В продължение на десетилетия киберпрестъпниците успешно се възползваха от пропуски и уязвимости в световната мрежа. Въпреки това, в последните годиниима ясно увеличение на броя на атаките, както и повишаване на тяхното ниво - нападателите стават все по-опасни, а зловреден софтуер се разпространява с невиждана досега скорост.

Въведение

Говорим за рансъмуер, който направи невероятен скок през 2017 г., причинявайки щети на хиляди организации по целия свят. Например в Австралия атаките на ransomware като WannaCry и NotPetya дори предизвикаха опасения на правителствено ниво.

Обобщавайки „успехите“ на ransomware тази година, ще разгледаме 10-те най-опасни, които са причинили най-много щети на организациите. Да се ​​надяваме, че следващата година ще си вземем поуките и ще предотвратим проникването на този проблем в нашите мрежи.

Не Петя

Атаката на този ransomware започна с украинската счетоводна програма M.E.Doc, която замени 1C, която беше забранена в Украйна. Само за няколко дни NotPetya зарази стотици хиляди компютри в над 100 държави. Този зловреден софтуер е вариант на по-стария рансъмуер Petya, като единствената разлика е, че атаките на NotPetya използват същия експлойт като атаките на WannaCry.

Докато се разпространяваше, NotPetya засегна няколко организации в Австралия, като шоколадовата фабрика Cadbury в Тасмания, която трябваше временно да затвори цялата си ИТ система. Рансъмуерът също успя да проникне в най-големия контейнеровоз в света, собственост на Maersk, който според съобщенията загуби до 300 милиона долара приходи.

WannaCry

Този рансъмуер, ужасяващ по своя мащаб, на практика завладя целия свят. Неговите атаки използваха скандалния експлойт EternalBlue, използващ уязвимост в Microsoft сървърБлокиране на съобщения (SMB).

WannaCry зарази жертви в 150 държави и над 200 000 машини само през първия ден. Публикувахме този сензационен зловреден софтуер.

Локи

Locky беше най-популярният ransomware през 2016 г., но не излезе от бизнеса и през 2017 г. Нови варианти на Locky, наречени Diablo и Lukitus, се появиха тази година, използвайки същия вектор на атака (фишинг) за стартиране на експлойти.

Именно Локи стоеше зад скандала с имейл измамите на Australia Post. Според Австралийската комисия за конкуренцията и потребителите гражданите са загубили повече от 80 000 долара поради тази измама.

криза

Този екземпляр беше отбелязан с майсторското си използване на протокола за отдалечен работен плот (RDP). RDP е един от най-популярните методи за разпространение на ransomware, тъй като може да се използва от киберпрестъпници за компрометиране на машини, които контролират цели организации.

Жертвите на CrySis бяха принудени да платят между $455 и $1022, за да бъдат възстановени файловете им.

Nemucode

Nemucod се разпространява чрез фишинг имейл, който изглежда като фактура за доставка. Този ransomware изтегля злонамерени файлове, съхранявани на хакнати уебсайтове.

Когато става въпрос за използване на фишинг имейли, Nemucod е на второ място след Locky.

джаф

Jaff е подобен на Locky и използва подобни методи. Този ransomware не е забележителен с оригиналните си методи за разпространение или криптиране на файлове, а напротив, съчетава най-успешните практики.

Нападателите зад него поискаха до 3700 долара за достъп до криптирани файлове.

Spora

За да разпространят този тип рансъмуер, киберпрестъпниците проникват в законни уебсайтове, като добавят JavaScript код към тях. Потребителите, които попаднат на такъв сайт, ще получат изскачащо предупреждение, което ги подканва да актуализират Браузър Chromeза да продължите да разглеждате сайта. След като изтеглиха така наречения Chrome Font Pack, потребителите се заразиха със Spora.

