برای دهه‌ها، مجرمان سایبری با موفقیت از نقص‌ها و آسیب‌پذیری‌های شبکه جهانی وب استفاده کرده‌اند. با این حال، در سال های گذشتهافزایش آشکاری در تعداد حملات و همچنین افزایش سطح آنها وجود داشته است - مهاجمان خطرناک تر می شوند و بدافزارها با سرعتی که قبلاً دیده نشده بود در حال گسترش است.

مقدمه

ما در مورد باج افزاری صحبت می کنیم که در سال 2017 جهشی باورنکردنی انجام داد و به هزاران سازمان در سراسر جهان آسیب رساند. به عنوان مثال، در استرالیا، حملات باج افزاری مانند WannaCry و NotPetya حتی نگرانی هایی را در سطح دولت ایجاد کرده است.

با جمع‌بندی «موفقیت‌های» باج‌افزار در سال جاری، ۱۰ مورد از خطرناک‌ترین آنها را که بیشترین آسیب را به سازمان‌ها وارد کردند، بررسی می‌کنیم. امیدواریم سال آینده عبرت بگیریم و از نفوذ این مشکل به شبکه هایمان جلوگیری کنیم.

نه پتیا

حمله این باج افزار با برنامه حسابداری اوکراینی M.E.Doc آغاز شد که جایگزین 1C شد که در اوکراین ممنوع شده بود. فقط در چند روز، NotPetya صدها هزار کامپیوتر را در بیش از 100 کشور آلوده کرد. این بدافزار گونه‌ای از باج‌افزار قدیمی‌تر Petya است، تنها تفاوت این است که حملات NotPetya از همان اکسپلویت حملات WannaCry استفاده می‌کردند.

با گسترش آن، NotPetya بر چندین سازمان در استرالیا تأثیر گذاشت، مانند کارخانه شکلات Cadbury در تاسمانی، که مجبور شد به طور موقت کل سیستم IT خود را تعطیل کند. این باج افزار همچنین توانست به بزرگترین کشتی کانتینری جهان متعلق به مرسک نفوذ کند که طبق گزارش ها تا 300 میلیون دلار درآمد از دست داده است.

می خواهی گریه کنی

این باج افزار، در مقیاس وحشتناک، عملاً تمام جهان را به تصرف خود درآورده است. حملات او از سوء استفاده بدنام EternalBlue استفاده می کرد که از یک آسیب پذیری در آن سوء استفاده می کرد سرور مایکروسافتبلوک پیام (SMB).

WannaCry قربانیان را در 150 کشور و بیش از 200000 دستگاه تنها در روز اول آلوده کرد. ما این بدافزار هیجان انگیز را منتشر کرده ایم.

لاکی

Locky محبوب ترین باج افزار در سال 2016 بود، اما در سال 2017 متوقف نشده است. انواع جدیدی از Locky، به نام های Diablo و Lukitus، امسال با استفاده از همان بردار حمله (فیشینگ) برای راه اندازی اکسپلویت ها ظاهر شده اند.

این لاکی بود که پشت رسوایی کلاهبرداری ایمیل استرالیا پست بود. طبق گزارش کمیسیون رقابت و مصرف کننده استرالیا، شهروندان بیش از 80000 دلار به دلیل این کلاهبرداری ضرر کردند.

کریزیس

این نمونه به دلیل استفاده استادانه از پروتکل دسکتاپ از راه دور (RDP) مورد توجه قرار گرفت. RDP یکی از محبوب‌ترین روش‌های توزیع باج‌افزار است زیرا می‌تواند توسط مجرمان سایبری برای به خطر انداختن ماشین‌هایی که کل سازمان‌ها را کنترل می‌کنند، استفاده کند.

قربانیان CrySis مجبور شدند برای بازیابی فایل های خود بین 455 تا 1022 دلار بپردازند.

Nemucode

Nemucod از طریق یک ایمیل فیشینگ که شبیه یک فاکتور حمل و نقل است، توزیع می شود. این باج افزار فایل های مخرب ذخیره شده در وب سایت های هک شده را دانلود می کند.

وقتی صحبت از استفاده از ایمیل های فیشینگ می شود، Nemucod بعد از Locky در رتبه دوم قرار دارد.

جف

Jaff شبیه Locky است و از روش های مشابهی استفاده می کند. این باج افزار به دلیل روش های اصلی توزیع یا رمزگذاری فایل قابل توجه نیست، بلکه برعکس، موفق ترین روش ها را با هم ترکیب می کند.

مهاجمان پشت سر او تا 3700 دلار برای دسترسی به فایل های رمزگذاری شده درخواست کردند.

اسپور

برای گسترش این نوع باج افزار، مجرمان سایبری با افزودن کد جاوا اسکریپت به وب سایت های قانونی به آنها نفوذ می کنند. کاربرانی که در چنین سایتی قرار می گیرند یک اخطار پاپ آپ دریافت می کنند که از آنها می خواهد به روز رسانی کنند مرورگر کرومبرای ادامه مرور سایت پس از دانلود به اصطلاح بسته فونت کروم، کاربران به Spora آلوده شدند.

سربر

یکی از چندین بردار حمله ای که سربر استفاده می کند RaaS (Ransomware-as-a-Service) نام دارد. بر اساس این طرح، مهاجمان با وعده درصدی از پول دریافتی در مقابل، پیشنهاد پرداخت هزینه توزیع تروجان را می دهند. از طریق این «سرویس»، مجرمان سایبری باج‌افزار را ارسال می‌کنند و سپس ابزارهایی را برای گسترش آن در اختیار مهاجمان دیگر قرار می‌دهند.

