Po celá desetiletí kyberzločinci úspěšně zneužívali nedostatky a zranitelnosti na World Wide Web. Nicméně, v minulé roky došlo k jasnému nárůstu počtu útoků a také ke zvýšení jejich úrovně – útočníci se stávají nebezpečnějšími a malware se šíří rychlostí, jakou tu ještě nikdo neviděl.

Úvod

Mluvíme o ransomwaru, který v roce 2017 udělal neuvěřitelný skok a způsobil škody tisícům organizací po celém světě. Například v Austrálii vyvolaly ransomwarové útoky jako WannaCry a NotPetya dokonce obavy na vládní úrovni.

Shrneme-li letošní „úspěchy“ ransomwaru, podíváme se na 10 nejnebezpečnějších, které organizacím způsobily největší škody. Doufejme, že příští rok se z toho poučíme a zabráníme tomu, aby tento problém pronikl do našich sítí.

Ne Péťa

Útok tohoto ransomwaru začal ukrajinským účetním programem M.E.Doc, který nahradil 1C, který byl na Ukrajině zakázán. Během několika dní NotPetya infikoval stovky tisíc počítačů ve více než 100 zemích. Tento malware je variantou staršího ransomwaru Petya, jediný rozdíl je v tom, že útoky NotPetya využívaly stejný exploit jako útoky WannaCry.

Jak se NotPetya rozšířila, postihla několik organizací v Austrálii, například čokoládovnu Cadbury v Tasmánii, která musela dočasně vypnout celý svůj IT systém. Ransomware se také podařilo infiltrovat do největší světové kontejnerové lodi vlastněné Maersk, která údajně přišla o příjmy až 300 milionů dolarů.

WannaCry

Tento ransomware, hrozný ve svém rozsahu, prakticky zachytil celý svět. Jeho útoky využívaly nechvalně proslulé využívání EternalBlue využívající zranitelnost v Microsoft Server Blok zpráv (SMB).

WannaCry infikoval oběti ve 150 zemích a na více než 200 000 počítačích jen za první den. Zveřejnili jsme tento senzační malware.

Locky

Locky byl nejoblíbenějším ransomwarem v roce 2016, ale v roce 2017 se nezastavil. Letos se objevily nové varianty Locky, pojmenované Diablo a Lukitus, které používají stejný útočný vektor (phishing) ke spouštění exploitů.

Byl to Locky, kdo stál za skandálem s e-mailovým podvodem Australia Post. Podle australské komise pro hospodářskou soutěž a spotřebitele přišli občané kvůli tomuto podvodu o více než 80 000 dolarů.

krize

Tato instance byla známá svým mistrným používáním protokolu RDP (Remote Desktop Protocol). RDP je jednou z nejpopulárnějších metod distribuce ransomwaru, protože ji mohou využít kyberzločinci ke kompromitaci strojů, které ovládají celé organizace.

Oběti CrySis byly nuceny zaplatit 455 až 1 022 USD za obnovení jejich souborů.

Nemucode

Nemucod je distribuován prostřednictvím phishingového e-mailu, který vypadá jako dodací faktura. Tento ransomware stahuje škodlivé soubory uložené na napadených webech.

Pokud jde o používání phishingových e-mailů, Nemucod je na druhém místě za Lockym.

jaff

Jaff je podobný Lockymu a používá podobné metody. Tento ransomware není pozoruhodný originálními metodami distribuce či šifrování souborů, ale naopak kombinuje ty nejúspěšnější praktiky.

Útočníci za ním požadovali až 3 700 dolarů za přístup k zašifrovaným souborům.

Spora

K šíření tohoto typu ransomwaru se kyberzločinci vloupou na legitimní webové stránky tím, že na ně přidají kód JavaScript. Uživatelům, kteří se dostanou na takový web, se zobrazí vyskakovací upozornění s výzvou k aktualizaci Prohlížeč Chrome pokračovat v procházení webu. Po stažení tzv. Chrome Font Packu se uživatelé nakazili Sporou.

cerber

Jeden z mnoha útočných vektorů, které Cerber používá, se nazývá RaaS (Ransomware-as-a-Service). V rámci tohoto schématu útočníci nabízejí, že za distribuci trojského koně zaplatí, přičemž na oplátku slibují procento z obdržených peněz. Prostřednictvím této „služby“ kyberzločinci rozesílají ransomware a dalším útočníkům pak poskytují nástroje k jeho šíření.

