიას“ დაშიფვრის ვირუსის მიერ თავდასხმის მომხმარებელთა რაოდენობამ 2 ათასს მიაღწია, იტყობინება ოთხშაბათს კასპერსკის ლაბორატორია, რომელიც იძიებს კომპიუტერული ინფექციების ტალღას.

ანტივირუსული კომპანიის ESET-ის ცნობით, თავდასხმა დაიწყო უკრაინაში, რომელიც სხვა ქვეყნებზე მეტად დაზარალდა. კომპანიის მიერ ვირუსით დაზარალებული ქვეყნების რეიტინგის მიხედვით, უკრაინის შემდეგ მეორე ადგილზეა იტალია, მესამეზე კი ისრაელი. ათეულში ასევე მოხვდნენ სერბეთი, უნგრეთი, რუმინეთი, პოლონეთი, არგენტინა, ჩეხეთი და გერმანია. რუსეთში ამ სიასმე-14 ადგილი დაიკავა.

გარდა ამისა, Avast-მა თქვა, რა ზუსტად ოპერაციული სისტემებიყველაზე მეტად ვირუსი დაზარალდა.

პირველ ადგილზე Windows 7 იყო - ყველა ინფიცირებული კომპიუტერის 78%. შემდეგი მოდის Windows XP (18%), Windows 10 (6%) და Windows 8.1 (2%).

ამრიგად, WannaCry-მ გლობალურ საზოგადოებას პრაქტიკულად არაფერი ასწავლა - კომპიუტერები დაუცველი რჩებოდა, სისტემები არ განახლებულა და Microsoft-ის მცდელობა, გამოეცა პატჩები მოძველებული სისტემებისთვისაც კი, უბრალოდ ფუჭად წავიდა.

ათწლეულების განმავლობაში, კიბერკრიმინალები წარმატებით იყენებდნენ ხარვეზებსა და დაუცველობებს მსოფლიო ქსელში. თუმცა, ბოლო წლებში აშკარად გაიზარდა თავდასხმების რაოდენობა, ასევე გაიზარდა მათი დონე - თავდამსხმელები უფრო სახიფათო ხდებიან და მავნე პროგრამავრცელდება ისეთი ტემპებით, რაც აქამდე არ ყოფილა.

შესავალი

ჩვენ ვსაუბრობთ გამოსასყიდ პროგრამაზე, რომელმაც წარმოუდგენელი ნახტომი განიცადა 2017 წელს, რამაც ზიანი მიაყენა ათასობით ორგანიზაციას მთელს მსოფლიოში. მაგალითად, ავსტრალიაში გამოსასყიდი პროგრამების შეტევებმა, როგორიცაა WannaCry და NotPetya, მთავრობის დონეზე შეშფოთებაც კი გამოიწვია.

ამ წლის გამოსასყიდის მავნე პროგრამების „წარმატებების“ შეჯამებით, ჩვენ განვიხილავთ 10 ყველაზე საშიშს, რომლებმაც ყველაზე დიდი ზიანი მიაყენეს ორგანიზაციებს. იმედი ვიქონიოთ, რომ მომავალ წელს ჩვენ ვისწავლით ჩვენს გაკვეთილებს და თავიდან ავიცილებთ ამ ტიპის პრობლემების ჩვენს ქსელებში შესვლას.

არა პეტია

ამ გამოსასყიდის შეტევა დაიწყო უკრაინული საბუღალტრო პროგრამით M.E.Doc, რომელმაც შეცვალა 1C, რომელიც აკრძალული იყო უკრაინაში. სულ რამდენიმე დღეში NotPetya-მ ასობით ათასი კომპიუტერი დააინფიცირა 100-ზე მეტ ქვეყანაში. ეს მავნე პროგრამა უფრო ძველის ვარიანტია პეტიას გამოსასყიდი პროგრამა, მათ შორის ერთადერთი განსხვავება ისაა, რომ NotPetya შეტევები იყენებდნენ იგივე ექსპლოიტს, როგორც WannaCry შეტევებს.