کریپتومیکس

این یکی از معدود باج افزارهایی است که نوع خاصی از درگاه پرداخت را در وب تاریک ندارد. کاربران آسیب دیده باید منتظر بمانند تا مجرمان سایبری به آنها ایمیل بزنند پست الکترونیکدستورالعمل ها.

قربانیان Cryptomix کاربرانی از 29 کشور بودند که مجبور شدند تا 3000 دلار بپردازند.

اره منبت کاری اره مویی

بدافزار دیگری از این لیست که فعالیت خود را در سال 2016 آغاز کرد. Jigsaw تصویری از دلقک از سری فیلم Saw را در ایمیل های هرزنامه قرار می دهد. هنگامی که کاربر روی تصویر کلیک می کند، باج افزار نه تنها فایل ها را رمزگذاری می کند، بلکه در صورتی که کاربر برای پرداخت باج 150 دلاری خیلی دیر شود، فایل ها را حذف می کند.

نتیجه گیری

همانطور که می بینیم، تهدیدات مدرن از سوء استفاده های پیچیده و فزاینده ای در برابر شبکه های محافظت شده استفاده می کنند. در حالی که افزایش آگاهی کارکنان به مدیریت تاثیر عفونت ها کمک می کند، کسب و کارها برای محافظت از خود باید فراتر از استانداردهای اولیه امنیت سایبری بروند. محافظت در برابر تهدیدات امروزی مستلزم رویکردهای پیشگیرانه ای است که از قدرت تجزیه و تحلیل بلادرنگ مبتنی بر یک موتور یادگیری که شامل درک رفتار و زمینه تهدیدات است، استفاده می کند.

حدود یک یا دو هفته پیش، اثر دیگری از ویروس سازان مدرن در شبکه ظاهر شد که تمام فایل های کاربر را رمزگذاری می کند. یک بار دیگر، من این سوال را در نظر خواهم گرفت که چگونه کامپیوتر را پس از یک ویروس باج افزار درمان کنیم crypted000007و فایل های رمزگذاری شده را بازیابی کنید. در این مورد، هیچ چیز جدید و منحصر به فردی ظاهر نشده است، فقط اصلاح نسخه قبلی است.

رمزگشایی تضمین شده فایل ها پس از ویروس باج افزار - dr-shifro.ru. جزئیات کار و طرح تعامل با مشتری در مقاله من یا در وب سایت در بخش "رویه کار" در زیر آمده است.

شرح ویروس باج افزار CRYPTED000007

رمزگذار CRYPTED000007 اساساً با نسخه های قبلی خود تفاوتی ندارد. تقریباً یک به یک مانند کار می کند. اما هنوز هم چند تفاوت وجود دارد که آن را متمایز می کند. من به ترتیب همه چیز را به شما خواهم گفت.

او مانند همتایان خود از طریق پست می آید. از تکنیک ها استفاده می شود مهندسی اجتماعیتا کاربر حتما به نامه علاقه مند شود و آن را باز کند. در مورد من، نامه در مورد نوعی دادگاه و در مورد اطلاعات مهم پرونده در پیوست بود. پس از راه اندازی پیوست، کاربر یک سند Word را با عصاره ای از دادگاه داوری مسکو باز می کند.

به موازات باز شدن سند، رمزگذاری فایل شروع می شود. به طور مداوم یک پیام اطلاعاتی از سیستم کنترل حساب کاربری ویندوز ظاهر می شود.

اگر با پیشنهاد موافق هستید، پس پشتیبان گیریفایل های در سایه کپی های ویندوزحذف خواهد شد و بازیابی اطلاعات بسیار دشوار خواهد بود. بدیهی است که در هر صورت امکان موافقت با این پیشنهاد وجود ندارد. در این باج‌افزار، این درخواست‌ها دائماً یکی یکی ظاهر می‌شوند و متوقف نمی‌شوند و کاربر را مجبور به موافقت و حذف نسخه‌های پشتیبان می‌کنند. این تفاوت اصلی با اصلاحات قبلی باج افزار است. من هرگز ندیده‌ام که درخواست‌های حذف کپی سایه‌ای بدون توقف انجام شود. معمولا بعد از 5-10 جمله قطع می کردند.

من برای آینده به شما توصیه می کنم. اغلب مردم هشدارهای سیستم کنترل حساب کاربری را خاموش می کنند. شما نیازی به انجام این کار ندارید. این مکانیسم واقعا می تواند به مقاومت در برابر ویروس ها کمک کند. دومین توصیه واضح این است که دائماً زیر بار کار نکنید حسابمدیر کامپیوتر، در صورتی که این امر از نظر عینی ضروری نباشد. در این صورت، ویروس فرصت آسیب زیادی را نخواهد داشت. به احتمال زیاد در مقابل او مقاومت خواهید کرد.

اما حتی اگر همیشه به درخواست‌های باج‌افزار پاسخ منفی داده باشید، همه داده‌های شما قبلاً رمزگذاری شده‌اند. پس از تکمیل فرآیند رمزگذاری، تصویری را روی دسکتاپ خود خواهید دید.

