• Peste 200.000 de computere au fost deja infectate!

Principalele ținte ale atacului au vizat sectorul corporativ, urmat de companiile de telecomunicații din Spania, Portugalia, China și Anglia.

• Cea mai mare lovitură a fost dată utilizatorilor și companiilor ruși. Inclusiv Megafon, Căile Ferate Ruse și, conform informațiilor neconfirmate, Comitetul de Investigație și Ministerul Afacerilor Interne. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Pentru decriptarea datelor, atacatorii cer o răscumpărare de 300 până la 600 de dolari în bitcoini (aproximativ 17.000-34.000 de ruble).

Actualizare Windows 10 versiunea 1909

Hartă interactivă a infecțiilor (CLICK PE HARTĂ)
Fereastra de răscumpărare
Criptează fișierele cu următoarele extensii

În ciuda faptului că virusul vizează sectorul corporativ, utilizatorul mediu nu este, de asemenea, imun la pătrunderea WannaCry și la posibila pierdere a accesului la fișiere.

• Instrucțiuni pentru protejarea computerului și a datelor de pe acesta împotriva infecțiilor:

1. Instalați aplicația Kaspersky System Watcher, care este echipată cu o funcție încorporată pentru a anula modificările cauzate de acțiunile unui criptator care a reușit să ocolească măsurile de securitate.

2. Utilizatorilor de software antivirus de la Kaspersky Lab li se recomandă să verifice dacă funcția „Monitor sistem” este activată.

3. Utilizatorii programului antivirus de la ESET NOD32 pentru Windows 10 au fost introduși pentru a verifica dacă există noi actualizări ale sistemului de operare. Dacă ați avut grijă în avans și ați activat-o, atunci toate actualizările Windows necesare noi vor fi instalate și sistemul dumneavoastră va fi complet protejat de acest virus WannaCryptor și alte atacuri similare.

4. De asemenea, utilizatorii produselor ESET NOD32 au o astfel de funcție în program precum detectarea amenințărilor încă necunoscute. Această metodă se bazează pe utilizarea tehnologiilor comportamentale, euristice.

Dacă un virus se comportă ca un virus, cel mai probabil este un virus.

Din 12 mai, tehnologia sistemului cloud ESET LiveGrid a respins cu mare succes toate atacurile acestui virus și toate acestea s-au întâmplat chiar înainte ca baza de date de semnături să fie actualizată.

5. Tehnologiile ESET oferă securitate și pentru dispozitivele care rulează sisteme vechi Windows XP, Windows 8 și Windows Server 2003 ( Vă recomandăm să încetați să utilizați aceste sisteme învechite). Datorită unui nivel foarte ridicat de amenințare care a apărut pentru aceste sisteme de operare, Microsoft a decis să lanseze actualizări. Descărcați-le.

6. Pentru a minimiza amenințarea de vătămare a computerului, trebuie să actualizați urgent versiunea Windows 10: Start - Setări - Actualizare și securitate - Verificați actualizările (în alte cazuri: Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați).

7. Instalați patch-ul oficial (MS17-010) de la Microsoft, care remediază eroarea serverului SMB prin care poate pătrunde virusul. Acest server este implicat în acest atac.

8. Asigurați-vă că toate instrumentele de securitate disponibile rulează și funcționează pe computer.

9. Scanați-vă întregul sistem pentru viruși. La expunerea unui atac rău intenționat numit MEM:Trojan.Win64.EquationDrug.gen, reporniți sistemul.

Și încă o dată vă recomand să verificați dacă sunt instalate patch-urile MS17-010.

În prezent, specialiștii de la Kaspersky Lab, ESET NOD32 și alte produse antivirus lucrează activ la scrierea unui program de decriptare a fișierelor care va ajuta utilizatorii computerelor infectate să restabilească accesul la fișiere.

În urmă cu aproximativ o săptămână sau două, pe Internet a apărut un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după un virus ransomware criptat000007și recuperați fișierele criptate. În acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare.