Cryptomix

Je to jeden z mála ransomwaru, který v rámci dark webu nemá k dispozici určitý typ platebního portálu. Dotčení uživatelé musí počkat, až jim kyberzločinci pošlou e-mail e-mailem instrukce.

Obětí Cryptomix byli uživatelé z 29 zemí, byli nuceni zaplatit až 3 000 $.

Vykružovačka

Další malware ze seznamu, který zahájil svou činnost v roce 2016. Jigsaw vloží obrázek klauna ze série filmů Saw do nevyžádaných e-mailů. Jakmile uživatel klikne na obrázek, ransomware nejen zašifruje, ale také smaže soubory v případě, že je uživatel příliš pozdě zaplatit výkupné ve výši 150 USD.

zjištění

Jak vidíme, moderní hrozby využívají stále sofistikovanější exploity proti dobře chráněným sítím. Zatímco zvýšená informovanost zaměstnanců pomáhá zvládat dopad infekcí, podniky musí jít nad rámec základních standardů kybernetické bezpečnosti, aby se ochránily. Ochrana před dnešními hrozbami vyžaduje proaktivní přístupy, které využívají sílu analýzy v reálném čase založené na výukovém enginu, který zahrnuje porozumění chování a kontextu hrozeb.

Zhruba před týdnem či dvěma se na síti objevil další kus práce moderních výrobců virů, který šifruje všechny uživatelské soubory. Ještě jednou zvážím otázku, jak vyléčit počítač po viru ransomware zašifrováno000007 a obnovit zašifrované soubory. V tomto případě se neobjevilo nic nového a unikátního, pouze modifikace předchozí verze.

Zaručené dešifrování souborů po viru ransomware - dr-shifro.ru. Podrobnosti o práci a schéma interakce se zákazníkem jsou níže v mém článku nebo na webu v sekci „Postup práce“.

Popis ransomwarového viru CRYPTED000007

Šifrovač CRYPTED000007 se od svých předchůdců zásadně neliší. Funguje to skoro jedna ku jedné. Ale stále existuje několik nuancí, které jej odlišují. Řeknu vám o všem v pořádku.

Přichází, stejně jako jeho protějšky, poštou. Používají se techniky sociální inženýrství aby uživatele dopis jistě zaujal a otevřel jej. V mém případě byl dopis o nějakém soudu a o důležitých informacích k případu v příloze. Po spuštění přílohy uživatel otevře dokument Word s výpisem z moskevského arbitrážního soudu.

Souběžně s otevřením dokumentu se spustí šifrování souboru. Začne neustále vyskakovat informační zpráva ze systému Řízení uživatelských účtů Windows.

Pokud s návrhem souhlasíte, pak zálohy soubory ve stínu kopie systému Windows budou smazány a obnova informací bude velmi obtížná. Je zřejmé, že s návrhem nelze v žádném případě souhlasit. V tomto ransomwaru tyto požadavky neustále vyskakují, jeden po druhém, a nepřestávají, což nutí uživatele souhlasit a smazat zálohy. To je hlavní rozdíl oproti předchozím modifikacím ransomwaru. Nikdy jsem neviděl, že by žádosti o odstranění stínové kopie probíhaly nepřetržitě. Obvykle po 5-10 větách přestali.

Dám ti doporučení do budoucna. Lidé velmi často vypínají varování ze systému kontroly uživatelských účtů. Nemusíte to dělat. Tento mechanismus může skutečně pomoci v odolnosti proti virům. Druhá zřejmá rada je nepracujte neustále pod účet správce počítače, pokud to není objektivně nutné. V tomto případě virus nebude mít příležitost způsobit mnoho škody. Spíš mu budete vzdorovat.

