Po celé desaťročia kyberzločinci úspešne využívali nedostatky a zraniteľné miesta na World Wide Web. Avšak v posledné roky došlo k jasnému nárastu počtu útokov, ako aj k zvýšeniu ich úrovne – útočníci sa stávajú nebezpečnejšími a malvér sa šíri rýchlosťou, aká tu ešte nebola.

Úvod

Hovoríme o ransomware, ktorý v roku 2017 urobil neuveriteľný skok a spôsobil škody tisíckam organizácií po celom svete. Napríklad v Austrálii útoky ransomvéru ako WannaCry a NotPetya dokonca vyvolali obavy na vládnej úrovni.

Ak zhrnieme tohtoročné „úspechy“ ransomvéru, pozrieme sa na 10 najnebezpečnejších, ktoré organizáciám spôsobili najväčšie škody. Dúfajme, že budúci rok sa z toho poučíme a zabránime tomu, aby tento problém prenikol aj do našich sietí.

Nie Petya

Útok tohto ransomvéru začal ukrajinským účtovným programom M.E.Doc, ktorý nahradil 1C, ktorý bol na Ukrajine zakázaný. Len za pár dní NotPetya infikoval státisíce počítačov vo viac ako 100 krajinách. Tento malvér je variantom staršieho ransomvéru Petya, jediný rozdiel je v tom, že útoky NotPetya používali rovnaký exploit ako útoky WannaCry.

Keď sa NotPetya rozšírila, zasiahla niekoľko organizácií v Austrálii, ako napríklad čokoládovňu Cadbury v Tasmánii, ktorá musela dočasne vypnúť celý svoj IT systém. Ransomvéru sa podarilo infiltrovať aj do najväčšej kontajnerovej lode na svete, ktorú vlastní Maersk, ktorá údajne prišla o príjmy až 300 miliónov dolárov.

WannaCry

Tento ransomvér, hrozný vo svojom rozsahu, prakticky zachytil celý svet. Jeho útoky využívali neslávne známy EternalBlue využívajúci zraniteľnosť v Microsoft Server Blok správ (SMB).

WannaCry infikované obete v 150 krajinách a viac ako 200 000 počítačoch len v prvý deň. Zverejnili sme tento senzačný malvér.

Locky

Locky bol najpopulárnejším ransomvérom v roku 2016, ale neskončil ani v roku 2017. Tento rok sa objavili nové varianty Locky, pomenované Diablo a Lukitus, ktoré využívajú rovnaký vektor útoku (phishing) na spustenie exploitov.

Bol to Locky, kto stál za škandálom s e-mailovým podvodom Australia Post. Podľa austrálskej komisie pre hospodársku súťaž a ochranu spotrebiteľov prišli občania kvôli tomuto podvodu o viac ako 80 000 dolárov.

crysis

Táto inštancia bola známa svojim majstrovským využitím protokolu RDP (Remote Desktop Protocol). RDP je jednou z najpopulárnejších metód distribúcie ransomvéru, pretože ju môžu použiť kyberzločinci na kompromitáciu strojov, ktoré ovládajú celé organizácie.

Obete CrySis boli nútené zaplatiť 455 až 1 022 USD za obnovenie ich súborov.

Nemucode

Nemucod je distribuovaný prostredníctvom phishingového e-mailu, ktorý vyzerá ako faktúra za prepravu. Tento ransomvér sťahuje škodlivé súbory uložené na napadnutých webových stránkach.

Pokiaľ ide o používanie phishingových e-mailov, Nemucod je na druhom mieste za Lockym.

jaff

Jaff je podobný Lockymu a používa podobné metódy. Tento ransomvér nie je pozoruhodný originálnymi metódami distribúcie či šifrovania súborov, ale naopak spája tie najúspešnejšie praktiky.

Útočníci za ním požadovali až 3 700 dolárov za prístup k zašifrovaným súborom.

Spora

Aby šírili tento typ ransomvéru, počítačoví zločinci sa vlámu na legitímne webové stránky pridaním kódu JavaScript na ne. Používateľom, ktorí sa dostanú na takúto stránku, sa zobrazí kontextové upozornenie s výzvou na aktualizáciu Prehliadač Chrome pokračovať v prehliadaní stránky. Po stiahnutí takzvaného Chrome Font Pack sa používatelia nakazili Sporou.

cerber

Jeden z mnohých útočných vektorov, ktoré Cerber používa, sa nazýva RaaS (Ransomware-as-a-Service). V rámci tejto schémy útočníci ponúkajú zaplatenie za distribúciu trójskeho koňa, pričom na oplátku sľubujú určité percento z prijatých peňazí. Prostredníctvom tejto „služby“ kyberzločinci rozposielajú ransomvér a potom poskytujú iným útočníkom nástroje na jeho distribúciu.

