A kiberbűnözők évtizedek óta sikeresen használják ki a hibáit és sebezhetőségeit világháló. Azonban in utóbbi évek egyértelműen megnőtt a támadások száma, illetve szintje is – a támadók egyre veszélyesebbek, a rosszindulatú programok pedig soha nem látott ütemben terjednek.

Bevezetés

Olyan ransomware-ről beszélünk, amely 2017-ben hihetetlen ugrást tett, és szervezetek ezreinek okozott kárt szerte a világon. Például Ausztráliában a ransomware támadások, mint például a WannaCry és a NotPetya, még kormányzati szinten is aggodalmat keltettek.

Összegezve a ransomware idei „sikereit”, megvizsgáljuk a 10 legveszélyesebbet, amelyek a legtöbb kárt okozták a szervezeteknek. Reméljük, hogy jövőre levonjuk a tanulságokat, és megakadályozzuk, hogy ez a probléma behatoljon hálózatunkba.

Nem Petya

Ennek a ransomware-nek a támadása az ukrán M.E.Doc könyvelőprogrammal kezdődött, amely az Ukrajnában betiltott 1C-t váltotta fel. A NotPetya néhány nap alatt több százezer számítógépet fertőzött meg több mint 100 országban. Ez a rosszindulatú program a régebbi Petya ransomware változata, az egyetlen különbség az, hogy a NotPetya támadások ugyanazt az exploitot használták, mint a WannaCry támadások.

A NotPetya terjedésével több ausztrál szervezetet is érintett, például a tasmániai Cadbury csokoládégyárat, amelynek ideiglenesen le kellett állítania a teljes informatikai rendszerét. A zsarolóvírusnak sikerült behatolnia a világ legnagyobb, a Maersk tulajdonában lévő konténerhajóba is, amely állítólag akár 300 millió dollár bevételtől is elesett.

Sírni akar

Ez a ransomware, a méreteiben szörnyű, gyakorlatilag az egész világot elfoglalta. Támadásai a hírhedt EternalBlue kizsákmányolást használták, kihasználva a Microsoft ServerÜzenetblokk (SMB).

A WannaCry 150 országban és több mint 200 000 gépen fertőzött meg áldozatokat csak az első napon. Megjelent ez a szenzációs rosszindulatú program.

Locky

A Locky volt a legnépszerűbb zsarolóvírus 2016-ban, de 2017-ben sem állt meg. A Locky új változatai, Diablo és Lukitus néven jelentek meg ebben az évben, ugyanazt a támadási vektort (adathalászat) használva a kihasználások kiváltására.

Locky volt az, aki az Australia Post e-mail-átverési botránya mögött állt. Az Ausztrál Versenyügyi és Fogyasztói Bizottság szerint a polgárok több mint 80 000 dollárt veszítettek a csalás miatt.

krízis

Ez a példány a Remote Desktop Protocol (RDP) mesteri használatáról ismert. Az RDP az egyik legnépszerűbb zsarolóvírus-terjesztési módszer, mivel a kiberbűnözők kompromittálhatják a teljes szervezeteket irányító gépeket.

A CrySis áldozatainak 455 és 1022 dollár közötti összeget kellett fizetniük fájljaik visszaállításáért.

Nemucode

A Nemucod egy adathalász e-mailen keresztül kerül terjesztésre, amely szállítási számlának tűnik. Ez a zsarolóprogram letölti a feltört webhelyeken tárolt rosszindulatú fájlokat.

Az adathalász e-mailek használatában a Nemucod a második helyen áll a Locky után.

jaff

A Jaff hasonló a Lockyhoz, és hasonló módszereket használ. Ez a ransomware nem az eredeti terjesztési módszerei vagy a fájltitkosítás miatt figyelemre méltó, hanem éppen ellenkezőleg, a legsikeresebb gyakorlatokat ötvözi.

A mögötte álló támadók akár 3700 dollárt is követeltek a titkosított fájlokhoz való hozzáférésért.

Spora

Az ilyen típusú zsarolóvírusok terjesztése érdekében a kiberbűnözők JavaScript-kód hozzáadásával törnek be legitim webhelyekre. Az ilyen webhelyre érkező felhasználók felugró figyelmeztetést kapnak, amely felszólítja őket a frissítésre Chrome böngésző az oldal böngészésének folytatásához. Az úgynevezett Chrome Font Pack letöltése után a felhasználók megfertőződtek a Sporával.

cerber

A Cerber által használt számos támadási vektor egyike a RaaS (Ransomware-as-a-Service). Ebben a konstrukcióban a támadók felajánlják, hogy fizetnek a trójai terjesztéséért, és a kapott pénz egy százalékát ígérik cserébe. Ezen a "szolgáltatáson keresztül" a kiberbűnözők zsarolóprogramokat küldenek ki, majd más támadókat is biztosítanak az eszközök terjesztéséhez.

