Sigurnosno ažuriranje za Windows 7 od ransomware-a. Kako ažurirati Windows radi zaštite od WannaCry-a. Wanna Cry virus u Rusiji

  1. Maj je, upoznajte WannaCry.
  2. Wanna je naziv ransomware virusa koji je započeo svoju aktivnost 12. maja 2017. godine, zarazivši računare korisnika i kompanija u 90 zemalja. Microsoft je službeno objavio zakrpe za starije operativne sisteme koje više nisu podržane i zastarjele. Cijela lista a svi linkovi će biti dati na kraju članka.
    3. Kako se Wanna pojavljuje?
  3. Kao i svi virusi, ransomware je teško primijetiti tokom procesa šifriranja ako sami niste slučajno vidjeli da se datoteke mijenjaju i postaju s drugom ekstenzijom. Na primjer, kod ovog virusa šifrirane datoteke će izgledati ovako: ime datoteke.png.WNCRY
  4. Ispod je mapa zaraze virusom zemalja u prvim satima zaraze i širenja, mapa iz Sumanteca.
  5. Nadalje, kako virus pokazuje nakon što je šifrirao datoteke, korisniku će biti prikazana poruka i može odabrati odgovarajući jezik. Koji javlja da su vaši fajlovi zaraženi i ide na korake plaćanja, recimo tako.
  6. Drugi prozor pokazuje koliko i kako morate platiti, prenijeti 300 bitcoina. Kao i tajmer za odbrojavanje.
  7. Pozadina radne površine i druge pozadinske slike prikazuju poruku:
  8. Šifrirane datoteke imaju dvostruku ekstenziju, na primjer: ime datoteke.doc.WNCRY. Ispod je kako to izgleda:
  9. Takođe u svakom folderu postoji izvršni fajl @ [email protected] za dešifrovanje nakon otkupa (moguće ali teško), kao i tekstualni dokument @ [email protected] u kojem korisniku ima šta da pročita (također moguće, ali teško).
    10. Virus šifrira datoteke sa sljedećim ekstenzijama:
  10. Želim napomenuti da među ekstenzijama koje WannaCry šifrira, ne postoji ekstenzija 1C koja se koristi u Rusiji.
  11. Također vas molim da obratite pažnju na najvažniju stvar u obnavljanju vaših datoteka nakon infekcije. Moguće je ako imate uključenu zaštitu sistema, odnosno volume shadow copying i uac sistem kontrole korisničkog naloga radi, a radi najvjerovatnije ako ga niste onemogućili. Tada će virus ponuditi da onemogući zaštitu sistema kako ne bi bilo moguće vratiti šifrirane datoteke, odnosno one izbrisane nakon šifriranja. Naravno, u ovom slučaju, ne postoji način da se ne slažete s isključenjem. izgleda ovako:
    12. Bitcoin novčanici su prevaranti.
  12. Najzanimljivije je kako raste iznos u novčaniku prevaranta. bitcoin novčanik:
  17. pogledajte posjetom barem jednom dnevno koliko je porastao profit prevaranta i iznenadit ćete se, vjerujte! Ovo je redovna usluga Wallet Bitcoin u kojoj svako može registrovati novčanik za sebe, nema razloga za brigu ako pogledate statistiku dopune novčanika.
  18. WannaCry 1.0 distribuiran je putem neželjene pošte i web stranica. Verzija 2.0 je identična prvoj verziji, ali joj je dodat crv, koji se sam širio, ulazeći na računare žrtve putem protokola.
    19. Microsoft u borbi protiv Wanna:
  19. Microsoft predlaže instaliranje servisnih paketa za korisnike starijih operativnih sistema:
    20. Windows Server 2003SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Embedded SP3 x86
    Windows 8 x86
    Windows 8 x64
    Idite na službeni blogs.technet.microsoft
    Šta Kaspersky kaže?
  20. Na službenom Kaspersky blogu, proces je detaljnije opisan i postoji nekoliko dodataka koje možete naučiti, iako na engleskom.
    21. securelist.
  21. Dopunjeno sa člankom o podršci za kaspersky od 15. maja 2017:
    22. .
  22. Također možete pogledati interaktivna karta sajber prijetnje i saznajte širenje virusa u realnom vremenu:
    23. Intel malwaretech kartica za virus WannaCry 2.0:
  23. Druga mapa, ali posebno za virus WannaCry2.0, širenje virusa u realnom vremenu (ako mapa nije radila nakon tranzicije, osvježite stranicu):
    24. Video Comodo Firewall 10 vs WannaCry Ransomware o tehnologiji zaštite:
    službena stranica.
    596 WannaCry varijanti
  24. Nezavisna laboratorija otkrila je 596 uzoraka WannaCrypt-a. Lista SHA256 hasheva:
    25. Od autora:
  25. Dodaću od sebe pošto koristim zaštitu od Comodoa je 10 i pored toga, ali najbolji antivirus ste vi sami. Kako kažu, Bog čuva sef, a ja imam takvu zaštitu jer dok radim moram obavljati razne poslove u kojima ima mjesta da procure virusni napadi, da ih tako nazovemo.
  26. Privremeno onemogućite SMB1 protokol dok ne instalirate sigurnosna ažuriranja ili ako vam uopće ne treba pomoću komandna linija, pokrenite cmd u ime administratora sistema i koristite dism da onemogućite protokol, naredba:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Kao i druge metode omogućavanja i onemogućavanja SMBv1,2,3 protokola na službenoj Microsoft web stranici.
  28. U grafičkom sučelju za onemogućavanje protokola možete učiniti sljedeće: Kontrolna tabla> Dodaj ili ukloni programe (Deinstaliraj ili promijeni program)> Omogući ili onemogući Windows komponente> više slika ispod.