Cryptomix

Ide o jeden z mála ransomvéru, ktorý v rámci dark webu nemá k dispozícii určitý typ platobného portálu. Postihnutí používatelia musia počkať, kým im počítačoví zločinci pošlú e-mailom e-mail inštrukcie.

Obete Cryptomix boli používatelia z 29 krajín, boli nútení zaplatiť až 3 000 dolárov.

Jigsaw

Ďalší malvér zo zoznamu, ktorý začal svoju činnosť v roku 2016. Jigsaw vloží obrázok klauna zo série filmov Saw do spamových e-mailov. Akonáhle používateľ klikne na obrázok, ransomvér nielen zašifruje, ale aj odstráni súbory v prípade, že používateľ bude príliš neskoro zaplatiť výkupné 150 dolárov.

závery

Ako vidíme, moderné hrozby využívajú čoraz sofistikovanejšie exploity proti dobre chráneným sieťam. Zatiaľ čo zvýšená informovanosť zamestnancov pomáha zvládať vplyv infekcií, podniky musia ísť nad rámec základných štandardov kybernetickej bezpečnosti, aby sa ochránili. Ochrana pred dnešnými hrozbami si vyžaduje proaktívne prístupy, ktoré využívajú silu analýzy v reálnom čase založenej na mechanizme učenia, ktorý zahŕňa pochopenie správania a kontextu hrozieb.

Asi pred týždňom či dvomi sa na sieti objavil ďalší diel moderných tvorcov vírusov, ktorý šifruje všetky používateľské súbory. Opäť zvážim otázku, ako vyliečiť počítač po víruse ransomware zašifrované000007 a obnoviť zašifrované súbory. V tomto prípade sa neobjavilo nič nové a jedinečné, iba modifikácia predchádzajúcej verzie.

Zaručené dešifrovanie súborov po víruse ransomware - dr-shifro.ru. Podrobnosti o práci a schéma interakcie so zákazníkom sú uvedené nižšie v mojom článku alebo na webovej stránke v časti „Postup práce“.

Popis vírusu ransomware CRYPTED000007

Šifrovač CRYPTED000007 sa od svojich predchodcov zásadne nelíši. Funguje to takmer jeden k druhému. Ale stále existuje niekoľko nuancií, ktoré ho odlišujú. Poviem vám o všetkom v poriadku.

Prichádza, rovnako ako jeho kolegovia, poštou. Používajú sa techniky sociálne inžinierstvo aby používateľa list určite zaujal a otvoril ho. V mojom prípade bol list o nejakom súde a o dôležitých informáciách o prípade v prílohe. Po spustení prílohy používateľ otvorí dokument programu Word s výpisom z moskovského arbitrážneho súdu.

Súbežne s otvorením dokumentu sa spustí šifrovanie súboru. Začne neustále vyskakovať informačnú správu zo systému Windows User Account Control.

Ak s návrhom súhlasíte, tak zálohy súbory v tieni kópie systému Windows budú vymazané a obnova informácií bude veľmi náročná. Je zrejmé, že v žiadnom prípade nemožno s návrhom súhlasiť. V tomto ransomvéri tieto požiadavky neustále vyskakujú, jedna po druhej, a nezastavia sa, čo núti používateľa súhlasiť a vymazať zálohy. Toto je hlavný rozdiel oproti predchádzajúcim modifikáciám ransomvéru. Nikdy som nevidel, že by žiadosti o vymazanie tieňovej kópie prebiehali nepretržite. Väčšinou po 5-10 vetách prestali.

Dám vám odporúčanie do budúcna. Ľudia veľmi často vypínajú upozornenia zo systému kontroly používateľských účtov. Nemusíte to robiť. Tento mechanizmus môže skutočne pomôcť pri odolnosti proti vírusom. Druhá zrejmá rada je nepracujte neustále pod účtu správcu počítača, ak to nie je objektívne potrebné. V tomto prípade vírus nebude mať príležitosť spôsobiť veľa škody. S väčšou pravdepodobnosťou mu budete odolávať.

