Dešimtmečius kibernetiniai nusikaltėliai sėkmingai išnaudojo žiniatinklio trūkumus ir pažeidžiamumą. Tačiau į pastaraisiais metais akivaizdžiai padaugėjo atakų, taip pat išaugo jų lygis – užpuolikai darosi vis pavojingesni, o kenkėjiškos programos plinta dar neregėtu greičiu.

Įvadas

Kalbame apie išpirkos reikalaujančias programas, kurios 2017 m. padarė neįtikėtiną šuolį ir padarė žalos tūkstančiams organizacijų visame pasaulyje. Pavyzdžiui, Australijoje ransomware atakos, tokios kaip WannaCry ir NotPetya, netgi sukėlė susirūpinimą vyriausybės lygiu.

Apibendrindami šių metų „ransomware“ „sėkmę“, pažvelgsime į 10 pavojingiausių, padariusių daugiausia žalos organizacijoms. Tikėkimės, kad kitais metais išmoksime pamokas ir neleisime, kad ši problema prasiskverbtų į mūsų tinklus.

Ne Petya

Šios išpirkos reikalaujančios programos ataka prasidėjo nuo Ukrainos apskaitos programos M.E.Doc, kuri pakeitė Ukrainoje uždraustą 1C. Vos per kelias dienas NotPetya užkrėtė šimtus tūkstančių kompiuterių daugiau nei 100 šalių. Ši kenkėjiška programa yra senesnės Petya ransomware variantas, vienintelis skirtumas yra tas, kad NotPetya atakos naudojo tą patį išnaudojimą kaip ir WannaCry atakos.

Išplitusi „NotPetya“ palietė kelias organizacijas Australijoje, pavyzdžiui, „Cadbury“ šokolado gamyklą Tasmanijoje, kuri turėjo laikinai išjungti visą IT sistemą. Išpirkos reikalaujanti programa taip pat sugebėjo įsiskverbti į didžiausią pasaulyje konteinerių laivą, priklausantį „Maersk“, kuris, kaip pranešama, prarado iki 300 mln.

WannaCry

Ši išpirkos reikalaujanti programa, siaubinga savo mastu, praktiškai užkariavo visą pasaulį. Jo atakos naudojo liūdnai pagarsėjusį „EternalBlue“ išnaudojimą, išnaudojant pažeidžiamumą Microsoft serveris Pranešimų blokas (SMB).

Vien per pirmąją dieną WannaCry užkrėtė aukas 150 šalių ir daugiau nei 200 000 įrenginių. Paskelbėme šią sensacingą kenkėjišką programą.

Locky

„Locky“ buvo populiariausia išpirkos reikalaujanti programinė įranga 2016 m., tačiau ji nesustojo ir 2017 m. Šiais metais pasirodė nauji „Locky“ variantai, pavadinti „Diablo“ ir „Lukitus“, naudojant tą patį atakos vektorių (sukčiavimą), kad suaktyvintų išnaudojimus.

Tai buvo Locky, kuris buvo už Australia Post el. pašto sukčiavimo skandalo. Australijos konkurencijos ir vartotojų komisijos duomenimis, piliečiai dėl šios sukčiavimo prarado daugiau nei 80 000 USD.

krize

Šis atvejis pasižymėjo meistrišku nuotolinio darbalaukio protokolo (RDP) naudojimu. KPP yra vienas iš populiariausių išpirkos reikalaujančių programų platinimo metodų, nes jį gali naudoti kibernetiniai nusikaltėliai, norėdami sukompromituoti mašinas, kurios valdo visas organizacijas.

CrySis aukos buvo priverstos sumokėti nuo 455 iki 1022 USD, kad jų failai būtų atstatyti.

Nemucode

„Nemucod“ platinamas sukčiavimo el. paštu, kuris atrodo kaip siuntimo sąskaita. Ši išpirkos reikalaujanti programa atsisiunčia kenkėjiškų failų, saugomų svetainėse, į kurias buvo įsilaužta.

Kalbant apie sukčiavimo el. paštą, „Nemucod“ nusileidžia tik „Locky“.

jaff

Jaff yra panašus į Locky ir naudoja panašius metodus. Ši išpirkos reikalaujanti programa nepasižymi originaliais platinimo metodais ar failų šifravimu, o priešingai, ji apjungia sėkmingiausias praktikas.

Už jo stovėję užpuolikai pareikalavo iki 3700 USD už prieigą prie užšifruotų failų.