Cryptomix

Ez azon kevés ransomware egyike, amely nem rendelkezik bizonyos típusú fizetési portálokkal a sötét weben. Az érintett felhasználóknak meg kell várniuk, amíg a kiberbűnözők e-mailt küldenek nekik email utasítás.

A Cryptomix áldozatai 29 országból érkeztek felhasználók, akik akár 3000 dollárt is kénytelenek voltak fizetni.

Lombfűrész

Egy másik rosszindulatú program a listáról, amely 2016-ban kezdte meg tevékenységét. A Jigsaw a Fűrész filmsorozat bohócának képét szúrja be a spam e-mailekbe. Amint a felhasználó rákattint a képre, a ransomware nem csak titkosítja, hanem törli is a fájlokat arra az esetre, ha a felhasználó túl későn kifizetné a 150 dolláros váltságdíjat.

következtetéseket

Amint látjuk, a modern fenyegetések egyre kifinomultabb exploitokat alkalmaznak a jól védett hálózatok ellen. Míg az alkalmazottak fokozott tudatossága segít kezelni a fertőzések hatását, a vállalkozásoknak túl kell lépniük az alapvető kiberbiztonsági szabványokon, hogy megvédjék magukat. A mai fenyegetésekkel szembeni védelem proaktív megközelítéseket igényel, amelyek kihasználják a valós idejű elemzések erejét egy olyan tanuló motoron alapulva, amely magában foglalja a fenyegetések viselkedésének és kontextusának megértését.

Körülbelül egy-két hete jelent meg a hálózaton a modern vírusgyártók újabb munkája, amely az összes felhasználói fájlt titkosítja. Még egyszer megvizsgálom azt a kérdést, hogyan lehet meggyógyítani a számítógépet egy ransomware vírus után crypted000007és visszaállíthatja a titkosított fájlokat. Ebben az esetben semmi új és egyedi nem jelent meg, csak az előző verzió módosítása.

A fájlok garantált visszafejtése ransomware vírus után - dr-shifro.ru. A munka részletei és az ügyféllel való interakció sémája alább található a cikkemben vagy a webhelyen a „Munkafolyamat” részben.

A CRYPTED000007 zsarolóvírus leírása

A CRYPTED000007 titkosító alapvetően nem különbözik elődeitől. Szinte egytől egyig működik. De mégis van néhány árnyalat, amely megkülönbözteti. Elmondok mindent sorban.

Ő is, társaihoz hasonlóan, postán érkezik. Technikákat alkalmaznak szociális tervezés hogy a felhasználót biztosan érdekli a levél és nyissa ki. Az én esetemben a levél valamiféle bíróságról szólt és kb fontos információ mellékletben szereplő esetről. A melléklet indítása után a felhasználó megnyit egy Word-dokumentumot a Moszkvai Választottbíróság kivonatával.

A dokumentum megnyitásával párhuzamosan elindul a fájltitkosítás. Folyamatosan felbukkan egy tájékoztató üzenet a Windows felhasználói fiókok felügyeleti rendszeréből.

Ha egyetért a javaslattal, akkor biztonsági mentések fájlok árnyékban a Windows másolatai törlésre kerül, és az információk helyreállítása nagyon nehéz lesz. Nyilvánvalóan a javaslattal semmi esetre sem lehet egyetérteni. Ebben a ransomware-ben ezek a kérések folyamatosan, egyenként bukkannak fel, és nem állnak le, kényszerítve a felhasználót, hogy beleegyezzen és törölje a biztonsági másolatokat. Ez a fő különbség a ransomware korábbi módosításaihoz képest. Soha nem láttam, hogy az árnyékmásolat-törlési kérelmek megállás nélkül mennének. Általában 5-10 mondat után abbahagyták.

Adok egy ajánlást a jövőre nézve. Nagyon gyakran az emberek kikapcsolják a figyelmeztetéseket a felhasználói fiókokat vezérlő rendszerből. Ezt nem kell megtenned. Ez a mechanizmus valóban segíthet a vírusok elleni küzdelemben. A második nyilvánvaló tanács az, hogy ne dolgozzon folyamatosan fiókot számítógépes rendszergazda, ha ez objektíve nem szükséges. Ebben az esetben a vírusnak nem lesz lehetősége nagy kárt okozni. Valószínűbb lesz, hogy ellenállsz neki.

De még ha mindig is negatívan válaszolt a ransomware kérésekre, minden adata már titkosítva van. A titkosítási folyamat befejezése után egy kép jelenik meg az asztalon.

Ugyanakkor sok lesz szöveges fájlok azonos tartalommal.