Ale aj keď ste na žiadosti o ransomvér odpovedali negatívne, všetky vaše údaje sú už zašifrované. Po dokončení procesu šifrovania sa na pracovnej ploche zobrazí obrázok.

Zároveň toho bude veľa textové súbory s rovnakým obsahom.

Vaše súbory boli zašifrované. Ak chcete dešifrovať ux, musíte opraviť kód: 329D54752553ED978F94|0 na e-mailovú adresu [chránený e-mailom]. Potom dostanete všetky potrebné pokyny. Pokusy rozlúštiť to sami k ničomu nepovedú, okrem nenávratného množstva informácií. Ak to stále chcete skúsiť, urobte si vopred záložné kópie súborov, inak v prípade zmien ux nebude dešifrovanie za žiadnych okolností možné. Ak ste nedostali odpoveď na vyššie uvedenú adresu do 48 hodín (a iba v tomto prípade!), použite prosím formulár spätnej väzby. Môžete to urobiť dvoma spôsobmi: 1) Stiahnite si a nainštalujte Prehliadač Tor na odkaze: https://www.torproject.org/download/download-easy.html.en Zadajte adresu: http://cryptsen7fo43rr6.onion/ do poľa adresy prehliadača Tor a stlačte kláves Enter. Načíta sa stránka s kontaktným formulárom. 2) V ľubovoľnom prehliadači prejdite na jednu z adries: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Všetky dôležité súbory vo vašom počítači boli zašifrované. Na dešifrovanie súborov by ste mali poslať nasledujúci kód: 329D54752553ED978F94|0 na e-mailovú adresu [chránený e-mailom]. Potom dostanete všetky potrebné pokyny. Všetky vaše pokusy o dešifrovanie povedú iba k neodvolateľnej strate vašich údajov. Ak sa ich stále chcete pokúsiť dešifrovať sami, urobte si najskôr zálohu, pretože dešifrovanie nebude možné v prípade akýchkoľvek zmien v súboroch. Ak ste nedostali odpoveď z vyššie uvedeného e-mailu dlhšie ako 48 hodín (a iba v tomto prípade!), použite formulár spätnej väzby. Môžeš urobte to dvoma spôsobmi: 1) Stiahnite si Tor Browser odtiaľto: https://www.torproject.org/download/download-easy.html.en Nainštalujte ho a do panela s adresou zadajte nasledujúcu adresu: http://cryptsen7fo43rr6 .onion/ Stlačte Enter a následne sa načíta stránka s formulárom spätnej väzby. 2) V ľubovoľnom prehliadači prejdite na jednu z nasledujúcich adries: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Poštová adresa sa môže zmeniť. Videl som aj iné adresy, ako je táto:

Adresy sa neustále aktualizujú, takže môžu byť úplne odlišné.

Akonáhle zistíte, že súbory sú zašifrované, okamžite vypnite počítač. Toto sa musí urobiť, aby sa prerušil proces šifrovania na lokálnom počítači aj na sieťových jednotkách. Vírus ransomware dokáže zašifrovať všetky informácie, ku ktorým sa dostane, a to aj na sieťových diskoch. Ale ak existuje veľké množstvo informácií, potom mu to zaberie značné množstvo času. Niekedy ani za pár hodín nestihol šifrovač zašifrovať všetko sieťový disk približne 100 gigabajtov.

Ďalej si musíte dobre premyslieť, ako konať. Ak v každom prípade potrebujete informácie vo svojom počítači a nemáte záložné kópie, je lepšie v tejto chvíli kontaktovať špecialistov. Nie nevyhnutne za peniaze v niektorých firmách. Potrebujete len človeka, ktorý sa v tom dobre vyzná informačné systémy. Je potrebné posúdiť rozsah katastrofy, odstrániť vírus, zhromaždiť všetky dostupné informácie o situácii, aby sme pochopili, ako postupovať.

Nesprávne akcie v tejto fáze môžu výrazne skomplikovať proces dešifrovania alebo obnovy súborov. Prinajhoršom to dokážu znemožniť. Neponáhľajte sa preto, buďte opatrní a dôslední.

Ako vírus CRYPTED000007 ransomware šifruje súbory

Po spustení vírusu a ukončení činnosti budú všetky užitočné súbory zašifrované, premenované z rozšírenie.crypted000007. A nahradí sa nielen prípona súboru, ale aj názov súboru, takže ak si nepamätáte, nebudete presne vedieť, aké súbory ste mali. Bude tam niečo ako tento obrázok.