Spora

Norėdami platinti tokio tipo išpirkos reikalaujančias programas, kibernetiniai nusikaltėliai įsilaužia į teisėtas svetaines, pridėdami prie jų „JavaScript“ kodą. Vartotojai, patekę į tokią svetainę, gaus iššokantį įspėjimą, raginantį juos atnaujinti Chrome naršyklė norėdami toliau naršyti svetainėje. Atsisiuntę vadinamąjį „Chrome Font Pack“, vartotojai užsikrėtė „Spora“.

cerber

Vienas iš daugelio Cerber naudojamų atakų vektorių vadinamas RaaS (Ransomware-as-a-Service). Pagal šią schemą užpuolikai siūlo susimokėti už Trojos arklys platinimą, už tai žadėdami procentą nuo gautų pinigų. Per šią „paslaugą“ kibernetiniai nusikaltėliai išsiunčia išpirkos reikalaujančias programas, o vėliau suteikia kitiems užpuolikams įrankius jai platinti.

Kriptomiksas

Tai viena iš nedaugelio išpirkos reikalaujančių programų, kuri neturi tam tikro tipo mokėjimo portalo tamsiajame žiniatinklyje. Paveikti vartotojai turi laukti, kol kibernetiniai nusikaltėliai jiems atsiųs el paštu nurodymus.

„Cryptomix“ aukomis tapo vartotojai iš 29 šalių, jie buvo priversti sumokėti iki 3000 USD.

Dėlionė

Dar viena kenkėjiška programa iš sąrašo, kuri savo veiklą pradėjo 2016 m. Jigsaw į šlamšto el. laiškus įterpia klouno atvaizdą iš filmų serijos „Pjūklas“. Kai vartotojas spusteli vaizdą, išpirkos reikalaujanti programa ne tik užšifruoja, bet ir ištrina failus, jei vartotojas per vėlu sumokėti 150 USD išpirką.

išvadas

Kaip matome, šiuolaikinės grėsmės naudoja vis sudėtingesnius išnaudojimus prieš gerai apsaugotus tinklus. Nors didesnis darbuotojų informuotumas padeda valdyti infekcijų poveikį, įmonės, siekdamos apsisaugoti, turi viršyti pagrindinius kibernetinio saugumo standartus. Norint apsisaugoti nuo šiandieninių grėsmių, reikia imtis iniciatyvių metodų, kurie išnaudotų realiojo laiko analizės galią, pagrįstą mokymosi varikliu, apimančiu grėsmių elgesio ir konteksto supratimą.

Maždaug prieš savaitę ar dvi tinkle pasirodė dar vienas šiuolaikinių virusų kūrėjų darbas, užšifruojantis visus vartotojų failus. Dar kartą apsvarstysiu klausimą, kaip išgydyti kompiuterį po ransomware viruso šifruota000007 ir atkurti užšifruotus failus. Šiuo atveju nieko naujo ir unikalaus neatsirado, tik ankstesnės versijos modifikacija.

Garantuotas failų iššifravimas po išpirkos reikalaujančio viruso – dr-shifro.ru. Išsamią informaciją apie darbą ir bendravimo su klientu schema rasite žemiau mano straipsnyje arba svetainės skiltyje „Darbo tvarka“.

Išpirkos reikalaujančio viruso CRYPTED000007 aprašymas

Šifruotojas CRYPTED000007 iš esmės nesiskiria nuo savo pirmtakų. Tai veikia beveik vienas prieš vieną. Tačiau vis tiek yra keletas niuansų, kurie jį išskiria. Papasakosiu apie viską iš eilės.

Jis, kaip ir jo kolegos, ateina paštu. Naudojami metodai socialinė inžinerija kad vartotojas tikrai susidomėtų laišku ir jį atidarytų. Mano atveju laiškas buvo apie kažkokį teismą ir apie svarbią informaciją apie bylą priede. Paleidęs priedą, vartotojas atidaro Word dokumentą su išrašu iš Maskvos arbitražo teismo.

Kartu su dokumento atidarymu prasideda failų šifravimas. Pradeda nuolat rodyti informacinį pranešimą iš Windows vartotojo abonemento valdymo sistemos.

Jei sutinkate su pasiūlymu, tada atsargines kopijas failai šešėlyje „Windows“ kopijos bus ištrintas ir atgauti informaciją bus labai sunku. Akivaizdu, kad bet kuriuo atveju negalima sutikti su pasiūlymu. Šioje išpirkos programoje šios užklausos pasirodo nuolat, po vieną ir nesiliauja, priversdamos vartotoją sutikti ir ištrinti atsargines kopijas. Tai yra pagrindinis skirtumas nuo ankstesnių išpirkos reikalaujančių programų modifikacijų. Niekada nemačiau, kad šešėlinės kopijos ištrynimo užklausos būtų vykdomos be perstojo. Paprastai po 5-10 sakinių jie nutrūkdavo.

Pateiksiu rekomendaciją ateičiai. Labai dažnai žmonės išjungia įspėjimus iš vartotojo abonemento valdymo sistemos. Jums to daryti nereikia. Šis mechanizmas tikrai gali padėti atsispirti virusams. Antras akivaizdus patarimas – nedirbkite nuolat sąskaitą kompiuterio administratorius, jei tai nėra objektyviai būtina. Tokiu atveju virusas neturės galimybės padaryti daug žalos. Labiau tikėtina, kad jam pasipriešinsite.