در همان زمان، تعداد زیادی وجود خواهد داشت فایل های متنیبا همین محتوا

فایل های شما رمزگذاری شده اند. برای رمزگشایی ux، باید کد 329D54752553ED978F94|0 را به آدرس ایمیل تصحیح کنید. [ایمیل محافظت شده]. سپس تمام دستورالعمل های لازم را دریافت خواهید کرد. تلاش برای رمزگشایی آن به جز تعداد غیرقابل بازگشت اطلاعات، به هیچ چیز منجر نخواهد شد. اگر باز هم می خواهید امتحان کنید، از قبل از فایل ها نسخه پشتیبان تهیه کنید، در غیر این صورت در صورت تغییر ux، رمزگشایی تحت هیچ شرایطی امکان پذیر نخواهد بود. اگر ظرف 48 ساعت (و فقط در این مورد!) پاسخی به آدرس فوق دریافت نکردید، لطفاً از فرم بازخورد استفاده کنید. این کار به دو صورت انجام می شود: 1) دانلود و نصب کنید مرورگر Torدر لینک: https://www.torproject.org/download/download-easy.html.en آدرس: http://cryptsen7fo43rr6.onion/ را در کادر آدرس مرورگر Tor وارد کرده و Enter را فشار دهید. صفحه با فرم تماس بارگیری می شود. 2) در هر مرورگری به یکی از آدرس ها بروید: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ تمام فایل های مهم رایانه شما رمزگذاری شده است. برای رمزگشایی فایل ها باید کد زیر را ارسال کنید: 329D54752553ED978F94|0 به آدرس ایمیل [ایمیل محافظت شده]. سپس تمام دستورالعمل های لازم را دریافت خواهید کرد. تمام تلاش‌های رمزگشایی توسط خودتان تنها منجر به از دست دادن غیرقابل برگشت داده‌های شما می‌شود. اگر هنوز هم می‌خواهید سعی کنید آن‌ها را خودتان رمزگشایی کنید، لطفاً ابتدا یک نسخه پشتیبان تهیه کنید زیرا در صورت تغییر در فایل‌ها، رمزگشایی غیرممکن می‌شود. اگر بیش از 48 ساعت (و فقط در این مورد!) پاسخ را از ایمیل اعلام شده دریافت نکردید، از فرم بازخورد استفاده کنید. تو می توانیاین کار را به دو روش انجام دهید: 1) مرورگر Tor را از اینجا دانلود کنید: https://www.torproject.org/download/download-easy.html.en آن را نصب کنید و آدرس زیر را در نوار آدرس تایپ کنید: http://cryptsen7fo43rr6 .onion/ Enter را فشار دهید و سپس صفحه با فرم بازخورد بارگیری می شود. 2) در هر مرورگر به یکی از آدرس های زیر بروید: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

آدرس پستی ممکن است تغییر کند. من آدرس های دیگری مانند این را دیده ام:

آدرس ها به طور مداوم به روز می شوند، بنابراین می توانند کاملاً متفاوت باشند.

به محض اینکه متوجه شدید که فایل ها رمزگذاری شده اند، بلافاصله رایانه را خاموش کنید. این باید انجام شود تا فرآیند رمزگذاری هم در رایانه محلی و هم در درایوهای شبکه قطع شود. یک ویروس باج‌افزار می‌تواند تمام اطلاعاتی را که می‌تواند به آن دست یابد، از جمله درایوهای شبکه، رمزگذاری کند. اما اگر مقدار زیادی اطلاعات وجود داشته باشد، زمان قابل توجهی از او خواهد گرفت. گاهی اوقات، حتی در چند ساعت، رمزگذار زمان رمزگذاری همه چیز را نداشت درایو شبکهحدود 100 گیگابایت حجم دارد.

در مرحله بعد، باید به دقت در مورد نحوه عمل کردن فکر کنید. اگر به هر طریقی به اطلاعاتی در رایانه خود نیاز دارید و نسخه پشتیبان ندارید، بهتر است در این لحظه با متخصصان تماس بگیرید. در برخی از شرکت ها لزوما برای پول نیست. شما فقط به فردی نیاز دارید که به خوبی در این زمینه مسلط باشد سیستم های اطلاعاتی. ارزیابی مقیاس فاجعه، حذف ویروس، جمع آوری تمام اطلاعات موجود در مورد وضعیت به منظور درک چگونگی ادامه ضروری است.

اقدامات نادرست در این مرحله می تواند به طور قابل توجهی روند رمزگشایی یا بازیابی فایل ها را پیچیده کند. در بدترین حالت، آنها می توانند آن را غیرممکن کنند. پس وقت خود را صرف کنید، مراقب باشید و ثابت قدم باشید.

چگونه ویروس باج افزار CRYPTED000007 فایل ها را رمزگذاری می کند

پس از راه اندازی ویروس و پایان فعالیت خود، همه فایل های مفید رمزگذاری شده و نام آن تغییر می کند extension.crypted000007. و نه تنها پسوند فایل جایگزین می شود، بلکه نام فایل نیز جایگزین می شود، بنابراین اگر به خاطر نیاورید، دقیقاً نمی دانید چه نوع فایل هایی دارید. چیزی شبیه این تصویر وجود خواهد داشت.

در چنین شرایطی، ارزیابی مقیاس فاجعه دشوار خواهد بود، زیرا شما نمی توانید به طور کامل آنچه را که در آن داشته اید به خاطر بسپارید. پوشه های مختلف. این کار عمداً برای گیج کردن یک فرد و تشویق آنها به پرداخت هزینه برای رمزگشایی فایل ها انجام شد.