V takejto situácii bude ťažké posúdiť rozsah tragédie, pretože si nebudete môcť úplne spomenúť, čo ste mali rôzne priečinky. Toto bolo urobené zámerne, aby zmiatlo osobu a povzbudilo ju, aby zaplatila za dešifrovanie súborov.

A ak ste boli zašifrovaní a sieťové priečinky a nie úplné zálohy, potom môže vo všeobecnosti zastaviť prácu celej organizácie. Okamžite nepochopíte, čo sa nakoniec stratí, aby ste mohli začať s obnovou.

Ako ošetriť počítač a odstrániť ransomvér CRYPTED000007

Vírus CRYPTED000007 je už vo vašom počítači. Prvou a najdôležitejšou otázkou je, ako vyliečiť počítač a ako z neho odstrániť vírus, aby sa zabránilo ďalšiemu šifrovaniu, ak ešte nebolo dokončené. Okamžite vás upozorňujem na skutočnosť, že keď sami začnete vykonávať nejaké akcie s počítačom, šanca na dešifrovanie údajov sa zníži. Ak potrebujete obnoviť súbory všetkými prostriedkami, nedotýkajte sa počítača, ale okamžite kontaktujte odborníkov. Nižšie o nich budem hovoriť a dám odkaz na stránku a opíšem schému ich práce.

Medzitým budeme pokračovať v nezávislej liečbe počítača a odstraňovaní vírusu. Tradične sa ransomvér ľahko odstráni z počítača, pretože vírus nemá za úlohu zostať v počítači za každú cenu. Po úplnom zašifrovaní súborov je pre neho ešte výhodnejšie sa vymazať a zmiznúť, takže by bolo ťažšie vyšetriť incident a dešifrovať súbory.

Popísať manuálne odstránenie vírusu je ťažké, aj keď som sa o to už predtým pokúšal, ale vidím, že väčšinou je to zbytočné. Názvy súborov a cesty umiestňovania vírusov sa neustále menia. To, čo som videl, už o týždeň alebo dva nie je aktuálne. Vírusy sa zvyčajne posielajú poštou vo vlnách a zakaždým sa objaví nová modifikácia, ktorú antivírusy ešte nerozpoznali. Pomáhajú univerzálne nástroje, ktoré kontrolujú autorun a zisťujú podozrivú aktivitu v systémových priečinkoch.

Na odstránenie vírusu CRYPTED000007 môžete použiť nasledujúce programy:

  1. Kaspersky Virus Removal Tool – pomôcka od spoločnosti Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - podobný produkt z iného webu http://free.drweb.ru/cureit .
  3. Ak prvé dva nástroje nepomáhajú, skúste MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

S najväčšou pravdepodobnosťou jeden z týchto produktov vyčistí počítač od ransomvéru CRYPTED000007. Ak sa zrazu stane, že nepomáhajú, skúste vírus odstrániť manuálne. Techniku ​​odstraňovania som uviedol ako príklad a môžete ju tam vidieť. V skratke, čo musíte urobiť:

  1. Pozeráme sa na zoznam procesov a predtým sme do správcu úloh pridali niekoľko ďalších stĺpcov.
  2. Nájdeme proces vírusu, otvoríme priečinok, v ktorom sa nachádza, a odstránime ho.
  3. Zmienku o vírusovom procese vyčistíme podľa názvu súboru v registri.
  4. Reštartujeme a uistíme sa, že vírus CRYPTED000007 nie je v zozname spustených procesov.

Kde stiahnuť decryptor CRYPTED000007

Otázka jednoduchého a spoľahlivého decryptora vyvstáva v prvom rade, keď ide o vírus ransomware. Prvá vec, ktorú odporúčam, je použiť službu https://www.nomoreransom.org. Čo ak budete mať šťastie, budú mať dešifrovač pre vašu verziu šifrovača CRYPTED000007. Hneď poviem, že nemáte veľa šancí, ale pokus nie je mučenie. Na domovskej stránke kliknite na tlačidlo Áno:

Potom nahrajte niekoľko zašifrovaných súborov a kliknite na tlačidlo Prejsť! zistiť:

V čase písania tohto článku sa dekodér na stránke nenachádzal.

Možno budete mať viac šťastia. Zoznam decryptorov na stiahnutie si môžete pozrieť aj na samostatnej stránke - https://www.nomoreransom.org/decryption-tools.html . Možno je tam niečo užitočné. Keď je vírus veľmi čerstvý, je to malá šanca, ale časom sa môže niečo objaviť. Existujú príklady, keď sa v sieti objavili dešifrovače pre niektoré úpravy ransomvéru. A tieto príklady sú na uvedenej stránke.