Tačiau net jei visą laiką neigiamai atsakydavote į išpirkos reikalaujančių programų užklausas, visi jūsų duomenys jau yra užšifruoti. Kai šifravimo procesas bus baigtas, darbalaukyje pamatysite paveikslėlį.

Tuo pačiu metu bus daug tekstinius failus su tuo pačiu turiniu.

Jūsų failai buvo užšifruoti. Norėdami iššifruoti ux, turite pataisyti kodą: 329D54752553ED978F94|0 į el. pašto adresą [apsaugotas el. paštas]. Tada gausite visas reikalingas instrukcijas. Bandymai jį iššifruoti patiems nieko neprives, išskyrus negrįžtamą informacijos kiekį. Jei vis tiek norite pabandyti, iš anksto pasidarykite atsargines failų kopijas, kitaip, ux pakeitimų atveju, iššifravimas nebus įmanomas jokiomis aplinkybėmis. Jei per 48 valandas (ir tik šiuo atveju!) negavote atsakymo aukščiau nurodytu adresu, naudokite atsiliepimų formą. Tai galima padaryti dviem būdais: 1) Atsisiųskite ir įdiekite Tor naršyklė nuorodoje: https://www.torproject.org/download/download-easy.html.en Įveskite adresą: http://cryptsen7fo43rr6.onion/ „Tor Browser“ adreso laukelyje ir paspauskite „Enter“. Puslapis su kontaktine forma įkeliamas. 2) Bet kurioje naršyklėje eikite į vieną iš adresų: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Visi svarbūs failai jūsų kompiuteryje buvo užšifruoti. Norėdami iššifruoti failus, atsiųskite šį kodą: 329D54752553ED978F94|0 el. pašto adresu [apsaugotas el. paštas]. Tada gausite visas reikalingas instrukcijas. Visi jūsų pačių bandymai iššifruoti sukels tik neatšaukiamą jūsų duomenų praradimą. Jei vis tiek norite pabandyti juos iššifruoti patys, iš pradžių pasidarykite atsarginę kopiją, nes iššifravimas taps neįmanomas, jei failuose bus atlikti pakeitimai. Jei daugiau nei 48 valandas (ir tik šiuo atveju!) negavote atsakymo iš anksčiau nurodyto el. laiško, naudokite atsiliepimo formą. Tu gali darykite tai dviem būdais: 1) Atsisiųskite „Tor“ naršyklę iš čia: https://www.torproject.org/download/download-easy.html.en Įdiekite ją ir adreso juostoje įveskite šį adresą: http://cryptsen7fo43rr6 .onion/ Paspauskite Enter ir bus įkeltas puslapis su atsiliepimų forma. 2) Bet kurioje naršyklėje eikite į vieną iš šių adresų: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Pašto adresas gali keistis. Mačiau kitus tokius adresus:

Adresai nuolat atnaujinami, todėl gali būti visiškai skirtingi.

Kai tik pastebėsite, kad failai yra užšifruoti, nedelsdami išjunkite kompiuterį. Tai turi būti padaryta norint nutraukti šifravimo procesą tiek vietiniame kompiuteryje, tiek tinklo diskuose. Išpirkos reikalaujantis virusas gali užšifruoti visą informaciją, kurią gali pasiekti, įskaitant tinklo diskus. Bet jei informacijos yra daug, tai jam užtruks nemažai laiko. Kartais net per porą valandų šifruotojas nespėjo visko užšifruoti tinklo diskas apie 100 gigabaitų dydžio.

Toliau reikia gerai apgalvoti, kaip elgtis. Jei jums būtinai reikia informacijos kompiuteryje ir neturite atsarginių kopijų, šiuo metu geriau kreiptis į specialistus. Nebūtinai už pinigus kai kuriose įmonėse. Jums tereikia gerai išmanančio žmogaus Informacinės sistemos. Būtina įvertinti nelaimės mastą, pašalinti virusą, surinkti visą turimą informaciją apie situaciją, kad suprastume, kaip elgtis toliau.

Netinkami veiksmai šiame etape gali labai apsunkinti failų iššifravimo ar atkūrimo procesą. Blogiausiu atveju jie gali padaryti tai neįmanomą. Taigi neskubėkite, būkite atsargūs ir nuoseklūs.

Kaip CRYPTED000007 išpirkos reikalaujantis virusas užšifruoja failus

Po to, kai virusas bus paleistas ir baigs savo veiklą, visi naudingi failai bus užšifruoti, pervadinti iš plėtinys.crypted000007. Ir bus pakeistas ne tik failo plėtinys, bet ir failo pavadinimas, todėl, jei neprisiminsite, tiksliai nežinosite, kokius failus turėjote. Bus kažkas panašaus į šį paveikslėlį.