و اگر رمز شده بودید و پوشه های شبکهو نه پشتیبان گیری کامل، آنگاه به طور کلی می تواند کار کل سازمان را متوقف کند. شما فوراً متوجه نخواهید شد که در نهایت چه چیزی برای شروع بهبودی از دست می رود.

چگونه با رایانه خود رفتار کنید و باج افزار CRYPTED000007 را حذف کنید

ویروس CRYPTED000007 از قبل روی رایانه شما وجود دارد. اولین و مهمترین سوال این است که چگونه یک کامپیوتر را درمان کنیم و چگونه ویروس را از آن پاک کنیم تا در صورتی که هنوز کامل نشده است از رمزگذاری بیشتر جلوگیری شود. من بلافاصله توجه شما را به این واقعیت جلب می کنم که پس از اینکه خودتان شروع به انجام برخی اقدامات با رایانه خود کردید، شانس رمزگشایی داده ها کاهش می یابد. اگر نیاز به بازیابی فایل‌ها دارید، به رایانه خود دست نزنید، بلکه فوراً با متخصصان تماس بگیرید. در زیر در مورد آنها صحبت خواهم کرد و به سایت لینک می دهم و طرح کار آنها را شرح می دهم.

در عین حال، ما به طور مستقل به درمان رایانه و حذف ویروس ادامه خواهیم داد. به طور سنتی، باج افزار به راحتی از رایانه حذف می شود، زیرا ویروس وظیفه ندارد به هر قیمتی در رایانه باقی بماند. پس از رمزگذاری کامل فایل ها، سود بیشتری برای او دارد که خودش را پاک کند و ناپدید شود تا بررسی حادثه و رمزگشایی فایل ها دشوارتر شود.

توصیف حذف دستی یک ویروس دشوار است، اگرچه قبلاً سعی کردم این کار را انجام دهم، اما می بینم که اغلب اوقات بی معنی است. نام فایل ها و مسیرهای قرارگیری ویروس دائما در حال تغییر هستند. چیزی که من دیدم در عرض یکی دو هفته دیگر ربطی ندارد. معمولاً ویروس ها از طریق پست به صورت امواج ارسال می شوند و هر بار اصلاح جدیدی وجود دارد که هنوز توسط آنتی ویروس ها شناسایی نشده است. ابزارهای جهانی که اتوران را بررسی می کنند و فعالیت مشکوک را در پوشه های سیستم تشخیص می دهند کمک می کنند.

برای حذف ویروس CRYPTED000007 می توانید از برنامه های زیر استفاده کنید:

  1. ابزار حذف ویروس Kaspersky - ابزاری از Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - یک محصول مشابه از وب دیگر http://free.drweb.ru/cureit.
  3. اگر دو ابزار اول کمک نکردند، MALWAREBYTES 3.0 - https://ru.malwarebytes.com را امتحان کنید.

به احتمال زیاد یکی از این محصولات کامپیوتر را از باج افزار CRYPTED000007 پاک می کند. اگر به طور ناگهانی اتفاق افتاد که آنها کمکی نکردند، سعی کنید ویروس را به صورت دستی حذف کنید. من تکنیک حذف را به عنوان مثال آوردم و می توانید آن را در آنجا ببینید. به طور خلاصه، این چیزی است که شما باید انجام دهید:

  1. ما به لیست فرآیندها نگاه می کنیم، زیرا قبلا چندین ستون اضافی به مدیر وظیفه اضافه کرده ایم.
  2. ما روند ویروس را پیدا می کنیم، پوشه ای که در آن قرار دارد را باز می کنیم و آن را حذف می کنیم.
  3. ما ذکر فرآیند ویروس را با نام فایل در رجیستری پاک می کنیم.
  4. ما راه اندازی مجدد می کنیم و مطمئن می شویم که ویروس CRYPTED000007 در لیست فرآیندهای در حال اجرا نیست.

رمزگشا CRYPTED000007 را از کجا دانلود کنیم

سوال رمزگشای ساده و قابل اعتماد قبل از هر چیز زمانی که صحبت از ویروس باج افزار به میان می آید مطرح می شود. اولین چیزی که توصیه می کنم استفاده از سرویس https://www.nomoreransom.org است. اگر خوش شانس باشید، آنها یک رمزگشا برای نسخه رمزگذار CRYPTED000007 شما خواهند داشت. من فوراً می گویم که شما شانس زیادی ندارید ، اما تلاش شکنجه نیست. در صفحه نخستروی بله کلیک کنید:

سپس چند فایل رمزگذاری شده را آپلود کنید و روی Go کلیک کنید! دریابید:

در زمان نگارش، رمزگشا در سایت نبود.

شاید شانس بیشتری داشته باشید. همچنین می توانید لیست رمزگشاها را برای دانلود در یک صفحه جداگانه مشاهده کنید - https://www.nomoreransom.org/decryption-tools.html. شاید چیز مفیدی در آنجا وجود داشته باشد. هنگامی که ویروس بسیار تازه است، احتمال کمی وجود دارد، اما با گذشت زمان، ممکن است چیزی ظاهر شود. نمونه‌هایی وجود دارد که رمزگشاهای برخی از تغییرات باج‌افزار در شبکه ظاهر می‌شوند. و این نمونه ها در صفحه مشخص شده هستند.