Kde inde nájdem dekodér, neviem. Je nepravdepodobné, že bude skutočne existovať, berúc do úvahy zvláštnosti práce moderného ransomvéru. Plnohodnotný dekodér môžu mať len autori vírusu.

Ako dešifrovať a obnoviť súbory po víruse CRYPTED000007

Čo robiť, keď vírus CRYPTED000007 zašifroval vaše súbory? Technická implementácia šifrovania neumožňuje dešifrovanie súborov bez kľúča alebo dešifrovača, ktorý má iba autor šifrovača. Možno existuje nejaký iný spôsob, ako to získať, ale nemám takéto informácie. Súbory sa môžeme pokúsiť obnoviť iba pomocou improvizovaných metód. Tie obsahujú:

  • Nástroj tieňové kópie okná.
  • Programy na obnovu zmazaných údajov

Najprv skontrolujeme, či máme povolené tieňové kópie. Tento nástroj funguje predvolene v systéme Windows 7 a novšom, pokiaľ ho manuálne nezakážete. Ak chcete skontrolovať, otvorte vlastnosti počítača a prejdite do časti Ochrana systému.

Ak ste nepotvrdili v čase infekcie žiadosť UAC Ak chcete odstrániť súbory v tieňových kópiách, niektoré údaje by tam mali zostať. Podrobnejšie som o tejto požiadavke hovoril na začiatku príbehu, keď som hovoril o pôsobení vírusu.

Na jednoduché obnovenie súborov z tieňových kópií odporúčam použiť voľný program na to - ShadowExplorer . Stiahnite si archív, rozbaľte program a spustite.

Otvorí sa posledná kópia súborov a koreňový adresár disku C. Vľavo horný roh môžete si vybrať zálohu, ak máte viac ako jednu. Skontrolujte rôzne kópie požadované súbory. Porovnajte podľa dátumov, kde je viac čerstvá verzia. V mojom príklade nižšie som na pracovnej ploche našiel 2 súbory, ktoré boli tri mesiace staré, keď boli naposledy upravované.

Podarilo sa mi obnoviť tieto súbory. Aby som to urobil, vybral som ich, klikol kliknite pravým tlačidlom myši myšou, vybrali Exportovať a označili priečinok, kde ich chcete obnoviť.

Rovnakým spôsobom môžete okamžite obnoviť priečinky. Ak vám tieňové kópie fungovali a neodstránili ste ich, máte pomerne veľkú šancu obnoviť všetky alebo takmer všetky súbory zašifrované vírusom. Možno niektorých z nich bude viac stará verzia ako by som chcel, ale napriek tomu je to lepšie ako nič.

Ak z nejakého dôvodu nemáte tieňové kópie súborov, jedinou šancou získať aspoň niektoré zo zašifrovaných súborov je obnoviť ich pomocou nástrojov na obnovenie odstránené súbory. Na tento účel navrhujem použiť bezplatný program Photorec.

Spustite program a vyberte disk, na ktorom budete obnovovať súbory. Spustenie grafickej verzie programu spustí súbor qphotorec_win.exe. Musíte vybrať priečinok, do ktorého budú umiestnené nájdené súbory. Je lepšie, ak sa tento priečinok nenachádza na rovnakom disku, na ktorom hľadáme. Pripojte flash disk alebo externý HDD pre to.

Proces vyhľadávania bude trvať dlho. Na konci uvidíte štatistiky. Teraz môžete prejsť do predtým určeného priečinka a zistiť, čo sa tam nachádza. S najväčšou pravdepodobnosťou bude veľa súborov a väčšina z nich bude buď poškodená, alebo to budú nejaké systémové a zbytočné súbory. V tomto zozname však bude možné nájsť časť užitočné súbory. Tu neexistujú žiadne záruky, čo nájdete, to nájdete. Najlepšie zo všetkého je, že obrázky sa zvyčajne obnovia.

Ak vás výsledok neuspokojí, existujú ďalšie programy na obnovenie odstránených súborov. Nižšie je uvedený zoznam programov, ktoré zvyčajne používam, keď potrebujem obnoviť maximálne množstvo súbory:

  • R.saver
  • Obnova súboru Starus
  • JPEG Recovery Pro
  • Active File Recovery Professional

Tieto programy nie sú zadarmo, preto nebudem poskytovať odkazy. So silnou túžbou si ich môžete nájsť sami na internete.

