วิธีต่อสู้กับไวรัสแรนซัมแวร์ตัวใหม่ ไวรัสตัวเข้ารหัส: จะฆ่าเชื้อและถอดรหัสไฟล์ได้อย่างไร? การถอดรหัสไฟล์หลังจากไวรัสแรนซัมแวร์ วิธีการป้องกันไวรัส CRYPTED000007

มันยังคงเดินหน้าอย่างกดดันผ่านทางอินเทอร์เน็ต ทำให้คอมพิวเตอร์ติดไวรัสและเข้ารหัสข้อมูลสำคัญ วิธีป้องกันตัวเองจากแรนซัมแวร์ ป้องกัน Windows จากแรนซัมแวร์ - มีแพตช์ออกเพื่อถอดรหัสและฆ่าเชื้อไฟล์หรือไม่

ไวรัสแรนซัมแวร์ตัวใหม่ 2017 อยากร้องไห้ ยังคงแพร่ระบาดไปยังพีซีขององค์กรและส่วนตัว คุณ ความเสียหายจากการโจมตีของไวรัสมีมูลค่ารวม 1 พันล้านดอลลาร์- ภายใน 2 สัปดาห์ ไวรัสแรนซัมแวร์ก็ติดไวรัสอย่างน้อย คอมพิวเตอร์ 300,000 เครื่องแม้จะมีคำเตือนและมาตรการรักษาความปลอดภัยก็ตาม

Ransomware ไวรัส 2017 มันคืออะไร?- ตามกฎแล้ว คุณสามารถ "รับ" จากไซต์ที่ดูเหมือนจะไม่เป็นอันตรายที่สุด เช่น เซิร์ฟเวอร์ธนาคารที่ผู้ใช้เข้าถึงได้ อีกครั้งหนึ่ง ฮาร์ดไดรฟ์เหยื่อ แรนซั่มแวร์จะ “เข้ามา” โฟลเดอร์ระบบระบบ32- จากนั้นโปรแกรมจะปิดการใช้งานโปรแกรมป้องกันไวรัสทันทีและ ไปที่ "การทำงานอัตโนมัติ"- หลังจากรีบูตทุกครั้งจะมีแรนซัมแวร์ วิ่งเข้าไปในรีจิสทรีเริ่มงานสกปรกของเขา แรนซัมแวร์เริ่มดาวน์โหลดสำเนาของโปรแกรมที่คล้ายกัน เช่น Ransom และ Trojan- ก็มักจะเกิดขึ้นเช่นกัน การจำลองตัวเองของแรนซัมแวร์- กระบวนการนี้อาจเกิดขึ้นชั่วขณะหรืออาจใช้เวลาหลายสัปดาห์จนกว่าเหยื่อจะสังเกตเห็นสิ่งผิดปกติ

แรนซั่มแวร์มักจะปลอมตัวเป็นรูปภาพหรือไฟล์ข้อความธรรมดาแต่แก่นแท้ก็เหมือนเดิมเสมอ - นี่เป็นไฟล์ปฏิบัติการที่มีนามสกุล .exe, .drv, .xvd- บางครั้ง - library.dll- ส่วนใหญ่แล้วไฟล์จะมีชื่อที่ไม่เป็นอันตรายโดยสิ้นเชิง เช่น “ เอกสาร. หมอ", หรือ " รูปภาพ.jpg" โดยที่ส่วนขยายถูกเขียนด้วยตนเอง และ ประเภทไฟล์ที่แท้จริงถูกซ่อนอยู่.

หลังจากการเข้ารหัสเสร็จสิ้น ผู้ใช้จะเห็นชุดอักขระ "สุ่ม" ในชื่อและภายในแทนไฟล์ที่คุ้นเคย และส่วนขยายจะเปลี่ยนเป็นอักขระที่ไม่รู้จักก่อนหน้านี้ - .NO_MORE_RANSOM, .xdataและอื่น ๆ

Wanna Cry ransomware ไวรัส 2017 – วิธีป้องกันตัวเอง- ฉันอยากจะทราบทันทีว่า Wanna Cry เป็นคำเรียกรวมสำหรับไวรัสเข้ารหัสและแรนซัมแวร์ทั้งหมดตั้งแต่นั้นเป็นต้นมา เมื่อเร็วๆ นี้คอมพิวเตอร์ที่ติดไวรัสบ่อยที่สุด ดังนั้นเราจะพูดถึง ป้องกันตัวเองจากแรนซัมแวร์ Ransom Ware ซึ่งมีมากมาย: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

วิธีป้องกัน Windows จากแรนซัมแวร์EternalBlue ผ่านโปรโตคอลพอร์ต SMB.

การปกป้อง Windows จากแรนซัมแวร์ 2017 – กฎพื้นฐาน:

  • การอัปเดต Windows การเปลี่ยนไปใช้ระบบปฏิบัติการที่ได้รับลิขสิทธิ์ทันเวลา (หมายเหตุ: เวอร์ชัน XP ไม่ได้รับการอัพเดต)
  • อัปเดต ฐานข้อมูลป้องกันไวรัสและไฟร์วอลล์ตามความต้องการ
  • ความระมัดระวังอย่างยิ่งเมื่อดาวน์โหลดไฟล์ใดๆ ("ซีล" ที่น่ารักอาจส่งผลให้ข้อมูลทั้งหมดสูญหายได้)
  • การสำรองข้อมูล ข้อมูลสำคัญไปยังสื่อแบบถอดได้

Ransomware virus 2017: วิธีฆ่าเชื้อและถอดรหัสไฟล์

ด้วยการใช้ซอฟต์แวร์ป้องกันไวรัส คุณสามารถลืมเกี่ยวกับตัวถอดรหัสไปได้สักพัก- ในห้องปฏิบัติการ แคสเปอร์สกี้, ดร. เว็บ, อวาสต์!และแอนตี้ไวรัสอื่นๆ ในตอนนี้ ไม่พบวิธีแก้ปัญหาสำหรับการรักษาไฟล์ที่ติดไวรัส- บน ในขณะนี้เป็นไปได้ที่จะลบไวรัสโดยใช้โปรแกรมป้องกันไวรัส แต่ยังไม่มีอัลกอริธึมที่จะทำให้ทุกอย่าง "กลับสู่ปกติ"

บางคนพยายามใช้ตัวถอดรหัสเช่นยูทิลิตี้ RectorDecryptorแต่สิ่งนี้จะไม่ช่วย: ยังไม่ได้รวบรวมอัลกอริทึมสำหรับการถอดรหัสไวรัสใหม่- ยังไม่ทราบแน่ชัดว่าไวรัสจะทำงานอย่างไรหากไม่ถูกลบออกหลังจากใช้โปรแกรมดังกล่าว บ่อยครั้งอาจส่งผลให้มีการลบไฟล์ทั้งหมด - เพื่อเป็นการเตือนผู้ที่ไม่ต้องการจ่ายเงินให้กับผู้โจมตีซึ่งเป็นผู้เขียนไวรัส

มากที่สุดในขณะนี้ อย่างมีประสิทธิภาพการกู้คืนข้อมูลที่สูญหายหมายถึงการติดต่อฝ่ายสนับสนุนด้านเทคนิค การสนับสนุนซัพพลายเออร์ โปรแกรมป้องกันไวรัสที่คุณใช้งานอยู่ โดยส่งจดหมายหรือใช้แบบฟอร์มไปที่ ข้อเสนอแนะบนเว็บไซต์ของผู้ผลิต อย่าลืมเพิ่มไฟล์ที่เข้ารหัสลงในไฟล์แนบ และสำเนาของต้นฉบับ (หากมี) ซึ่งจะช่วยโปรแกรมเมอร์ในการเขียนอัลกอริทึม น่าเสียดายสำหรับหลาย ๆ คน การโจมตีของไวรัสเป็นเรื่องที่น่าประหลาดใจอย่างยิ่ง และไม่พบสำเนาใด ๆ ซึ่งทำให้สถานการณ์ซับซ้อนยิ่งขึ้น