A fájljai titkosítva lettek. Az ux visszafejtéséhez javítania kell a 329D54752553ED978F94|0 kódot az e-mail címen [e-mail védett]. Ezután megkapja az összes szükséges utasítást. A saját megfejtésére tett kísérletek nem vezetnek semmihez, kivéve a visszahozhatatlan mennyiségű információt. Ha mégis meg akarja próbálni, akkor előtte készítsen biztonsági másolatot a fájlokról, különben ux változtatások esetén a visszafejtés semmilyen körülmények között nem lehetséges. Amennyiben 48 órán belül (és csak ebben az esetben!) nem kap választ a fenti címre, használja a visszajelzési űrlapot. Ezt kétféleképpen lehet megtenni: 1) Töltse le és telepítse Tor böngésző a következő linken: https://www.torproject.org/download/download-easy.html.en Írja be a címet: http://cryptsen7fo43rr6.onion/ a Tor Browser címmezőjébe, majd nyomja meg az Enter billentyűt. A kapcsolatfelvételi űrlapot tartalmazó oldal betöltődik. 2) Bármely böngészőben nyissa meg a következő címek egyikét: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ A számítógépén lévő összes fontos fájl titkosítva volt. A fájlok visszafejtéséhez el kell küldenie a következő kódot: 329D54752553ED978F94|0 e-mail címre [e-mail védett] ail.com. Ezután megkapja az összes szükséges utasítást. Az ön által végzett visszafejtési kísérletek csak az adatok visszavonhatatlan elvesztését eredményezik. Ha továbbra is meg akarja próbálni egyedül visszafejteni őket, kérjük, először készítsen biztonsági másolatot, mert a visszafejtés lehetetlenné válik a fájlokon belüli változtatások esetén. Ha több mint 48 órán keresztül (és csak ebben az esetben!) nem kapta meg a választ a fent említett e-mailből, használja a visszajelzési űrlapot. tudsz kétféleképpen teheti meg: 1) Töltse le a Tor böngészőt innen: https://www.torproject.org/download/download-easy.html.en Telepítse, és írja be a következő címet a címsorba: http://cryptsen7fo43rr6 .onion/ Nyomja meg az Enter billentyűt, és ekkor betöltődik a visszajelzési űrlapot tartalmazó oldal. 2) Nyissa meg bármelyik böngészőben a következő címek egyikét: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

A postacím változhat. Láttam más ilyen címeket is:

A címek folyamatosan frissülnek, így teljesen eltérőek lehetnek.

Amint azt tapasztalja, hogy a fájlok titkosítva vannak, azonnal kapcsolja ki a számítógépet. Ezt meg kell tenni a titkosítási folyamat megszakításához mind a helyi számítógépen, mind a hálózati meghajtókon. A ransomware vírus titkosíthat minden információt, amelyet elérhet, beleértve a hálózati meghajtókat is. De ha nagy mennyiségű információ áll rendelkezésre, akkor ez sok időt vesz igénybe. Néha a titkosítónak még néhány órán belül sem volt ideje mindent titkosítani hálózati meghajtó körülbelül 100 gigabájt méretű.

Ezután alaposan át kell gondolnia, hogyan cselekedjen. Ha mindenképp információra van szüksége a számítógépéről, és nincs biztonsági másolata, akkor jobb, ha ebben a pillanatban kapcsolatba lép a szakemberekkel. Egyes cégeknél nem feltétlenül pénzért. Csak egy olyan emberre van szükséged, aki jól jártas információs rendszerek. Fel kell mérni a katasztrófa mértékét, el kell távolítani a vírust, össze kell gyűjteni az összes rendelkezésre álló információt a helyzetről, hogy megértsük, hogyan tovább.

Az ebben a szakaszban végzett helytelen műveletek jelentősen megnehezíthetik a fájlok visszafejtésének vagy helyreállításának folyamatát. A legrosszabb esetben ellehetetleníthetik. Tehát szánjon időt, legyen óvatos és következetes.

Hogyan titkosítja a fájlokat a CRYPTED000007 ransomware vírus

Miután a vírus elindult és befejezte tevékenységét, az összes hasznos fájl titkosításra kerül, és átnevezi őket kiterjesztés.crypted000007. És nem csak a fájl kiterjesztése lesz lecserélve, hanem a fájlnév is, így ha nem emlékszik, nem fogja tudni, hogy pontosan milyen fájljai voltak. Lesz valami ehhez hasonló kép.

Ilyen helyzetben nehéz lesz felmérni a tragédia mértékét, mivel nem fog tudni teljesen emlékezni arra, hogy mi volt különböző mappákat. Ezt szándékosan tették, hogy megzavarják az embereket, és arra ösztönözzék őket, hogy fizessenek a fájlok visszafejtésére.

