Sicherheitsupdate für Windows 7 vor Ransomware. So aktualisieren Sie Windows, um sich vor WannaCry zu schützen. Wanna Cry-Virus in Russland

  1. Der Mai ist da, lernen Sie WannaCry kennen.
  2. Wanna ist der Name des Ransomware-Virus, der seine Aktivität beispielsweise am 12. Mai 2017 begann und die Computer von Benutzern und Unternehmen in 90 Ländern infizierte. Microsoft hat offiziell Patches für ältere Betriebssysteme veröffentlicht, die nicht mehr unterstützt werden und veraltet sind. Volle Liste und ich werde alle Links am Ende des Artikels bereitstellen.
    3. Wie manifestiert sich Wanna?
  3. Wie bei allen Ransomware-Viren ist es während des Verschlüsselungsprozesses schwer zu bemerken, es sei denn, Sie bemerken versehentlich, dass sich die Dateien ändern und eine andere Erweiterung haben. Bei diesem Virus sehen verschlüsselte Dateien beispielsweise so aus: Dateiname.png.WNCRY
  4. Unten finden Sie eine Karte von Sumantec, die zeigt, wie Länder in den ersten Stunden der Infektion und Ausbreitung mit dem Virus infiziert wurden.
  5. Sobald sich der Virus manifestiert, nachdem er die Dateien verschlüsselt hat, wird dem Benutzer als Nächstes eine Meldung angezeigt und er kann die entsprechende Sprache auswählen. Das informiert Sie darüber, dass Ihre Dateien infiziert sind und Sie können mit den Zahlungsvorgängen fortfahren, sagen wir mal so.
  6. Das zweite Fenster zeigt, wie viel und wie Sie bezahlen sollen, also 300 Bitcoins überweisen. Und auch ein Timer zum Countdown.
  7. Desktop-Hintergrund und andere Hintergrundbilder zeigen die Meldung:
  8. Verschlüsselte Dateien haben eine doppelte Erweiterung, zum Beispiel: Dateiname.doc.WNCRY. Unten sehen Sie, wie es aussieht:
  9. Außerdem gibt es in jedem Ordner eine ausführbare Datei @ [email protected] zur Entschlüsselung nach Lösegeld (möglicherweise, aber unwahrscheinlich) und auch Text dokument @[email protected] in dem es für den Benutzer etwas zum Lesen gibt (auch möglich, aber unwahrscheinlich).
    10. Der Virus verschlüsselt Dateien mit den folgenden Erweiterungen:
  10. Ich möchte darauf hinweisen, dass es unter den Erweiterungen, die WannaCry verschlüsselt, keine 1C-Erweiterung gibt, die in Russland verwendet wird.
  11. Ich bitte Sie auch, bei der Wiederherstellung Ihrer Dateien nach einer Infektion auf das Wichtigste zu achten. Dies ist möglich, wenn Sie den Systemschutz aktiviert haben, insbesondere das Kopieren von Volumenschatten, und das UAC-Benutzerkontensteuerungssystem ausgeführt wird. Es funktioniert höchstwahrscheinlich, wenn Sie es nicht deaktiviert haben. Dann bietet der Virus an, den Systemschutz zu deaktivieren, sodass verschlüsselte Dateien, insbesondere solche, die nach der Verschlüsselung gelöscht wurden, nicht wiederhergestellt werden können. Natürlich gibt es in diesem Fall keine Möglichkeit, der Abschaltung zu widersprechen. Es sieht ungefähr so ​​aus:
    12. Betrüger von Bitcoin-Geldbörsen.
  12. Das Interessanteste dabei ist, wie der Betrag im Portemonnaie der Betrüger wächst. Bitcoin-Wallet:
  17. Beobachten Sie, indem Sie sich mindestens einmal am Tag anmelden, wie stark die Gewinne der Betrüger gestiegen sind, und Sie werden überrascht sein, glauben Sie mir! Dabei handelt es sich um einen regulären Wallet-Bitcoin-Dienst, bei dem jeder ein Wallet registrieren kann. Wenn Sie sich die Wallet-Auffüllungsstatistiken ansehen, besteht kein Grund zur Sorge.
  18. WannaCry 1.0 wurde über Spam und Websites verbreitet. Version 2.0 ist mit der ersten Version identisch, es wurde jedoch ein Wurm hinzugefügt, der sich selbstständig verbreitete, indem er über ein Protokoll auf die Computer des Opfers gelangte.
    19. Microsoft Corporation im Kampf gegen Wanna:
  19. Microsoft bietet die Installation von Update-Paketen für Benutzer älterer Betriebssysteme an:
    20. Windows Server 2003 SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Embedded SP3 x86
    Windows 8 x86
    Windows 8 x64
    Gehen Sie zu offiziellen blogs.technet.microsoft
    Was sagt Kaspersky?
  20. Der offizielle Kaspersky-Blog beschreibt den Vorgang ausführlicher und es gibt mehrere Ergänzungen, die Sie erfahren können, allerdings auf Englisch.
    21. Sichere Liste.
  21. Ergänzt durch den Support-Kaspersky-Artikel vom 15. Mai 2017:
    22. .
  22. Sie können auch anzeigen Interaktive Karte Cyber-Bedrohungen und erfahren Sie die Ausbreitung des Virus in Echtzeit:
    23. Intel Malwaretech-Karte für den WannaCry 2.0-Virus:
  23. Eine weitere Karte, die jedoch speziell auf dem WannaCry2.0-Virus basiert und die Ausbreitung des Virus in Echtzeit anzeigt (wenn die Karte nach der Umstellung nicht funktioniert, aktualisieren Sie die Seite):
    24. Video Comodo-Firewall 10 vs. WannaCry Ransomware zur Schutztechnologie:
    offiziellen Website.
    596 Varianten von WannaCry
  24. Ein unabhängiges Labor hat 596 WannaCrypt-Proben entdeckt. Liste der SHA256-Hashes:
    25. Vom Autor:
  25. Ich füge in meinem eigenen Namen hinzu, da ich den Schutz von Comodo 10 und darüber hinaus verwende, aber das beste Antivirenprogramm sind Sie selbst. Wie man so schön sagt: Gott beschützt die Besten, und ich habe einen solchen Schutz, weil ich bei meiner Arbeit verschiedene Aufgaben ausführen muss, bei denen Raum für Virenangriffe besteht, nennen wir sie so.
  26. Deaktivieren Sie das SMB1-Protokoll vorübergehend, bis Sie Sicherheitsupdates installieren oder wenn Sie es überhaupt nicht benötigen Befehlszeile, führen Sie cmd als Systemadministrator aus und verwenden Sie dism, um das Protokoll zu deaktivieren, Befehl:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Sowie andere Methoden zum Aktivieren und Deaktivieren des SMBv1,2,3-Protokolls auf der offiziellen Microsoft-Website.
  28. In der grafischen Oberfläche können Sie das Protokoll wie folgt deaktivieren: Systemsteuerung > Programme hinzufügen oder entfernen (Programm deinstallieren oder ändern) > Aktivieren oder deaktivieren Windows-Komponenten> weiteres Bild unten.