วิธีการเกี่ยวกับหัวใจ การรักษาหน้าต่างจากแรนซัมแวร์- น่าเสียดายที่บางครั้งคุณต้องหันไปใช้ การจัดรูปแบบเต็มรูปแบบฮาร์ดไดรฟ์ซึ่งนำมาซึ่งการเปลี่ยนแปลงระบบปฏิบัติการโดยสมบูรณ์ หลายคนอาจนึกถึงการกู้คืนระบบ แต่นี่ไม่ใช่ทางเลือก - แม้แต่การ "ย้อนกลับ" ก็สามารถกำจัดไวรัสได้ แต่ไฟล์จะยังคงถูกเข้ารหัส

ประมาณหนึ่งหรือสองสัปดาห์ที่ผ่านมา มีการแฮ็กอีกครั้งจากผู้ผลิตไวรัสสมัยใหม่ปรากฏบนอินเทอร์เน็ต ซึ่งเข้ารหัสไฟล์ทั้งหมดของผู้ใช้ ฉันจะพิจารณาคำถามว่าจะรักษาคอมพิวเตอร์อย่างไรหลังจากไวรัสแรนซัมแวร์อีกครั้ง เข้ารหัส000007และกู้คืนไฟล์ที่เข้ารหัส ในกรณีนี้ไม่มีสิ่งใหม่หรือลักษณะเฉพาะใด ๆ ปรากฏขึ้น เป็นเพียงการปรับเปลี่ยนเวอร์ชันก่อนหน้า

รับประกันการถอดรหัสไฟล์หลังจากไวรัสแรนซัมแวร์ - dr-shifro.ru รายละเอียดของงานและรูปแบบการโต้ตอบกับลูกค้าอยู่ด้านล่างในบทความของฉันหรือบนเว็บไซต์ในส่วน "ขั้นตอนการทำงาน"

คำอธิบายของไวรัส CRYPTED000007 ransomware

ตัวเข้ารหัส CRYPTED000007 ไม่มีความแตกต่างโดยพื้นฐานจากรุ่นก่อน มันทำงานเกือบจะเหมือนกันทุกประการ แต่ก็ยังมีความแตกต่างหลายประการที่ทำให้เห็นความแตกต่าง ฉันจะบอกคุณเกี่ยวกับทุกสิ่งตามลำดับ

มันมาถึงทางไปรษณีย์เช่นเดียวกับอะนาล็อก เทคนิควิศวกรรมสังคมใช้เพื่อให้แน่ใจว่าผู้ใช้สนใจจดหมายและเปิดจดหมาย ในกรณีของฉัน จดหมายกล่าวถึงศาลบางประเภทและข้อมูลสำคัญเกี่ยวกับคดีในเอกสารแนบ หลังจากเปิดไฟล์แนบ ผู้ใช้จะเปิดเอกสาร Word พร้อมสารสกัดจากศาลอนุญาโตตุลาการมอสโก

การเข้ารหัสไฟล์จะเริ่มต้นควบคู่ไปกับการเปิดเอกสาร เริ่มผุดขึ้นมาตลอดเวลา ข้อความข้อมูลจากการควบคุมบัญชีผู้ใช้ Windows

หากคุณยอมรับข้อเสนอ สำเนาสำรองของไฟล์ใน Shadow Copy ของ Windows จะถูกลบและการกู้คืนข้อมูลจะยากมาก เห็นได้ชัดว่าคุณไม่สามารถเห็นด้วยกับข้อเสนอได้ไม่ว่าในกรณีใด ๆ ในโปรแกรมเข้ารหัสนี้ คำขอเหล่านี้จะปรากฏขึ้นอย่างต่อเนื่อง ทีละรายการและไม่หยุด โดยบังคับให้ผู้ใช้ยอมรับและลบสำเนาสำรอง นี่คือข้อแตกต่างหลักจากการแก้ไขตัวเข้ารหัสครั้งก่อน ฉันไม่เคยพบคำขอให้ลบ Shadow Copy โดยไม่หยุด โดยปกติแล้วหลังจากข้อเสนอ 5-10 ข้อพวกเขาก็หยุดลง

ฉันจะให้คำแนะนำสำหรับอนาคตทันที เป็นเรื่องปกติมากที่ผู้คนจะปิดการแจ้งเตือนการควบคุมบัญชีผู้ใช้ ไม่จำเป็นต้องทำเช่นนี้ กลไกนี้สามารถช่วยต่อต้านไวรัสได้จริงๆ คำแนะนำประการที่สองที่ชัดเจนคืออย่าทำงานอย่างต่อเนื่อง บัญชีผู้ดูแลระบบคอมพิวเตอร์ เว้นแต่มีความจำเป็นตามวัตถุประสงค์ ในกรณีนี้ไวรัสจะไม่มีโอกาสทำอันตรายมากนัก คุณจะมีโอกาสต่อต้านเขาได้ดีขึ้น

แต่แม้ว่าคุณจะตอบปฏิเสธคำขอของแรนซัมแวร์มาโดยตลอด แต่ข้อมูลทั้งหมดของคุณก็ได้รับการเข้ารหัสแล้ว หลังจากกระบวนการเข้ารหัสเสร็จสิ้น คุณจะเห็นรูปภาพบนเดสก์ท็อปของคุณ

ในขณะเดียวกันก็จะมีมากมาย ไฟล์ข้อความด้วยเนื้อหาเดียวกัน

ไฟล์ของคุณได้รับการเข้ารหัสแล้ว หากต้องการถอดรหัส ux คุณต้องส่งรหัส: 329D54752553ED978F94|0 ไปยังที่อยู่อีเมล [ป้องกันอีเมล]- ถัดไปคุณจะได้รับคำแนะนำที่จำเป็นทั้งหมด ความพยายามที่จะถอดรหัสด้วยตัวเองจะไม่นำไปสู่สิ่งอื่นใดนอกจากข้อมูลจำนวนที่ไม่สามารถเพิกถอนได้ หากคุณยังต้องการลอง ให้ทำสำเนาสำรองของไฟล์ก่อน ไม่เช่นนั้นในกรณีที่มีการเปลี่ยนแปลง การถอดรหัสจะเป็นไปไม่ได้ไม่ว่าในกรณีใด ๆ หากคุณไม่ได้รับการแจ้งเตือนตามที่อยู่ข้างต้นภายใน 48 ชั่วโมง (ในกรณีนี้เท่านั้น!) ให้ใช้แบบฟอร์มติดต่อ ซึ่งสามารถทำได้สองวิธี: 1) ดาวน์โหลดและติดตั้ง Tor Browser โดยใช้ลิงก์: https://www.torproject.org/download/download-easy.html.en ในช่องที่อยู่ ทอร์เบราว์เซอร์ป้อนที่อยู่: http://cryptsen7fo43rr6.onion/ แล้วกด Enter หน้าที่มีแบบฟอร์มการติดต่อจะโหลดขึ้นมา 2) ในเบราว์เซอร์ใด ๆ ให้ไปที่หนึ่งในที่อยู่: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ ไฟล์สำคัญทั้งหมดบนคอมพิวเตอร์ของคุณถูกเข้ารหัส เพื่อถอดรหัสไฟล์ที่คุณควรส่ง ต่อไปนี้รหัส: 329D54752553ED978F94|0 ไปยังที่อยู่อีเมล [ป้องกันอีเมล]- จากนั้นคุณจะได้รับคำแนะนำที่จำเป็นทั้งหมด ความพยายามในการถอดรหัสทั้งหมดด้วยตัวเองจะส่งผลให้ข้อมูลของคุณสูญหายอย่างไม่อาจเพิกถอนได้ หากคุณยังต้องการลองถอดรหัสด้วยตัวเอง โปรดทำการสำรองข้อมูลในตอนแรก เนื่องจากการถอดรหัสจะเป็นไปไม่ได้ในกรณีที่มีการเปลี่ยนแปลงภายในไฟล์ หากคุณไม่ได้รับคำตอบจากอีเมลดังกล่าวเป็นเวลานานกว่า 48 ชั่วโมง (และในกรณีนี้เท่านั้น!) ให้ใช้แบบฟอร์มคำติชม คุณสามารถทำได้สองวิธี: 1) ดาวน์โหลด Tor Browser ได้จากที่นี่: https://www.torproject.org/download/download-easy.html.en ติดตั้งและพิมพ์ที่อยู่ต่อไปนี้ เข้าไปในแถบที่อยู่: http://cryptsen7fo43rr6.onion/ กด เข้าและจากนั้นเพจพร้อมแบบฟอร์มคำติชมจะถูกโหลด 2) ไปที่ อันที่หนึ่งของที่อยู่ต่อไปนี้ในเบราว์เซอร์ใด ๆ : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