როგორც NotPetya გავრცელდა, ის შეეხო რამდენიმე ორგანიზაციას ავსტრალიაში, როგორიცაა Cadbury შოკოლადის ქარხანა ტასმანიაში, რომელსაც დროებით უნდა დაეხურა მთელი IT სისტემა. ამ გამოსასყიდმა პროგრამამ ასევე მოახერხა მსოფლიოს უდიდეს საკონტეინერო გემში შეღწევა, კომპანიის საკუთრებაში Maersk, რომელმაც გავრცელებული ინფორმაციით დაკარგა $300 მილიონამდე შემოსავალი.

WannaCry

ამ გამოსასყიდმა, თავისი მასშტაბით საშინელმა, პრაქტიკულად მთელი მსოფლიო დაიპყრო. მისმა შეტევებმა გამოიყენა სამარცხვინო EternalBlue ექსპლოიტი, რომელიც იყენებს დაუცველობას Microsoft Server Message Block (SMB) პროტოკოლში.

WannaCry-მ დაინფიცირდა მსხვერპლი 150 ქვეყანაში და 200 000-ზე მეტ მანქანაში მხოლოდ პირველ დღეს. ჩვენ გამოვაქვეყნეთ ეს სენსაციური მავნე პროგრამა.

ლოკი

Locky იყო ყველაზე პოპულარული გამოსასყიდი პროგრამა 2016 წელს, მაგრამ განაგრძო ფუნქციონირება 2017 წელს. Locky-ის ახალი ვარიანტები, სახელწოდებით Diablo და Lukitus, გაჩნდა წელს, იგივე თავდასხმის ვექტორის (ფიშინგის) გამოყენებით ექსპლოიტების დასაწყებად.

სწორედ ლოკი იდგა ავსტრალიის ფოსტის ელექტრონული ფოსტის თაღლითობის სკანდალის უკან. ავსტრალიის კონკურენციისა და მომხმარებელთა კომისიის მონაცემებით, მოქალაქეებმა ამ თაღლითობის გამო $80,000-ზე მეტი დაკარგეს.

CrySis

ეს მაგალითი გამოირჩეოდა დისტანციური დესკტოპის პროტოკოლის (RDP) ოსტატურად გამოყენებით. RDP არის გამოსასყიდის პროგრამის გავრცელების ერთ-ერთი ყველაზე პოპულარული მეთოდი, რადგან ის საშუალებას აძლევს კიბერკრიმინალებს კომპრომეტირება გაუკეთონ მანქანებს, რომლებიც აკონტროლებენ მთელ ორგანიზაციებს.

CrySis-ის მსხვერპლები იძულებულნი გახდნენ გადაეხადათ $455-დან $1,022-მდე მათი ფაილების აღსადგენად.

ნემუკოდი

Nemucod ნაწილდება ფიშინგის ელექტრონული ფოსტის გამოყენებით, რომელიც ჰგავს სატრანსპორტო სერვისების ინვოისს. ეს ransomware ჩამოტვირთავს მავნე ფაილებს, რომლებიც შენახულია გატეხილ ვებსაიტებზე.

ფიშინგული ელ.ფოსტის გამოყენების თვალსაზრისით, ნემუკოდი მეორე ადგილზეა Locky-ის შემდეგ.

ჯაფი

ჯაფი ლოკის მსგავსია და მსგავს ტექნიკას იყენებს. ეს გამოსასყიდი პროგრამა არ გამოირჩევა ფაილების გავრცელების ან დაშიფვრის ორიგინალური მეთოდებით, პირიქით, ის აერთიანებს ყველაზე წარმატებულ პრაქტიკებს.

თავდამსხმელები მის უკან 3700 დოლარამდე მოითხოვდნენ დაშიფრულ ფაილებზე წვდომისთვის.