Ale i když jste na žádosti o ransomware po celou dobu odpovídali záporně, všechna vaše data jsou již zašifrována. Po dokončení procesu šifrování se na ploše zobrazí obrázek.

Přitom toho bude hodně textové soubory se stejným obsahem.

Vaše soubory byly zašifrovány. Chcete-li dešifrovat ux, musíte opravit kód: 329D54752553ED978F94|0 na e-mailovou adresu [e-mail chráněný]. Poté získáte všechny potřebné pokyny. Pokusy o vlastní rozluštění k ničemu nepovedou, kromě toho nenávratného množství informací. Pokud to přesto chcete zkusit, vytvořte si předem záložní kopie souborů, jinak v případě změn ux nebude dešifrování za žádných okolností možné. Pokud jste neobdrželi odpověď na výše uvedenou adresu do 48 hodin (a pouze v tomto případě!), použijte prosím formulář pro zpětnou vazbu. To lze provést dvěma způsoby: 1) Stáhnout a nainstalovat Prohlížeč Tor na odkazu: https://www.torproject.org/download/download-easy.html.en Zadejte adresu: http://cryptsen7fo43rr6.onion/ do pole adresy prohlížeče Tor a stiskněte Enter. Načte se stránka s kontaktním formulářem. 2) V libovolném prohlížeči přejděte na jednu z adres: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Všechny důležité soubory ve vašem počítači byly zašifrovány. Pro dešifrování souborů byste měli poslat následující kód: 329D54752553ED978F94|0 na e-mailovou adresu [e-mail chráněný]. Poté obdržíte všechny potřebné pokyny. Veškeré vaše pokusy o dešifrování povedou pouze k nevratné ztrátě vašich dat. Pokud se přesto chcete pokusit je dešifrovat sami, udělejte si nejprve zálohu, protože dešifrování nebude možné v případě jakýchkoli změn uvnitř souborů. Pokud jste neobdrželi odpověď z výše uvedeného e-mailu déle než 48 hodin (a pouze v tomto případě!), použijte formulář pro zpětnou vazbu. Můžeš udělejte to dvěma způsoby: 1) Stáhněte si Tor Browser odtud: https://www.torproject.org/download/download-easy.html.en Nainstalujte jej a do adresního řádku zadejte následující adresu: http://cryptsen7fo43rr6 .onion/ Stiskněte Enter a poté se načte stránka s formulářem zpětné vazby. 2) Přejděte v libovolném prohlížeči na jednu z následujících adres: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Poštovní adresa se může změnit. Viděl jsem další adresy, jako je tato:

Adresy se neustále aktualizují, takže mohou být úplně jiné.

Jakmile zjistíte, že soubory jsou zašifrované, okamžitě vypněte počítač. To je nutné provést, aby se přerušil proces šifrování na místním počítači i na síťových jednotkách. Virus ransomware dokáže zašifrovat všechny informace, ke kterým se dostane, včetně informací na síťových discích. Pokud je ale informací velké množství, pak mu to zabere značné množství času. Někdy ani za pár hodin nestihl šifrovač vše zašifrovat síťový disk o velikosti asi 100 gigabajtů.

Dále si musíte dobře rozmyslet, jak jednat. Pokud v každém případě potřebujete informace ve svém počítači a nemáte záložní kopie, je lepší v tuto chvíli kontaktovat specialisty. V některých firmách ne nutně za peníze. Potřebujete jen člověka, který se v tom dobře orientuje informační systémy. Je nutné posoudit rozsah katastrofy, odstranit virus, shromáždit všechny dostupné informace o situaci, abychom pochopili, jak postupovat.

Nesprávné akce v této fázi mohou výrazně zkomplikovat proces dešifrování nebo obnovy souborů. Přinejhorším to mohou znemožnit. Dejte si tedy na čas, buďte opatrní a důslední.

Jak virus CRYPTED000007 ransomware šifruje soubory

Po spuštění viru a ukončení činnosti budou všechny užitečné soubory zašifrovány, přejmenovány z rozšíření.crypted000007. Nahradí se nejen přípona souboru, ale také název souboru, takže nebudete přesně vědět, jaké soubory jste měli, pokud si to nepamatujete. Bude tam něco jako tento obrázek.