Celý proces obnovy súboru je podrobne zobrazený vo videu na samom konci článku.

Kaspersky, eset nod32 a ďalší v boji proti ransomvéru Filecoder.ED

Populárne antivírusy definujú ransomvér CRYPTED000007 ako Filecoder.ED a potom môže byť nejaké iné označenie. Prešiel som fóra hlavných antivírusov a nevidel som tam nič užitočné. Bohužiaľ, ako to už býva, antivírusy neboli pripravené na inváziu novej vlny ransomvéru. Tu je správa z fóra Kaspersky.

Antivírusy tradične vynechávajú nové modifikácie ransomvérových trójskych koní. Odporúčam ich však používať. Ak budete mať šťastie a ransomvér vám príde poštou nie v prvej vlne infekcií, ale o niečo neskôr, existuje šanca, že vám antivírus pomôže. Všetci pracujú jeden krok za útočníkmi. vychádzanie novú verziu ransomware, antivírusy naň nereagujú. Akonáhle sa nahromadí určitá masa materiálu na výskum nového vírusu, antivírusy vydajú aktualizáciu a začnú na ňu reagovať.

Čo bráni antivírusom okamžite reagovať na akýkoľvek proces šifrovania v systéme, mi nie je jasné. Možno existuje nejaká technická nuansa v tejto téme, ktorá vám neumožňuje primerane reagovať a zabrániť šifrovaniu používateľských súborov. Zdá sa mi, že by bolo možné aspoň zobraziť varovanie o tom, že niekto šifruje vaše súbory, a ponúknuť zastavenie procesu.

Kde požiadať o zaručené dešifrovanie

Náhodou som sa stretol s jednou spoločnosťou, ktorá skutočne dešifruje dáta po práci rôznych šifrovacích vírusov, vrátane CRYPTED000007. Ich adresa je http://www.dr-shifro.ru. Platba až po úplnom dešifrovaní a vašom overení. Tu je príklad pracovného postupu:

  1. Špecialista spoločnosti príde do vašej kancelárie alebo domov a podpíše s vami zmluvu, v ktorej stanoví cenu práce.
  2. Spustí decryptor a dešifruje všetky súbory.
  3. Uistite sa, že sú otvorené všetky súbory a podpisujete akt doručenia / prevzatia vykonanej práce.
  4. Platba až po úspešnom výsledku dešifrovania.

Úprimne povedané, neviem, ako to robia, ale nič neriskujete. Platba až po predvedení dekodéra. Napíšte recenziu o svojich skúsenostiach s touto spoločnosťou.

Spôsoby ochrany pred vírusom CRYPTED000007

Ako sa chrániť pred prácou ransomvéru a zaobísť sa bez materiálnych a morálnych škôd? Existuje niekoľko jednoduchých a účinných tipov:

  1. Zálohujte! Zálohovanie všetkých dôležitých údajov. A nielen záloha, ale záloha, ku ktorej nie je trvalý prístup. V opačnom prípade môže vírus infikovať vaše dokumenty aj zálohy.
  2. Licencovaný antivírus. Neposkytujú síce 100% záruku, ale zvyšujú šancu vyhnúť sa šifrovaniu. Najčastejšie nie sú pripravené na nové verzie ransomvéru, ale po 3-4 dňoch začnú reagovať. To zvyšuje vaše šance vyhnúť sa infekcii, ak nie ste súčasťou prvej vlny rozosielania novej modifikácie ransomvéru.
  3. Neotvárajte podozrivé prílohy v pošte. Tu nie je čo komentovať. Všetci mne známi kryptografi sa k používateľom dostali cez poštu. A zakaždým sa vymyslia nové triky na oklamanie obete.
  4. Neotvárajte bezhlavo odkazy, ktoré vám poslali vaši priatelia cez sociálne siete alebo poslovia. Takto sa niekedy šíria vírusy.
  5. Odovzdajte sa zobrazenie okien prípony súborov. Ako to urobiť, je ľahké nájsť na internete. To vám umožní všimnúť si príponu súboru na víruse. Najčastejšie to bude .exe, .vbs, .src. Pri každodennej práci s dokumentmi sa s takýmito príponami súborov pravdepodobne nestretnete.

Snažil som sa doplniť to, čo som už napísal skôr v každom článku o víruse ransomware. Dovtedy sa lúčim. Budem rád, ak dostanem užitočné komentáre k článku a všeobecne k šifrovaciemu vírusu CRYPTED000007.