از کجا می توانم رمزگشا پیدا کنم، نمی دانم. با در نظر گرفتن ویژگی های کار باج افزار مدرن، بعید است که واقعاً وجود داشته باشد. فقط نویسندگان ویروس می توانند رمزگشای کامل داشته باشند.

نحوه رمزگشایی و بازیابی فایل ها پس از ویروس CRYPTED000007

وقتی ویروس CRYPTED000007 فایل های شما را رمزگذاری کرده است چه باید کرد؟ اجرای فنی رمزگذاری اجازه رمزگشایی فایل‌ها را بدون کلید یا رمزگشا نمی‌دهد، که فقط نویسنده رمزگذار آن را دارد. شاید راه دیگری برای دریافت آن وجود داشته باشد، اما من چنین اطلاعاتی ندارم. ما فقط می توانیم سعی کنیم فایل ها را با استفاده از روش های بداهه بازیابی کنیم. این شامل:

  • ابزار کپی های سایهپنجره ها.
  • برنامه هایی برای بازیابی اطلاعات حذف شده

ابتدا، بیایید بررسی کنیم که آیا کپی های سایه فعال شده است یا خیر. این ابزار به طور پیش فرض در ویندوز 7 و بالاتر کار می کند مگر اینکه آن را به صورت دستی غیرفعال کنید. برای بررسی ویژگی های کامپیوتر را باز کرده و به قسمت system protection بروید.

اگر در زمان عفونت تایید نکردید درخواست UACبرای حذف فایل‌های موجود در کپی‌های سایه، برخی از داده‌ها باید در آنجا باقی بمانند. من در ابتدای داستان، زمانی که در مورد کار ویروس صحبت کردم، در مورد این درخواست با جزئیات بیشتری صحبت کردم.

برای بازیابی آسان فایل ها از کپی های سایه، پیشنهاد می کنم از آن استفاده کنید برنامه رایگانبرای این - ShadowExplorer. آرشیو را دانلود کنید، برنامه را از حالت بسته خارج کنید و اجرا کنید.

آخرین کپی فایل ها و روت درایو C باز می شود. در سمت چپ گوشه بالاییاگر بیش از یک نسخه پشتیبان دارید می توانید یک نسخه پشتیبان انتخاب کنید. نسخه های مختلف را بررسی کنید فایل های مورد نظر. مقایسه بر اساس تاریخ که در آن بیشتر است نسخه تازه. در مثال زیر، 2 فایل روی دسکتاپ خود پیدا کردم که آخرین ویرایش آنها سه ماهه بود.

من توانستم این فایل ها را بازیابی کنم. برای انجام این کار، آنها را انتخاب کردم، کلیک کردم کلیک راستماوس، Export را انتخاب کرده و پوشه ای را که می توان آنها را بازیابی کرد، نشان داد.

به همین ترتیب می توانید بلافاصله پوشه ها را بازیابی کنید. اگر کپی های سایه برای شما کار کردند و آنها را حذف نکردید، شانس زیادی برای بازیابی همه یا تقریباً همه پرونده های رمزگذاری شده توسط ویروس دارید. شاید برخی از آنها بیشتر باشد نسخه قدیمیاز آنچه که من می خواهم، اما با این حال، بهتر از هیچ است.

اگر به دلایلی کپی سایه ای از فایل ها ندارید، تنها شانس دریافت حداقل برخی از فایل های رمزگذاری شده بازیابی آنها با استفاده از ابزارهای بازیابی است. فایل های حذف شده. برای این کار پیشنهاد می کنم از برنامه رایگان Photorec استفاده کنید.

برنامه را اجرا کنید و دیسکی را که روی آن فایل ها را بازیابی خواهید کرد انتخاب کنید. با راه اندازی نسخه گرافیکی برنامه، فایل اجرا می شود qphotorec_win.exe. باید پوشه ای را انتخاب کنید که فایل های یافت شده در آن قرار می گیرند. بهتر است این پوشه در همان درایوی که در آن جستجو می کنیم قرار نگیرد. فلش مموری یا خارجی را وصل کنید HDDبرای این.

روند جستجو زمان زیادی را به طول خواهد انجامید. در پایان آماری را مشاهده خواهید کرد. حالا می توانید به پوشه ای که قبلا مشخص شده است بروید و ببینید چه چیزی در آنجا یافت می شود. به احتمال زیاد فایل های زیادی وجود خواهد داشت و اکثر آنها یا آسیب می بینند یا یک جور فایل های سیستمی و بی فایده خواهند بود. اما با این وجود، در این لیست امکان یافتن بخشی وجود خواهد داشت فایل های مفید. هیچ تضمینی در اینجا وجود ندارد، آنچه پیدا می کنید همان چیزی است که خواهید یافت. بهتر از همه، معمولاً تصاویر بازیابی می شوند.

اگر نتیجه شما را راضی نکرد، هنوز برنامه هایی برای بازیابی فایل های حذف شده وجود دارد. در زیر لیستی از برنامه هایی است که من معمولاً در هنگام نیاز به بازیابی از آنها استفاده می کنم بیشترین مقدارفایل ها:

  • R.saver
  • بازیابی فایل Starus
  • JPEG Recovery Pro
  • اکتیو فایل های بازیابی حرفه ای

این برنامه ها رایگان نیستند، بنابراین من لینک ارائه نمی کنم. با یک میل شدید، می توانید خودتان آنها را در اینترنت پیدا کنید.

کل فرآیند بازیابی فایل به طور مفصل در ویدیوی انتهای مقاله نشان داده شده است.