Decriptare garantată a fișierelor după un virus ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact în același mod. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnicile de inginerie socială sunt folosite pentru a se asigura că utilizatorul devine interesat de scrisoare și o deschide. În cazul meu, în scrisoare se vorbea despre un fel de instanță și despre informații importante despre caz din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras de la Curtea de Arbitraj din Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, atunci copiile de rezervă ale fișierelor din copiile umbre ale Windows vor fi șterse și restaurarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. În acest criptator, aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să fie de acord și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere a copiilor umbre fără să mă opresc. De obicei, după 5-10 oferte s-au oprit.

Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze alertele de Control cont utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant sub contul de administrator al computerului decât dacă există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor exista multe fișiere text cu același conținut pe desktop.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Tor Browser folosind link-ul: https://www.torproject.org/download/download-easy.html.en În caseta de adrese Tor Browser, introduceți adresa: http ://cryptsen7fo43rr6 .onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul dvs. au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți face acest lucru în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http:/ /cryptsen7fo43rr6.onion/ Apăsați Enter și apoi va fi încărcată pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. De asemenea, am dat peste următoarele adrese:

• [email protected]
• [email protected]

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare atât pe computerul local, cât și pe unitățile de rețea. Un virus ransomware poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, ransomware-ul nu a avut timp să cripteze totul pe o unitate de rețea cu o capacitate de aproximativ 100 de gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de o persoană care este bine versată în sistemele informaționale. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiunile incorecte în această etapă pot complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia de fișier va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arăta cam așa.

Într-o astfel de situație, va fi dificil să evaluați amploarea tragediei, deoarece nu vă veți putea aminti pe deplin ce ați avut în diferite dosare. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Și dacă folderele dvs. de rețea au fost criptate și nu există copii de siguranță complete, atunci acest lucru poate opri complet activitatea întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai importantă întrebare este cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul dvs., șansele de a decripta datele scad. Dacă trebuie să recuperați fișiere cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptarea completă a fișierelor, este și mai profitabil pentru el să se ștergă și să dispară, ceea ce face mai dificilă investigarea incidentului și decriptarea fișierelor.

Este dificil să descriu cum să eliminați manual un virus, deși am încercat să fac asta înainte, dar văd că cel mai adesea este inutil. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant după o săptămână sau două. De obicei, virușii sunt trimiși prin poștă în valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Instrumentele universale care verifică pornirea și detectează activități suspecte în folderele de sistem ajută.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

1. Kaspersky Virus Removal Tool - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați manual virusul. Am dat un exemplu de metoda de eliminare și o puteți vedea acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
2. Găsim procesul virusului, deschidem folderul în care se află și îl ștergem.
3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere se pune în primul rând atunci când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina principală faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista un decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptare pentru descărcare pe o pagină separată - https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care decriptoarele pentru unele modificări ale criptoarelor au apărut pe Internet. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișierele folosind metode improvizate. Acestea includ:

• Instrument copii umbră ferestre.
• Programe de recuperare a datelor șterse

În primul rând, să verificăm dacă avem copiile umbră activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă în timpul infecției nu ați confirmat solicitarea UAC de ștergere a fișierelor în copii umbră, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai pe larg la începutul poveștii, când am vorbit despre munca virusului.

Pentru a restaura cu ușurință fișierele din copii umbră, vă sugerez să utilizați un program gratuit pentru aceasta - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Cea mai recentă copie a fișierelor și rădăcina unității C se vor deschide În colțul din stânga sus, puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verificați diferite copii pentru fișierele necesare. Comparați după dată pentru cea mai recentă versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am făcut clic dreapta, am selectat Export și am specificat folderul în care să le restabilesc.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi o versiune mai veche decât ne-am dori, dar, cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare a fișierelor șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansarea versiunii grafice a programului execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau un hard disk extern pentru a face acest lucru.