цербер

Един от многото вектори за атака, които Cerber използва, се нарича RaaS (Ransomware-as-a-Service). При тази схема нападателите предлагат да платят за разпространението на троянския кон, като обещават процент от получените пари в замяна. Чрез тази „услуга“ киберпрестъпниците изпращат рансъмуер и след това предоставят на други нападатели инструментите за разпространението му.

Криптомикс

Това е един от малкото ransomware, който няма определен тип портал за плащане, наличен в тъмната мрежа. Засегнатите потребители трябва да изчакат киберпрестъпниците да им изпратят имейл електронна пощаинструкции.

Жертвите на Cryptomix бяха потребители от 29 държави, те бяха принудени да платят до 3000 долара.

Мозайката

Друг злонамерен софтуер от списъка, който започна своята дейност през 2016 г. Jigsaw вмъква изображение на клоуна от филмовата поредица Saw в спам имейли. След като потребителят щракне върху изображението, рансъмуерът не само криптира, но и изтрива файловете, в случай че потребителят е закъснял да плати откупа от $150.

заключения

Както виждаме, съвременните заплахи използват все по-сложни експлойти срещу добре защитени мрежи. Въпреки че повишената осведоменост на служителите помага за справяне с въздействието на инфекциите, бизнесът трябва да надхвърли основните стандарти за киберсигурност, за да се защити. Защитата срещу днешните заплахи изисква проактивни подходи, които използват силата на анализа в реално време, базиран на механизъм за обучение, който включва разбиране на поведението и контекста на заплахите.

Преди около седмица-две в мрежата се появи друга разработка на съвременните производители на вируси, която криптира всички потребителски файлове. Още веднъж ще разгледам въпроса как да излекувам компютър след ransomware вирус crypted000007и възстановяване на криптирани файлове. В този случай не се появи нищо ново и уникално, просто модификация на предишната версия.

Гарантирано декриптиране на файлове след ransomware вирус - dr-shifro.ru. Подробностите за работата и схемата на взаимодействие с клиента са по-долу в моята статия или на уебсайта в раздел „Процедура на работа“.

Описание на рансъмуер вируса CRYPTED000007

Шифровачът CRYPTED000007 не се различава фундаментално от своите предшественици. Работи почти едно към едно подобно. Но все пак има няколко нюанса, които го отличават. Ще ви разкажа за всичко по ред.

Той идва, както и неговите колеги, по пощата. Използват се техники социално инженерствотака че потребителят със сигурност ще се заинтересува от писмото и ще го отвори. В моя случай писмото беше за някакъв съд и за важна информация по случая в прикачения файл. След като стартира прикачения файл, потребителят отваря Word документ с извлечение от Московския арбитражен съд.

Успоредно с отварянето на документа започва криптирането на файла. Започва постоянно да изскача информационно съобщение от системата за контрол на потребителските акаунти на Windows.

Ако сте съгласни с предложението, тогава резервни копияфайлове в сянка копия на Windowsще бъдат изтрити и възстановяването на информация ще бъде много трудно. Очевидно е невъзможно да се съгласим с предложението във всеки случай. В този ransomware тези заявки се появяват постоянно, една по една и не спират, принуждавайки потребителя да се съгласи и да изтрие резервните копия. Това е основната разлика от предишните модификации на ransomware. Никога не съм виждал заявки за изтриване на скрито копие да вървят без прекъсване. Обикновено след 5-10 изречения спираха.

Ще ви дам препоръка за в бъдеще. Много често хората изключват предупрежденията от системата за контрол на потребителските акаунти. Не е нужно да правите това. Този механизъм наистина може да помогне в устояването на вирусите. Вторият очевиден съвет е да не работите постоянно под сметкакомпютърен администратор, ако това не е обективно необходимо. В този случай вирусът няма да има възможност да причини голяма вреда. Ще бъде по-вероятно да му устоите.