Video s dešifrovaním a obnovou súborov

Tu je príklad predchádzajúcej modifikácie vírusu, ale video je plne relevantné aj pre CRYPTED000007.

V dňoch 1. a 2. mája 2017 sa na počítačoch so systémom Windows odohral rozsiahly vírusový útok. Len v Rusku bolo infikovaných asi 30 000 počítačov. Medzi obeťami boli nielen bežní užívatelia, ale aj mnohé organizácie a vládne agentúry. Podľa správ zo siete boli čiastočne infikované CS Ministerstva vnútra Ruskej federácie a sieť Magafon. Útokom WannaCry trpelo aj množstvo ďalších, menej známych organizácií, alebo ako sa tomu častejšie hovorí – WCry. Ako vírus ransomware prenikol do takto chránených zariadení, zatiaľ nie je známe. Či ide o dôsledok chyby jedného z užívateľov, alebo ide o všeobecnú zraniteľnosť siete ministerstva – nie je hlásené. Prvé informácie v Runete sa objavili na stránke Kaspersky (vo formulári), kde sa aktívne diskutovalo o novom víruse.

Čo je to za vírus?

Po preniknutí do počítača sa vírus rozbalí, nainštaluje svoje systémové šifrovacie kódy pre používateľské dáta a na pozadí začne všetky informácie v počítači šifrovať vlastnými kódmi typu názovsúbor.wncry. Čo sa stane, keď váš počítač zachytí vírus:

  • Ihneď po vstupe do systému vírus začne úplne ovládať systém a blokuje spustenie akéhokoľvek softvéru, a to aj bez inštalácie,
  • Antivírusy a nástroje, ktoré nevyžadujú inštaláciu, ktoré sa spustia ihneď po pripojení disku k systému, tiež nedávajú žiadny výsledok a jednoducho sa nespustia,
  • Všetky USB porty a disky prestanú fungovať,
  • Obrazovka bude zablokovaná bannerom Wana DecryptOr 2.0, ktorý vás informuje, že váš počítač je infikovaný vírusom, všetky údaje na ňom sú zašifrované a musíte zaplatiť ransomvér.
Majitelia vírusu ponúkajú používateľovi prevod ekvivalentu 300 dolárov v bitcoinoch na svoj účet. Nechýba ani informácia, že ak nezaplatíte požadovanú sumu do 3 dní, suma platby sa zdvojnásobí. Ak platba nebude prijatá do týždňa, vírus vymaže z počítača všetky údaje používateľa. Súdiac podľa informácií od niektorých našich používateľov, táto časová schéma nie je pre každého rovnaká a existujú zariadenia, na ktorých je doba splatnosti ransomvéru 14 dní.

Ako sa chrániť pred vírusom.

Neprepadajte panike, vírus nie je nový, pred ktorým sa nedá chrániť. Toto je bežný ransomware, s analógmi, s ktorými sme sa opakovane stretli. Aby sa nenechali chytiť počítačový vírus, buďte opatrní pri používaní všetkého softvéru. Neodporúčame aktualizovať žiadny softvér, dokonca ani vstavaný, kým nie je presne určené, ako sa vírus dostane do systému. Prikláňame sa k názoru, že vírus sa do počítača dostane cez zraniteľné miesta v nejakom programe. A zraniteľné miesta v programoch sa najčastejšie objavujú po neúspešne navrhnutej aktualizácii, v ktorej je taká obrovská „diera“, ktorá umožňuje vírusom dostať sa do systému. Ak máte skúsenosti a možnosti, nainštalujte si kvalitný firewall tretej strany a na chvíľu zvýšte sledovanie aktivity systému a siete.

Pomoc obetiam

V piatok 12. mája nás oslovil bežný klient dizajnér s notebookom, na ktorom boli uložené jeho layouty, zdrojové kódy a iné grafické súbory. Jeho počítače boli infikované vírusom WannaCryptor. Uskutočnilo sa množstvo „experimentov“, ktoré priniesli výsledky! Tu je to, čo nám pomohlo:

  • Demontoval počítač, vybral pevný disk s údajmi,
  • Pripojený disk k iMacu,
  • Výpočtom dekodérov sme našli niekoľko takých, ktoré pomohli vytiahnuť časť dát z disku D.
  • Potom sa zákazník rozhodol preinštalovať systém s odstránením zostávajúcich údajov,
  • Pre prípad, že sme si urobili obraz systému na našom médiu, akonáhle sa objaví riešenie problému, uložíme zvyšné dáta.
Milí priatelia, ak ste obeťou tento vírus- kontaktujte nás, pokúsime sa pomôcť. Experimenty vykonávame bezplatne) A tu vám podrobne povieme, ako. Poďme spolu bojovať proti zlu!
  • Infikovaných už bolo viac ako 200 000 počítačov!
Hlavné ciele útoku smerovali do podnikového sektora, nasledovali telekomunikačné spoločnosti v Španielsku, Portugalsku, Číne a Anglicku.
  • Najväčšiu ranu zasadili ruským používateľom a spoločnostiam. Vrátane Megafonu, ruských železníc a podľa nepotvrdených informácií aj vyšetrovacieho výboru a ministerstva vnútra. Útoky na ich systémy hlásili aj Sberbank a ministerstvo zdravotníctva.
Za dešifrovanie údajov útočníci požadujú výkupné 300 až 600 dolárov v bitcoinoch (asi 17 000 – 34 000 rubľov).

Aktualizácia systému Windows 10 verzie 1909

Interaktívna mapa infekcie (KLIKNITE NA MAPU)
výkupné okno
Šifruje súbory s nasledujúcimi príponami

Napriek zacieleniu vírusu na podnikový sektor, bežný používateľ tiež nie je imúnny voči prenikaniu WannaCry a možná strata prístup k súborom.
  • Pokyny na ochranu počítača a údajov v ňom pred infekciou:
1. Nainštalujte aplikáciu Kaspersky System Watcher, ktorá má vstavanú funkciu na vrátenie zmien spôsobených činnosťou šifrovača, ktorý stále dokázal obísť ochranné nástroje.
2. Používateľom antivírusového programu od spoločnosti Kaspersky Lab sa odporúča skontrolovať, či je povolená funkcia Monitorovanie systému.
3. Pre používateľov antivírusu ESET NOD32 pre Windows 10 bola zavedená funkcia na kontrolu nových dostupných aktualizácií OS. V prípade, že ste sa o to vopred postarali a mali ste to povolené, nainštalujú sa všetky potrebné nové aktualizácie systému Windows a váš systém bude úplne chránený pred týmto vírusom WannaCryptor a inými podobnými útokmi.
4. Používatelia produktov ESET NOD32 majú v programe aj funkciu detekcie zatiaľ neznámych hrozieb. Táto metóda založené na použití behaviorálnej, heuristickej technológie.

Ak sa vírus správa ako vírus, s najväčšou pravdepodobnosťou ide o vírus.

Technológia cloudový systém ESET LiveGrid od 12. mája veľmi úspešne odrážal všetky útoky útokov tohto vírusu a to všetko sa dialo ešte pred príchodom aktualizácie databázy signatúr.
5. Technológie ESET poskytujú bezpečnosť aj zariadeniam s predchádzajúcimi systémy Windows XP, Windows 8 a Windows Server 2003 (odporúčame, aby ste svoje údaje prestali používať staršie systémy ). Vzhľadom na veľmi vysokú mieru ohrozenia, ktorá pre tieto OS vznikla, sa Microsoft rozhodol vydať aktualizácie. Stiahnite si ich.
6. Aby ste minimalizovali hrozbu poškodenia vášho počítača, musíte ho urýchlene aktualizovať Verzie systému Windows 10: Štart - Nastavenia - Aktualizácia a zabezpečenie - Kontrola aktualizácií (v ostatných prípadoch: Štart - Všetky programy - Windows Update - Vyhľadať aktualizácie - Stiahnuť a nainštalovať).
7. Nainštalujte oficiálnu opravu (MS17-010) od spoločnosti Microsoft, ktorá opravuje chybu na serveri SMB, cez ktorú môže preniknúť vírus. Tento server zapojený do tohto útoku.
8. Skontrolujte, či sú na vašom počítači spustené a funkčné všetky dostupné nástroje zabezpečenia.
9. Vykonajte antivírusovú kontrolu celého systému. Pri zlom útoku menovaný MEM:Trojan.Win64.EquationDrug.gen, reštartujte systém.
A ešte raz vám odporúčam skontrolovať, či sú nainštalované záplaty MS17-010.

V súčasnosti špecialisti z Kaspersky Lab, ESET NOD32 a ďalších antivírusových produktov aktívne pracujú na napísaní programu na dešifrovanie súborov, ktorý používateľom infikovaných počítačov pomôže obnoviť prístup k súborom.