Procesul de căutare va dura mult timp. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, câteva fișiere utile pot fi găsite în această listă. Nu există garanții aici, ceea ce vei găsi este ceea ce vei găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei când trebuie să recuperez numărul maxim de fișiere:

• R.saver
• Recuperare fișier Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

În mod tradițional, antivirusurile ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Este lansată o nouă versiune de ransomware, dar antivirusurile nu răspund la aceasta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanțe tehnice pe acest subiect care nu ne permite să răspundem în mod adecvat și să împiedicăm criptarea fișierelor utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să vă oferiți oprirea procesului.

Unde să mergi pentru decriptare garantată

Am avut ocazia să cunosc o companie care decriptează efectiv datele după munca diverșilor viruși de criptare, inclusiv CRYPTED000007. Adresa lor este http://www.dr-shifro.ru. Plata numai după decriptarea completă și verificarea dvs. Iată o schemă aproximativă de lucru:

1. Un specialist al companiei vine la birou sau acasă și semnează un acord cu tine, care stabilește costul lucrării.
2. Lansează decriptorul și decriptează toate fișierele.
3. Vă asigurați că toate fișierele sunt deschise și semnați certificatul de livrare/acceptare pentru lucrarea finalizată.
4. Plata se face numai pe baza rezultatelor reușite ale decriptării.

Sincer să fiu, nu știu cum fac, dar nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să eviți daune materiale și morale? Există câteva sfaturi simple și eficiente:

1. Backup! Copiere de rezervă a tuturor datelor importante. Și nu doar un backup, ci un backup la care nu există acces constant. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de distribuție a unei noi modificări a ransomware-ului.
3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
4. Nu deschideți neatenționat link-uri trimise către dvs. de la prieteni prin rețelele sociale sau mesagerie instantanee. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
5. Activați Windows pentru a afișa extensiile de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Videoclip despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.

Noul malware ransomware WannaCry (care are și o serie de alte nume - WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. . După cum a devenit clar, companiile din zeci de țări s-au trezit într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.

De ce este WannaCry periculoasă? Virusul criptează diferite tipuri de fișiere (folosind extensia .WCRY, făcând fișierele complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile fișierele vor fi deloc imposibil de decriptat.

Calculatoarele care rulează sisteme de operare Windows riscă să fie infectate cu virusul ransomware WannaCry. Dacă utilizați versiuni licențiate de Windows și vă actualizați în mod regulat sistemul, nu trebuie să vă faceți griji că un virus va pătrunde în sistemul dumneavoastră în acest fel.

Utilizatorii MacOS, ChromeOS și Linux, precum și sistemele de operare mobile iOS și Android, nu ar trebui să se teamă deloc de atacurile WannaCry.

Ce să faci dacă ești victima WannaCry?

Agenția Națională a Crimei (NCA) din Marea Britanie recomandă ca întreprinderile mici care au fost victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online ar trebui să ia următoarele măsuri:

• Izolați-vă imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
• Schimbați driverele.
• Fără a vă conecta la o rețea Wi-Fi, conectați-vă computerul direct la Internet.
• Actualizați sistemul de operare și toate celelalte programe software.
• Actualizați și rulați software-ul antivirus.
• Reconectați-vă la rețea.
• Monitorizați traficul de rețea și/sau executați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.

Important!

Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția atacatorilor. Prin urmare, nu pierdeți timp și bani cu acei „genii IT” care promit să vă salveze de această durere de cap.

Merită să plătiți bani atacatorilor?

Primele întrebări puse de utilizatorii care se confruntă cu noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere: să plătească bani extortionistului sau nu? Deoarece utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu bani.

Dar NCA îndeamnă cu tărie Nuplăti bani. Dacă decideți să faceți acest lucru, țineți cont de următoarele:

• În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
• În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
• În al treilea rând, cel mai probabil veți da pur și simplu banii infractorilor cibernetici.

Cum să te protejezi de WannaCry?