Kaspersky، eset nod32 و دیگران در مبارزه با باج افزار Filecoder.ED

آنتی ویروس های محبوب باج افزار CRYPTED000007 را به عنوان باج افزار تعریف می کنند Filecoder.EDو سپس ممکن است نام دیگری وجود داشته باشد. من توی انجمن های آنتی ویروس های اصلی رفتم و هیچ چیز مفیدی در آنجا ندیدم. متاسفانه طبق معمول آنتی ویروس ها برای تهاجم موج جدیدی از باج افزارها آماده نبودند. در اینجا پیامی از انجمن کسپرسکی آمده است.

آنتی ویروس ها به طور سنتی از اصلاحات جدید تروجان های باج افزار صرف نظر می کنند. با این حال، استفاده از آنها را توصیه می کنم. اگر خوش شانس باشید و نه در موج اول آلودگی، بلکه کمی دیرتر، یک باج افزار را در ایمیل خود دریافت کنید، این احتمال وجود دارد که آنتی ویروس به شما کمک کند. همه آنها یک قدم عقب تر از مهاجمان کار می کنند. بیرون آمدن یک نسخه جدیدباج افزارها، آنتی ویروس ها به آن پاسخ نمی دهند. به محض اینکه حجم مشخصی از مواد برای تحقیق در مورد یک ویروس جدید جمع می شود، آنتی ویروس ها به روز رسانی را منتشر می کنند و شروع به پاسخ دادن به آن می کنند.

چه چیزی مانع از پاسخ سریع آنتی ویروس ها به هر فرآیند رمزگذاری در سیستم می شود برای من روشن نیست. شاید برخی نکات ظریف فنی در این موضوع وجود داشته باشد که به شما اجازه نمی دهد به اندازه کافی پاسخ دهید و از رمزگذاری فایل های کاربر جلوگیری کنید. به نظر من حداقل می توان هشداری در مورد این واقعیت که شخصی فایل های شما را رمزگذاری می کند نشان داد و پیشنهاد توقف این روند را داد.

کجا باید برای رمزگشایی تضمینی درخواست داد

من به طور اتفاقی با یک شرکت آشنا شدم که واقعاً پس از کار ویروس های رمزگذاری مختلف، از جمله CRYPTED000007، داده ها را رمزگشایی می کند. آدرس آنها http://www.dr-shifro.ru است. پرداخت فقط پس از رمزگشایی کامل و تأیید شما. در اینجا یک نمونه گردش کار آمده است:

  1. یک متخصص شرکت با ماشین به دفتر یا خانه شما می رود و با شما قراردادی امضا می کند که در آن هزینه کار را تعیین می کند.
  2. رمزگشا را اجرا می کند و همه فایل ها را رمزگشایی می کند.
  3. اطمینان حاصل کنید که همه پرونده ها باز شده اند و عمل تحویل / پذیرش کار انجام شده را امضا می کنید.
  4. پرداخت فقط در صورت نتیجه رمزگشایی موفق

راستش را بخواهید، من نمی دانم چگونه این کار را انجام می دهند، اما شما هیچ چیز را به خطر نمی اندازید. پرداخت فقط پس از نمایش رمزگشا. لطفا نظر خود را در مورد تجربه خود در این شرکت بنویسید.

روش های محافظت در برابر ویروس CRYPTED000007

چگونه از خود در برابر کار یک باج افزار محافظت کنید و بدون آسیب مادی و معنوی انجام دهید؟ چند نکته ساده و موثر وجود دارد:

  1. پشتیبان گیری! پشتیبان گیری از تمام داده های مهم و نه فقط یک نسخه پشتیبان، بلکه یک نسخه پشتیبان که دسترسی دائمی به آن وجود ندارد. در غیر این صورت، ویروس می تواند اسناد و نسخه های پشتیبان شما را آلوده کند.
  2. آنتی ویروس دارای مجوز اگرچه آنها 100٪ ضمانت نمی دهند، اما شانس اجتناب از رمزگذاری را افزایش می دهند. آنها اغلب برای نسخه های جدید باج افزار آماده نیستند، اما پس از 3-4 روز شروع به واکنش می کنند. اگر در موج اول ارسال‌های یک اصلاح جدید باج‌افزار قرار نگیرید، این شانس شما را برای جلوگیری از عفونت افزایش می‌دهد.
  3. پیوست های مشکوک را در نامه باز نکنید. اینجا چیزی برای اظهار نظر وجود ندارد. همه رمزنگاران شناخته شده من از طریق پست به کاربران دسترسی پیدا کردند. و هر بار ترفندهای جدیدی برای فریب قربانی اختراع می شود.
  4. لینک هایی که دوستانتان از طریق آن برای شما ارسال می کنند را بی خیال باز نکنید شبکه های اجتماعییا پیام رسان ها ویروس ها گاهی اوقات به این ترتیب پخش می شوند.
  5. تحویل بده نمایش ویندوزپسوند فایل نحوه انجام این کار به راحتی در اینترنت پیدا می شود. این به شما امکان می دهد پسوند فایل روی ویروس را مشاهده کنید. بیشتر اوقات این کار را خواهد کرد exe, vbs, .src. در کار روزمره با اسناد، بعید است که با چنین پسوند فایلی روبرو شوید.