Но дори ако през цялото време сте отговаряли отрицателно на исканията за ransomware, всичките ви данни вече са криптирани. След като процесът на криптиране приключи, ще видите картина на вашия работен плот.

В същото време ще има много текстови файловесъс същото съдържание.

Вашите файлове са шифровани. За да дешифрирате ux, трябва да коригирате кода: 329D54752553ED978F94|0 на имейл адреса [имейл защитен]. След това ще получите всички необходими инструкции. Опитите да го дешифрирате сами няма да доведат до нищо, освен до безвъзвратно много информация. Ако все пак искате да опитате, направете резервни копия на файловете предварително, в противен случай, в случай на промени в ux, дешифрирането няма да бъде възможно при никакви обстоятелства. Ако не сте получили отговор на горепосочения адрес в рамките на 48 часа (и само в този случай!), моля, използвайте формата за обратна връзка. Това може да стане по два начина: 1) Изтеглете и инсталирайте Браузър Torна връзката: https://www.torproject.org/download/download-easy.html.en Въведете адреса: http://cryptsen7fo43rr6.onion/ в адресното поле на Tor Browser и натиснете Enter. Страницата с формата за контакт се зарежда. 2) Във всеки браузър отидете на един от адресите: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Всички важни файлове на компютъра ви са криптирани. За да дешифрирате файловете, трябва да изпратите следния код: 329D54752553ED978F94|0 на имейл адрес [имейл защитен]. След това ще получите всички необходими инструкции. Всички опити за декриптиране сами ще доведат само до безвъзвратна загуба на вашите данни. Ако все пак искате да опитате да ги декриптирате сами, моля, първо направете резервно копие, защото декриптирането ще стане невъзможно в случай на промени във файловете. Ако не сте получили отговор от горепосочения имейл повече от 48 часа (и само в този случай!), използвайте формата за обратна връзка. Можешнаправете го по два начина: 1) Изтеглете Tor Browser от тук: https://www.torproject.org/download/download-easy.html.en Инсталирайте го и въведете следния адрес в адресната лента: http://cryptsen7fo43rr6 .onion/ Натиснете Enter и ще се зареди страницата с формата за обратна връзка. 2) Отидете на един от следните адреси във всеки браузър: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Пощенският адрес може да се промени. Виждал съм и други адреси като този:

Адресите се актуализират постоянно, така че могат да бъдат напълно различни.

Веднага щом установите, че файловете са криптирани, незабавно изключете компютъра. Това трябва да се направи, за да се прекъсне процеса на криптиране както на локалния компютър, така и на мрежовите устройства. Вирусът на ransomware може да криптира цялата информация, до която може да достигне, включително на мрежови устройства. Но ако има голямо количество информация, това ще му отнеме значително време. Понякога, дори след няколко часа, шифрователят нямаше време да шифрова всичко мрежово устройствос размер около 100 гигабайта.

След това трябва внимателно да помислите как да действате. Ако непременно се нуждаете от информация на вашия компютър и нямате резервни копия, тогава е по-добре да се свържете със специалисти в този момент. Не непременно за пари в някои фирми. Просто ви трябва човек, който е добре запознат информационни системи. Необходимо е да се оцени мащабът на бедствието, да се премахне вирусът, да се събере цялата налична информация за ситуацията, за да се разбере как да се процедира.

Неправилните действия на този етап могат значително да усложнят процеса на дешифриране или възстановяване на файлове. В най-лошия случай могат да го направят невъзможно. Така че отделете време, бъдете внимателни и последователни.

Как вирусът CRYPTED000007 ransomware криптира файлове

След като вирусът бъде стартиран и приключи дейността си, всички полезни файлове ще бъдат криптирани, преименувани от разширение.crypted000007. И не само разширението на файла ще бъде заменено, но и името на файла, така че няма да знаете точно какви файлове сте имали, ако не си спомняте. Ще има нещо като тази снимка.