V takové situaci bude obtížné posoudit rozsah tragédie, protože si nebudete moci plně vzpomenout, co jste měli různé složky. To bylo provedeno záměrně, aby zmátl osobu a povzbudil ji, aby zaplatila za dešifrování souborů.

A pokud jste byli zašifrováni a síťové složky a žádná plné zálohy, pak může obecně zastavit práci celé organizace. Okamžitě nepochopíte, co je nakonec ztraceno, abyste mohli začít s obnovou.

Jak ošetřit svůj počítač a odstranit CRYPTED000007 ransomware

Virus CRYPTED000007 je již ve vašem počítači. První a nejdůležitější otázkou je, jak vyléčit počítač a jak z něj odstranit virus, aby se zabránilo dalšímu šifrování, pokud ještě nebylo dokončeno. Okamžitě vás upozorňuji na skutečnost, že poté, co sami začnete s počítačem provádět nějaké akce, šance na dešifrování dat se sníží. Pokud potřebujete soubory obnovit všemi prostředky, nedotýkejte se počítače, ale okamžitě kontaktujte odborníky. Níže o nich budu mluvit a dám odkaz na web a popíšu schéma jejich práce.

Mezitím budeme pokračovat v samostatné léčbě počítače a odstranění viru. Tradičně je ransomware snadno odstraněn z počítače, protože virus nemá za úkol zůstat v počítači za každou cenu. Po úplném zašifrování souborů je pro něj ještě výhodnější se smazat a zmizet, takže vyšetřování incidentu a dešifrování souborů by bylo obtížnější.

Popsat ruční odstranění viru je těžké, i když jsem se o to dříve pokoušel, ale vidím, že většinou je to zbytečné. Názvy souborů a cesty umístění virů se neustále mění. To, co jsem viděl, už za týden nebo dva není aktuální. Obvykle se viry posílají poštou ve vlnách a pokaždé se objeví nová modifikace, kterou ještě antiviry nezachytily. Pomáhají univerzální nástroje, které kontrolují automatické spouštění a detekují podezřelou aktivitu v systémových složkách.

Chcete-li odstranit virus CRYPTED000007, můžete použít následující programy:

  1. Kaspersky Virus Removal Tool – nástroj od společnosti Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - podobný produkt z jiného webu http://free.drweb.ru/cureit .
  3. Pokud první dva nástroje nepomohou, zkuste MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

S největší pravděpodobností jeden z těchto produktů vyčistí počítač od ransomwaru CRYPTED000007. Pokud se náhle stane, že nepomohou, zkuste virus odstranit ručně. Techniku ​​odstranění jsem uvedl jako příklad a můžete to tam vidět. Stručně řečeno, musíte udělat toto:

  1. Podíváme se na seznam procesů, předtím jsme do správce úloh přidali několik dalších sloupců.
  2. Najdeme proces viru, otevřeme složku, ve které se nachází, a smažeme jej.
  3. Zmínku o virovém procesu čistíme názvem souboru v registru.
  4. Restartujeme a ujistíme se, že virus CRYPTED000007 není v seznamu běžících procesů.

Kde stáhnout decryptor CRYPTED000007

Otázka jednoduchého a spolehlivého decryptoru vyvstává především u ransomwarového viru. První věc, kterou doporučuji, je použít službu https://www.nomoreransom.org. Co když budete mít štěstí, budou mít dešifrovač pro vaši verzi šifrovače CRYPTED000007. Hned řeknu, že moc šancí nemáte, ale pokus není mučení. Na domovská stránka klikněte na Ano:

Poté nahrajte několik zašifrovaných souborů a klikněte na Přejít! zjistit:

V době psaní tohoto článku dekodér na webu nebyl.

Možná budete mít více štěstí. Seznam decryptorů ke stažení můžete vidět také na samostatné stránce - https://www.nomoreransom.org/decryption-tools.html . Možná je tam něco užitečného. Když je virus hodně čerstvý, je to malá šance, ale časem se může něco objevit. Existují příklady, kdy se v síti objevily dešifrovače pro některé modifikace ransomwaru. A tyto příklady jsou na uvedené stránce.