سعی کردم آنچه را که قبلاً در هر مقاله درباره ویروس باج افزار نوشتم تکمیل کنم. تا اون موقع خداحافظی میکنم خوشحال می شوم نظرات مفیدی را در مورد مقاله و به طور کلی ویروس رمزگذاری CRYPTED000007 دریافت کنم.

ویدیو با رمزگشایی و بازیابی فایل

در اینجا نمونه‌ای از اصلاحات قبلی این ویروس آورده شده است، اما ویدیو کاملاً برای CRYPTED000007 نیز مرتبط است.

در 1 و 2 می 2017، یک حمله ویروسی در مقیاس بزرگ به رایانه‌هایی که دارای ویندوز هستند روی داد. فقط در روسیه حدود 30000 کامپیوتر آلوده شدند. در میان قربانیان نه تنها کاربران عادی، بلکه بسیاری از سازمان ها و سازمان های دولتی نیز حضور داشتند. بر اساس گزارش های این شبکه، CS وزارت امور داخلی فدراسیون روسیه و شبکه Magafon تا حدی آلوده شده اند. همچنین، تعدادی دیگر از سازمان‌های کمتر شناخته شده از حمله WannaCry یا همانطور که معمولاً به آن WCry می‌گویند آسیب دیدند. نحوه نفوذ ویروس باج افزار به چنین دستگاه های محافظت شده هنوز مشخص نیست. آیا این پیامد اشتباه یکی از کاربران بوده است یا آسیب پذیری عمومی شبکه وزارتخانه - گزارش نشده است. اولین اطلاعات در Runet در وب سایت Kaspersky (در فرم) ظاهر شد، جایی که بحث فعالی در مورد ویروس جدید وجود داشت.

این ویروس چیست؟

پس از نفوذ به رایانه، ویروس باز می‌شود و کدهای رمزگذاری سیستم خود را برای داده‌های کاربر نصب می‌کند و در پس‌زمینه شروع به رمزگذاری تمام اطلاعات روی رایانه با کدهای خودش از نوع filename.wncry می‌کند. در اینجا چیزی است که بعد از اینکه رایانه شما ویروسی می شود اتفاق می افتد:

  • بلافاصله پس از ورود به سیستم، ویروس شروع به کنترل کامل سیستم می کند و راه اندازی هر نرم افزاری را حتی بدون نصب مسدود می کند.
  • آنتی ویروس ها و ابزارهایی که نیازی به نصب ندارند و بلافاصله پس از اتصال درایو به سیستم راه اندازی می شوند نیز هیچ نتیجه ای نمی دهند و به سادگی شروع نمی شوند.
  • تمام پورت ها و درایوهای USB کار نمی کنند،
  • صفحه نمایش توسط یک بنر Wana DecryptOr 2.0 مسدود می شود و به شما اطلاع می دهد که رایانه شما به ویروس آلوده شده است، تمام داده های روی آن رمزگذاری شده است و باید به باج افزار پرداخت کنید.
صاحبان این ویروس به کاربر پیشنهاد می کنند که معادل 300 دلار بیت کوین را به حساب خود انتقال دهد. همچنین اطلاعاتی وجود دارد که در صورت عدم پرداخت مبلغ مورد نیاز در مدت 3 روز، مبلغ پرداختی دو برابر خواهد شد. اگر پرداختی در عرض یک هفته دریافت نشود، ویروس تمام اطلاعات کاربر را از رایانه حذف می کند. با قضاوت بر اساس اطلاعات برخی از کاربران ما، این طرح زمان بندی برای همه یکسان نیست و دستگاه هایی وجود دارند که دوره پرداخت باج افزار در آنها 14 روز است.

چگونه از خود در برابر ویروس محافظت کنیم.

وحشت نکنید، ویروس جدید نیست، که محافظت از خود در برابر آن غیرممکن است. این یک باج افزار رایج است که ما بارها با آنالوگ های آن مواجه شده ایم. برای اینکه گرفتار نشویم ویروس کامپیوتری، در استفاده از تمامی نرم افزارها مراقب باشید. توصیه نمی‌کنیم هیچ نرم‌افزاری، حتی نرم‌افزار داخلی را به‌روزرسانی کنید، مگر اینکه دقیقاً مشخص شود که ویروس چگونه وارد سیستم می‌شود. ما تمایل داریم باور کنیم که ویروس از طریق آسیب پذیری در برخی از برنامه ها وارد رایانه می شود. و آسیب پذیری ها در برنامه ها اغلب پس از یک به روز رسانی ناموفق طراحی شده ظاهر می شوند، که در آن چنین "حفره" بزرگی وجود دارد که به ویروس ها اجازه می دهد وارد سیستم شوند. اگر تجربه و فرصت دارید، یک فایروال شخص ثالث با کیفیت بالا نصب کنید و برای مدتی نظارت بر سیستم و فعالیت شبکه را افزایش دهید.