В такава ситуация ще бъде трудно да се оцени мащабът на трагедията, тъй като няма да можете да си спомните напълно какво сте имали в различни папки. Това беше направено нарочно, за да обърка човек и да го насърчи да плати за дешифриране на файлове.

И ако сте криптирали и мрежови папкии не пълни резервни копия, то като цяло може да спре работата на цялата организация. Няма веднага да разберете какво в крайна сметка е загубено, за да започнете възстановяването.

Как да лекувате компютъра си и да премахнете рансъмуера CRYPTED000007

Вирусът CRYPTED000007 вече е на вашия компютър. Първият и най-важен въпрос е как да излекувате компютър и как да премахнете вирус от него, за да предотвратите по-нататъшно криптиране, ако то все още не е завършено. Веднага обръщам внимание на факта, че след като сами започнете да извършвате някои действия с компютъра си, шансовете за дешифриране на данните намаляват. Ако трябва да възстановите файлове по всякакъв начин, не пипайте компютъра си, а незабавно се свържете с професионалисти. По-долу ще говоря за тях и ще дам връзка към сайта и ще опиша схемата на тяхната работа.

Междувременно ще продължим да лекуваме компютъра самостоятелно и да премахваме вируса. Традиционно рансъмуерът се премахва лесно от компютъра, тъй като вирусът няма за задача да остане на всяка цена на компютъра. След пълно криптиране на файловете, за него е още по-изгодно да се изтрие и да изчезне, така че да бъде по-трудно разследването на инцидента и дешифрирането на файловете.

Описването на ръчното премахване на вирус е трудно, въпреки че се опитах да го направя преди, но виждам, че през повечето време е безсмислено. Имената на файловете и пътищата за поставяне на вируси непрекъснато се променят. Това, което видях, вече не е актуално след седмица-две. Обикновено вирусите се изпращат по пощата на вълни и всеки път има нова модификация, която все още не е открита от антивирусите. Универсалните инструменти, които проверяват автоматичното стартиране и откриват подозрителна активност в системните папки, помагат.

За да премахнете вируса CRYPTED000007, можете да използвате следните програми:

  1. Kaspersky Virus Removal Tool - помощна програма от Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - подобен продукт от друга мрежа http://free.drweb.ru/cureit .
  3. Ако първите две помощни програми не помогнат, опитайте MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

Най-вероятно един от тези продукти ще изчисти компютъра от ransomware CRYPTED000007. Ако изведнъж се случи, че те не помогнат, опитайте да премахнете вируса ръчно. Дадох техниката за премахване като пример и можете да я видите там. Накратко, ето какво трябва да направите:

  1. Разглеждаме списъка с процеси, като преди това сме добавили няколко допълнителни колони към диспечера на задачите.
  2. Намираме процеса на вируса, отваряме папката, в която се намира и го изтриваме.
  3. Ние почистваме споменаването на вирусния процес от името на файла в регистъра.
  4. Рестартираме и се уверяваме, че вирусът CRYPTED000007 не е в списъка с изпълнявани процеси.

Къде да изтеглите дешифратора CRYPTED000007

Въпросът за прост и надежден декриптор възниква преди всичко, когато става дума за вирус на ransomware. Първото нещо, което съветвам, е да използвате услугата https://www.nomoreransom.org. Ами ако имате късмет, те ще имат дешифратор за вашата версия на шифратора CRYPTED000007. Веднага ще кажа, че нямате много шансове, но опитът не е мъчение. На начална страницащракнете върху Да:

След това качете няколко криптирани файла и щракнете върху Go! разбирам:

По време на писането декодерът не беше на сайта.

Може би ще имате повече късмет. Можете също така да видите списъка с декриптори за изтегляне на отделна страница - https://www.nomoreransom.org/decryption-tools.html. Може би там има нещо полезно. Когато вирусът е много пресен, има малък шанс за това, но след време може да се появи нещо. Има примери, когато в мрежата се появиха декриптори за някои модификации на ransomware. И тези примери са на посочената страница.