Dobar dan, dragi čitaoci i gosti bloga, kao što se sjećate, u maju 2017. godine zahvatio je veliki talas zaraze računara operativnim Windows sistem, novi ransomware virus pod nazivom WannaCry, zbog kojeg je uspio zaraziti i šifrirati podatke na više od 500.000 računara, razmislite samo o ovoj cifri. Najgore je što ovu vrstu virusa praktički ne hvataju moderna antivirusna rješenja, što ga čini još opasnijim, u nastavku ću vam reći metodu kako da zaštitite svoje podatke od njegovog uticaja i kako se zaštititi od ransomwarea na trenutak, mislim da ćete biti zainteresovani.

Šta je virus za kodiranje

Virus ransomware je vrsta Trojanac, čiji je zadatak da inficira radnu stanicu korisnika, identifikuje datoteke potrebnog formata na njoj (na primjer, fotografije, audio snimci, video datoteke), zatim ih šifrira promjenom vrste datoteke, zbog čega korisnik neće duže moći da ih otvorite bez posebnog programa za dešifrovanje. To izgleda ovako.

Šifrovani formati datoteka

Najčešći formati datoteka nakon šifriranja su:

  • no_more_ransom
  • trezor

Posljedice ransomware virusa

Opisat ću najčešći slučaj u kojem je uključen virus kodera. Zamislite običnog korisnika u bilo kojoj apstraktnoj organizaciji, u 90 posto slučajeva korisnik ima internet iza svog radnog mjesta, jer uz pomoć njega donosi profit kompaniji, surfuje internetskim prostorom. Osoba nije robot i može se odvratiti od posla pregledavanjem sajtova koji su mu interesantni, ili sajtova koje mu je prijatelj savetovao. Kao rezultat ove aktivnosti, on može zaraziti svoj računar šifratorom datoteka, a da to ne zna i saznati za to kada bude prekasno. virus je odradio svoj posao.

Virus u trenutku svog rada pokušava obraditi sve datoteke kojima ima pristup i tu počinje da se važni dokumenti u folderu odjela, kojem korisnik ima pristup, odjednom pretvaraju u digitalno smeće, lokalne datoteke i još mnogo toga . Jasno je da bi trebalo da postoje rezervne kopije dijeljenih datoteka, ali što je s lokalnim datotekama koje mogu činiti sav rad osobe, kao rezultat toga, kompanija gubi novac za jednostavan rad, a administrator sistema izlazi iz svoje zone udobnosti i provodi svoje vrijeme dešifrirajući datoteke.

Isto se može dogoditi i običnom čovjeku, ali posljedice su ovdje lokalne i odnose se lično na njega i njegovu porodicu, jako je tužno vidjeti slučajeve kada je virus šifrirao sve fajlove, uključujući i arhive porodičnih fotografija, a ljudi nisu imali rezervnu kopiju , pa, nije uobičajeno da obični korisnici to rade.

Sa cloud servisima sve nije tako jednostavno, ako sve pohranjujete tamo i ne koristite debeli klijent u svom Windows operativnom sistemu, jedno je, tu u 99% niste u opasnosti, ali ako koristite npr. "Yandex disk" ili "mail Cloud" sinhronizuje fajlove sa vašeg računara na njega, a zatim se zarazi i nakon što dobije da su svi fajlovi šifrovani, program će ih poslati direktno u oblak i takođe ćete izgubiti sve.

Kao rezultat, vidite sliku sličnu ovoj, gdje vam je rečeno da su svi fajlovi šifrirani i da morate poslati novac, sada se to radi u bitcoinima kako ne bi otkrili napadače. Nakon uplate, navodno bi vam trebao biti poslat dekoder i sve ćete vratiti.

Nikada ne šaljite novac prevarantima

Zapamtite da nijedan moderni antivirus trenutno ne može pružiti Windows zaštitu od ransomwarea, iz jednostavnog razloga što ovaj trojanac ne radi ništa sumnjivo sa svoje tačke gledišta, on se u suštini ponaša kao korisnik, čita datoteke, piše, za razliku od virusa, ne radi pokušajte promijeniti sistemske datoteke ili dodajte ključeve registra, zbog čega je njegovo otkrivanje toliko teško, da nema linije koja ga razlikuje od korisnika

Izvori ransomware trojanaca

Pokušajmo identificirati glavne izvore prodora enkodera na vaš računar.