ที่อยู่ทางไปรษณีย์อาจมีการเปลี่ยนแปลง ฉันยังเจอที่อยู่ต่อไปนี้:

ที่อยู่ได้รับการอัปเดตอยู่ตลอดเวลา ดังนั้นจึงอาจแตกต่างไปจากเดิมอย่างสิ้นเชิง

ทันทีที่คุณพบว่าไฟล์ของคุณถูกเข้ารหัส ให้ปิดคอมพิวเตอร์ของคุณทันที ซึ่งจะต้องทำเพื่อขัดจังหวะกระบวนการเข้ารหัสเช่นเดียวกับใน คอมพิวเตอร์ท้องถิ่นและบนไดรฟ์เครือข่าย ไวรัสเข้ารหัสสามารถเข้ารหัสข้อมูลทั้งหมดที่สามารถเข้าถึงได้ รวมถึงในไดรฟ์เครือข่าย แต่หากมีข้อมูลจำนวนมากก็จะต้องใช้เวลาพอสมควร บางครั้งแม้ในเวลาสองสามชั่วโมง ผู้เขียนการเข้ารหัสก็ไม่มีเวลาเข้ารหัสทุกอย่าง ไดรฟ์เครือข่ายประมาณ 100 กิกะไบต์

ต่อไปคุณต้องคิดให้รอบคอบเกี่ยวกับวิธีการปฏิบัติ หากคุณต้องการข้อมูลบนคอมพิวเตอร์ของคุณโดยไม่มีค่าใช้จ่ายและคุณไม่มีสำเนาสำรองคุณควรติดต่อผู้เชี่ยวชาญในขณะนี้ ไม่จำเป็นต้องเพื่อเงินในบางบริษัท คุณแค่ต้องการใครสักคนที่เก่ง ระบบสารสนเทศ- มีความจำเป็นต้องประเมินขนาดของภัยพิบัติ กำจัดไวรัส และรวบรวมข้อมูลที่มีอยู่ทั้งหมดเกี่ยวกับสถานการณ์ เพื่อทำความเข้าใจวิธีดำเนินการ

การกระทำที่ไม่ถูกต้องเปิดอยู่ ในขั้นตอนนี้อาจทำให้กระบวนการถอดรหัสหรือกู้คืนไฟล์มีความซับซ้อนอย่างมาก ในกรณีที่เลวร้ายที่สุด พวกเขาสามารถทำให้มันเป็นไปไม่ได้ได้ ดังนั้นใช้เวลาของคุณ ระมัดระวังและสม่ำเสมอ

วิธีที่ไวรัส CRYPTED000007 ransomware เข้ารหัสไฟล์

หลังจากที่ไวรัสเปิดตัวและเสร็จสิ้นกิจกรรมแล้ว ไฟล์ที่มีประโยชน์ทั้งหมดจะถูกเข้ารหัสและเปลี่ยนชื่อจาก นามสกุล.crypted000007- ยิ่งไปกว่านั้น ไม่เพียงแต่นามสกุลไฟล์จะถูกแทนที่ แต่ยังรวมถึงชื่อไฟล์ด้วย ดังนั้นคุณจะไม่ทราบแน่ชัดว่าคุณมีไฟล์ประเภทใดหากคุณจำไม่ได้ มันจะมีลักษณะเช่นนี้

ในสถานการณ์เช่นนี้ การประเมินขนาดของโศกนาฏกรรมจะเป็นเรื่องยาก เนื่องจากคุณจะไม่สามารถจดจำสิ่งที่คุณมีในโฟลเดอร์ต่างๆ ได้ทั้งหมด สิ่งนี้ทำขึ้นเพื่อสร้างความสับสนให้กับผู้คนโดยเฉพาะและสนับสนุนให้พวกเขาจ่ายเงินสำหรับการถอดรหัสไฟล์

และหากโฟลเดอร์เครือข่ายของคุณถูกเข้ารหัสและไม่มีการสำรองข้อมูลทั้งหมด สิ่งนี้สามารถหยุดการทำงานของทั้งองค์กรได้อย่างสมบูรณ์ คุณจะต้องใช้เวลาสักพักกว่าจะรู้ว่าอะไรหายไปในท้ายที่สุดเพื่อเริ่มการฟื้นฟู

วิธีปฏิบัติต่อคอมพิวเตอร์ของคุณและลบ CRYPTED000007 ransomware

ไวรัส CRYPTED000007 มีอยู่ในคอมพิวเตอร์ของคุณแล้ว คำถามแรกและสำคัญที่สุดคือวิธีการฆ่าเชื้อคอมพิวเตอร์และวิธีลบไวรัสออกจากคอมพิวเตอร์เพื่อป้องกันการเข้ารหัสเพิ่มเติมหากยังไม่เสร็จสิ้น ฉันอยากจะดึงความสนใจของคุณทันทีว่าหลังจากที่คุณเริ่มดำเนินการบางอย่างกับคอมพิวเตอร์ของคุณแล้ว โอกาสในการถอดรหัสข้อมูลจะลดลง หากคุณต้องการกู้คืนไฟล์ไม่ว่าจะต้องเสียค่าใช้จ่ายใดๆ อย่าสัมผัสคอมพิวเตอร์ของคุณ แต่ให้ติดต่อผู้เชี่ยวชาญทันที ด้านล่างนี้ฉันจะพูดถึงพวกเขาและให้ลิงก์ไปยังไซต์และอธิบายวิธีการทำงาน

ในระหว่างนี้ เราจะดำเนินการรักษาคอมพิวเตอร์และกำจัดไวรัสอย่างอิสระต่อไป ตามเนื้อผ้า ransomware จะถูกลบออกจากคอมพิวเตอร์อย่างง่ายดาย เนื่องจากไวรัสไม่ได้มีหน้าที่ที่จะคงอยู่ในคอมพิวเตอร์ไม่ว่าจะด้วยวิธีใดก็ตาม หลังจากเข้ารหัสไฟล์โดยสมบูรณ์แล้ว จะมีประโยชน์มากขึ้นสำหรับเขาที่จะลบตัวเองและหายไป ซึ่งจะทำให้การตรวจสอบเหตุการณ์และถอดรหัสไฟล์ทำได้ยากยิ่งขึ้น

อธิบาย การกำจัดด้วยตนเองไวรัสเป็นเรื่องยาก แม้ว่าฉันจะพยายามทำสิ่งนี้มาก่อน แต่ฉันเห็นว่าส่วนใหญ่มักจะไม่มีจุดหมาย ชื่อไฟล์และเส้นทางการวางไวรัสมีการเปลี่ยนแปลงอยู่ตลอดเวลา สิ่งที่ฉันเห็นไม่เกี่ยวข้องอีกต่อไปในหนึ่งหรือสองสัปดาห์ โดยปกติแล้วไวรัสจะถูกส่งทางไปรษณีย์เป็นระลอกและทุกครั้งที่มีการดัดแปลงใหม่ที่โปรแกรมป้องกันไวรัสยังไม่ตรวจพบ เครื่องมือสากลที่ตรวจสอบการเริ่มต้นและตรวจจับกิจกรรมที่น่าสงสัยในโฟลเดอร์ระบบช่วยได้