Къде другаде мога да намеря декодер, не знам. Малко вероятно е наистина да съществува, като се вземат предвид особеностите на работата на съвременния ransomware. Само авторите на вируса могат да имат пълноценен декодер.

Как да декриптирате и възстановите файлове след вирус CRYPTED000007

Какво да направите, когато вирусът CRYPTED000007 е шифровал вашите файлове? Техническата реализация на криптирането не позволява декриптиране на файлове без ключ или декриптатор, с които разполага само авторът на криптатора. Може би има друг начин да се получи, но нямам такава информация. Можем само да опитаме да възстановим файлове с помощта на импровизирани методи. Те включват:

  • Инструмент сенчести копияпрозорци.
  • Програми за възстановяване на изтрити данни

Първо, нека проверим дали имаме активирани сенчести копия. Този инструмент работи по подразбиране в Windows 7 и по-нови, освен ако не го деактивирате ръчно. За да проверите, отворете свойствата на компютъра и отидете в секцията за защита на системата.

Ако не сте потвърдили по време на заразяването UAC заявказа да изтриете файлове в скритите копия, тогава някои данни трябва да останат там. Говорих за това искане по-подробно в началото на историята, когато говорих за работата на вируса.

За лесно възстановяване на файлове от скрити копия предлагам да използвате безплатна програмаза това - ShadowExplorer . Изтеглете архива, разопаковайте програмата и стартирайте.

Ще се отвори последното копие на файловете и корена на устройството C. Вляво горен ъгълможете да изберете резервно копие, ако имате повече от едно. Проверете различни копия за желаните файлове. Сравнете по дати къде повече свежа версия. В моя пример по-долу намерих 2 файла на моя работен плот, които са били на три месеца, когато са били последно редактирани.

Успях да възстановя тези файлове. За да направя това, ги избрах, щракнах Кликнете с десния бутонмишката, изберете Експортиране и посочите папката, където да ги възстановите.

Можете да възстановите папки веднага по същия начин. Ако сенчестите копия са работили за вас и не сте ги изтрили, имате доста голям шанс да възстановите всички или почти всички файлове, криптирани от вируса. Може би някои от тях ще бъдат повече Стара версияотколкото бих искал, но все пак е по-добре от нищо.

Ако по някаква причина нямате скрити копия на файлове, единственият шанс да получите поне част от криптираните файлове е да ги възстановите с помощта на инструменти за възстановяване изтрити файлове. За да направите това, предлагам да използвате безплатната програма Photorec.

Стартирайте програмата и изберете диска, на който ще възстановите файловете. Стартирането на графичната версия на програмата изпълнява файла qphotorec_win.exe. Трябва да изберете папката, в която ще бъдат поставени намерените файлове. По-добре е тази папка да не се намира на същото устройство, където търсим. Включете флашка или външна HDDза това.

Процесът на търсене ще отнеме много време. В края ще видите статистика. Сега можете да отидете в посочената по-рано папка и да видите какво се намира там. Най-вероятно ще има много файлове и повечето от тях или ще бъдат повредени, или ще бъдат някакви системни и безполезни файлове. Но въпреки това в този списък ще бъде възможно да се намери част полезни файлове. Тук няма гаранции, каквото намерите, това ще намерите. Най-хубавото е, че обикновено изображенията се възстановяват.

Ако резултатът не ви удовлетворява, тогава все още има програми за възстановяване на изтрити файлове. По-долу е даден списък с програми, които обикновено използвам, когато трябва да възстановя максимална сумафайлове:

  • R.saver
  • Възстановяване на файлове Starus
  • JPEG Recovery Pro
  • Active File Recovery Professional

Тези програми не са безплатни, така че няма да давам връзки. При голямо желание можете да ги намерите сами в интернет.