  1. E-pošta > vrlo često ljudi dobijaju čudne ili lažne mejlove sa linkovima ili zaraženim prilozima, klikom na koje žrtva počinje da organizuje neprospavanu noć. Rekao sam vam kako da zaštitite e-poštu, savetujem vam da je pročitate.
  2. Kroz softver- preuzeli ste program sa nepoznatog izvora ili lažnog sajta, on sadrži virus za kodiranje, a kada instalirate softver, unosite ga u svoj operativni sistem.
  3. Preko fleš diskova - ljudi i dalje vrlo često idu jedni drugima i nose gomilu virusa preko fleš diskova, savetujem vam da pročitate "Zaštita fleš diskova od virusa"
  4. Preko ip kamera i mrežnih uređaja koji imaju pristup internetu - vrlo često zbog pogrešnih postavki na ruteru ili ip kameri spojenoj na lokalnu mrežu, hakeri inficiraju računare na istoj mreži.

Kako zaštititi svoj računar od ransomware virusa

Pravilna upotreba računara štiti od ransomwarea, odnosno:

  • Ne otvarajte poštu koju ne poznajete i ne slijedite nerazumljive linkove, bez obzira na to kako oni dođu do vas, bilo da se radi o pošti ili nekom od messengera
  • Instalirajte ažuriranja Windows ili Linux operativnog sistema što je brže moguće, ne objavljuju se tako često, otprilike jednom mjesečno. Ako govorimo o Microsoftu, onda je ovo drugi utorak u mjesecu, ali u slučaju kriptatora datoteka, ažuriranja mogu biti nenormalna.
  • Nemojte povezivati ​​nepoznate fleš diskove na računar, zamolite prijatelje da pošalju bolju vezu sa oblakom.
  • Uvjerite se da ako vaš računar ne mora biti dostupan u lokalna mreža za druge računare, a zatim isključite pristup njemu.
  • Ograničite prava pristupa datotekama i fasciklama
  • Instaliranje antivirusnog rješenja
  • Nemojte instalirati nerazumljive programe koje je neko nepoznat hakovao

Sve je jasno sa prve tri tačke, ali ću se detaljnije zadržati na preostale dve.

Onemogućite pristup mreži vašem računaru

Kada me ljudi pitaju kako je zaštita od ransomware-a organizirana u Windowsima, prva stvar koju preporučujem je da ljudi isključe "Microsoft Networks File and Printer Sharing Service", koja omogućava drugim računarima pristup resursima ovaj računar koristeći Microsoft mreže. Jednako je relevantno i za znatiželjnike administratori sistema koji rade sa vašim ISP-om.

Onemogući ovu uslugu i zaštitite se od ransomwarea u lokalnoj mreži ili mreži provajdera, kako slijedi. Pritisnite kombinaciju tipki WIN + R i u prozoru koji se otvori, izvršite, unesite naredbu ncpa.cpl. Pokazat ću ga na svom probnom računaru sa operativni sistem Windows 10 Creators Update.

Odaberite željeni mrežni interfejs i kliknite na njega desni klik miševi, od kontekstni meni odaberite "Svojstva"

Pronalaženje predmeta Opšti pristup na datoteke i pisače za Microsoft mreže" i poništite ga, a zatim ga spremite, sve će to pomoći u zaštiti vašeg računala od ransomware virusa na lokalnoj mreži, vaša radna stanica jednostavno neće biti dostupna.

Ograničenje prava pristupa

Zaštita od ransomware virusa u windows može se implementirati na tako zanimljiv način, reći ću vam kako sam to uradio za sebe. I tako je glavni problem u borbi protiv ransomware-a taj što se antivirusi jednostavno ne mogu boriti protiv njih u realnom vremenu, pa, ne mogu vas zaštititi u ovom trenutku, pa budimo pametniji. Ako virus enkriptora nema dozvole za pisanje, onda neće moći ništa učiniti s vašim podacima. Da dam primjer, imam folder sa fotografijama, pohranjen je lokalno na računaru, plus postoje dvije sigurnosne kopije na različitim tvrdi diskovi. Sama lokalni računar Napravio sam ga samo za čitanje, za račun pod kojim sedim za kompjuterom. Da je virus stigao tamo, on jednostavno ne bi imao dovoljno prava, kao što vidite, sve je jednostavno.

Kako sve ovo implementirati kako biste se zaštitili od šifratora datoteka i sačuvali sve, radimo sljedeće.

  • Odaberite fascikle koje su vam potrebne. Pokušajte koristiti točno foldere, lakše je dodijeliti prava s njima. U idealnom slučaju, napravite fasciklu koja se zove samo za čitanje i već u nju stavite sve datoteke i fascikle koje su vam potrebne. Ono što je dobro, dodeljivanjem prava gornjoj fascikli, ona će se automatski primeniti na druge fascikle u njoj. Nakon što u njega kopirate sve potrebne datoteke i mape, prijeđite na sljedeći korak.
  • Kliknite desnim tasterom miša na fasciklu i izaberite "Svojstva" iz menija

  • Idite na karticu "Sigurnost" i kliknite na dugme "Uredi".