หากต้องการลบไวรัส CRYPTED000007 คุณสามารถใช้โปรแกรมต่อไปนี้:

  1. เครื่องมือกำจัดไวรัส Kaspersky - ยูทิลิตี้จาก Kaspersky http://www.kaspersky.ru/antivirus-removal-tool
  2. ดร.เว็บ เคียวอิท! - ผลิตภัณฑ์ที่คล้ายกันจากเว็บอื่น http://free.drweb.ru/cureit
  3. หากยูทิลิตี้สองรายการแรกไม่ช่วยลองใช้ MALWAREBYTES 3.0 - https://ru.malwarebytes.com

เป็นไปได้มากว่าหนึ่งในผลิตภัณฑ์เหล่านี้จะล้างคอมพิวเตอร์ของคุณจากแรนซัมแวร์ CRYPTED000007 หากจู่ๆ มันไม่ช่วย ให้ลองลบไวรัสด้วยตนเอง ฉันยกตัวอย่างวิธีการลบออกและคุณสามารถดูได้ที่นั่น สั้น ๆ ทีละขั้นตอน คุณต้องดำเนินการดังนี้:

  1. เราดูรายการกระบวนการหลังจากเพิ่มคอลัมน์เพิ่มเติมหลายคอลัมน์ในตัวจัดการงาน
  2. เราพบกระบวนการของไวรัส เปิดโฟลเดอร์ที่มีอยู่แล้วลบออก
  3. เราล้างการกล่าวถึงกระบวนการของไวรัสตามชื่อไฟล์ในรีจิสทรี
  4. เรารีบูตและตรวจสอบให้แน่ใจว่าไวรัส CRYPTED000007 ไม่อยู่ในรายการกระบวนการที่กำลังทำงานอยู่

จะดาวน์โหลดตัวถอดรหัส CRYPTED000007 ได้ที่ไหน

คำถามของตัวถอดรหัสที่ง่ายและเชื่อถือได้นั้นเกิดขึ้นเป็นอันดับแรกเมื่อพูดถึงไวรัสแรนซัมแวร์ สิ่งแรกที่ผมแนะนำคือเข้าไปใช้บริการ https://www.nomoreransom.org จะเป็นอย่างไรถ้าคุณโชคดีและพวกเขามีตัวถอดรหัสสำหรับตัวเข้ารหัส CRYPTED000007 เวอร์ชันของคุณ ฉันจะบอกทันทีว่าคุณมีโอกาสไม่มาก แต่การพยายามไม่ใช่การทรมาน บน หน้าแรกคลิกใช่:

จากนั้นดาวน์โหลดไฟล์ที่เข้ารหัสสองสามไฟล์แล้วคลิกไป! หา:

ในขณะที่เขียน ไม่มีตัวถอดรหัสบนไซต์

บางทีคุณอาจจะมีโชคดีมากขึ้น คุณยังสามารถดูรายการตัวถอดรหัสสำหรับดาวน์โหลดได้ในหน้าแยกต่างหาก - https://www.nomoreransom.org/decryption-tools.html บางทีอาจมีบางสิ่งที่มีประโยชน์อยู่ที่นั่น เมื่อไวรัสเกิดใหม่ทั้งหมด โอกาสนี้จะเกิดขึ้นน้อยมาก แต่เมื่อเวลาผ่านไป อาจมีบางอย่างปรากฏขึ้น มีตัวอย่างเมื่อตัวถอดรหัสสำหรับการดัดแปลงตัวเข้ารหัสบางอย่างปรากฏบนอินเทอร์เน็ต และตัวอย่างเหล่านี้อยู่ในหน้าที่ระบุ

ฉันไม่รู้ว่าคุณสามารถหาตัวถอดรหัสได้ที่ไหน ไม่น่าเป็นไปได้ว่ามันจะมีอยู่จริงโดยคำนึงถึงลักษณะเฉพาะของการทำงานของนักเข้ารหัสสมัยใหม่ มีเพียงผู้เขียนไวรัสเท่านั้นที่สามารถมีตัวถอดรหัสที่ครบครัน

วิธีถอดรหัสและกู้คืนไฟล์หลังจากไวรัส CRYPTED000007

จะทำอย่างไรเมื่อไวรัส CRYPTED000007 เข้ารหัสไฟล์ของคุณ? การใช้การเข้ารหัสทางเทคนิคไม่อนุญาตให้ถอดรหัสไฟล์โดยไม่มีคีย์หรือตัวถอดรหัส ซึ่งมีเพียงผู้เขียนตัวเข้ารหัสเท่านั้นที่มี อาจมีวิธีอื่นในการรับ แต่ฉันไม่มีข้อมูลนั้น เราสามารถลองกู้คืนไฟล์ได้โดยใช้วิธีการชั่วคราวเท่านั้น ซึ่งรวมถึง:

  • เครื่องมือ สำเนาเงาหน้าต่าง
  • โปรแกรมกู้คืนข้อมูลที่ถูกลบ

ก่อนอื่น เรามาตรวจสอบว่าเราได้เปิดใช้งาน Shadow Copy ไว้หรือไม่ เครื่องมือนี้ทำงานตามค่าเริ่มต้นใน Windows 7 และสูงกว่า เว้นแต่คุณจะปิดใช้งานด้วยตนเอง หากต้องการตรวจสอบ ให้เปิดคุณสมบัติคอมพิวเตอร์แล้วไปที่ส่วนการป้องกันระบบ

หากในระหว่างการติดไวรัส คุณไม่ได้ยืนยันคำขอ UAC ให้ลบไฟล์ในรูปแบบ Shadow Copy ข้อมูลบางส่วนก็ควรจะยังคงอยู่ตรงนั้น ฉันพูดรายละเอียดเพิ่มเติมเกี่ยวกับคำขอนี้ในตอนต้นของเรื่องเมื่อฉันพูดถึงการทำงานของไวรัส

หากต้องการกู้คืนไฟล์จาก Shadow Copy อย่างง่ายดาย ฉันแนะนำให้ใช้ โปรแกรมฟรีเพื่อจุดประสงค์นี้ - ShadowExplorer ดาวน์โหลดไฟล์เก็บถาวรแกะโปรแกรมแล้วรัน

สำเนาไฟล์ล่าสุดและรูทของไดรฟ์ C จะเปิดขึ้น ที่มุมซ้ายบน คุณสามารถเลือกสำเนาสำรองได้หากคุณมีหลายไฟล์ ตรวจสอบสำเนาที่แตกต่างกันเพื่อดูความพร้อมใช้งาน ไฟล์ที่จำเป็น- เปรียบเทียบตามวันที่ที่มากขึ้น เวอร์ชันล่าสุด- ในตัวอย่างของฉันด้านล่าง ฉันพบ 2 ไฟล์บนเดสก์ท็อปของฉันเมื่อสามเดือนที่แล้วซึ่งมีการแก้ไขครั้งล่าสุด

ฉันสามารถกู้คืนไฟล์เหล่านี้ได้ ในการดำเนินการนี้ ฉันเลือกพวกเขา คลิกขวา เลือกส่งออก และระบุโฟลเดอร์ที่จะกู้คืน