Kde jinde najdu dekodér, nevím. Je nepravděpodobné, že bude skutečně existovat, vezmeme-li v úvahu zvláštnosti práce moderního ransomwaru. Plnohodnotný dekodér mohou mít pouze autoři viru.

Jak dešifrovat a obnovit soubory po viru CRYPTED000007

Co dělat, když virus CRYPTED000007 zašifroval vaše soubory? Technické provedení šifrování neumožňuje dešifrování souborů bez klíče nebo dešifrovače, který má pouze autor šifrovače. Možná existuje nějaký jiný způsob, jak to získat, ale nemám takové informace. Můžeme se pouze pokusit obnovit soubory pomocí improvizovaných metod. Tyto zahrnují:

  • Nástroj stínové kopie Okna.
  • Programy pro obnovu smazaných dat

Nejprve zkontrolujeme, zda máme povoleny stínové kopie. Tento nástroj funguje ve výchozím nastavení ve Windows 7 a vyšších, pokud jej ručně nezakážete. Chcete-li to zkontrolovat, otevřete vlastnosti počítače a přejděte do části ochrany systému.

Pokud jste v době infekce nepotvrdili Žádost UAC Chcete-li odstranit soubory ve stínových kopiích, měla by tam zůstat některá data. O tomto požadavku jsem mluvil podrobněji na začátku příběhu, když jsem mluvil o práci viru.

Chcete-li snadno obnovit soubory ze stínových kopií, doporučuji použít volný program k tomu - ShadowExplorer . Stáhněte si archiv, rozbalte program a spusťte.

Otevře se poslední kopie souborů a kořenový adresář jednotky C. Vlevo horním rohu můžete si vybrat zálohu, pokud máte více než jednu. Zkontrolujte různé kopie požadované soubory. Porovnejte podle data kde více čerstvá verze. V níže uvedeném příkladu jsem na ploše našel 2 soubory, které byly tři měsíce staré, když byly naposledy upravovány.

Tyto soubory se mi podařilo obnovit. K tomu jsem si je vybral, kliknul klikněte pravým tlačítkem myši myši, vyberte Export a označili složku, kam je chcete obnovit.

Stejným způsobem můžete okamžitě obnovit složky. Pokud vám stínové kopie fungovaly a neodstranili jste je, máte poměrně velkou šanci obnovit všechny nebo téměř všechny soubory zašifrované virem. Možná jich bude víc stará verze než bych chtěl, ale přesto je to lepší než nic.

Pokud z nějakého důvodu nemáte stínové kopie souborů, jediná šance, jak získat alespoň některé ze zašifrovaných souborů, je obnovit je pomocí nástrojů pro obnovu smazané soubory. K tomu doporučuji použít bezplatný program Photorec.

Spusťte program a vyberte disk, na kterém budete obnovovat soubory. Spuštěním grafické verze programu se soubor spustí qphotorec_win.exe. Musíte vybrat složku, kam budou umístěny nalezené soubory. Je lepší, když tato složka není umístěna na stejném disku, kde hledáme. Připojte flash disk nebo externí HDD pro tohle.

Proces hledání bude trvat dlouho. Na konci uvidíte statistiky. Nyní můžete přejít do dříve určené složky a podívat se, co se tam nalézá. Souborů bude s největší pravděpodobností hodně a většina z nich bude buď poškozená, nebo to budou nějaké systémové a zbytečné soubory. Ale přesto v tomto seznamu bude možné najít část užitečné soubory. Zde nejsou žádné záruky, co najdete, to najdete. Nejlepší ze všeho je, že obrázky jsou obvykle obnoveny.

Pokud vás výsledek neuspokojí, pak stále existují programy pro obnovu smazaných souborů. Níže je uveden seznam programů, které obvykle používám, když potřebuji obnovit maximální částka soubory:

  • R.saver
  • Obnova souboru Starus
  • JPEG Recovery Pro
  • Active File Recovery Professional

Tyto programy nejsou zdarma, proto nebudu poskytovat odkazy. Se silnou touhou je můžete najít sami na internetu.