Esant tokiai situacijai, bus sunku įvertinti tragedijos mastą, nes negalėsite iki galo prisiminti, ką patyrėte. skirtingus aplankus. Tai buvo daroma tyčia, siekiant suklaidinti žmogų ir paskatinti susimokėti už failų iššifravimą.

O jei būtum užšifruotas ir tinklo aplankus ir ne pilnos atsarginės kopijos, tai apskritai gali sustabdyti visos organizacijos darbą. Jūs ne iš karto suprasite, kas galiausiai prarandama, kad pradėtumėte pasveikti.

Kaip elgtis su kompiuteriu ir pašalinti išpirkos reikalaujančią programinę įrangą CRYPTED000007

CRYPTED000007 virusas jau yra jūsų kompiuteryje. Pirmas ir svarbiausias klausimas – kaip išgydyti kompiuterį ir kaip iš jo pašalinti virusą, kad būtų išvengta tolesnio šifravimo, jei jis dar nebaigtas. Iš karto atkreipiu jūsų dėmesį į tai, kad po to, kai jūs pats pradedate atlikti tam tikrus veiksmus su kompiuteriu, duomenų iššifravimo tikimybė sumažėja. Jei reikia visais būdais atkurti failus, nelieskite kompiuterio, o nedelsdami kreipkitės į specialistus. Žemiau pakalbėsiu apie juos ir pateiksiu nuorodą į svetainę bei aprašysiu jų darbo schemą.

Tuo tarpu mes toliau savarankiškai dirbsime su kompiuteriu ir pašalinsime virusą. Tradiciškai išpirkos reikalaujančios programos lengvai pašalinamos iš kompiuterio, nes virusas neturi užduoties bet kokia kaina likti kompiuteryje. Visiškai užšifravus failus, jam dar labiau apsimoka išsitrinti ir dingti, kad būtų sunkiau ištirti incidentą ir iššifruoti failus.

Sunku aprašyti viruso pašalinimą rankiniu būdu, nors bandžiau tai daryti anksčiau, bet matau, kad dažniausiai tai yra beprasmiška. Failų pavadinimai ir virusų patalpinimo keliai nuolat keičiasi. Tai, ką pamačiau, po savaitės ar dviejų nebeaktualu. Dažniausiai virusai siunčiami paštu bangomis ir kaskart atsiranda nauja modifikacija, kurios antivirusai dar neaptiko. Padeda universalūs įrankiai, kurie tikrina automatinį paleidimą ir nustato įtartiną veiklą sistemos aplankuose.

Norėdami pašalinti CRYPTED000007 virusą, galite naudoti šias programas:

  1. „Kaspersky Virus Removal Tool“ – „Kaspersky“ http://www.kaspersky.ru/antivirus-removal-tool įrankis.
  2. Dr.Web CureIt! - panašus produktas iš kito interneto http://free.drweb.ru/cureit.
  3. Jei pirmosios dvi programos nepadeda, išbandykite MALWAREBYTES 3.0 – https://ru.malwarebytes.com .

Greičiausiai vienas iš šių produktų išvalys kompiuterį nuo CRYPTED000007 išpirkos reikalaujančios programos. Jei staiga nutinka, kad jie nepadeda, pabandykite virusą pašalinti rankiniu būdu. Kaip pavyzdį pateikiau pašalinimo techniką ir jūs galite tai pamatyti. Trumpai tariant, štai ką jums reikia padaryti:

  1. Mes žiūrime į procesų sąrašą, anksčiau į užduočių tvarkyklę įtraukę keletą papildomų stulpelių.
  2. Surandame viruso procesą, atidarome aplanką, kuriame jis yra, ir ištriname.
  3. Viruso proceso paminėjimą išvalome pagal failo pavadinimą registre.
  4. Perkrauname ir įsitikiname, kad CRYPTED000007 viruso nėra veikiančių procesų sąraše.

Kur atsisiųsti iššifravimo priemonę CRYPTED000007

Paprasto ir patikimo iššifruotojo klausimas pirmiausia iškyla kalbant apie išpirkos reikalaujantį virusą. Pirmas dalykas, kurį patariu, yra naudoti https://www.nomoreransom.org paslaugą. Ką daryti, jei jums pasiseks, jie turės jūsų CRYPTED000007 šifruotojo versijos iššifratorių. Iš karto pasakysiu, kad jūs neturite daug galimybių, bet bandymas nėra kankinimas. Ant pagrindinis puslapis spustelėkite Taip:

Tada įkelkite keletą užšifruotų failų ir spustelėkite Pirmyn! išsiaiškinti:

Rašymo metu dekoderio svetainėje nebuvo.

Galbūt jums pasiseks daugiau. Atsisiunčiamų iššifratorių sąrašą taip pat galite pamatyti atskirame puslapyje – https://www.nomoreransom.org/decryption-tools.html . Gal ten yra kas nors naudingo. Kai virusas yra labai šviežias, to tikimybė yra maža, tačiau laikui bėgant kažkas gali pasirodyti. Yra pavyzdžių, kai tinkle pasirodė kai kurių išpirkos reikalaujančių programų modifikacijų iššifratoriai. Ir šie pavyzdžiai yra nurodytame puslapyje.