คุณสามารถกู้คืนโฟลเดอร์ได้ทันทีโดยใช้หลักการเดียวกัน หากคุณมี Shadow Copy ที่ใช้งานได้และไม่ได้ลบออก คุณมีโอกาสที่ดีที่จะกู้คืนไฟล์ทั้งหมดหรือเกือบทั้งหมดที่เข้ารหัสโดยไวรัส บางทีบางคนอาจจะมากกว่านั้น รุ่นเก่ากว่าที่เราต้องการ แต่ถึงกระนั้นก็ยังดีกว่าไม่มีอะไรเลย

หากคุณไม่มี Shadow Copy ของไฟล์ด้วยเหตุผลบางประการ โอกาสเดียวของคุณที่จะได้รับบางสิ่งจากไฟล์ที่เข้ารหัสเป็นอย่างน้อยก็คือการกู้คืนไฟล์เหล่านั้นโดยใช้เครื่องมือการกู้คืน ไฟล์ที่ถูกลบ- ในการทำเช่นนี้ฉันขอแนะนำให้ใช้โปรแกรมฟรี Photorec

เปิดโปรแกรมและเลือกดิสก์ที่คุณจะกู้คืนไฟล์ ปล่อย รุ่นกราฟิกโปรแกรมรันไฟล์ qphotorec_win.exe- คุณต้องเลือกโฟลเดอร์ที่จะวางไฟล์ที่พบ จะดีกว่าถ้าโฟลเดอร์นี้ไม่ได้อยู่ในไดรฟ์เดียวกับที่เรากำลังค้นหา เชื่อมต่อแฟลชไดรฟ์หรือ ภายนอกยากดิสก์สำหรับสิ่งนี้

กระบวนการค้นหาจะใช้เวลานาน ในตอนท้ายคุณจะเห็นสถิติ ตอนนี้คุณสามารถไปที่โฟลเดอร์ที่ระบุก่อนหน้าแล้วดูว่ามีอะไรอยู่ในนั้น มักจะมีไฟล์จำนวนมากและส่วนใหญ่จะเสียหายหรืออาจเป็นไฟล์ระบบและไฟล์ที่ไม่มีประโยชน์ แต่อย่างไรก็ตาม คุณสามารถพบไฟล์ที่มีประโยชน์บางไฟล์ได้ในรายการนี้ ไม่มีการรับประกันที่นี่ สิ่งที่คุณพบคือสิ่งที่คุณจะพบ โดยปกติแล้วรูปภาพจะได้รับการกู้คืนได้ดีที่สุด

หากผลลัพธ์ไม่เป็นที่พอใจคุณก็ยังมีโปรแกรมสำหรับกู้คืนไฟล์ที่ถูกลบอีกด้วย ด้านล่างนี้คือรายการโปรแกรมที่ฉันมักจะใช้เมื่อต้องการกู้คืน ปริมาณสูงสุดไฟล์:

  • อาร์.เซฟเวอร์
  • สตารัส การกู้คืนไฟล์
  • JPEG Recovery Pro
  • ผู้เชี่ยวชาญด้านการกู้คืนไฟล์ที่ใช้งานอยู่

โปรแกรมเหล่านี้ไม่ฟรี ดังนั้นฉันจึงไม่มีลิงก์ให้ หากคุณต้องการจริงๆ คุณสามารถค้นหาได้ด้วยตัวเองบนอินเทอร์เน็ต

กระบวนการกู้คืนไฟล์ทั้งหมดจะแสดงโดยละเอียดในวิดีโอท้ายบทความ

Kaspersky, eset nod32 และคนอื่นๆ ในการต่อสู้กับตัวเข้ารหัส Filecoder.ED

โปรแกรมป้องกันไวรัสยอดนิยมตรวจพบ ransomware CRYPTED000007 เป็น Filecoder.EDและอาจมีการกำหนดอย่างอื่นอีก ฉันตรวจดูฟอรั่มแอนตี้ไวรัสหลักๆ แล้วและไม่เห็นมีประโยชน์อะไรเลย น่าเสียดายที่ตามปกติ ซอฟต์แวร์ป้องกันไวรัสไม่ได้เตรียมพร้อมสำหรับการบุกรุกของแรนซัมแวร์ระลอกใหม่ นี่คือโพสต์จากฟอรัม Kaspersky

แอนติไวรัสมักจะพลาดการปรับเปลี่ยนโทรจันแรนซัมแวร์ครั้งใหม่ อย่างไรก็ตาม ฉันแนะนำให้ใช้มัน หากคุณโชคดีและได้รับอีเมลแรนซัมแวร์ที่ไม่ได้อยู่ในการติดไวรัสระลอกแรก แต่หลังจากนั้นไม่นานก็มีโอกาสที่โปรแกรมป้องกันไวรัสจะช่วยคุณได้ พวกเขาทั้งหมดทำงานตามหลังผู้โจมตีหนึ่งก้าว ปรากฎว่า เวอร์ชันใหม่ ransomware โปรแกรมป้องกันไวรัสไม่ตอบสนองต่อมัน ทันทีที่มีเนื้อหาสำหรับการวิจัยเกี่ยวกับไวรัสตัวใหม่จำนวนหนึ่งสะสม ซอฟต์แวร์ป้องกันไวรัสจะเผยแพร่การอัปเดตและเริ่มตอบสนอง

ฉันไม่เข้าใจว่าอะไรขัดขวางไม่ให้แอนตี้ไวรัสตอบสนองต่อกระบวนการเข้ารหัสใด ๆ ในระบบทันที อาจมีความแตกต่างทางเทคนิคเล็กน้อยในหัวข้อนี้ซึ่งไม่อนุญาตให้เราตอบสนองและป้องกันการเข้ารหัสไฟล์ผู้ใช้อย่างเพียงพอ สำหรับฉันดูเหมือนว่าอย่างน้อยก็เป็นไปได้ที่จะแสดงคำเตือนเกี่ยวกับความจริงที่ว่ามีคนเข้ารหัสไฟล์ของคุณและเสนอให้หยุดกระบวนการนี้

จะไปที่ไหนเพื่อรับประกันการถอดรหัส

ฉันบังเอิญพบกับบริษัทแห่งหนึ่งที่ถอดรหัสข้อมูลจริงๆ หลังจากการทำงานของไวรัสเข้ารหัสต่างๆ รวมถึง CRYPTED000007 ที่อยู่ของพวกเขาคือ http://www.dr-shifro.ru ชำระเงินหลังจากการถอดรหัสเต็มรูปแบบและการยืนยันของคุณเท่านั้น นี่คือรูปแบบงานโดยประมาณ:

  1. ผู้เชี่ยวชาญของบริษัทมาที่สำนักงานหรือที่บ้านของคุณและลงนามในข้อตกลงกับคุณ ซึ่งจะเป็นผู้กำหนดต้นทุนของงาน
  2. เปิดตัวตัวถอดรหัสและถอดรหัสไฟล์ทั้งหมด
  3. คุณตรวจสอบให้แน่ใจว่าไฟล์ทั้งหมดถูกเปิดและลงนามในใบรับรองการส่งมอบ/การยอมรับงานที่เสร็จสมบูรณ์
  4. การชำระเงินจะเกิดขึ้นเมื่อผลการถอดรหัสสำเร็จเท่านั้น

พูดตามตรง ฉันไม่รู้ว่าพวกเขาทำได้ยังไง แต่คุณไม่เสี่ยงอะไรเลย ชำระเงินหลังจากการสาธิตการทำงานของตัวถอดรหัสเท่านั้น กรุณาเขียนรีวิวเกี่ยวกับประสบการณ์ของคุณกับบริษัทนี้

วิธีการป้องกันไวรัส CRYPTED000007

จะป้องกันตนเองจากแรนซัมแวร์และหลีกเลี่ยงความเสียหายทางวัตถุและศีลธรรมได้อย่างไร มีเคล็ดลับง่ายๆ และมีประสิทธิภาพ:

  1. สำรอง! สำรองข้อมูลข้อมูลสำคัญทั้งหมด และไม่ใช่แค่การสำรองข้อมูล แต่เป็นการสำรองข้อมูลที่ไม่มีการเข้าถึงอย่างต่อเนื่อง มิฉะนั้นไวรัสอาจทำให้เอกสารและสำเนาสำรองของคุณติดได้
  2. โปรแกรมป้องกันไวรัสที่ได้รับใบอนุญาต แม้ว่าพวกเขาจะไม่ให้การรับประกัน 100% แต่ก็เพิ่มโอกาสในการหลีกเลี่ยงการเข้ารหัส ส่วนใหญ่มักจะไม่พร้อมสำหรับตัวเข้ารหัสเวอร์ชันใหม่ แต่หลังจากผ่านไป 3-4 วันพวกเขาก็เริ่มตอบสนอง สิ่งนี้จะเพิ่มโอกาสในการหลีกเลี่ยงการติดไวรัส หากคุณไม่รวมอยู่ในการแพร่กระจายคลื่นลูกแรกของการดัดแปลงแรนซัมแวร์ครั้งใหม่
  3. อย่าเปิดไฟล์แนบที่น่าสงสัยในเมล ไม่มีอะไรจะแสดงความคิดเห็นที่นี่ แรนซัมแวร์ทั้งหมดที่ฉันรู้จักเข้าถึงผู้ใช้ผ่านทางอีเมล ยิ่งไปกว่านั้นทุกครั้งที่มีการประดิษฐ์กลอุบายใหม่ ๆ เพื่อหลอกลวงเหยื่อ
  4. อย่าเปิดลิงก์ที่ส่งถึงคุณจากเพื่อนของคุณโดยไม่ได้ตั้งใจ โซเชียลมีเดียหรือผู้ส่งสาร บางครั้งไวรัสก็แพร่กระจายเช่นนี้เช่นกัน
  5. เปิดเครื่อง จอแสดงผลหน้าต่างนามสกุลไฟล์ วิธีการทำเช่นนี้หาได้ง่ายบนอินเทอร์เน็ต ซึ่งจะทำให้คุณสามารถสังเกตเห็นนามสกุลไฟล์ของไวรัสได้ ส่วนใหญ่มักจะเป็น .exe, .vbs, .src- ในการทำงานกับเอกสารทุกวัน คุณไม่น่าจะเจอนามสกุลไฟล์ดังกล่าว

ฉันพยายามเสริมสิ่งที่ฉันได้เขียนไปแล้วในทุกบทความเกี่ยวกับไวรัสแรนซัมแวร์ ในระหว่างนี้ฉันก็บอกลา ฉันยินดีที่จะได้รับความคิดเห็นที่เป็นประโยชน์เกี่ยวกับบทความและไวรัส ransomware CRYPTED000007 โดยทั่วไป

วิดีโอเกี่ยวกับการถอดรหัสและการกู้คืนไฟล์

นี่คือตัวอย่างการแก้ไขไวรัสครั้งก่อน แต่วิดีโอนี้เกี่ยวข้องกับ CRYPTED000007 อย่างสมบูรณ์

ตามรายงานแรก ไวรัสเข้ารหัสที่เปิดใช้งานโดยผู้โจมตีเมื่อวันอังคารถูกจัดประเภทเป็นสมาชิกของแรนซัมแวร์ตระกูล Petya ที่รู้จักกันอยู่แล้ว แต่ปรากฏในภายหลังว่านี่เป็นมัลแวร์ตระกูลใหม่ที่มีฟังก์ชันการทำงานที่แตกต่างกันอย่างมาก แคสเปอร์สกี้ แลป ได้รับการขนานนามว่า ไวรัสสายพันธุ์ใหม่อดีต

“การวิเคราะห์ที่ดำเนินการโดยผู้เชี่ยวชาญของเราแสดงให้เห็นว่าในตอนแรกเหยื่อไม่มีโอกาสได้รับไฟล์กลับคืนมา “นักวิจัยของ Kaspersky Lab วิเคราะห์ส่วนของโค้ดมัลแวร์ที่เกี่ยวข้องกับการเข้ารหัสไฟล์ และพบว่าเมื่อดิสก์ถูกเข้ารหัส ผู้สร้างไวรัสจะไม่สามารถถอดรหัสกลับได้อีกต่อไป” ห้องปฏิบัติการรายงาน

ตามที่บริษัทระบุไว้ การถอดรหัสต้องมีตัวระบุเฉพาะสำหรับการติดตั้งโทรจันเฉพาะ ก่อนหน้านี้ เวอร์ชันที่รู้จักตัวเข้ารหัสที่คล้ายกัน Petya/Mischa/GoldenEye ตัวระบุการติดตั้งมีข้อมูลที่จำเป็นสำหรับการถอดรหัส ในกรณีของ ExPetr ไม่มีตัวระบุนี้ ซึ่งหมายความว่าผู้สร้างมัลแวร์ไม่สามารถรับข้อมูลที่จำเป็นในการถอดรหัสไฟล์ได้ กล่าวอีกนัยหนึ่ง ผู้ที่ตกเป็นเหยื่อของแรนซัมแวร์ไม่มีทางที่จะกู้คืนข้อมูลของตนกลับมาได้ Kaspersky Lab อธิบาย

ไวรัสบล็อกคอมพิวเตอร์และเรียกร้องเงิน 300 ดอลลาร์เป็น bitcoin Group-IB บอกกับ RIA Novosti การโจมตีเริ่มขึ้นในวันอังคาร เวลาประมาณ 11.00 น. ตามรายงานของสื่อ เมื่อเวลา 18.00 น. ของวันพุธ กระเป๋าเงิน Bitcoin ที่ถูกกำหนดให้โอนเงินให้กับผู้กรรโชกทรัพย์ได้รับการโอนไปแล้วเก้าครั้ง เมื่อพิจารณาถึงค่าคอมมิชชั่นในการโอน เหยื่อได้โอนเงินประมาณ 2.7 พันดอลลาร์ให้กับแฮกเกอร์

เมื่อเปรียบเทียบกับ WannaCry ไวรัสนี้ถือว่ามีการทำลายล้างมากกว่าเนื่องจากแพร่กระจายโดยใช้หลายวิธี - จาก ใช้วินโดวส์เครื่องมือการจัดการ, การใช้ประโยชน์จาก PsExec และ EternalBlue นอกจากนี้แรนซัมแวร์ยังถูกฝังอยู่อีกด้วย ยูทิลิตี้ฟรีมิมิคัทซ์.

จำนวนผู้ใช้ที่ถูกโจมตีโดยไวรัสเข้ารหัส "Petya ใหม่" ใหม่มีจำนวนถึง 2,000 รายแล้ว Kaspersky Lab ซึ่งกำลังตรวจสอบคลื่นของการติดไวรัสทางคอมพิวเตอร์รายงานเมื่อวันพุธ

ตามที่บริษัทแอนตี้ไวรัส ESET ระบุ การโจมตีเริ่มขึ้นในยูเครน ซึ่งได้รับความเดือดร้อนมากกว่าประเทศอื่นๆ ตามการจัดอันดับประเทศที่ได้รับผลกระทบจากไวรัสของบริษัท อิตาลีอยู่ในอันดับที่สองรองจากยูเครน และอิสราเอลอยู่ในอันดับที่สาม สิบอันดับแรกยังรวมถึงเซอร์เบีย ฮังการี โรมาเนีย โปแลนด์ อาร์เจนตินา สาธารณรัฐเช็ก และเยอรมนี รัสเซียใน รายการนี้ได้อันดับที่ 14

นอกจากนี้ Avast ยังบอกอะไรกันแน่ ระบบปฏิบัติการได้รับผลกระทบจากไวรัสมากที่สุด

Windows 7 มาเป็นอันดับหนึ่ง - 78% ของคอมพิวเตอร์ที่ติดไวรัสทั้งหมด ถัดมาเป็น Windows XP (18%), Windows 10 (6%) และ Windows 8.1 (2%)