  • Pokušavamo da izbrišemo pristupne grupe, ako dobijete prozor sa upozorenjem "Nemoguće je obrisati grupu jer ovaj objekat nasljeđuje dozvole od svog roditelja", zatvorite ga.

  • Kliknite na dugme "Napredno". U stavci koja se otvori kliknite na "onemogući nasljeđivanje"

  • Na pitanje "Šta želite učiniti s trenutnim naslijeđenim dozvolama" odaberite "Ukloni sve naslijeđene dozvole iz ovog objekta"

  • Kao rezultat toga, u polju "Dozvole" sve će biti izbrisano.

  • Mi čuvamo promjene. Imajte na umu da sada samo vlasnik foldera može promijeniti dozvole.

  • Sada na kartici Sigurnost kliknite na Uredi

  • Zatim kliknite na "Dodaj - Napredno"

  • Moramo dodati grupu "Svi", da biste to učinili, kliknite na "Traži" i odaberite željenu grupu.

  • Da biste zaštitili Windows od ransomware-a, morate imati postavljene dozvole za grupu "Svi", kao na slici.

  • To je to, nijedan koder virus vam ne prijeti za vaše datoteke u ovom direktoriju.

Nadam se da Microsoft i druga antivirusna rješenja mogu poboljšati svoje proizvode i zaštititi računare od ransomware-a prije nego što izvrše svoj zlonamjerni posao, ali dok se to ne dogodi, slijedite pravila koja sam vam opisao i uvijek napravite sigurnosnu kopiju važnih podataka.

Virus WannaCry je 12. maja "zagrmio" cijelim svijetom, na današnji dan brojne medicinske ustanove u Velikoj Britaniji objavile su da su njihove mreže zaražene, španska telekomunikaciona kompanija i rusko Ministarstvo unutrašnjih poslova javili su da su odbili hakera napad.

WannaCry (u običnom narodu već je dobio nadimak Vaughn the Edge) spada u kategoriju enkripcijskih virusa (kriptora), koji, kada uđe u PC, šifrira korisničke datoteke kriptografski jakim algoritmom, nakon čega - čitanje ovih datoteka postaje nemoguće .

Trenutno je poznato da su sljedeće popularne ekstenzije datoteka šifrirane od strane WannaCry:

  1. Popularni fajlovi Microsoft office(.xlsx, .xls, .docx, .doc).
  2. Arhiva i medijske datoteke (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - kako se virus širi

Ranije smo spomenuli ovaj način širenja virusa u članku o, tako da ništa novo.

On poštansko sanduče Korisnik dobija pismo sa "bezopasnim" prilogom - to može biti slika, video, pjesma, ali umjesto standardne ekstenzije za ove formate, prilog će imati ekstenziju izvršne datoteke - exe. Kada se takva datoteka otvori i pokrene, sistem se „inficira“ i virus se učitava direktno u OS Windows kroz ranjivost koja šifrira korisničke podatke.

Možda ovo nije jedini način širenja WannaCry-a - možete postati žrtva kada preuzmete "zaražene" datoteke na društvenim mrežama, torrent trackerima i drugim stranicama.

WannaCry - kako se zaštititi od ransomware virusa

1. Instalirajte zakrpu za Microsoft Windows. Microsoft je 14. maja objavio hitnu zakrpu za sljedeće verzije - Vista, 7, 8.1, 10, Windows Server. Ovu zakrpu možete instalirati jednostavnim pokretanjem ažuriranja sistema putem usluge Windows Update.

2. Upotreba antivirusnog softvera sa ažurnim bazama podataka. Poznati programeri sigurnosnog softvera, kao što su Kaspersky, Dr.Web, već su objavili ažuriranje za svoje proizvode koje sadrži informacije o WannaCry-u, štiteći na taj način svoje korisnike.

3. Važne podatke sačuvajte na zasebnom mediju. Ako vaš računar još ne služi, najvažnije datoteke možete sačuvati na poseban medij (fleš disk, disk). Ovim pristupom, čak i ako postanete žrtva, sačuvat ćete najvrednije datoteke od enkripcije.

Trenutno su svi poznati efikasni načini zaštite od WannaCryja.

WannaCry dekriptor, gdje preuzeti i da li je moguće ukloniti virus?

Enkripcijski virusi spadaju među naj"gadnije" viruse, jer oni u većini slučajeva, korisničke datoteke su šifrirane 128-bitnim ili 256-bitnim ključem. Najgore je to što je u svakom slučaju ključ jedinstven i potrebni su ogromni brojevi da bi se svaki dešifrirao. računarske snage, zbog čega je gotovo nemoguće tretirati "obične" korisnike.

Ali šta ako ste žrtva WannaCry-a i trebate dešifriranje?

1. Kontaktirajte Kaspersky Lab forum podrške — https://forum.kaspersky.com/ sa opisom problema. Forum zapošljava kako predstavnike kompanija tako i volontere koji aktivno pomažu u rješavanju problema.

2. Kao iu slučaju poznatog enkriptora CryptXXX, pronađeno je univerzalno rješenje za dešifriranje šifriranih datoteka. Prošlo je manje od nedelju dana od otkrića WannaCryja, a stručnjaci iz antivirusnih laboratorija još nisu uspeli da pronađu takvo rešenje za njega.