Vyacheslav Belashov, șeful departamentului de implementare a sistemelor de securitate a informațiilor la SKB Kontur, explică ce acțiuni trebuie întreprinse pentru a preveni infectarea cu virusul:

Particularitatea virusului WannaCry este că poate pătrunde într-un sistem fără intervenția umană, spre deosebire de alți viruși de criptare. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să urmeze un link dubios dintr-un e-mail care nu i-a fost de fapt destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, se exploatează o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, computerele bazate pe Windows care nu au instalat actualizările din 14 martie 2017 au fost în primul rând în pericol. O stație de lucru infectată din rețeaua locală este suficientă pentru ca virusul să se răspândească la alții cu vulnerabilități existente.

Utilizatorii afectați de virus au în mod natural o întrebare principală: cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.

Ce anume se poate și trebuie făcut în acest moment:

1. Instalați cele mai recente actualizări.

Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor de protecție antivirus. Informații despre actualizarea Windows pot fi găsite aici.

2. Faceți copii de rezervă ale informațiilor importante.

3. Aveți grijă când lucrați cu poșta și internetul.

Trebuie să fiți atenți la e-mailurile primite cu link-uri și atașamente dubioase. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.

Pe 12 mai s-a aflat despre un virus de criptare care se răspândea cu viteză record: într-un weekend a infectat peste 200 de mii de computere în 150 de țări. După aceasta, răspândirea virusului a fost oprită, dar în decurs de o zi au apărut mai multe versiuni ale virusului și răspândirea acestuia continuă. Prin urmare, publicăm răspunsuri la câteva întrebări care vă vor spune în termeni generali ce fel de virus este acesta, de unde provine și vă vor ajuta să vă protejați computerul.

Kuzmich Pavel Alekseevici, Director al Laboratorului de Calculatoare Criminalistică de la Universitatea ITMO.

Virusul infectează computerele și alte dispozitive ale utilizatorilor individuali?
Da, virusul poate infecta și computerele utilizatorilor. Cel mai probabil, angajații acelor organizații în care a fost detectată infecția au folosit computere pentru a primi e-mail și a „naviga” pe internet și, nefiind convinși de siguranța scrisorilor primite și a site-urilor pe care le-au deschis, au descărcat software rău intenționat pe ele. Această metodă de fraudă nu poate fi numită nouă: problema așa-numiților viruși de criptare este relevantă de câțiva ani, iar prețul de 300 USD poate fi considerat destul de „uman”. Așadar, acum un an și jumătate, o organizație a contactat laboratorul nostru, de la care atacatorii au cerut 700 USD în bitcoini pentru decriptarea unui singur fișier cu clienții.

Ce poți face pentru a nu fi expus la virus?
În primul rând, aveți grijă unde mergeți pe Internet. În al doilea rând, urmăriți-vă cu atenție corespondența și, înainte de a deschide orice fișier din scrisori, asigurați-vă că nu este o scrisoare frauduloasă. De foarte multe ori, virușii sunt distribuiți în fișiere atașate scrisorilor presupuse de la Rostelecom, unde un angajat ar trimite o factură pentru plată. Adesea au început să sosească aceleași scrisori frauduloase în numele Sberbank, precum și al executorilor judecătorești. Pentru a evita să deveniți o victimă a atacatorilor, ar trebui să priviți cu atenție unde duce linkul din scrisoare, precum și ce extensie are fișierul atașat scrisorii. Ei bine, este, de asemenea, important să faceți cel puțin uneori copii de rezervă ale documentelor importante pe medii de stocare separate.

Înseamnă asta că toate bazele de date ale organizațiilor atacate sunt acum blocate? Vor putea atacatorii să le folosească în propriile lor scopuri? Vor fi afectate datele personale din aceste baze de date?
Cred că, desigur, nu merită să vorbim despre blocarea muncii: cel mai probabil, aceasta este o problemă a locurilor de muncă individuale. Cu toate acestea, faptul că angajații diferitelor departamente folosesc computerele de lucru nu numai pentru lucrul pe internet este oarecum alarmant. Este foarte posibil ca în acest fel informațiile confidențiale ale clienților lor să fie compromise - în cazul organizațiilor comerciale, precum și volume mari de date personale - în cazul departamentelor guvernamentale. Se speră că astfel de informații nu au fost procesate pe aceste computere.