სპორა

ამ ტიპის გამოსასყიდი პროგრამის გასავრცელებლად, კიბერკრიმინალები არღვევენ ლეგიტიმურ ვებსაიტებს მათში JavaScript კოდის დამატებით. მომხმარებლები, რომლებიც დაეშვებიან ასეთ საიტზე, დაინახავენ pop-up გაფრთხილებას, რომელიც მათ განახლებას მოუწოდებს. Chrome ბრაუზერისაიტის დათვალიერების გასაგრძელებლად. ე.წ Chrome Font Pack-ის ჩამოტვირთვის შემდეგ მომხმარებლები დაინფიცირდნენ Spora-ით.

ცერბერი

შეტევის მრავალი ვექტორიდან ერთ-ერთს, რომელსაც Cerber იყენებს, ეწოდება RaaS (Ransomware-as-a-Service). ამ სქემის მიხედვით, თავდამსხმელები სთავაზობენ გადაიხადონ ტროას განაწილება, დაპირდებიან მიღებული თანხის პროცენტს. ამ „სერვისის“ წყალობით, კიბერკრიმინალები აგზავნიან გამოსასყიდ პროგრამას და შემდეგ აწვდიან სხვა თავდამსხმელებს მის გასავრცელებელ ინსტრუმენტებს.

კრიპტომიქსი

ეს არის ერთ-ერთი იმ რამდენიმე გამოსასყიდი პროგრამადან, რომელსაც არ აქვს გადახდის კონკრეტული ტიპის პორტალი ბნელ ქსელში. დაზარალებულმა მომხმარებლებმა უნდა დაელოდონ კიბერკრიმინალების გაგზავნას ელინსტრუქციები.

Cryptomix-ის მსხვერპლნი იყვნენ მომხმარებლები 29 ქვეყნიდან, მათ აიძულებდნენ გადაეხადათ $3000-მდე.

Jigsaw

კიდევ ერთი მავნე პროგრამა სიიდან, რომელმაც თავისი საქმიანობა 2016 წელს დაიწყო. Jigsaw ათავსებს კლოუნის სურათს Saw ფილმების სერიიდან სპამ წერილებში. როგორც კი მომხმარებელი დააწკაპუნებს სურათზე, გამოსასყიდი პროგრამა არა მხოლოდ დაშიფვრავს, არამედ შლის ფაილებს, თუ მომხმარებელი ძალიან აგვიანებს 150 დოლარის გამოსასყიდის გადახდას.

დასკვნები

როგორც ვხედავთ, თანამედროვე საფრთხეები სულ უფრო დახვეწილ ექსპლოიატებს იყენებს კარგად დაცული ქსელების წინააღმდეგ. მიუხედავად იმისა, რომ თანამშრომლებს შორის გაზრდილი ინფორმირებულობა შეიძლება დაეხმაროს ინფექციების გავლენის მართვას, ბიზნესებმა უნდა გასცდნენ კიბერუსაფრთხოების ძირითად სტანდარტებს საკუთარი თავის დასაცავად. დღევანდელი საფრთხეებისგან დაცვა მოითხოვს პროაქტიულ მიდგომებს, რომლებიც გამოიყენებენ რეალურ დროში ანალიტიკას სასწავლო ძრავით, რომელიც მოიცავს საფრთხის ქცევისა და კონტექსტის გაგებას.

კასპერსკის ლაბორატორია WannaCry გამოსასყიდის შესახებ

Kaspersky Lab-ის სპეციალისტებმა გააანალიზეს ინფორმაცია ინფექციების შესახებ გამოსასყიდის პროგრამით სახელწოდებით "WannaCry", რომელსაც კომპანიები მთელს მსოფლიოში შეხვდნენ 12 მაისს.

კასპერსკის ლაბორატორიის სპეციალისტებმა გააანალიზეს ინფორმაცია გამოსასყიდი პროგრამით ინფექციების შესახებ, სახელწოდებით „WannaCry“, რომელსაც კომპანიები მთელს მსოფლიოში შეხვდნენ 12 მაისს. როგორც ანალიზმა აჩვენა, შეტევა მოხდა ქსელის ცნობილი დაუცველობის მეშვეობით, Microsoft Security Bulletin MS17-010. შემდეგ ინფიცირებულ სისტემაზე დამონტაჟდა rootkit, რომლის გამოყენებითაც თავდამსხმელებმა დაშიფვრის პროგრამა დაიწყეს.