3. Kardinalno rješenje bi bilo - potpuno uklanjanje OS sa računara, nakon čega slijedi čista instalacija novog. U ovom scenariju, svi korisnički fajlovi i podaci su potpuno izgubljeni, zajedno sa uklanjanjem WannaCry.

Prije otprilike tjedan ili dvije na mreži se pojavio još jedan rad modernih kreatora virusa koji šifrira sve korisničke datoteke. Još jednom ću razmotriti pitanje kako izliječiti računar nakon ransomware virusa crypted000007 i oporaviti šifrirane datoteke. U ovom slučaju se nije pojavilo ništa novo i jedinstveno, samo modifikacija prethodne verzije.

Zajamčeno dešifriranje datoteka nakon ransomware virusa - dr-shifro.ru. Detalji rada i šema interakcije s kupcem nalaze se ispod u mom članku ili na web stranici u odjeljku „Procedura rada“.

Opis ransomware virusa CRYPTED000007

CRYPTED000007 enkriptor se suštinski ne razlikuje od svojih prethodnika. Radi skoro jedan na jedan. Ali ipak postoji nekoliko nijansi koje ga razlikuju. Reći ću ti o svemu po redu.

Dolazi, kao i njegovi kolege, poštom. Tehnike socijalnog inženjeringa koriste se kako bi se korisnik zainteresirao za pismo i otvorio ga. U mom slučaju, pismo je bilo o nekakvom sudu io tome važna informacija na slučaju u prilogu. Nakon pokretanja priloga, korisnik otvara Word dokument sa izvodom iz Arbitražnog suda u Moskvi.

Paralelno sa otvaranjem dokumenta počinje šifrovanje fajla. Počinje da stalno iskače informativnu poruku iz Windows sistema kontrole korisničkih naloga.

Ako se slažete s prijedlogom, tada će sigurnosne kopije datoteka u Windows sjeničnim kopijama biti izbrisane i oporavak informacija će biti vrlo težak. Očigledno je da se sa prijedlogom ne može u svakom slučaju složiti. U ovom ransomwareu, ovi zahtjevi iskaču stalno, jedan po jedan, i ne prestaju, prisiljavajući korisnika da pristane i izbriše sigurnosne kopije. Ovo je glavna razlika u odnosu na prethodne modifikacije ransomware-a. Nikada nisam vidio da zahtjevi za brisanje sjene kopije idu non-stop. Obično, nakon 5-10 rečenica, prestaju.

Daću vam preporuku za ubuduće. Vrlo često ljudi isključuju upozorenja iz sistema kontrole korisničkog naloga. Ne morate ovo da radite. Ovaj mehanizam zaista može pomoći u odupiranju virusima. Drugi očigledan savjet je da ne radite stalno račun administrator računara, ako to nije objektivno neophodno. U tom slučaju virus neće imati priliku da nanese veliku štetu. Veća je vjerovatnoća da ćete mu se oduprijeti.

Ali čak i ako ste cijelo vrijeme negativno odgovorili na zahtjeve za ransomware, svi vaši podaci su već šifrirani. Nakon što je proces šifriranja završen, vidjet ćete sliku na radnoj površini.

Istovremeno, biće ih mnogo tekstualne datoteke sa istim sadržajem.

Vaši fajlovi su šifrirani. Da dešifrujete ux, potrebno je da ispravite kod: 329D54752553ED978F94|0 na email adresu [email protected]. Tada ćete dobiti sva potrebna uputstva. Pokušaji da ga sami dešifrujete neće dovesti do ničega, osim nepovratnog broja informacija. Ako i dalje želite pokušati, napravite sigurnosne kopije datoteka unaprijed, inače, u slučaju promjena ux-a, dešifriranje neće biti moguće ni pod kojim okolnostima. Ako niste dobili odgovor na gornju adresu u roku od 48 sati (i to samo u ovom slučaju!), molimo koristite obrazac za povratne informacije. Ovo se može uraditi na dva načina: 1) Preuzmite i instalirajte Tor Browser sa linka: https://www.torproject.org/download/download-easy.html.en Unesite adresu u adresu Tor pretraživača: http:/ /cryptsen7fo43rr6 .onion/ i pritisnite Enter. Stranica sa kontakt formom je učitana. 2) U bilo kom pretraživaču idite na jednu od adresa: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Sve važne datoteke na vašem računaru su šifrovane. Za dešifrovanje fajlova treba da pošaljete sledeći kod: 329D54752553ED978F94|0 na e-mail adresu [email protected]. Onda ti ces dobiti sva potrebna uputstva. Svi pokušaji dešifriranja koji sami izvršite rezultirat će samo neopozivim gubitkom vaših podataka. Ako i dalje želite pokušati sami da ih dešifrujete, prvo napravite sigurnosnu kopiju jer će dešifriranje postati nemoguće u slučaju bilo kakvih promjena unutar datoteka. Ako niste dobili odgovor sa navedenog e-maila više od 48 sati (i to samo u ovom slučaju!), koristite obrazac za povratne informacije. To možete učiniti na dva načina: 1) Preuzmite Tor Browser odavde: https://www.torproject.org/download/download-easy.html.en Instalirajte ga i upišite sljedeću adresu u adresnu traku: http:/ /cryptsen7fo43rr6.onion/ Pritisnite Enter i tada će se učitati stranica sa formularom za povratne informacije. 2) Idite na jednu od sljedećih adresa u bilo kojem pretraživaču: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Poštanska adresa se može promijeniti. Vidio sam i druge adrese poput ove:

Adrese se stalno ažuriraju, tako da mogu biti potpuno različite.