Целият процес на възстановяване на файлове е показан подробно във видеото в самия край на статията.

Kaspersky, eset nod32 и други в борбата срещу рансъмуера Filecoder.ED

Популярни антивируси определят рансъмуера CRYPTED000007 като Filecoder.EDи тогава може да има някакво друго обозначение. Прегледах форумите на основните антивируси и не видях нищо полезно там. За съжаление, както обикновено, антивирусите не бяха готови за нахлуването на нова вълна от ransomware. Ето съобщение от форума на Kaspersky.

Антивирусите традиционно пропускат новите модификации на троянски коне за откуп. Въпреки това препоръчвам да ги използвате. Ако имате късмет и получите ransomware по пощата си не в първата вълна от инфекции, а малко по-късно, има шанс антивирусът да ви помогне. Всички те работят една крачка зад нападателите. излиза подава се нова версия ransomware, антивирусите не реагират на него. Веднага щом се натрупа определена маса материал за изследване на нов вирус, антивирусите пускат актуализация и започват да реагират на нея.

Какво пречи на антивирусите да реагират веднага на всеки процес на криптиране в системата, не ми е ясно. Може би има някакъв технически нюанс по тази тема, който не ви позволява да реагирате адекватно и да предотвратите криптиране на потребителски файлове. Струва ми се, че би било възможно поне да се покаже предупреждение за факта, че някой криптира вашите файлове, и да предложите да спрете процеса.

Къде да кандидатствате за гарантирано дешифриране

Случайно срещнах една компания, която наистина дешифрира данни след работата на различни вируси за криптиране, включително CRYPTED000007. Техният адрес е http://www.dr-shifro.ru. Плащане само след пълно дешифриране и Ваша верификация. Ето примерен работен процес:

  1. Специалист на компанията идва до вашия офис или дом и подписва договор с вас, в който той определя цената на работата.
  2. Стартира дешифратора и дешифрира всички файлове.
  3. Уверете се, че всички файлове са отворени и подписвате акта за предаване / приемане на извършената работа.
  4. Плащане само при успешен резултат от декриптиране.

Честно казано, не знам как го правят, но не рискуваш нищо. Заплащане само след демонстрация на декодера. Моля, напишете отзив за вашия опит с тази компания.

Методи за защита срещу вируса CRYPTED000007

Как да се предпазите от работата на ransomware и да направите без материални и морални щети? Има няколко прости и ефективни съвета:

  1. Резервно копие! Архивиране на всички важни данни. И не просто резервно копие, а резервно копие, до което няма постоянен достъп. В противен случай вирусът може да зарази както вашите документи, така и резервни копия.
  2. Лицензирана антивирусна програма. Въпреки че не дават 100% гаранция, те увеличават шансовете за избягване на криптиране. Най-често не са готови за нови версии на ransomware, но след 3-4 дни започват да реагират. Това увеличава шансовете ви да избегнете заразяване, ако не сте включени в първата вълна от изпращания на нова модификация на рансъмуер.
  3. Не отваряйте подозрителни прикачени файлове в пощата. Тук няма какво да се коментира. Всички познати ми криптографи стигнаха до потребителите чрез пощата. И всеки път се измислят нови трикове за измама на жертвата.
  4. Не отваряйте безсмислено връзки, изпратени до вас от вашите приятели чрез социални мрежиили пратеници. Ето как понякога се разпространяват вирусите.
  5. Включи се дисплей на Windowsфайлови разширения. Как да направите това е лесно да се намери в интернет. Това ще ви позволи да забележите файловото разширение на вируса. Най-често ще бъде .exe, .vbs, .src. В ежедневната работа с документи е малко вероятно да срещнете такива файлови разширения.

Опитах се да допълня това, което вече написах по-рано във всяка статия за вируса ransomware. Дотогава казвам сбогом. Ще се радвам да получа полезни коментари за статията и вируса за криптиране CRYPTED000007 като цяло.