Celý proces obnovy souboru je podrobně zobrazen ve videu na samém konci článku.

Kaspersky, eset nod32 a další v boji proti Filecoder.ED ransomware

Populární antiviry definují CRYPTED000007 ransomware jako Filecoder.ED a pak může být nějaké jiné označení. Prošel jsem fóra hlavních antivirů a nenašel jsem tam nic užitečného. Bohužel jako obvykle nebyly antiviry připraveny na invazi nové vlny ransomwaru. Zde je zpráva z fóra Kaspersky.

Antiviry tradičně přeskakují nové modifikace ransomwarových trojských koní. Doporučuji je však používat. Pokud budete mít štěstí a ransomware vám přijde poštou ne v první vlně infekcí, ale o něco později, je šance, že vám antivirus pomůže. Všichni pracují jeden krok za útočníky. vychází novou verzi ransomware, antiviry na něj nereagují. Jakmile se nahromadí určitá masa materiálu pro výzkum nového viru, antiviry vydají aktualizaci a začnou na ni reagovat.

Co brání antivirům okamžitě reagovat na jakýkoli šifrovací proces v systému, mi není jasné. Možná existuje nějaká technická nuance na toto téma, která vám neumožňuje adekvátně reagovat a zabránit šifrování uživatelských souborů. Zdá se mi, že by bylo možné alespoň zobrazit upozornění na to, že někdo šifruje vaše soubory, a nabídnout zastavení procesu.

Kde požádat o zaručené dešifrování

Náhodou jsem potkal jednu společnost, která opravdu dešifruje data po práci různých šifrovacích virů, včetně CRYPTED000007. Jejich adresa je http://www.dr-shifro.ru. Platba až po úplném dešifrování a vašem ověření. Zde je příklad pracovního postupu:

  1. Specialista společnosti přijede do vaší kanceláře nebo domů a podepíše s vámi smlouvu, ve které stanoví cenu práce.
  2. Spustí decryptor a dešifruje všechny soubory.
  3. Ujistíte se, že jsou otevřeny všechny soubory, a podepíšete akt předání / převzetí provedené práce.
  4. Platba pouze po úspěšném výsledku dešifrování.

Abych byl upřímný, nevím, jak to dělají, ale nic neriskujete. Platba až po předvedení dekodéru. Napište prosím recenzi o své zkušenosti s touto společností.

Způsoby ochrany proti viru CRYPTED000007

Jak se chránit před dílem ransomwaru a obejít se bez materiálních a morálních škod? Existuje několik jednoduchých a účinných tipů:

  1. Záloha! Zálohování všech důležitých dat. A nejen záloha, ale záloha, ke které není trvalý přístup. V opačném případě může virus infikovat vaše dokumenty i zálohy.
  2. Licencovaný antivirus. Přestože neposkytují 100% záruku, zvyšují šanci vyhnout se šifrování. Nejčastěji nejsou připraveni na nové verze ransomwaru, ale po 3-4 dnech začnou reagovat. To zvyšuje vaše šance vyhnout se infekci, pokud nejste zahrnuti do první vlny rozesílání nové modifikace ransomwaru.
  3. Neotevírejte podezřelé přílohy pošty. Tady není co komentovat. Všichni mně známí kryptografové se k uživatelům dostali přes poštu. A pokaždé se vymýšlejí nové triky, jak oběť oklamat.
  4. Neotevírejte bezmyšlenkovitě odkazy, které vám poslali vaši přátelé přes sociální média nebo posly. Tak se někdy šíří viry.
  5. Odevzdat zobrazení oken přípony souborů. Jak to udělat, je snadné najít na internetu. To vám umožní všimnout si přípony souboru na viru. Nejčastěji bude .exe, .vbs, .src. Při každodenní práci s dokumenty se s takovými příponami souborů pravděpodobně nesetkáte.

Snažil jsem se doplnit to, co jsem již dříve napsal v každém článku o viru ransomware. Do té doby se loučím. Budu rád za užitečné komentáře k článku a šifrovacímu viru CRYPTED000007 obecně.