ดังนั้น WannaCry จึงไม่ได้สอนอะไรชุมชนทั่วโลกเลย - คอมพิวเตอร์ยังคงไม่ได้รับการป้องกัน ระบบไม่ได้รับการอัพเดต และความพยายามของ Microsoft ในการออกแพตช์แม้แต่สำหรับระบบที่ล้าสมัยก็สูญเปล่า

เป็นเวลาหลายทศวรรษที่อาชญากรไซเบอร์ใช้ประโยชน์จากข้อบกพร่องและช่องโหว่บนเวิลด์ไวด์เว็บได้สำเร็จ อย่างไรก็ตาม ในช่วงไม่กี่ปีที่ผ่านมา จำนวนการโจมตีเพิ่มขึ้นอย่างชัดเจน รวมถึงระดับที่เพิ่มขึ้น - ผู้โจมตีเริ่มมีอันตรายมากขึ้น และ มัลแวร์กำลังแพร่กระจายในอัตราที่ไม่เคยมีมาก่อน

การแนะนำ

เรากำลังพูดถึงแรนซัมแวร์ ซึ่งก้าวกระโดดอย่างเหลือเชื่อในปี 2560 สร้างความเสียหายให้กับองค์กรหลายพันแห่งทั่วโลก ตัวอย่างเช่น ในออสเตรเลีย การโจมตีด้วยแรนซัมแวร์ เช่น WannaCry และ NotPetya ทำให้เกิดความกังวลในระดับรัฐบาลด้วยซ้ำ

เมื่อสรุป “ความสำเร็จ” ของมัลแวร์เรียกค่าไถ่ในปีนี้ เราจะมาดู 10 อันดับมัลแวร์ที่อันตรายที่สุดที่สร้างความเสียหายให้กับองค์กรมากที่สุด หวังว่าปีหน้าเราจะได้เรียนรู้บทเรียนของเราและป้องกันไม่ให้ปัญหาประเภทนี้เข้าสู่เครือข่ายของเรา

ไม่ใช่เพ็ตยา

การโจมตีของแรนซัมแวร์นี้เริ่มต้นด้วยโปรแกรมการบัญชีของยูเครน M.E.Doc ซึ่งมาแทนที่ 1C ซึ่งถูกแบนในยูเครน ในเวลาเพียงไม่กี่วัน NotPetya ก็แพร่ระบาดไปยังคอมพิวเตอร์หลายแสนเครื่องในกว่า 100 ประเทศ มัลแวร์นี้เป็นตัวแปรจากรุ่นเก่า Petya แรนซัมแวร์ข้อแตกต่างเพียงอย่างเดียวคือการโจมตี NotPetya ใช้ช่องโหว่แบบเดียวกันกับการโจมตี WannaCry

เมื่อ NotPetya แพร่กระจาย มันส่งผลกระทบต่อหลายองค์กรในออสเตรเลีย เช่น โรงงานช็อคโกแลต Cadbury ในรัฐแทสเมเนีย ซึ่งต้องปิดระบบไอทีทั้งหมดชั่วคราว แรนซั่มแวร์นี้ยังแทรกซึมเข้าไปในเรือคอนเทนเนอร์ที่ใหญ่ที่สุดในโลกอีกด้วย บริษัทเป็นเจ้าของ Maersk ซึ่งมีรายงานว่าสูญเสียรายได้ไปมากถึง 300 ล้านดอลลาร์

วอนนาคราย

แรนซัมแวร์นี้มีขนาดที่แย่มาก และได้เข้าครอบครองไปทั่วโลกแล้ว การโจมตีของเขาใช้ช่องโหว่ EternalBlue ที่น่าอับอาย ซึ่งใช้ประโยชน์จากช่องโหว่ในโปรโตคอล Microsoft Server Message Block (SMB)

WannaCry ติดเชื้อเหยื่อใน 150 ประเทศและมากกว่า 200,000 เครื่องในวันแรกเพียงวันเดียว เราเผยแพร่มัลแวร์ที่น่าตื่นเต้นนี้

ล็อคกี้

Locky เป็นแรนซัมแวร์ที่ได้รับความนิยมมากที่สุดในปี 2559 แต่ยังคงทำงานต่อไปในปี 2560 Locky สายพันธุ์ใหม่ซึ่งมีชื่อว่า Diablo และ Lukitus เกิดขึ้นในปีนี้โดยใช้เวกเตอร์การโจมตีแบบเดียวกัน (ฟิชชิ่ง) เพื่อเริ่มการโจมตี

Locky คือผู้ที่อยู่เบื้องหลังเรื่องอื้อฉาวเกี่ยวกับการฉ้อโกงอีเมลที่ Australia Post ตามรายงานของ Australian Competition and Consumer Commission ประชาชนสูญเสียเงินมากกว่า 80,000 ดอลลาร์เนื่องจากการหลอกลวงนี้

ครายซิส

อินสแตนซ์นี้มีความโดดเด่นด้วยการใช้ Remote Desktop Protocol (RDP) อย่างเชี่ยวชาญ RDP เป็นหนึ่งในวิธีที่ได้รับความนิยมมากที่สุดในการกระจายแรนซัมแวร์ เนื่องจากช่วยให้อาชญากรไซเบอร์สามารถโจมตีเครื่องที่ควบคุมทั้งองค์กรได้

เหยื่อของ CrySis ถูกบังคับให้จ่ายเงินระหว่าง 455 ถึง 1,022 เหรียญสหรัฐเพื่อกู้คืนไฟล์ของพวกเขา

นีมูคอด

Nemucod ได้รับการเผยแพร่โดยใช้อีเมลฟิชชิ่งที่มีลักษณะคล้ายใบแจ้งหนี้สำหรับบริการขนส่ง แรนซัมแวร์นี้จะดาวน์โหลดไฟล์ที่เป็นอันตรายซึ่งจัดเก็บไว้ในเว็บไซต์ที่ถูกแฮ็ก

ในแง่ของการใช้อีเมลฟิชชิ่ง Nemucod เป็นอันดับสองรองจาก Locky

จาฟ

Jaff มีความคล้ายคลึงกับ Locky และใช้เทคนิคที่คล้ายคลึงกัน แรนซัมแวร์นี้ไม่มีความโดดเด่นในเรื่องวิธีการดั้งเดิมในการแพร่กระจายหรือเข้ารหัสไฟล์ แต่ในทางกลับกัน มันรวมแนวทางปฏิบัติที่ประสบความสำเร็จมากที่สุดเข้าด้วยกัน

ผู้โจมตีที่อยู่เบื้องหลังเรียกร้องเงินสูงถึง 3,700 ดอลลาร์สำหรับการเข้าถึงไฟล์ที่เข้ารหัส

สปอรา

เพื่อแพร่กระจายแรนซัมแวร์ประเภทนี้ อาชญากรไซเบอร์จะแฮ็กเว็บไซต์ที่ถูกต้องโดยการเพิ่มโค้ด JavaScript ลงไป ผู้ใช้ที่เข้าสู่ไซต์ดังกล่าวจะเห็นคำเตือนป๊อปอัปแจ้งให้อัปเดต เบราว์เซอร์ Chromeเพื่อเรียกดูไซต์ต่อไป หลังจากดาวน์โหลด Chrome Font Pack ที่เรียกว่า Chrome ผู้ใช้ก็ติด Spora

เซอร์เบอร์

หนึ่งในเวกเตอร์การโจมตีจำนวนมากที่ Cerber ใช้เรียกว่า RaaS (Ransomware-as-a-Service) ตามโครงการนี้ ผู้โจมตีเสนอที่จะจ่ายเงินสำหรับการแจกจ่ายโทรจันโดยสัญญาว่าจะเป็นเปอร์เซ็นต์ของเงินที่ได้รับ ด้วย “บริการ” นี้ อาชญากรไซเบอร์จึงส่งแรนซัมแวร์ออกไป จากนั้นจึงจัดหาเครื่องมือให้ผู้โจมตีรายอื่นเพื่อเผยแพร่แรนซัมแวร์

คริปโตมิกซ์

นี่เป็นหนึ่งในแรนซัมแวร์ไม่กี่ตัวที่ไม่มีพอร์ทัลการชำระเงินเฉพาะเจาะจงในเว็บมืด ผู้ใช้ที่ได้รับผลกระทบต้องรอให้อาชญากรไซเบอร์ส่งมา อีเมลคำแนะนำ.