Guten Tag, liebe Leser und Gäste des Blogs, wie Sie sich erinnern, kam es im Mai 2017 zu einer groß angelegten Infektionswelle von Computern mit Betriebssystemen Windows-System, ein neuer Ransomware-Virus namens WannaCry, der in der Lage war, Daten auf mehr als 500.000 Computern zu infizieren und zu verschlüsseln, denken Sie nur an diese Zahl. Das Schlimmste ist, dass diese Art von Virus von modernen Antivirenlösungen praktisch nicht abgefangen wird, was sie noch bedrohlicher macht. Im Folgenden verrate ich Ihnen eine Methode, wie Sie Ihre Daten vor seinem Einfluss schützen können So schützen Sie sich vor Ransomware Ich denke, Sie werden es gleich interessant finden.

Was ist ein Ransomware-Virus?

Ein Ransomware-Virus ist ein Typ Trojanisches Pferd, dessen Aufgabe darin besteht, die Workstation des Benutzers zu infizieren, darauf Dateien im erforderlichen Format zu identifizieren (z. B. Fotos, Audioaufnahmen, Videodateien) und sie dann mit einer Änderung des Dateityps zu verschlüsseln, wodurch der Benutzer nicht infiziert wird Sie können sie nicht mehr öffnen, ohne Sonderprogramm Decoder. Es sieht aus wie das.