Video s dešifrováním a obnovením souborů

Zde je příklad předchozí modifikace viru, ale video je plně relevantní i pro CRYPTED000007.

Ve dnech 1. a 2. května 2017 došlo k rozsáhlému virovému útoku na počítače se systémem Windows. Jen v Rusku bylo infikováno asi 30 000 počítačů. Mezi oběťmi byli nejen běžní uživatelé, ale také mnoho organizací a vládních agentur. Podle zpráv ze sítě byly částečně infikovány CS Ministerstva vnitra Ruské federace a síť Magafon. Také řada dalších, méně známých organizací utrpěla útokem WannaCry, nebo jak se tomu běžněji říká - WCry. Jak virus ransomware pronikl do takto chráněných zařízení, zatím není známo. Zda se jednalo o důsledek chyby jednoho z uživatelů, nebo jde o obecnou zranitelnost sítě ministerstva - není hlášeno. První informace v Runetu se objevily na webu Kaspersky (ve formuláři), kde se o novém viru aktivně diskutovalo.

co je to za virus?

Po průniku do počítače se virus rozbalí, nainstaluje své systémové šifrovací kódy pro uživatelská data a na pozadí začne všechny informace v počítači šifrovat vlastními kódy typu filename.wncry. Co se stane poté, co váš počítač zachytil virus:

  • Ihned po vstupu do systému virus začne zcela ovládat systém a blokuje spuštění jakéhokoli softwaru, a to i bez instalace,
  • Antiviry a nástroje, které nevyžadují instalaci, které se spouštějí ihned po připojení disku k systému, také nedávají žádný výsledek a jednoduše se nespustí,
  • Všechny USB porty a disky přestanou fungovat,
  • Obrazovka bude blokována bannerem Wana DecryptOr 2.0, který vás informuje, že váš počítač je infikován virem, všechna data na něm jsou zašifrována a musíte zaplatit ransomware.
Majitelé viru nabízejí uživateli převod ekvivalentu 300 $ v bitcoinech na svůj účet. Nechybí ani informace, že pokud nezaplatíte požadovanou částku do 3 dnů, bude částka platby zdvojnásobena. Pokud platba není přijata do týdne, virus vymaže všechna uživatelská data z počítače. Soudě podle informací od některých našich uživatelů není toto časové schéma pro všechny stejné a existují zařízení, na kterých je doba splatnosti ransomwaru 14 dní.

Jak se chránit před virem.

Nepanikařte, virus není nový, před kterým se nelze chránit. Jedná se o běžný ransomware, s jehož analogy jsme se opakovaně setkali. Aby se nenechali chytit počítačový virus, buďte opatrní při používání veškerého softwaru. Nedoporučujeme aktualizovat žádný software, dokonce ani vestavěný software, dokud není přesně určeno, jak se virus do systému dostane. Přikláníme se k názoru, že virus proniká do počítače prostřednictvím zranitelností v nějakém programu. A zranitelnosti programů se nejčastěji objevují po neúspěšně navržené aktualizaci, ve které je tak obrovská „díra“, která umožňuje virům dostat se do systému. Máte-li zkušenosti a možnosti, nainstalujte si kvalitní firewall třetí strany a na chvíli zvyšte sledování aktivity systému a sítě.

Pomoc obětem

V pátek 12. května nás oslovil běžný klient, designér, s notebookem, na kterém byly uloženy jeho layouty, zdrojové kódy a další grafické soubory. Jeho počítače byly infikovány virem WannaCryptor. Byla provedena řada „experimentů“, které přinesly výsledky! Pomohlo nám toto:

  • Rozebral počítač, vyjmul pevný disk s daty,
  • Připojený disk k iMacu,
  • Výčtem dekodérů jsme našli několik, které pomohly vytáhnout část dat z disku D.
  • Poté se zákazník rozhodl přeinstalovat systém s odstraněním zbývajících dat,
  • Pro případ, že jsme si udělali obraz systému na naše médium, jakmile se objeví řešení problému, uložíme zbývající data.
Vážení přátelé, pokud jste obětí tento virus- kontaktujte nás, pokusíme se pomoci. Experimenty provádíme zdarma) A zde vám podrobně řekneme, jak. Pojďme společně bojovat proti zlu!
  • Infikováno již bylo více než 200 000 počítačů!
Hlavní cíle útoku mířily na firemní sektor, následovaly telekomunikační společnosti ve Španělsku, Portugalsku, Číně a Anglii.
  • Největší ránu zasadili ruští uživatelé a společnosti. Včetně Megafonu, ruských drah a podle nepotvrzených informací i vyšetřovacího výboru a ministerstva vnitra. Útoky na jejich systémy hlásily i Sberbank a ministerstvo zdravotnictví.
Za dešifrování dat útočníci požadují výkupné ve výši 300 až 600 dolarů v bitcoinech (asi 17 000 až 34 000 rublů).

Aktualizace systému Windows 10 verze 1909

Interaktivní mapa infekce (KLIKNĚTE NA MAPKU)
výkupné okno
Šifruje soubory následujících přípon

Navzdory tomu, že se virus zaměřuje na útok na firemní sektor, běžného uživatele také není imunní vůči pronikání WannaCry a možná ztráta přístup k souboru.
  • Pokyny pro ochranu počítače a dat v něm před infekcí:
1. Nainstalujte aplikaci Kaspersky System Watcher, která má vestavěnou funkci pro vrácení změn způsobených akcemi šifrovače, který stále dokázal obejít nástroje ochrany.
2. Uživatelům antivirového programu společnosti Kaspersky Lab se doporučuje zkontrolovat, zda je povolena funkce Monitorování systému.
3. Pro uživatele antiviru ESET NOD32 pro Windows 10 byla zavedena funkce pro kontrolu nových dostupných aktualizací OS. V případě, že jste se předem postarali a měli jste to povoleno, pak se nainstalují všechny potřebné nové aktualizace Windows a váš systém bude zcela chráněn před tímto virem WannaCryptor a dalšími podobnými útoky.
4. Uživatelé produktů ESET NOD32 mají v programu také funkci detekce dosud neznámých hrozeb. Tato metoda založené na použití behaviorální, heuristické technologie.

Pokud se virus chová jako virus, je to s největší pravděpodobností virus.

Technika cloudový systém ESET LiveGrid od 12. května velmi úspěšně odrážel všechny útoky útoků tohoto viru a to vše se stalo ještě předtím, než dorazila aktualizace signaturní databáze.
5. Technologie ESET poskytují bezpečnost i zařízením s předchozími Systémy Windows XP, Windows 8 a Windows Server 2003 (doporučujeme, abyste přestali používat svá data starší systémy ). Vzhledem k velmi vysoké míře ohrožení, která pro tyto OS vznikla, se Microsoft rozhodl vydat aktualizace. Stáhněte si je.
6. Chcete-li minimalizovat hrozbu poškození vašeho počítače, musíte jej urychleně aktualizovat Verze Windows 10: Start - Nastavení - Aktualizace a zabezpečení - Kontrola aktualizací (v ostatních případech: Start - Všechny programy - Windows Update - Vyhledat aktualizace - Stáhnout a nainstalovat).
7. Nainstalujte oficiální opravu (MS17-010) od společnosti Microsoft, která opravuje chybu na serveru SMB, přes kterou může proniknout virus. Tento server zapojený do tohoto útoku.
8. Zkontrolujte, zda na vašem počítači běží a fungují všechny dostupné nástroje zabezpečení.
9. Proveďte antivirovou kontrolu celého systému. Když zlomyslný útok jmenoval MEM:Trojan.Win64.EquationDrug.gen, restartujte systém.
A ještě jednou doporučuji zkontrolovat, zda jsou nainstalovány opravy MS17-010.

V současné době specialisté z Kaspersky Lab, ESET NOD32 a dalších antivirových produktů aktivně pracují na napsání programu pro dešifrování souborů, který uživatelům infikovaných počítačů pomůže obnovit přístup k souborům.