Čim ustanovite da su datoteke šifrirane, odmah isključite računar. Ovo se mora učiniti kako bi se prekinuo proces šifriranja i na lokalnom računalu i na mrežnim diskovima. Virus ransomware može šifrirati sve informacije do kojih može doći, uključujući i mrežne diskove. Ali ako postoji velika količina informacija, onda će mu trebati dosta vremena. Ponekad, čak ni za par sati, enkriptor nije imao vremena da šifrira sve što je uključeno mrežni disk veličine oko 100 gigabajta.

Zatim morate dobro razmisliti o tome kako postupiti. Ako su vam svakako potrebne informacije na vašem računaru, a nemate rezervne kopije, onda je bolje da se obratite stručnjacima u ovom trenutku. Ne nužno za novac u nekim firmama. Potrebna vam je samo osoba koja je dobro upućena informacioni sistemi. Potrebno je procijeniti razmjere katastrofe, ukloniti virus, prikupiti sve dostupne informacije o situaciji kako bi se razumjelo kako dalje.

Neispravne radnje u ovoj fazi mogu značajno zakomplicirati proces dešifriranja ili oporavka datoteka. U najgorem slučaju, oni to mogu onemogućiti. Zato uzmite si vremena, budite pažljivi i dosljedni.

Kako virus CRYPTED000007 ransomware šifrira datoteke

Nakon što se virus pokrene i završi svoju aktivnost, svi korisni fajlovi će biti šifrirani, preimenovani iz extension.crypted000007. I ne samo da će biti zamijenjena ekstenzija datoteke, već i naziv datoteke, tako da nećete znati kakve ste točno datoteke imali ako se ne sjećate. Biće nešto poput ove slike.

U takvoj situaciji biće teško procijeniti razmjere tragedije, jer se nećete moći u potpunosti sjetiti šta ste imali u različite fascikle. To je učinjeno namjerno da zbuni osobu i ohrabri je da plati dešifriranje datoteka.

A ako ste bili šifrirani i mrežne fascikle a ne postoje potpune sigurnosne kopije, onda to generalno može zaustaviti rad cijele organizacije. Nećete odmah shvatiti šta je na kraju izgubljeno da biste započeli oporavak.

Kako tretirati svoj računar i ukloniti CRYPTED000007 ransomware

Virus CRYPTED000007 je već na vašem računaru. Prvo i najvažnije pitanje je kako izliječiti računalo i kako ukloniti virus sa njega kako bi spriječili daljnju enkripciju ako još nije završena. Odmah vam skrećem pažnju na činjenicu da nakon što sami počnete izvoditi neke radnje sa svojim računalom, šanse za dešifriranje podataka se smanjuju. Ako svakako trebate oporaviti datoteke, ne dirajte svoj računar, već se odmah obratite profesionalcima. U nastavku ću govoriti o njima i dati link do stranice i opisati shemu njihovog rada.

U međuvremenu ćemo nastaviti samostalno tretirati računar i uklanjati virus. Tradicionalno, ransomware se lako uklanja sa računara, jer virus nema zadatak da po svaku cenu ostane na računaru. Nakon potpunog šifriranja datoteka, još mu je isplativije da se izbriše i nestane, kako bi bilo teže istražiti incident i dešifrirati datoteke.

opisati ručno uklanjanje virus je težak, iako sam to i ranije pokušavao, ali vidim da je najčešće besmisleno. Nazivi datoteka i putevi za smještaj virusa se stalno mijenjaju. Ono što sam video više nije relevantno za nedelju ili dve. Obično se virusi šalju poštom u talasima, i svaki put postoji nova modifikacija koju antivirusi još nisu detektovali. Univerzalni alati koji provjeravaju automatsko pokretanje i otkrivaju sumnjive aktivnosti u sistemskim mapama pomažu.

Za uklanjanje virusa CRYPTED000007 možete koristiti sljedeće programe:

  1. Kaspersky Virus Removal Tool - uslužni program kompanije Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - sličan proizvod sa druge web stranice http://free.drweb.ru/cureit.
  3. Ako prva dva uslužna programa ne pomognu, isprobajte MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

Najvjerovatnije će jedan od ovih proizvoda očistiti računar od CRYPTED000007 ransomware-a. Ako se iznenada dogodi da ne pomognu, pokušajte ručno ukloniti virus. Naveo sam tehniku ​​uklanjanja kao primjer i možete je vidjeti tamo. Ukratko, evo šta treba da uradite:

  1. Gledamo listu procesa, nakon što smo prethodno dodali nekoliko dodatnih kolona u upravitelj zadataka.
  2. Pronađemo proces virusa, otvorimo fasciklu u kojoj se nalazi i izbrišemo je.
  3. Čistimo spominjanje procesa virusa po imenu datoteke u registru.
  4. Ponovo pokrećemo sistem i uvjeravamo se da virus CRYPTED000007 nije na listi pokrenutih procesa.