Kur dar galėčiau rasti dekoderių, nežinau. Mažai tikėtina, kad jis tikrai egzistuos, atsižvelgiant į šiuolaikinių išpirkos programų darbo ypatumus. Visavertį dekoderį gali turėti tik viruso autoriai.

Kaip iššifruoti ir atkurti failus po CRYPTED000007 viruso

Ką daryti, kai CRYPTED000007 virusas užšifravo jūsų failus? Techninis šifravimo įgyvendinimas neleidžia iššifruoti failų be rakto ar iššifruotojo, kurį turi tik šifruotojo autorius. Gal yra koks nors kitas būdas tai gauti, bet aš tokios informacijos neturiu. Galime bandyti atkurti failus tik improvizuotais metodais. Jie apima:

  • Įrankis šešėlinės kopijos langai.
  • Programos, skirtos atkurti ištrintus duomenis

Pirmiausia patikrinkime, ar įjungtos šešėlinės kopijos. Šis įrankis veikia pagal numatytuosius nustatymus „Windows 7“ ir naujesnėse versijose, nebent jį išjungsite rankiniu būdu. Norėdami patikrinti, atidarykite kompiuterio ypatybes ir eikite į sistemos apsaugos skyrių.

Jei užsikrėtimo metu nepatvirtinote UAC užklausa Norėdami ištrinti šešėlinėse kopijose esančius failus, kai kurie duomenys turėtų likti ten. Plačiau apie šį prašymą kalbėjau pasakojimo pradžioje, kai pasakojau apie viruso darbą.

Norėdami lengvai atkurti failus iš šešėlinių kopijų, siūlau naudoti nemokama programa už tai - ShadowExplorer . Atsisiųskite archyvą, išpakuokite programą ir paleiskite.

Atsidarys paskutinė failų kopija ir C disko šaknis.Kairėje viršutiniame kampe galite pasirinkti atsarginę kopiją, jei turite daugiau nei vieną. Patikrinkite skirtingas kopijas norimus failus. Palyginkite pagal datas, kur daugiau nauja versija. Toliau pateiktame pavyzdyje darbalaukyje radau 2 failus, kurių paskutinio redagavimo metu buvo trys mėnesiai.

Man pavyko atkurti šiuos failus. Norėdami tai padaryti, aš juos pasirinkau, paspaudžiau dešiniuoju pelės mygtuku spustelėkite pele, pasirinko Eksportuoti ir nurodė aplanką, kur juos atkurti.

Tuo pačiu būdu galite nedelsiant atkurti aplankus. Jei šešėlinės kopijos jums pasiteisino ir jūs jų neištrynėte, turite gana daug galimybių atkurti visus arba beveik visus viruso užšifruotus failus. Galbūt kai kurių jų bus daugiau sena versija nei norėčiau, bet vis dėlto tai geriau nei nieko.

Jei dėl kokių nors priežasčių neturite šešėlinių failų kopijų, vienintelė galimybė gauti bent dalį užšifruotų failų yra juos atkurti naudojant atkūrimo įrankius. ištrintus failus. Tam siūlau pasinaudoti nemokama Photorec programa.

Paleiskite programą ir pasirinkite diską, kuriame atkursite failus. Paleidus grafinę programos versiją, failas vykdomas qphotorec_win.exe. Turite pasirinkti aplanką, kuriame bus patalpinti rasti failai. Geriau, jei šis aplankas nėra tame pačiame diske, kuriame ieškome. Prijunkite „flash drive“ arba išorinį HDD už tai.

Paieškos procesas užtruks ilgai. Pabaigoje pamatysite statistiką. Dabar galite eiti į anksčiau nurodytą aplanką ir pamatyti, kas ten rasta. Labiausiai tikėtina, kad failų bus daug ir dauguma jų bus sugadinti, arba tai bus kažkokia sistema ir nenaudingi failai. Tačiau nepaisant to, šiame sąraše bus galima rasti dalį naudingų failų. Čia nėra garantijų, ką rasite, tą ir rasite. Geriausia, kad vaizdai paprastai atkuriami.

Jei rezultatas jūsų netenkina, vis tiek yra programų, skirtų ištrintiems failams atkurti. Toliau pateikiamas programų, kurias dažniausiai naudoju, kai reikia atkurti, sąrašas maksimali suma failai:

  • R.taupytojas
  • „Starus“ failų atkūrimas
  • JPEG Recovery Pro
  • Aktyvus failų atkūrimo profesionalas

Šios programos nėra nemokamos, todėl nuorodų nepateiksiu. Turėdami didelį norą, galite patys juos rasti internete.

Visas failo atkūrimo procesas išsamiai parodytas vaizdo įraše pačioje straipsnio pabaigoje.