És ha titkosítva lenne és hálózati mappákatés nem teljes biztonsági másolatok, akkor általában leállíthatja az egész szervezet munkáját. Nem fogod azonnal megérteni, mi veszett el végül ahhoz, hogy elkezdhesd a gyógyulást.

Hogyan kezelje számítógépét és távolítsa el a CRYPTED000007 zsarolóprogramot

A CRYPTED000007 vírus már megtalálható a számítógépén. Az első és legfontosabb kérdés az, hogy hogyan lehet meggyógyítani egy számítógépet, és hogyan lehet eltávolítani róla a vírust, hogy megakadályozzuk a további titkosítást, ha az még nem fejeződött be. Azonnal felhívom a figyelmet arra a tényre, hogy miután Ön elkezdett néhány műveletet végrehajtani a számítógépével, az adatok visszafejtésének esélye csökken. Ha mindenképpen helyre kell állítania a fájlokat, ne érintse meg számítógépét, hanem azonnal forduljon szakemberhez. Az alábbiakban beszélek róluk, linket adok az oldalra, és leírom munkájuk sémáját.

Addig is folytatjuk a számítógép önálló kezelését és a vírus eltávolítását. A zsarolóprogramok hagyományosan könnyen eltávolíthatók a számítógépről, mivel a vírusnak nem az a feladata, hogy mindenáron a számítógépen maradjon. A fájlok teljes titkosítása után még kifizetődőbb számára, ha törli magát és eltűnik, így nehezebb lesz az incidens kivizsgálása és a fájlok visszafejtése.

Egy vírus kézi eltávolításának leírása nehézkes, bár korábban próbálkoztam vele, de úgy látom, legtöbbször értelmetlen. A fájlnevek és a víruselhelyezési útvonalak folyamatosan változnak. Amit láttam, egy-két hét múlva már nem aktuális. A vírusokat általában hullámokban küldik levélben, és minden alkalommal új módosítás történik, amelyet az antivírusok még nem észleltek. Segítenek az univerzális eszközök, amelyek ellenőrzik az automatikus futtatást és észlelik a gyanús tevékenységeket a rendszermappákban.

A CRYPTED000007 vírus eltávolításához a következő programokat használhatja:

  1. Kaspersky Virus Removal Tool – a Kaspersky segédprogramja http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - hasonló termék más webről http://free.drweb.ru/cureit.
  3. Ha az első két segédprogram nem segít, próbálja ki a MALWAREBYTES 3.0 - https://ru.malwarebytes.com verziót.

Valószínűleg az egyik ilyen termék megtisztítja a számítógépet a CRYPTED000007 zsarolóvírustól. Ha hirtelen úgy történik, hogy nem segítenek, próbálja meg manuálisan eltávolítani a vírust. Példaként az eltávolítási technikát hoztam fel, ott láthatod. Dióhéjban a következőket kell tenned:

  1. Megnézzük a folyamatok listáját, miután korábban több további oszlopot is hozzáadtunk a feladatkezelőhöz.
  2. Megtaláljuk a vírus folyamatát, megnyitjuk a mappát, amelyben található, és töröljük.
  3. Megtisztítjuk a vírusfolyamat említését a fájlnévvel a rendszerleíró adatbázisban.
  4. Újraindítjuk, és megbizonyosodunk arról, hogy a CRYPTED000007 vírus nem szerepel a futó folyamatok listájában.

Hol lehet letölteni a CRYPTED000007 dekódolót

Az egyszerű és megbízható visszafejtő kérdése mindenekelőtt akkor merül fel, ha egy ransomware vírusról van szó. Az első dolog, amit tanácsolok, hogy használja a https://www.nomoreransom.org szolgáltatást. Mi van, ha szerencséd van, lesz egy visszafejtőjük a CRYPTED000007 titkosító verziójához. Azonnal mondom, hogy nincs sok esélyed, de a próbálkozás nem kínzás. Tovább kezdőlap kattintson az Igen gombra:

Ezután töltsön fel néhány titkosított fájlt, és kattintson a Go! kitalál:

A cikk írásakor a dekóder nem volt az oldalon.

Talán több szerencséd lesz. A letölthető dekódolók listáját egy külön oldalon is megtekintheti - https://www.nomoreransom.org/decryption-tools.html. Talán van ott valami hasznos. Amikor a vírus nagyon friss, ennek kicsi az esélye, de idővel megjelenhet valami. Vannak példák arra, hogy a ransomware bizonyos módosításainak dekódolói megjelentek a hálózaton. És ezek a példák a megadott oldalon találhatók.