Gdje preuzeti dešifrator CRYPTED000007

Pitanje jednostavnog i pouzdanog dekriptora postavlja se prije svega kada je u pitanju ransomware virus. Prvo što savjetujem je korištenje usluge https://www.nomoreransom.org. Što ako budete imali sreće, oni će imati dešifriranje za vašu verziju kriptora CRYPTED000007. Odmah ću reći da nemate mnogo šansi, ali pokušaj nije mučenje. On početna stranica kliknite Da:

Zatim učitajte nekoliko šifriranih datoteka i kliknite na Go! saznati:

U vrijeme pisanja ovog teksta, dekoder nije bio na stranici.

Možda ćete imati više sreće. Također možete vidjeti listu dekriptora za preuzimanje na posebnoj stranici - https://www.nomoreransom.org/decryption-tools.html. Možda tu ima nečeg korisnog. Kada je virus vrlo svjež, male su šanse za to, ali s vremenom se nešto može pojaviti. Postoje primjeri kada su se na mreži pojavili dekriptori za neke modifikacije ransomwarea. A ovi primjeri su na navedenoj stranici.

Gdje još mogu naći dekoder, ne znam. Malo je vjerovatno da će zaista postojati, uzimajući u obzir posebnosti rada modernog ransomwarea. Samo autori virusa mogu imati punopravni dekoder.

Kako dešifrirati i oporaviti datoteke nakon virusa CRYPTED000007

Šta učiniti kada virus CRYPTED000007 šifrira vaše datoteke? Tehnička implementacija enkripcija vam ne dozvoljava dešifriranje datoteka bez ključa ili dešifratora, koji ima samo autor enkriptora. Možda postoji neki drugi način da se to dobije, ali ja nemam takve informacije. Možemo samo pokušati oporaviti datoteke korištenjem improviziranih metoda. To uključuje:

  • Alat kopije u senci prozori.
  • Programi za oporavak izbrisanih podataka

Prvo, hajde da provjerimo da li imamo omogućene sjene kopije. Ovaj alat radi prema zadanim postavkama u Windowsima 7 i novijim osim ako ga ne onemogućite ručno. Da biste provjerili, otvorite svojstva računara i idite na odjeljak za zaštitu sistema.

Ako tokom infekcije niste potvrdili UAC zahtjev za brisanje datoteka u sjenčanim kopijama, onda bi neki podaci trebali ostati tamo. O ovom zahtjevu sam detaljnije govorio na početku priče, kada sam govorio o radu virusa.

Za jednostavno vraćanje datoteka iz sjenčanih kopija, predlažem korištenje besplatni program za ovo - ShadowExplorer. Preuzmite arhivu, raspakujte program i pokrenite.

Otvara se posljednja kopija datoteka i korijen diska C. U gornjem lijevom kutu možete odabrati rezervnu kopiju ako ih imate više. Provjerite različite kopije za potrebne datoteke. Uporedite po datumima gdje je novija verzija. U mom primjeru ispod, pronašao sam 2 fajla na svom desktopu koji su bili stari tri mjeseca kada su posljednji put uređivani.

Uspio sam oporaviti ove datoteke. Da bih to uradio, odabrao sam ih, kliknuo desnim tasterom miša, odabrao Izvezi i pokazao fasciklu u koju da ih vratim.

Fascikle možete odmah vratiti na isti način. Ako su sjene kopije radile za vas, a niste ih izbrisali, imate dosta šansi da oporavite sve ili gotovo sve datoteke šifrirane virusom. Možda će nekih od njih biti više stara verzija nego što bih želeo, ali ipak, bolje je nego ništa.

Ako iz nekog razloga nemate kopije datoteka u sjeni, jedina šansa da dobijete barem neke od šifriranih datoteka je da ih vratite pomoću alata za oporavak izbrisane datoteke. Da biste to učinili, predlažem korištenje besplatnog programa Photorec.

Pokrenite program i odaberite disk na kojem ćete oporaviti datoteke. Pokretanje grafičke verzije programa pokreće fajl qphotorec_win.exe. Morate odabrati folder u koji će se nalaziti pronađeni fajlovi. Bolje je da se ovaj folder ne nalazi na istom disku na kojem pretražujemo. Povežite fleš disk ili eksterni HDD za ovo.

Proces traženja će trajati dugo. Na kraju ćete vidjeti statistiku. Sada možete otići u prethodno navedeni folder i vidjeti šta se tamo nalazi. Najvjerovatnije će biti puno datoteka i većina njih će biti ili oštećena, ili će biti neka vrsta sistemskih i beskorisnih datoteka. Ali ipak, na ovoj listi će biti moguće pronaći neke korisne datoteke. Ovdje nema garancija, ono što nađete to ćete i naći. Najbolje od svega, obično se slike obnavljaju.