Видео с дешифриране и възстановяване на файлове

Ето пример за предишна модификация на вируса, но видеото е напълно подходящо и за CRYPTED000007.

На 1 и 2 май 2017 г. беше извършена мащабна вирусна атака на компютри с Windows. Само в Русия са заразени около 30 000 компютъра. Сред жертвите бяха не само обикновени потребители, но и много организации и държавни агенции. Според съобщения от мрежата CS на Министерството на вътрешните работи на Руската федерация и мрежата Magafon са били частично заразени. Също така, редица други, по-малко известни организации пострадаха от атаката на WannaCry или както по-често се нарича - WCry. Все още не е известно как вирусът рансъмуер е проникнал в такива защитени устройства. Дали е следствие от грешка на някой от потребителите или е обща уязвимост на мрежата на министерството - не се съобщава. Първата информация в Runet се появи на уебсайта на Kaspersky (под формата), където имаше активно обсъждане на новия вирус.

Какъв е този вирус?

След като проникне в компютъра, вирусът се разопакова, инсталира своите системни кодове за криптиране на потребителските данни и във фонов режим започва да криптира цялата информация на компютъра със собствени кодове от типа filename.wncry. Ето какво се случва, след като компютърът ви е хванал вирус:

  • Веднага след влизане в системата, вирусът започва напълно да контролира системата, блокирайки стартирането на всеки софтуер, дори без инсталация,
  • Антивирусите и помощните програми, които не изискват инсталация, които се стартират веднага след свързване на устройството към системата, също не дават никакъв резултат и просто не се стартират,
  • Всички USB портове и устройства спират да функционират,
  • Екранът ще бъде блокиран от банер Wana DecryptOr 2.0, който ви информира, че компютърът ви е заразен с вирус, всички данни на него са криптирани и трябва да платите на рансъмуера.
Собствениците на вируса предлагат на потребителя да прехвърли еквивалента на $300 в биткойни по сметката им. Има също информация, че ако не платите необходимата сума в рамките на 3 дни, сумата за плащане ще бъде удвоена. Ако плащането не бъде получено в рамките на една седмица, вирусът ще изтрие всички потребителски данни от компютъра. Съдейки по информацията от някои от нашите потребители, тази времева схема не е еднаква за всички и има устройства, на които периодът на плащане за ransomware е 14 дни.

Как да се предпазим от вируса.

Не се паникьосвайте, вирусът не е нов, от който е невъзможно да се предпазите. Това е често срещан ransomware, с чиито аналози сме се сблъсквали многократно. За да не те хванат компютърен вирус, бъдете внимателни, когато използвате целия софтуер. Не препоръчваме актуализиране на какъвто и да е софтуер, дори и на вградения, докато не се установи точно как вирусът влиза в системата. Склонни сме да вярваме, че вирусът влиза в компютъра чрез уязвимости в някаква програма. А уязвимостите в програмите най-често се появяват след неуспешно проектирана актуализация, в която има такава огромна „дупка“, която позволява на вирусите да проникнат в системата. Ако имате опит и възможности, инсталирайте висококачествена защитна стена на трета страна и за известно време увеличете наблюдението на системата и мрежовата активност.

Помощ за пострадалите

В петък, 12 май, към нас се обърна редовен клиент, дизайнер, с лаптоп, на който бяха съхранени неговите оформления, изходни кодове и други графични файлове. Компютрите му бяха заразени с вируса WannaCryptor. Бяха проведени редица "експерименти", които дадоха резултат! Ето какво ни помогна:

  • Разглобих компютъра, премахнах твърдия диск с данни,
  • Свързано устройство към iMac,
  • Чрез изброяване на декодери открихме няколко, които помогнаха да изтеглим част от данните от диск D.
  • След това клиентът реши да преинсталира системата с премахване на останалите данни,
  • За всеки случай направихме изображение на системата на нашия носител, веднага щом се появи решение на проблема, ще запазим останалите данни.
Скъпи приятели, ако сте жертва вирусът- свържете се с нас, ние ще се опитаме да помогнем. Провеждаме експерименти безплатно) И тук ви разказваме подробно как. Нека заедно се преборим със злото!
  • Повече от 200 000 компютъра вече са заразени!
Основните цели на атаката бяха насочени към корпоративния сектор, следван от телекомуникационните компании в Испания, Португалия, Китай и Англия.
  • Най-големият удар беше нанесен на руските потребители и компании. Включително Мегафон, Руските железници и, според непотвърдена информация, Следствения комитет и Министерството на вътрешните работи. Сбербанк и Министерството на здравеопазването също съобщиха за атаки срещу техните системи.
За дешифриране на данните нападателите искат откуп от 300 до 600 долара в биткойни (около 17 000-34 000 рубли).

Актуализация на Windows 10 версия 1909

Интерактивна карта на заразата (ЩРАКНЕТЕ ВЪРХУ КАРТАТА)
прозорец за откуп
Шифрова файлове със следните разширения

Въпреки насочването на вируса да атакува корпоративния сектор, обикновен потребителсъщо не е имунизиран от проникването на WannaCry и възможна загубадостъп до файл.
  • Инструкции за защита на вашия компютър и данните в него от заразяване:
1. Инсталирайте приложението Kaspersky System Watcher, което има вградена функция за връщане назад на промените, причинени от действията на шифратор, който все пак е успял да заобиколи инструментите за защита.
2. Потребителите на антивирусната програма на Kaspersky Lab се съветват да проверят дали функцията System Monitor е активирана.
3. За потребителите на ESET NOD32 antivirus за Windows 10 е въведена функция за проверка за нови налични актуализации на ОС. В случай, че сте се погрижили предварително и сте го активирали, тогава всички необходими нови актуализации на Windows ще бъдат инсталирани и системата ви ще бъде напълно защитена от този вирус WannaCryptor и други подобни атаки.
4. Също така потребителите на продуктите ESET NOD32 имат такава функция в програмата като откриване на все още неизвестни заплахи. Този методвъз основа на използването на поведенческа, евристична технология.

Ако вирусът се държи като вирус, най-вероятно е вирус.

технология облачна системаОт 12 май ESET LiveGrid много успешно отблъсква всички атаки на този вирус и всичко това се случи дори преди да пристигне актуализацията на базата данни със сигнатури.
5. Технологиите на ESET осигуряват сигурност, включително устройства с предишни Windows системи XP, Windows 8 и Windows сървър 2003 (препоръчваме ви да спрете да използвате вашите данни наследени системи ). Поради много високото ниво на заплаха, възникнало за тези ОС, Microsoft реши да пусне актуализации. Изтеглете ги.
6. За да сведете до минимум заплахата от увреждане на вашия компютър, трябва спешно да актуализирате своя Windows версии 10: Старт - Настройки - Актуализация и защита - Проверка за актуализации (в останалите случаи: Старт - Всички програми - Актуализация на Windows - Търсене на актуализации - Изтегляне и инсталиране).
7. Инсталирайте официалния пач (MS17-010) от Microsoft, който коригира грешка в SMB сървъра, през който може да проникне вирус. Този сървъручастващи в тази атака.
8. Проверете дали всички налични инструменти за защита работят и работят на вашия компютър.
9. Извършете сканиране за вируси на цялата система. При злонамерена атака на име MEM:Trojan.Win64.EquationDrug.gen, рестартирайте системата.
И още веднъж ви препоръчвам да проверите дали кръпките MS17-010 са инсталирани.

В момента специалисти от Kaspersky Lab, ESET NOD32 и други антивирусни продукти активно работят върху написването на програма за дешифриране на файлове, която ще помогне на потребителите на заразени компютри да възстановят достъпа до файлове.