Hol találok még dekódert, nem tudom. Nem valószínű, hogy valóban létezik, figyelembe véve a modern ransomware munkájának sajátosságait. Csak a vírus szerzői rendelkezhetnek teljes értékű dekódolóval.

Hogyan lehet visszafejteni és visszaállítani a fájlokat a CRYPTED000007 vírus után

Mi a teendő, ha a CRYPTED000007 vírus titkosította a fájlokat? A titkosítás technikai megvalósítása nem teszi lehetővé a fájlok visszafejtését kulcs vagy dekódoló nélkül, amivel csak a titkosító szerzője rendelkezik. Lehet, hogy van más mód is a beszerzésére, de nincs ilyen információm. Csak rögtönzött módszerekkel próbálhatjuk meg helyreállítani a fájlokat. Ezek tartalmazzák:

  • Eszköz árnyékmásolatok ablakok.
  • Programok a törölt adatok helyreállítására

Először is ellenőrizzük, hogy engedélyezve vannak-e az árnyékmásolatok. Ez az eszköz alapértelmezés szerint működik a Windows 7 és újabb rendszerekben, hacsak nem tiltja le manuálisan. Az ellenőrzéshez nyissa meg a számítógép tulajdonságait, és lépjen a rendszervédelem részhez.

Ha nem erősítette meg a fertőzés időpontjában UAC kérés az árnyékmásolatokban lévő fájlok törléséhez, akkor néhány adatnak ott kell maradnia. Erről a kérésről a történet elején részletesebben beszéltem, amikor a vírus munkájáról beszéltem.

A fájlok árnyékmásolatokból történő egyszerű visszaállításához javaslom a használatát ingyenes program ehhez - ShadowExplorer . Töltse le az archívumot, csomagolja ki a programot és futtassa.

Megnyílik a fájlok utolsó példánya és a C meghajtó gyökere, balra felső sarok választhat egy biztonsági másolatot, ha több van. Ellenőrizze a különböző példányokat kívánt fájlokat. Hasonlítsa össze dátumok szerint, ahol több friss változat. Az alábbi példámban 2 olyan fájlt találtam az asztalomon, amelyek legutóbbi szerkesztésükkor három hónaposak voltak.

Sikerült visszaállítani ezeket a fájlokat. Ehhez kiválasztottam őket, rákattintottam Jobb klikk egérrel, válassza az Exportálás lehetőséget, és jelezte a mappát, ahová vissza szeretné állítani őket.

Ugyanígy azonnal visszaállíthatja a mappákat. Ha az árnyékmásolatok működtek Önnek, és nem törölte őket, akkor elég sok esélye van az összes vagy majdnem minden vírus által titkosított fájl helyreállítására. Talán néhány közülük több lesz régi verzió mint szeretném, de ennek ellenére jobb, mint a semmi.

Ha valamilyen oknál fogva nem rendelkezik árnyékmásolattal a fájlokról, az egyetlen lehetőség a titkosított fájlok legalább egy részének megszerzésére, ha visszaállítja azokat helyreállítási eszközökkel. törölt fájlok. Ehhez javaslom az ingyenes Photorec program használatát.

Futtassa a programot, és válassza ki a lemezt, amelyen a fájlokat helyreállítja. A program grafikus verziójának elindítása végrehajtja a fájlt qphotorec_win.exe. Ki kell választani azt a mappát, ahová a talált fájlok kerülnek. Jobb, ha ez a mappa nem ugyanazon a meghajtón található, ahol keresünk. Csatlakoztasson flash meghajtót vagy külső eszközt HDD ezért.

A keresési folyamat sokáig fog tartani. A végén látni fogja a statisztikákat. Most beléphet a korábban megadott mappába, és megnézheti, mi található ott. Valószínűleg sok fájl lesz, és a legtöbb vagy megsérül, vagy valamilyen rendszer és haszontalan fájlok lesznek. Ennek ellenére ebben a listában lehet majd találni egy alkatrészt hasznos fájlokat. Itt nincs garancia, amit találsz, azt megtalálod. A legjobb az egészben, hogy általában a képeket visszaállítják.

Ha az eredmény nem kielégítő, akkor még mindig vannak programok a törölt fájlok helyreállítására. Az alábbiakban felsoroljuk azokat a programokat, amelyeket általában akkor használok, amikor vissza kell állítani maximális összeget fájlok:

  • R.saver
  • Starus fájl helyreállítás
  • JPEG Recovery Pro
  • Active File Recovery Professional

Ezek a programok nem ingyenesek, ezért nem adok hivatkozásokat. Erős vágy esetén magad is megtalálhatod őket az interneten.

A teljes fájl-helyreállítási folyamatot részletesen bemutatja a cikk végén található videó.