Va afecta situația abonații MegaFon? Este periculos să folosești Internetul mobil acum?
Cel mai probabil nu, deoarece elementele de infrastructură ale rețelei sunt cu siguranță protejate de acest tip de atac. Mai mult, cu un grad mare de probabilitate putem spune că acest virus este conceput pentru vulnerabilități în sistemul de operare fabricat de Microsoft, iar majoritatea covârșitoare a echipamentelor de rețea este controlată fie de propriul sistem de operare, fie de sistemele de operare din familia Linux.

Ce se întâmplă când un virus intră într-un sistem? Cum îți poți da seama dacă computerul tău este infectat?
Cel mai adesea, infecția și faza activă a virusului - criptarea datelor - se manifestă sub forma unei scăderi semnificative a performanței computerului. Aceasta este o consecință a faptului că criptarea este un proces extrem de consumator de resurse. Acest lucru poate fi observat și atunci când apar fișiere cu o extensie necunoscută, dar de obicei în această etapă este prea târziu pentru a lua orice măsură.

Va fi posibilă recuperarea datelor blocate?
Adesea este imposibil de restaurat. Anterior, cheia era aceeași pentru toate persoanele infectate, dar după ce virusul a fost capturat și decriptat, iar codurile standard au devenit cunoscute pe scară largă (pot fi găsite pe forumurile producătorilor de software antivirus), atacatorii au început să cripteze informațiile cu un cheie nouă de fiecare dată. Apropo, virușii folosesc o versiune complexă a cifrului: cel mai adesea este o criptare asimetrică, iar ruperea unui astfel de cifr este foarte dificilă, consumatoare de timp și de resurse, ceea ce devine de fapt imposibil.

Cât timp se va răspândi virusul pe internet?
Cred că până când autorii săi îl distribuie. Și asta se va întâmpla până când distribuitorii vor fi prinși de agențiile de aplicare a legii sau până când utilizatorii nu vor mai deschide e-mailuri cu viruși și vor începe să fie mai atenți la acțiunile lor pe Internet.

Grigory Sablin, analist virus, expert în domeniul securității informațiilor la Universitatea ITMO, câștigător al concursurilor internaționale de protecție a informațiilor informatice (atenție: vocabular programator!).

Atacatorii exploatează o vulnerabilitate în protocolul SMB MS17_010 - patch-ul este deja pe serverele Microsoft. Cei care nu au actualizat pot fi supuși distribuirii. Dar, putem spune, acești utilizatori înșiși sunt de vină - au folosit software piratat sau nu au actualizat Windows. Eu însumi sunt interesat de modul în care se va dezvolta situația: a existat o poveste similară cu bug-ul MS08_67, apoi a fost folosit de viermele Kido și apoi mulți oameni s-au infectat. Ce vă pot recomanda acum: trebuie fie să opriți computerul, fie să actualizați Windows. Vă puteți aștepta ca multe companii de antivirus să concureze pentru dreptul de a lansa un utilitar de decriptare. Dacă reușesc să facă acest lucru, va fi o mișcare de PR strălucitoare, precum și o oportunitate de a câștiga bani buni. Nu este un fapt că va fi posibil să restaurați toate fișierele blocate. Acest virus poate pătrunde oriunde datorită faptului că multe computere nu sunt încă actualizate. Apropo, această exploatare a fost preluată dintr-o arhivă „scurtă” de la Agenția de Securitate Națională a SUA (NSA), adică acesta este un exemplu despre modul în care serviciile de informații pot acționa în orice situație de urgență.

Potrivit serviciului de presă al Universității ITMO