Kaspersky, eset nod32 ir kiti kovojant su Filecoder.ED išpirkos programomis

Populiarios antivirusinės programos CRYPTED000007 išpirkos reikalaujančią programinę įrangą apibūdina kaip Filecoder.ED ir tada gali būti koks nors kitas pavadinimas. Perėjau pagrindinių antivirusinių forumus ir nieko naudingo ten nemačiau. Deja, kaip įprasta, antivirusinės programos nebuvo pasiruošusios naujos išpirkos programinės įrangos bangos invazijai. Štai pranešimas iš Kaspersky forumo.

Antivirusinės programos tradiciškai praleidžia naujas išpirkos reikalaujančių Trojos arklių modifikacijas. Tačiau aš rekomenduoju juos naudoti. Jei jums pasiseks ir išpirkos reikalaujančią programinę įrangą į savo paštą gausite ne per pirmąją infekcijų bangą, o kiek vėliau, yra tikimybė, kad antivirusinė programa jums padės. Jie visi vienu žingsniu atsilieka nuo užpuolikų. išeina nauja versija ransomware, antivirusinės programos į tai nereaguoja. Kai tik susikaupia tam tikra masė naujo viruso tyrimams, antivirusai išleidžia atnaujinimą ir pradeda į jį reaguoti.

Kas neleidžia antivirusinėms programoms nedelsiant reaguoti į bet kokį šifravimo procesą sistemoje, man nėra aišku. Galbūt šioje temoje yra tam tikras techninis niuansas, kuris neleidžia tinkamai reaguoti ir užkirsti kelią vartotojo failų šifravimui. Man atrodo, kad būtų galima bent parodyti įspėjimą apie tai, kad kažkas šifruoja jūsų failus, ir pasiūlyti sustabdyti procesą.

Kur kreiptis dėl garantuoto iššifravimo

Teko sutikti vieną įmonę, kuri tikrai iššifruoja duomenis po įvairių šifravimo virusų darbo, įskaitant CRYPTED000007. Jų adresas yra http://www.dr-shifro.ru. Mokėjimas tik po visiško iššifravimo ir jūsų patvirtinimo. Štai darbo eigos pavyzdys:

  1. Įmonės specialistas atvažiuoja į Jūsų biurą ar namus ir pasirašo su Jumis sutartį, kurioje fiksuoja darbų kainą.
  2. Paleidžia iššifravimo priemonę ir iššifruoja visus failus.
  3. Įsitikinkite, kad visos bylos yra atidarytos, ir pasirašote atliktų darbų perdavimo/priėmimo aktą.
  4. Mokėjimas tik sėkmingai iššifravus.

Jei atvirai, aš nežinau, kaip jie tai daro, bet jūs niekuo nerizikuojate. Mokėjimas tik po dekoderio demonstravimo. Prašome parašyti atsiliepimą apie savo patirtį su šia įmone.

Apsaugos nuo viruso CRYPTED000007 metodai

Kaip apsisaugoti nuo išpirkos reikalaujančios programos darbo ir apsieiti be materialinės ir moralinės žalos? Yra keletas paprastų ir veiksmingų patarimų:

  1. Atsarginė kopija! Visų svarbių duomenų atsarginė kopija. Ir ne tik atsarginė kopija, bet ir atsarginė kopija, prie kurios nėra nuolatinės prieigos. Priešingu atveju virusas gali užkrėsti jūsų dokumentus ir atsargines kopijas.
  2. Licencijuota antivirusinė. Nors jie nesuteikia 100% garantijos, jie padidina tikimybę išvengti šifravimo. Dažniausiai jie nėra pasiruošę naujoms išpirkos programinės įrangos versijoms, tačiau po 3–4 dienų pradeda reaguoti. Tai padidina jūsų šansus išvengti infekcijos, jei nesate įtrauktas į pirmąją naujos išpirkos reikalaujančios programos modifikacijos laiškų bangą.
  3. Neatidarykite įtartinų pašto priedų. Nėra čia ką komentuoti. Visi man žinomi kriptografai pas vartotojus pateko paštu. Ir kaskart išrandami nauji triukai aukai apgauti.
  4. Be proto neatidarykite nuorodų, kurias jums atsiuntė jūsų draugai socialiniai tinklai arba pasiuntiniai. Taip kartais plinta virusai.
  5. Užsukite langų ekranas failų plėtiniai. Kaip tai padaryti, nesunku rasti internete. Tai leis jums pastebėti viruso failo plėtinį. Dažniausiai taip bus .exe, .vbs, .src. Kasdien dirbdami su dokumentais vargu ar susidursite su tokiais failų plėtiniais.

Bandžiau papildyti tai, ką jau rašiau anksčiau kiekviename straipsnyje apie išpirkos reikalaujantį virusą. Iki tol atsisveikinu. Man bus malonu gauti naudingų komentarų apie straipsnį ir CRYPTED000007 šifravimo virusą apskritai.