Kaspersky, eset nod32 és mások a Filecoder.ED ransomware elleni küzdelemben

A népszerű antivírusok a CRYPTED000007 ransomware-t a következőképpen határozzák meg Filecoder.EDés akkor lehet valami más megnevezés. Végignéztem a főbb vírusirtók fórumait, és nem láttam ott semmi hasznosat. Sajnos, mint általában, a víruskeresők nem álltak készen a ransomware új hullámának inváziójára. Itt van egy üzenet a Kaspersky fórumról.

A víruskeresők hagyományosan kihagyják a ransomware trójaiak új módosításait. Ennek ellenére javaslom a használatát. Ha szerencséd van, és nem az első fertőzési hullámban, hanem kicsit később kapsz ransomware-t a leveledben, akkor van esély arra, hogy a vírusirtó segítségedre lesz. Mindannyian egy lépéssel a támadók mögött dolgoznak. színt vall egy új verzió ransomware, az antivírusok nem reagálnak rá. Amint összegyűlik egy bizonyos mennyiségű anyag egy új vírus kutatásához, az antivírusok frissítést adnak ki, és elkezdenek reagálni rá.

Nem világos számomra, hogy mi akadályozza meg a víruskeresőket abban, hogy azonnal reagáljanak a rendszer bármely titkosítási folyamatára. Talán van néhány technikai árnyalat ebben a témában, amely nem teszi lehetővé a megfelelő választ és megakadályozza a felhasználói fájlok titkosítását. Számomra úgy tűnik, hogy lehetséges lenne legalább egy figyelmeztetést megjeleníteni arról, hogy valaki titkosítja a fájljait, és felajánlhatná a folyamat leállítását.

Hol igényelhető garantált visszafejtés

Véletlenül találkoztam egy olyan céggel, amely valóban dekódolja az adatokat a különféle titkosító vírusok, köztük a CRYPTED000007 munkája után. Címük: http://www.dr-shifro.ru. Fizetés csak a teljes visszafejtés és az Ön ellenőrzése után. Íme egy példa munkafolyamat:

  1. A cég szakembere autóval felkeresi az Ön irodáját vagy otthonát, és szerződést köt veled, amelyben rögzíti a munka költségét.
  2. Futtatja a visszafejtőt, és visszafejti az összes fájlt.
  3. Győződjön meg arról, hogy minden fájl meg van nyitva, és aláírja az elvégzett munka átadási/átvételi okiratát.
  4. Fizetés csak sikeres visszafejtés esetén.

Őszintén szólva nem tudom, hogyan csinálják, de nem kockáztatsz semmit. Fizetés csak a dekóder bemutatása után. Kérjük, írjon véleményt a céggel kapcsolatos tapasztalatairól.

A CRYPTED000007 vírus elleni védekezési módszerek

Hogyan védheti meg magát a zsarolóvírusok munkájától, és hogyan teheti meg anyagi és erkölcsi károk nélkül? Van néhány egyszerű és hatékony tipp:

  1. Biztonsági mentés! Biztonsági mentés minden fontos adatról. És nem csak egy biztonsági másolat, hanem egy olyan mentés, amelyhez nincs állandó hozzáférés. Ellenkező esetben a vírus a dokumentumokat és a biztonsági másolatokat is megfertőzheti.
  2. Licenc vírusirtó. Bár nem adnak 100%-os garanciát, növelik a titkosítás elkerülésének esélyét. Leggyakrabban nem állnak készen a ransomware új verzióira, de 3-4 nap múlva reagálni kezdenek. Ez növeli a fertőzés elkerülésének esélyét, ha nem szerepel az új ransomware-módosítások első hullámában.
  3. Ne nyissa meg a gyanús mellékleteket a levélben. Itt nincs mit kommentálni. Minden általam ismert kriptográfus levélben jutott el a felhasználókhoz. És minden alkalommal új trükköket találnak ki az áldozat megtévesztésére.
  4. Ne nyisson meg ész nélkül a barátai által küldött linkeket közösségi média vagy hírnökök. Így terjednek néha a vírusok.
  5. Beindítani windows kijelző fájlkiterjesztéseket. Ennek módja könnyen megtalálható az interneten. Ez lehetővé teszi, hogy észrevegye a vírus fájlkiterjesztését. Leggyakrabban az lesz .alkalmazás, .vbs, .src. A dokumentumokkal való mindennapi munka során valószínűleg nem találkozik ilyen fájlkiterjesztésekkel.

Igyekeztem kiegészíteni a ransomware vírusról szóló cikkekben korábban már leírtakat. Addig elköszönök. Örülök, ha hasznos megjegyzéseket kapok a cikkről és általában a CRYPTED000007 titkosító vírusról.