کمک به قربانیان

روز جمعه، 12 می، یک مشتری معمولی، یک طراح، با یک لپ‌تاپ که طرح‌بندی‌ها، کدهای منبع و سایر فایل‌های گرافیکی او در آن ذخیره شده بود، به سراغ ما آمد. کامپیوترهای او به ویروس WannaCryptor آلوده شده بودند. تعدادی "آزمایش" انجام شد که نتیجه داد! این چیزی است که به ما کمک کرد:

  • کامپیوتر را از بین برد، هارد دیسک را با داده ها حذف کرد،
  • درایو متصل به iMac،
  • با شمارش رمزگشاها، چندین رمزگشا پیدا کردیم که به بیرون کشیدن بخشی از داده ها از دیسک D کمک کردند.
  • پس از آن، مشتری تصمیم گرفت سیستم را با حذف داده های باقیمانده مجدداً نصب کند.
  • فقط در صورت ایجاد تصویری از سیستم در رسانه خود، به محض اینکه راه حلی برای مشکل ظاهر شد، داده های باقی مانده را ذخیره خواهیم کرد.
دوستان عزیز اگر قربانی هستید این ویروس- با ما تماس بگیرید، ما سعی خواهیم کرد کمک کنیم. ما آزمایشات را به صورت رایگان انجام می دهیم) و در اینجا به طور مفصل به شما می گوییم که چگونه. بیایید با هم با شر مبارزه کنیم!
  • بیش از 200000 رایانه قبلاً آلوده شده اند!
هدف اصلی این حمله بخش شرکت‌ها و به دنبال آن شرکت‌های مخابراتی در اسپانیا، پرتغال، چین و انگلیس بود.
  • بزرگترین ضربه به کاربران و شرکت های روسی وارد شد. از جمله مگافون، راه آهن روسیه و بر اساس اطلاعات تایید نشده، کمیته تحقیقات و وزارت امور داخلی. Sberbank و وزارت بهداشت نیز حملاتی را به سیستم های خود گزارش کردند.
برای رمزگشایی داده ها، مهاجمان باج 300 تا 600 دلاری بیت کوین (حدود 17000 تا 34000 روبل) را طلب می کنند.

به روز رسانی ویندوز 10 نسخه 1909

نقشه تعاملی عفونت (روی نقشه کلیک کنید)
پنجره باج
فایل های پسوندهای زیر را رمزگذاری می کند

علیرغم هدف قرار دادن ویروس برای حمله به بخش شرکتی، کاربر معمولیهمچنین از نفوذ WannaCry مصون نیست و ضرر احتمالیدسترسی به فایل
  • دستورالعمل هایی برای محافظت از رایانه و داده های موجود در آن در برابر عفونت:
1. برنامه Kaspersky System Watcher را نصب کنید، که دارای یک عملکرد داخلی برای برگرداندن تغییرات ناشی از اقدامات یک رمزگذاری است که همچنان می‌تواند ابزارهای حفاظتی را دور بزند.
2. به کاربران برنامه آنتی ویروس از Kaspersky Lab توصیه می شود که بررسی کنند که عملکرد نظارت بر سیستم فعال است.
3. برای کاربران آنتی ویروس ESET NOD32 برای ویندوز 10، عملکردی برای بررسی به روز رسانی های جدید سیستم عامل معرفی شده است. در صورتی که از قبل مراقبت کرده باشید و آن را فعال کرده باشید، تمام به روز رسانی های جدید ویندوز لازم نصب می شود و سیستم شما به طور کامل در برابر این ویروس WannaCryptor و سایر حملات مشابه محافظت می شود.
4. همچنین کاربران محصولات ESET NOD32 عملکردی مانند شناسایی تهدیدات هنوز ناشناخته را در برنامه دارند. این روشبر اساس استفاده از فناوری رفتاری و اکتشافی.

اگر یک ویروس مانند یک ویروس رفتار کند، به احتمال زیاد یک ویروس است.

فن آوری سیستم ابریاز 12 می، ESET LiveGrid در دفع تمام حملات این ویروس بسیار موفق بوده است و همه اینها حتی قبل از رسیدن به روز رسانی پایگاه داده امضا اتفاق افتاده است.
5. فن آوری های ESET امنیت را حتی برای دستگاه های قبلی فراهم می کند سیستم های ویندوز XP، ویندوز 8 و ویندوز سرور 2003 (توصیه می کنیم استفاده از داده های خود را متوقف کنید سیستم های میراثی ). با توجه به سطح تهدید بسیار بالایی که برای این سیستم عامل ها ایجاد شده است، مایکروسافت تصمیم به انتشار به روز رسانی گرفته است. آنها را دانلود کنید.
6. برای به حداقل رساندن خطر آسیب به رایانه شخصی خود، باید فوراً خود را به روز کنید نسخه های ویندوز 10: شروع - تنظیمات - به روز رسانی و امنیت - بررسی به روز رسانی (در موارد دیگر: شروع - همه برنامه ها - به روز رسانی ویندوز - جستجو برای به روز رسانی - دانلود و نصب).
7. وصله رسمی (MS17-010) مایکروسافت را نصب کنید، که باگ را در سرور SMB که از طریق آن ویروس می تواند نفوذ کند، برطرف می کند. این سروردر این حمله نقش داشته است.
8. بررسی کنید که همه ابزارهای امنیتی موجود در رایانه شما در حال اجرا و کارکردن هستند.
9. یک اسکن ویروس از کل سیستم انجام دهید. هنگامی که یک حمله مخرب به نام MEM:Trojan.Win64.EquationDrug.gen، سیستم را راه اندازی مجدد کنید.
و یک بار دیگر توصیه می کنم که بررسی کنید که پچ های MS17-010 نصب شده اند.

در حال حاضر، متخصصان Kaspersky Lab، ESET NOD32 و سایر محصولات آنتی ویروس به طور فعال روی نوشتن برنامه ای برای رمزگشایی فایل ها کار می کنند که به کاربران رایانه های شخصی آلوده کمک می کند تا دسترسی به فایل ها را بازگردانند.