Vaizdo įrašas su iššifravimu ir failų atkūrimu

Čia yra ankstesnės viruso modifikacijos pavyzdys, tačiau vaizdo įrašas visiškai tinka ir CRYPTED000007.

2017 metų gegužės 1 ir 2 dienomis kompiuteriuose, kuriuose veikia Windows, įvyko didelio masto virusų ataka. Vien Rusijoje buvo užkrėsta apie 30 000 kompiuterių. Tarp aukų buvo ne tik paprasti vartotojai, bet ir daugybė organizacijų bei vyriausybinių įstaigų. Remiantis tinklo pranešimais, Rusijos Federacijos vidaus reikalų ministerijos CS ir „Magafon“ tinklas buvo iš dalies užkrėsti. Taip pat nemažai kitų, mažiau žinomų organizacijų nukentėjo nuo „WannaCry“ atakos, arba kaip ji dažniau vadinama – WCry. Kaip išpirkos reikalaujantis virusas pateko į tokius apsaugotus įrenginius, kol kas nežinoma. Ar tai buvo vieno iš vartotojų klaidos pasekmė, ar tai yra bendras ministerijos tinklo pažeidžiamumas – nepranešama. Pirmoji informacija Runet pasirodė Kaspersky svetainėje (formoje), kur buvo aktyviai diskutuojama apie naująjį virusą.

Kas tai per virusas?

Įsiskverbęs į kompiuterį virusas išsipakuoja, įdiegdamas savo sistemos šifravimo kodus vartotojo duomenims ir fone pradeda šifruoti visą kompiuteryje esančią informaciją savais failovardas.wncry tipo kodais. Štai kas nutinka, kai jūsų kompiuteris užfiksuoja virusą:

  • Iš karto po patekimo į sistemą virusas pradeda visiškai valdyti sistemą, blokuodamas bet kokios programinės įrangos paleidimą, net ir neįdiegęs,
  • Antivirusinės ir komunalinės paslaugos, kurių nereikia įdiegti, kurios paleidžiamos iškart prijungus diską prie sistemos, taip pat neduoda jokio rezultato ir tiesiog nepasileidžia,
  • Visi USB prievadai ir diskai nustoja veikti,
  • Ekraną blokuos Wana DecryptOr 2.0 reklamjuostė, informuojanti, kad jūsų kompiuteris užkrėstas virusu, visi jame esantys duomenys yra užšifruoti, o už išpirkos reikalaujančią programą reikia sumokėti.
Viruso savininkai siūlo vartotojui į savo sąskaitą pervesti 300 USD ekvivalentą bitkoinais. Taip pat yra informacijos, kad nesumokėjus reikiamos sumos per 3 dienas, mokėjimo suma bus padvigubinta. Jei apmokėjimas nebus gautas per savaitę, virusas ištrins visus vartotojo duomenis iš kompiuterio. Sprendžiant iš kai kurių mūsų vartotojų informacijos, ši laiko schema nėra vienoda visiems, o yra įrenginių, kuriuose išpirkos reikalaujančios programos mokėjimo laikotarpis yra 14 dienų.

Kaip apsisaugoti nuo viruso.

Neišsigąskite, virusas nėra naujas, nuo kurio neįmanoma apsisaugoti. Tai dažna išpirkos reikalaujanti programa, su kurios analogais mes ne kartą susidūrėme. Kad neužkliūtų kompiuterinis virusas, būkite atsargūs naudodami visą programinę įrangą. Nerekomenduojame atnaujinti jokios programinės įrangos, net ir integruotos, kol tiksliai nenustatyta, kaip virusas pateks į sistemą. Esame linkę manyti, kad virusas į kompiuterį patenka per kokios nors programos pažeidžiamumą. O pažeidžiamumai programose dažniausiai atsiranda po nesėkmingai sukurto atnaujinimo, kuriame yra tokia didžiulė „skylė“, leidžianti virusams patekti į sistemą. Jei turite patirties ir galimybių, įdiekite kokybišką trečiosios šalies užkardą ir kurį laiką padidinkite sistemos ir tinklo veiklos stebėjimą.

Pagalba aukoms

Penktadienį, gegužės 12 d., į mus kreipėsi eilinis klientas dizaineris su nešiojamu kompiuteriu, kuriame buvo saugomi jo maketai, šaltinio kodai ir kiti grafiniai failai. Jo kompiuteriai buvo užkrėsti WannaCryptor virusu. Buvo atlikta nemažai „eksperimentų“, kurie davė rezultatų! Štai kas mums padėjo:

  • Išardė kompiuterį, išėmė kietąjį diską su duomenimis,
  • Prijungtas diskas prie iMac,
  • Išvardydami dekoderius, radome keletą, kurie padėjo ištraukti dalį duomenų iš disko D.
  • Po to klientas nusprendė iš naujo įdiegti sistemą pašalindamas likusius duomenis,
  • Tik tuo atveju, mes padarėme sistemos vaizdą savo laikmenoje, kai tik atsiras problemos sprendimas, išsaugosime likusius duomenis.
Mieli draugai, jei esate auka šis virusas- susisiekite su mumis, mes pasistengsime padėti. Eksperimentus atliekame nemokamai) Ir čia mes jums išsamiai pasakysime, kaip. Kovokime su blogiu kartu!
  • Daugiau nei 200 000 kompiuterių jau buvo užkrėsti!
Pagrindiniai atakos taikiniai buvo nukreipti į įmonių sektorių, o antroje vietoje atsidūrė telekomunikacijų bendrovės Ispanijoje, Portugalijoje, Kinijoje ir Anglijoje.
  • Didžiausias smūgis buvo padarytas Rusijos vartotojams ir įmonėms. Įskaitant „Megafon“, Rusijos geležinkelius ir, nepatvirtintais duomenimis, Tyrimų komitetą bei Vidaus reikalų ministeriją. „Sberbank“ ir Sveikatos apsaugos ministerija taip pat pranešė apie atakas prieš jų sistemas.
Už duomenų iššifravimą užpuolikai reikalauja išpirkos nuo 300 iki 600 dolerių bitkoinais (apie 17 000-34 000 rublių).

Windows 10 versijos 1909 naujinimas

Interaktyvus infekcijos žemėlapis (SPUSTELKITE ŽEMĖLAPĮ)
išpirkos langas
Šifruoja toliau nurodytų plėtinių failus

Nepaisant to, kad virusas buvo nukreiptas į įmonių sektorių, eilinis vartotojas taip pat nėra apsaugotas nuo WannaCry įsiskverbimo ir galimas praradimas prieiga prie failų.
  • Nurodymai, kaip apsaugoti kompiuterį ir jame esančius duomenis nuo užkrėtimo:
1. Įdiekite „Kaspersky System Watcher“ programą, kurioje yra įmontuota funkcija, leidžianti atšaukti pakeitimus, atsiradusius dėl šifruotojo veiksmų, kurie vis tiek sugebėjo apeiti apsaugos įrankius.
2. Kaspersky Lab antivirusinės programos vartotojams patariama patikrinti, ar įjungta sistemos stebėjimo funkcija.
3. ESET NOD32 antivirusinės sistemos, skirtos „Windows 10“, naudotojams buvo įdiegta funkcija, skirta patikrinti, ar nėra naujų galimų OS naujinimų. Tuo atveju, jei iš anksto pasirūpinote ir jį įjungėte, tada visi reikalingi nauji Windows atnaujinimai bus įdiegti ir jūsų sistema bus visiškai apsaugota nuo šio WannaCryptor viruso ir kitų panašių atakų.
4. Taip pat ESET NOD32 produktų vartotojai programoje turi tokią funkciją kaip vis dar nežinomų grėsmių aptikimas. Šis metodas remiantis elgesio, euristinės technologijos naudojimu.

Jei virusas elgiasi kaip virusas, greičiausiai tai yra virusas.

Technologijos debesų sistema Nuo gegužės 12 d. ESET LiveGrid labai sėkmingai atremia visas šio viruso atakų atakas ir visa tai įvyko dar prieš atvykstant parašų duomenų bazės atnaujinimui.
5. ESET technologijos užtikrina saugumą net ir ankstesniems įrenginiams Windows sistemos XP, Windows 8 ir „Windows Server“. 2003 (rekomenduojame nustoti naudoti savo duomenis senosios sistemos ). Dėl labai didelės grėsmės šioms OS, Microsoft nusprendė išleisti naujinimus. Atsisiųskite juos.
6. Kad sumažintumėte žalos jūsų kompiuteriui grėsmę, turite skubiai atnaujinti savo Windows versijos 10: Pradėti - Nustatymai - Atnaujinimas ir sauga - Patikrinkite, ar yra naujinimų (kitais atvejais: Pradėti - Visos programos - Windows naujinimas - Ieškoti naujinimų - Atsisiųskite ir įdiekite).
7. Įdiekite oficialią pataisą (MS17-010) iš Microsoft, kuri ištaiso SMB serverio klaidą, per kurią gali prasiskverbti virusas. Šis serveris dalyvavo šioje atakoje.
8. Patikrinkite, ar visi galimi saugos įrankiai jūsų kompiuteryje veikia ir veikia.
9. Atlikite visos sistemos virusų nuskaitymą. Kai kenkėjiška ataka pavadinta MEM:Trojan.Win64.EquationDrug.gen, paleiskite sistemą iš naujo.
Ir dar kartą rekomenduoju patikrinti, ar MS17-010 pataisos yra įdiegtos.

Šiuo metu Kaspersky Lab, ESET NOD32 ir kitų antivirusinių produktų specialistai aktyviai kuria failų iššifravimo programą, kuri padės užkrėstų kompiuterių vartotojams atkurti prieigą prie failų.