Verschlüsselte Dateiformate

Die gängigsten Dateiformate nach der Verschlüsselung sind:

  • no_more_ransom
  • Gewölbe

Folgen eines Ransomware-Virus

Ich werde den häufigsten Fall beschreiben, bei dem ein Encoder-Virus beteiligt ist. Stellen wir uns einen gewöhnlichen Benutzer in einer beliebigen abstrakten Organisation vor. In 90 Prozent der Fälle verfügt der Benutzer über das Internet an seinem Arbeitsplatz, da er mit dessen Hilfe dem Unternehmen Gewinn bringt und im Internetraum surft. Ein Mensch ist kein Roboter und kann von der Arbeit abgelenkt werden, indem er sich Websites ansieht, die ihn interessieren oder die ihm von einem Freund empfohlen wurden. Durch diese Aktivität kann er seinen Computer unwissentlich mit einem Dateiverschlüsseler infizieren und davon erfahren, wenn es bereits zu spät ist. Der Virus hat seinen Job gemacht.

Der Virus versucht zum Zeitpunkt seiner Aktion, alle Dateien zu verarbeiten, auf die er Zugriff hat, und hier beginnt, dass wichtige Dokumente im Abteilungsordner, auf den der Benutzer Zugriff hat, plötzlich in digitalen Müll, lokale Dateien usw. umgewandelt werden viel mehr. Es ist klar, dass es Sicherungskopien von Dateifreigaben geben sollte, aber was ist mit lokalen Dateien, die die gesamte Arbeit einer Person ausmachen können; dadurch verliert das Unternehmen Geld für ungenutzte Arbeit, und der Systemadministrator verlässt seine Komfortzone und gibt sein Geld aus Zeit, Dateien zu entschlüsseln.

Dasselbe kann einem gewöhnlichen Menschen passieren, aber die Konsequenzen sind hier lokaler Natur und betreffen ihn und seine Familie persönlich. Es ist sehr traurig, Fälle zu sehen, in denen ein Virus alle Dateien, einschließlich der Familienfotoarchive, verschlüsselt hat und die Leute keine Sicherungskopie haben, nun ja , es ist unter normalen Benutzern nicht üblich, dies zu tun.

Bei Cloud-Diensten ist nicht alles so einfach. Wenn Sie alles dort speichern und keinen dicken Client in Ihrem Windows-Betriebssystem verwenden, ist das eine Sache. In 99% der Fälle droht Ihnen dort nichts, aber wenn Sie beispielsweise Folgendes verwenden: Yandex Disk oder „Mail Cloud“ synchronisiert Dateien von Ihrem Computer mit diesem. Wenn Sie dann infiziert werden und erhalten, dass alle Dateien verschlüsselt sind, sendet das Programm sie direkt an die Cloud und Sie verlieren auch alles.

Als Ergebnis sehen Sie ein Bild wie dieses, in dem Ihnen mitgeteilt wird, dass alle Dateien verschlüsselt sind und Sie Geld senden müssen. Dies geschieht jetzt in Bitcoins, um die Angreifer nicht zu identifizieren. Nach der Zahlung sollten sie Ihnen angeblich einen Entschlüsseler schicken und Sie werden alles wiederherstellen.

Senden Sie niemals Geld an Kriminelle

Denken Sie daran, dass heute kein einziges modernes Antivirenprogramm Windows-Schutz vor Ransomware bieten kann, und zwar aus einem einfachen Grund: Dieser Trojaner tut aus seiner Sicht nichts Verdächtiges, er verhält sich im Wesentlichen wie ein Benutzer, er liest Dateien und schreibt sie, im Gegensatz zu Viren versucht nicht, sich zu ändern Systemdateien oder Registrierungsschlüssel hinzufügen, weshalb die Erkennung so schwierig ist, dass es keine Unterscheidungslinie vom Benutzer gibt

Quellen von Ransomware-Trojanern

Versuchen wir, die Hauptquellen für das Eindringen des Verschlüsselungsprogramms in Ihren Computer hervorzuheben.