Videó visszafejtéssel és fájl-helyreállítással

Itt van egy példa a vírus korábbi módosítására, de a videó teljes mértékben releváns a CRYPTED000007 esetében is.

2017. május 1-jén és 2-án nagyszabású vírustámadás történt Windows operációs rendszert futtató számítógépeken. Csak Oroszországban körülbelül 30 000 számítógép fertőződött meg. Az áldozatok között nemcsak hétköznapi felhasználók voltak, hanem számos szervezet és kormányzati szerv is. A hálózat jelentése szerint az Orosz Föderáció Belügyminisztériumának CS-je és a Magafon hálózat részben megfertőződött. Emellett számos más, kevésbé ismert szervezet is szenvedett a WannaCry, vagy ahogyan gyakrabban nevezik - WCry támadástól. Egyelőre nem tudni, hogy a ransomware vírus hogyan hatolt be az ilyen védett eszközökre. Ez az egyik felhasználó hibájának a következménye, vagy a minisztérium hálózatának általános sérülékenysége - nem közölték. A Runet első információi a Kaspersky webhelyén jelentek meg (az űrlapon), ahol aktív vita folyt az új vírusról.

Mi ez a vírus?

A számítógépen való behatolás után a vírus kicsomagolja, telepíti a rendszer titkosítási kódjait a felhasználói adatokhoz, és a háttérben elkezdi titkosítani a számítógépen található összes információt saját, fájlnév.wncry típusú kódjaival. Íme, mi történik, miután számítógépe vírust kapott:

  • Közvetlenül a rendszerbe való belépés után a vírus elkezdi teljesen irányítani a rendszert, blokkolva bármilyen szoftver elindítását, még telepítés nélkül is,
  • A telepítést nem igénylő víruskeresők és segédprogramok, amelyek közvetlenül a meghajtó rendszerhez történő csatlakoztatása után indulnak el, szintén nem adnak eredményt, és egyszerűen nem indulnak el,
  • Az összes USB-port és meghajtó nem működik,
  • A képernyőt egy Wana DecryptOr 2.0 banner blokkolja, amely arról tájékoztat, hogy számítógépe vírussal fertőzött, minden rajta lévő adat titkosítva van, és fizetnie kell a zsarolóprogramért.
A vírus tulajdonosai felajánlják a felhasználónak, hogy 300 dollárnak megfelelő bitcoint utaljon át a számlájára. Arról is van információ, hogy ha 3 napon belül nem fizeti be a szükséges összeget, a befizetés összege megduplázódik. Ha egy héten belül nem érkezik meg a fizetés, a vírus minden felhasználói adatot töröl a számítógépről. Egyes felhasználóink ​​információi alapján ez az időzítési séma nem mindenkinél egyforma, és vannak olyan eszközök, amelyeken a ransomware fizetési időszak 14 nap.

Hogyan védekezhet a vírus ellen.

Ne essen pánikba, a vírus nem új keletű, amitől lehetetlen megvédeni magát. Ez egy gyakori zsarolóprogram, amelynek analógjaival többször találkoztunk. Hogy ne kapják el Számítógépes vírus, legyen óvatos az összes szoftver használatakor. Nem javasoljuk a szoftverek frissítését, még a beépített szoftvereket sem, amíg nincs pontosan meghatározva, hogy a vírus hogyan jut be a rendszerbe. Hajlamosak vagyunk azt hinni, hogy a vírus valamelyik program sebezhetőségén keresztül jut be a számítógépbe. A programok sérülékenységei pedig leggyakrabban egy sikertelenül megtervezett frissítés után jelennek meg, amelyben akkora "lyuk" van, amely lehetővé teszi a vírusok bejutását a rendszerbe. Ha van tapasztalata és lehetősége van, telepítsen kiváló minőségű, külső féltől származó tűzfalat, és egy ideig fokozza a rendszer és a hálózati tevékenység figyelését.

Az áldozatok segítése

Május 12-én, pénteken megkeresett minket egy állandó ügyfél, egy tervező, egy laptoppal, amelyen az elrendezéseit, forráskódjait és egyéb grafikus fájljait tárolták. Számítógépeit WannaCryptor vírus fertőzte meg. Számos „kísérletet” végeztek, amelyek eredményt hoztak! Íme, mi segített nekünk:

  • Szétszerelte a számítógépet, eltávolította a merevlemezt az adatokkal,
  • iMachez csatlakoztatott meghajtó,
  • A dekóderek számbavételével számos olyan dekódert találtunk, amelyek segítettek kihúzni az adatok egy részét a D lemezről.
  • Ezt követően az ügyfél úgy döntött, hogy a fennmaradó adatok eltávolításával újratelepíti a rendszert,
  • Minden esetre készítettünk egy képet a rendszerről a médiánkra, amint megjelenik a probléma megoldása, elmentjük a fennmaradó adatokat.
Kedves barátaim, ha áldozatok vagytok ez a vírus- vegye fel velünk a kapcsolatot, megpróbálunk segíteni. Ingyenes kísérleteket végzünk) És itt részletesen elmondjuk, hogyan. Harcoljunk együtt a gonosszal!
  • Már több mint 200 000 számítógép fertőződött meg!
A támadás fő célpontjai a vállalati szektort célozták meg, ezt követték a spanyol, portugál, kínai és angliai távközlési cégek.
  • A legnagyobb csapást az orosz felhasználók és cégek érték. Beleértve a Megafont, az Orosz Vasutat és – meg nem erősített információk szerint – a Nyomozóbizottságot és a Belügyminisztériumot. A Sberbank és az Egészségügyi Minisztérium is beszámolt rendszereik elleni támadásokról.
Az adatok dekódolásáért a támadók 300-600 dollár váltságdíjat követelnek bitcoinban (körülbelül 17-34 ezer rubel).

Windows 10 1909-es verzió frissítése

Interaktív fertőzési térkép (KATTINTSON A TÉRKÉPRE)
váltságdíj ablak
Titkosítja a következő kiterjesztésű fájlokat

Annak ellenére, hogy a vírus a vállalati szektort támadta meg, rendszeres felhasználó szintén nem mentes a WannaCry behatolásától és lehetséges veszteség fájl hozzáférés.
  • Útmutató a számítógép és a benne lévő adatok fertőzés elleni védelméhez:
1. Telepítse a Kaspersky System Watcher alkalmazást, amely egy beépített funkcióval rendelkezik a titkosító műveletei által okozott változások visszaállítására, amely még mindig képes volt megkerülni a védelmi eszközöket.
2. A Kaspersky Lab víruskereső programjának felhasználóinak azt tanácsoljuk, hogy ellenőrizzék, hogy a Rendszerfigyelés funkció engedélyezve van-e.
3. A Windows 10 rendszerhez készült ESET NOD32 víruskereső felhasználói számára egy olyan funkciót vezettek be, amely ellenőrzi az elérhető új operációs rendszer-frissítéseket. Abban az esetben, ha előre gondoskodott róla, és engedélyezte, akkor az összes szükséges új Windows frissítés telepítésre kerül, és rendszere teljes mértékben védett lesz ettől a WannaCryptor vírustól és más hasonló támadásoktól.
4. Ezenkívül az ESET NOD32 termékek felhasználói a programban olyan funkcióval rendelkeznek, mint a még ismeretlen fenyegetések észlelése. Ez a módszer viselkedési, heurisztikus technológia alkalmazásán alapul.

Ha egy vírus vírusként viselkedik, akkor nagy valószínűséggel vírus.

Technológia felhőrendszer Május 12. óta az ESET LiveGrid nagyon sikeresen veri vissza a vírus támadásait, és mindez még az aláírási adatbázis-frissítés megérkezése előtt történt.
5. Az ESET technológiák biztonságot nyújtanak még a korábbi eszközökön is Windows rendszerek XP, Windows 8 és Windows Server 2003 (azt javasoljuk, hogy hagyja abba az adatok felhasználását örökölt rendszerek ). Az ezen operációs rendszerekkel kapcsolatos nagyon magas szintű fenyegetés miatt a Microsoft a frissítések kiadása mellett döntött. Töltse le őket.
6. A számítógépet érő károsodás veszélyének minimalizálása érdekében sürgősen frissítenie kell a Windows verziók 10: Start - Beállítások - Frissítés és biztonság - Frissítések keresése (más esetekben: Start - Minden program - Windows Update - Frissítések keresése - Letöltés és telepítés).
7. Telepítse a hivatalos javítást (MS17-010) a Microsofttól, amely kijavítja az SMB-kiszolgáló azon hibáját, amelyen keresztül a vírus behatolhat. Ez a szerver részt vett ebben a támadásban.
8. Ellenőrizze, hogy minden elérhető biztonsági eszköz fut-e és működik-e a számítógépén.
9. Végezzen vírusellenőrzést a teljes rendszeren. Amikor egy rosszindulatú támadást nevezett MEM:Trojan.Win64.EquationDrug.gen, indítsa újra a rendszert.
És még egyszer azt javaslom, hogy ellenőrizze, hogy az MS17-010 javítások telepítve vannak-e.

Jelenleg a Kaspersky Lab, az ESET NOD32 és más víruskereső termékek szakemberei aktívan dolgoznak egy fájlok visszafejtésére szolgáló program megírásán, amely segít a fertőzött számítógépek felhasználóinak visszaállítani a fájlokhoz való hozzáférést.