ผู้ใช้จาก 29 ประเทศตกเป็นเหยื่อของ Cryptomix พวกเขาถูกบังคับให้จ่ายเงินสูงถึง 3,000 ดอลลาร์

จิ๊กซอว์

มัลแวร์อีกตัวจากรายการที่เริ่มกิจกรรมในปี 2559 จิ๊กซอว์แทรกรูปภาพของตัวตลกจากซีรีส์เรื่อง Saw ลงในอีเมลขยะ ทันทีที่ผู้ใช้คลิกที่ภาพ แรนซัมแวร์ไม่เพียงแต่เข้ารหัสเท่านั้น แต่ยังลบไฟล์หากผู้ใช้ชำระค่าไถ่ 150 ดอลลาร์ล่าช้าเกินไป

ข้อสรุป

ดังที่เราเห็น ภัยคุกคามยุคใหม่กำลังใช้การหาประโยชน์ที่ซับซ้อนมากขึ้นกับเครือข่ายที่มีการป้องกันอย่างดี แม้ว่าการตระหนักรู้ที่เพิ่มขึ้นในหมู่พนักงานสามารถช่วยจัดการผลกระทบของการติดเชื้อได้ แต่ธุรกิจต่างๆ จำเป็นต้องก้าวไปไกลกว่ามาตรฐานความปลอดภัยทางไซเบอร์ขั้นพื้นฐานเพื่อปกป้องตนเอง การป้องกันภัยคุกคามในปัจจุบันต้องใช้แนวทางเชิงรุกที่ใช้ประโยชน์จากการวิเคราะห์แบบเรียลไทม์ที่ขับเคลื่อนโดยกลไกการเรียนรู้ที่รวมถึงการทำความเข้าใจพฤติกรรมและบริบทของภัยคุกคาม

Kaspersky Lab เกี่ยวกับแรนซัมแวร์ WannaCry

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป วิเคราะห์ข้อมูลเกี่ยวกับการติดโปรแกรมแรนซัมแวร์ชื่อ “WannaCry” ที่บริษัทต่างๆ ทั่วโลกพบเมื่อวันที่ 12 พฤษภาคม

ผู้เชี่ยวชาญของ Kaspersky Lab วิเคราะห์ข้อมูลเกี่ยวกับการติดแรนซัมแวร์ที่เรียกว่า “WannaCry” ที่บริษัทต่างๆ ทั่วโลกพบเมื่อวันที่ 12 พฤษภาคม จากการวิเคราะห์พบว่า การโจมตีเกิดขึ้นผ่านช่องโหว่เครือข่าย Microsoft Security Bulletin MS17-010 ซึ่งเป็นที่รู้จักกันดี จากนั้นมีการติดตั้งรูทคิทบนระบบที่ติดไวรัส ซึ่งผู้โจมตีใช้เปิดโปรแกรมเข้ารหัส

โซลูชันของ Kaspersky Lab ทั้งหมดตรวจพบมัลแวร์ที่ใช้ในการโจมตีครั้งนี้ด้วยคำตัดสินต่อไปนี้:

  • โทรจัน-Ransom.Win32.Scatter.uf
  • โทรจัน-Ransom.Win32.Scatter.tr
  • โทรจัน-Ransom.Win32.Fury.fr
  • โทรจัน-Ransom.Win32.Gen.djd
  • โทรจัน-Ransom.Win32.Wanna.b
  • โทรจัน-Ransom.Win32.Wanna.c
  • โทรจัน-Ransom.Win32.Wanna.d
  • โทรจัน-Ransom.Win32.Wanna.f
  • โทรจัน-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (เพื่อตรวจจับมัลแวร์นี้ จะต้องเปิดใช้งานส่วนประกอบการตรวจสอบระบบ)

เพื่อถอดรหัสข้อมูล ผู้โจมตีต้องการค่าไถ่ 600 ดอลลาร์เป็น Bitcoin cryptocurrency ปัจจุบัน Kaspersky Lab บันทึกการโจมตีได้ประมาณ 45,000 ครั้งใน 74 ประเทศทั่วโลก จำนวนมากที่สุดมีการตรวจพบความพยายามในการติดเชื้อในรัสเซีย

หากไฟล์ของคุณถูกเข้ารหัส คุณไม่ควรใช้สิ่งใดที่นำเสนอบนอินเทอร์เน็ตหรือรับผ่านทางอินเทอร์เน็ตโดยเด็ดขาด อีเมลเครื่องมือถอดรหัส ไฟล์จะถูกเข้ารหัสด้วยอัลกอริธึมการเข้ารหัสที่รัดกุมและไม่สามารถถอดรหัสได้ และยูทิลิตี้ที่คุณดาวน์โหลดอาจก่อให้เกิดอันตรายต่อทั้งคอมพิวเตอร์และคอมพิวเตอร์ของคุณทั่วทั้งองค์กรมากยิ่งขึ้น เนื่องจากอาจเป็นอันตรายและมุ่งเป้าไปที่คลื่นลูกใหม่ของการแพร่ระบาด

หากคุณพบว่าคอมพิวเตอร์ของคุณติดไวรัส คุณควรปิดเครื่องและติดต่อ ความปลอดภัยของข้อมูลสำหรับคำแนะนำเพิ่มเติม

  • ติดตั้งแพทช์อย่างเป็นทางการจากไมโครซอฟต์ ซึ่งปิดช่องโหว่ที่ใช้ในการโจมตี (โดยเฉพาะการอัปเดตมีให้สำหรับเวอร์ชันต่างๆ แล้ว)หน้าต่างประสบการณ์และหน้าต่าง2003);
  • ตรวจสอบให้แน่ใจว่าได้เปิดใช้งานโซลูชั่นความปลอดภัยบนโหนดเครือข่ายทั้งหมด
  • หากคุณใช้โซลูชันการรักษาความปลอดภัยของ Kaspersky Lab ตรวจสอบให้แน่ใจว่าเวอร์ชันนั้นมีส่วนประกอบ "การตรวจสอบระบบ" และเปิดใช้งานอยู่
  • ดำเนินการสแกนพื้นที่สำคัญในโซลูชันการรักษาความปลอดภัยของ Kaspersky Lab เพื่อตรวจจับการติดเชื้อที่เป็นไปได้โดยเร็วที่สุด (มิฉะนั้นการตรวจจับจะเกิดขึ้นโดยอัตโนมัติภายใน 24 ชั่วโมง)
  • หลังจากตรวจพบ Trojan.Win64.EquationDrug.gen ให้รีบูตระบบ
  • ในอนาคต เพื่อป้องกันเหตุการณ์ดังกล่าว ให้ใช้บริการรายงานภัยคุกคามเพื่อรับข้อมูลเกี่ยวกับการโจมตีแบบกำหนดเป้าหมายที่อันตรายที่สุดและการติดไวรัสที่เป็นไปได้ทันที

มากกว่า ข้อมูลรายละเอียดเกี่ยวกับการโจมตี “WannaCry” สามารถพบได้ในรายงานของ Kaspersky Lab

บทความที่เกี่ยวข้อง