Ako vas rezultat ne zadovoljava, još uvijek postoje programi za oporavak izbrisanih datoteka. Ispod je lista programa koje obično koristim kada trebam da vratim maksimalni iznos fajlovi:

  • R.saver
  • Starus File Recovery
  • JPEG Recovery Pro
  • Active File Recovery Professional

Ovi programi nisu besplatni, tako da neću davati linkove. Uz veliku želju, možete ih i sami pronaći na internetu.

Cijeli proces oporavka datoteka detaljno je prikazan u videu na samom kraju članka.

Kaspersky, eset nod32 i drugi u borbi protiv Filecoder.ED ransomware-a

Popularni antivirusi definišu CRYPTED000007 ransomware kao Filecoder.ED a onda može postojati i neka druga oznaka. Prošao sam kroz forume glavnih antivirusa i tamo nisam vidio ništa korisno. Nažalost, kao i obično, antivirusi nisu bili spremni za invaziju novog talasa ransomware-a. Evo poruke sa Kaspersky foruma.

Antivirusi tradicionalno preskaču nove modifikacije ransomware trojanaca. Ipak, preporučujem da ih koristite. Ako imate sreće i primite ransomware na svoju poštu ne u prvom valu zaraze, već nešto kasnije, postoji šansa da će vam antivirus pomoći. Svi rade korak iza napadača. izlaziti nova verzija ransomware, antivirusi ne reaguju na njega. Čim se nakupi određena masa materijala za istraživanje novog virusa, antivirusi objavljuju ažuriranje i počinju reagirati na njega.

Šta sprečava antiviruse da odmah reaguju na bilo koji proces enkripcije u sistemu, nije mi jasno. Možda u ovoj temi postoji neka tehnička nijansa koja vam ne dozvoljava da adekvatno odgovorite i spriječite šifriranje korisničkih datoteka. Čini mi se da bi bilo moguće barem prikazati upozorenje o tome da neko šifrira vaše datoteke i ponuditi da se proces zaustavi.

Gdje se prijaviti za garantirano dešifriranje

Slučajno sam sreo jednu kompaniju koja zaista dešifruje podatke nakon rada raznih virusa za šifrovanje, uključujući CRYPTED000007. Njihova adresa je http://www.dr-shifro.ru. Plaćanje tek nakon potpunog dešifriranja i vaše verifikacije. Evo primjera toka rada:

  1. Stručnjak kompanije dolazi do vaše kancelarije ili kuće i potpisuje ugovor sa vama u kojem fiksira cenu posla.
  2. Pokreće dekriptor i dešifruje sve datoteke.
  3. Osiguravate da su svi fajlovi otvoreni, i potpisujete akt o predaji/prihvatu obavljenog posla.
  4. Plaćanje samo po uspješnom rezultatu dešifriranja.

Da budem iskren, ne znam kako to rade, ali ne rizikujete ništa. Plaćanje tek nakon demonstracije dekodera. Molimo napišite recenziju o svom iskustvu sa ovom kompanijom.

Metode zaštite od virusa CRYPTED000007

Kako se zaštititi od rada ransomwarea i bez materijalne i moralne štete? Postoji nekoliko jednostavnih i efikasnih savjeta:

  1. Sigurnosna kopija! Rezervna kopija sve važne podatke. I ne samo rezervna, već rezervna kopija kojoj nema stalnog pristupa. U suprotnom, virus može zaraziti i vaše dokumente i sigurnosne kopije.
  2. Licencirani antivirus. Iako ne daju 100% garanciju, povećavaju šanse za izbjegavanje šifriranja. Oni najčešće nisu spremni za nove verzije ransomwarea, ali nakon 3-4 dana počinju reagirati. Ovo povećava vaše šanse da izbjegnete infekciju ako niste uključeni u prvi val slanja novih ransomware modifikacija.
  3. Ne otvarajte sumnjive priloge u pošti. Nema se tu šta komentarisati. Svi meni poznati kriptografi su došli do korisnika putem pošte. I svaki put se izmišljaju novi trikovi da se žrtva prevari.
  4. Ne otvarajte bezumno veze koje su vam poslali prijatelji putem društvenim medijima ili glasnici. Ovako se virusi ponekad šire.
  5. Omogućite prozore za prikaz ekstenzija datoteka. Kako to učiniti lako je pronaći na internetu. Ovo će vam omogućiti da primijetite ekstenziju datoteke na virusu. Najčešće hoće .exe, .vbs, .src. U svakodnevnom radu sa dokumentima, malo je vjerovatno da ćete naići na takve ekstenzije datoteka.

Pokušao sam dopuniti ono što sam već napisao ranije u svakom članku o ransomware virusu. Do tada se pozdravljam. Bit će mi drago primiti korisne komentare o članku i virusu za šifriranje CRYPTED000007 općenito.

Video s dešifriranjem i obnavljanjem datoteka

Evo primjera prethodne modifikacije virusa, ali video je u potpunosti relevantan i za CRYPTED000007.



POVEZANI ČLANCI