კასპერსკის ლაბორატორიის ყველა გადაწყვეტა აღმოაჩენს ამ მავნე პროგრამას, რომელიც გამოიყენებოდა ამ შეტევაში შემდეგი განაჩენებით:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (ამ მავნე პროგრამის აღმოსაჩენად, სისტემის მონიტორინგის კომპონენტი უნდა იყოს ჩართული)

მონაცემთა გაშიფვრისთვის თავდამსხმელები ბიტკოინის კრიპტოვალუტაში 600 დოლარის გამოსასყიდს ითხოვენ. ამჟამად კასპერსკის ლაბორატორიას აქვს დაფიქსირებული 45000 თავდასხმის მცდელობა მსოფლიოს 74 ქვეყანაში. ყველაზე დიდი რიცხვირუსეთში დაინფიცირების მცდელობები ფიქსირდება.

თუ თქვენი ფაილები დაშიფრულია, თქვენ აბსოლუტურად არ უნდა გამოიყენოთ ინტერნეტში შემოთავაზებული ან მისი მეშვეობით მიღებული არაფერი წერილებსგაშიფვრის ხელსაწყოები. ფაილები დაშიფრულია ძლიერი დაშიფვრის ალგორითმით და მათი გაშიფვრა შეუძლებელია, ხოლო თქვენ მიერ ჩამოტვირთულმა პროგრამებმა შეიძლება კიდევ უფრო მეტი ზიანი მიაყენოს თქვენს კომპიუტერს და კომპიუტერებს მთელს ორგანიზაციაში, რადგან ისინი პოტენციურად მავნეა და მიმართულია ეპიდემიის ახალ ტალღაზე.

თუ აღმოაჩენთ, რომ თქვენი კომპიუტერი ინფიცირებულია, უნდა გამორთოთ და დაუკავშირდით ინფორმაციის უსაფრთხოებაშემდგომი ინსტრუქციებისთვის.

  • დააინსტალირეთოფიციალური პაჩიდანმაიკროსოფტი , რომელიც ხურავს შეტევაში გამოყენებულ დაუცველობას (კერძოდ, განახლებები უკვე ხელმისაწვდომია ვერსიებისთვისფანჯრებიXPდაფანჯრები2003);
  • დარწმუნდით, რომ უსაფრთხოების გადაწყვეტილებები ჩართულია ქსელის ყველა კვანძზე;
  • თუ იყენებთ Kaspersky Lab-ის უსაფრთხოების გადაწყვეტას, დარწმუნდით, რომ მისი ვერსია შეიცავს „სისტემის მონიტორინგის“ კომპონენტს და ის ჩართულია;
  • კასპერსკის ლაბორატორიის უსაფრთხოების გადაწყვეტაში კრიტიკული უბნების სკანირების დავალება შეასრულეთ შესაძლო ინფექციის რაც შეიძლება ადრე აღმოსაჩენად (წინააღმდეგ შემთხვევაში გამოვლენა ავტომატურად მოხდება 24 საათის განმავლობაში);
  • Trojan.Win64.EquationDrug.gen აღმოჩენის შემდეგ გადატვირთეთ სისტემა;
  • მომავალში, ასეთი ინციდენტების თავიდან ასაცილებლად, გამოიყენეთ საფრთხის მოხსენების სერვისები, რათა დროულად მიიღოთ მონაცემები ყველაზე საშიში მიზნობრივი თავდასხმებისა და შესაძლო ინფექციების შესახებ.

მეტი დეტალური ინფორმაცია„WannaCry“ შეტევების შესახებ შეგიძლიათ იხილოთ კასპერსკის ლაბორატორიის ანგარიშში

დაკავშირებული სტატიები