  1. E-Mail > Sehr oft erhalten Menschen seltsame oder gefälschte E-Mails mit Links oder infizierten Anhängen, bei deren Anklicken das Opfer eine schlaflose Nacht hat. Ich habe Ihnen erklärt, wie Sie E-Mails schützen können. Ich empfehle Ihnen, es zu lesen.
  2. Durch Software- Sie haben ein Programm von einer unbekannten Quelle oder einer gefälschten Website heruntergeladen, es enthält einen Encoder-Virus und Sie fügen es bei der Installation der Software Ihrem Betriebssystem hinzu.
  3. Über Flash-Laufwerke – die Leute besuchen sich immer noch sehr oft und übertragen eine Menge Viren über Flash-Laufwerke. Ich empfehle Ihnen, „Ein Flash-Laufwerk vor Viren schützen“ zu lesen.
  4. Über IP-Kameras und Netzwerkgeräte mit Internetzugang – sehr oft infizieren Hacker aufgrund falscher Einstellungen an einem Router oder einer IP-Kamera, die mit einem lokalen Netzwerk verbunden sind, Computer im selben Netzwerk.

So schützen Sie Ihren PC vor Ransomware

Die ordnungsgemäße Nutzung Ihres Computers schützt Sie vor Ransomware, und zwar:

  • Öffnen Sie keine E-Mails, die Sie nicht kennen, und folgen Sie keinen unbekannten Links, egal über welchen Weg sie Sie erreichen, sei es per E-Mail oder über einen der Messenger
  • Installieren Sie Updates für das Windows- oder Linux-Betriebssystem so schnell wie möglich; sie werden nicht so oft veröffentlicht, etwa einmal im Monat. Wenn wir über Microsoft sprechen, dann ist dies der zweite Dienstag jedes Monats, aber im Fall von Dateiverschlüsselern können Aktualisierungen abnormal sein.
  • Schließen Sie keine unbekannten Flash-Laufwerke an Ihren Computer an; bitten Sie Ihre Freunde, ihnen einen Link zur Cloud zu senden.
  • Stellen Sie sicher, dass Ihr Computer nicht zugänglich sein muss lokales Netzwerk für andere Computer deaktivieren Sie dann den Zugriff darauf.
  • Beschränken Sie die Zugriffsrechte auf Dateien und Ordner
  • Installieren einer Antivirenlösung
  • Installieren Sie keine unverständlichen Programme, die von einer unbekannten Person gehackt wurden

Mit den ersten drei Punkten ist alles klar, aber auf die restlichen beiden werde ich näher eingehen.

Deaktivieren Sie den Netzwerkzugriff auf Ihren Computer

Wenn Leute mich fragen, wie man sich in Windows vor Ransomware schützen kann, empfehle ich als Erstes, den „Microsoft Networks File and Printer Sharing Service“ zu deaktivieren, der anderen Computern den Zugriff auf Ressourcen ermöglicht dieses Computers Verwendung von Microsoft-Netzwerken. Dies gilt auch für Neugierige Systemadministratoren, arbeitend für Ihren Provider.

Deaktivieren Der Service Und Schützen Sie sich vor Ransomware in einem lokalen oder Provider-Netzwerk wie folgt. Drücken Sie die Tastenkombination WIN+R und geben Sie im sich öffnenden Fenster den Befehl ein ncpa.cpl. Ich werde dies auf meinem Testcomputer mit zeigen Betriebssystem Windows 10 Creators-Update.

Wählen Sie die gewünschte Netzwerkschnittstelle aus und klicken Sie darauf Rechtsklick Mäuse, von Kontextmenü Wählen Sie „Eigenschaften“

Finden Sie den Artikel " Allgemeiner Zugang„Zu Dateien und Druckern für Microsoft-Netzwerke hinzufügen“ und entfernen Sie das Häkchen, dann speichern Sie es. All dies trägt dazu bei, Ihren Computer vor einem Ransomware-Virus im lokalen Netzwerk zu schützen; auf Ihren Arbeitsplatzrechner kann dann einfach nicht zugegriffen werden.

Zugriffsrechte einschränken

Der Schutz vor Ransomware-Viren in Windows kann auf diese interessante Weise implementiert werden. Ich werde Ihnen erzählen, wie ich es selbst gemacht habe. Und so besteht das Hauptproblem im Kampf gegen Verschlüsselungsprogramme darin, dass Antivirenprogramme sie einfach nicht in Echtzeit bekämpfen können. Nun ja, sie können Sie im Moment nicht schützen, also werden wir schlauer vorgehen. Wenn der Encryptor-Virus keine Schreibrechte hat, kann er mit Ihren Daten nichts anfangen. Lassen Sie mich ein Beispiel geben: Ich habe einen Fotoordner, der lokal auf dem Computer gespeichert ist, außerdem gibt es zwei Sicherungskopien auf verschiedenen Festplatte. Allein lokalen Computer Ich habe ihm Leserechte für das Konto gegeben, unter dem ich den Computer verwende. Wenn der Virus eingedrungen wäre, hätte er einfach nicht genug Rechte gehabt, wie Sie sehen, ist alles einfach.

Wie Sie all dies umsetzen, um sich vor Dateiverschlüsselern zu schützen und alles zu schützen, gehen wir wie folgt vor.

  • Wählen Sie die Ordner aus, die Sie benötigen. Versuchen Sie, Ordner zu verwenden; diese erleichtern die Rechtevergabe. Erstellen Sie im Idealfall einen schreibgeschützten Ordner und platzieren Sie alle benötigten Dateien und Ordner darin. Das Gute daran ist, dass durch die Vergabe von Rechten an den obersten Ordner diese automatisch auch auf andere darin enthaltene Ordner angewendet werden. Nachdem Sie alle erforderlichen Dateien und Ordner kopiert haben, fahren Sie mit dem nächsten Schritt fort
  • Klicken Sie im Menü mit der rechten Maustaste auf den Ordner und wählen Sie „Eigenschaften“.

  • Gehen Sie zur Registerkarte „Sicherheit“ und klicken Sie auf die Schaltfläche „Bearbeiten“.

  • Wir versuchen, Zugriffsgruppen zu löschen. Wenn wir ein Warnfenster mit der Meldung „Die Gruppe kann nicht gelöscht werden, da dieses Objekt Berechtigungen von seinem übergeordneten Objekt erbt“ erhalten, schließen wir es.

  • Klicken Sie auf die Schaltfläche „Erweitert“. Klicken Sie im sich öffnenden Element auf „Vererbung deaktivieren“.

  • Wenn Sie gefragt werden: „Was möchten Sie mit den aktuell geerbten Berechtigungen tun?“, wählen Sie „Alle geerbten Berechtigungen von diesem Objekt entfernen“.

  • Dadurch wird alles im Feld „Berechtigungen“ gelöscht.

  • Speichern Sie die Änderungen. Bitte beachten Sie, dass jetzt nur der Besitzer des Ordners die Berechtigungen ändern kann.

  • Klicken Sie nun auf der Registerkarte „Sicherheit“ auf „Bearbeiten“.

  • Klicken Sie anschließend auf „Hinzufügen – Erweitert“.

  • Wir müssen die Gruppe „Jeder“ hinzufügen, klicken Sie dazu auf „Suchen“ und wählen Sie die gewünschte Gruppe aus.

  • Um Windows vor Ransomware zu schützen, müssen Sie Berechtigungen für die Gruppe „Jeder“ festgelegt haben, wie im Bild.

  • Jetzt bedroht Sie kein Verschlüsselungsvirus mehr für Ihre Dateien in diesem Verzeichnis.

Ich hoffe, dass Microsoft und andere Antivirenlösungen ihre Produkte verbessern und Computer vor ihrer böswilligen Arbeit vor Ransomware schützen können. Befolgen Sie jedoch bis dahin die Regeln, die ich Ihnen beschrieben habe, und erstellen Sie immer Sicherungskopien wichtiger Daten.

Der WannaCry-Virus donnerte am 12. Mai um die Welt, an diesem Tag gaben mehrere medizinische Einrichtungen in Großbritannien bekannt, dass ihre Netzwerke infiziert worden seien, das spanische Telekommunikationsunternehmen und das russische Innenministerium meldeten die Abwehr eines Hackerangriffs.

WannaCry (im Volksmund bereits „Wona's Edge“ genannt) gehört zur Kategorie der Ransomware-Viren (Kryptoren), die, wenn sie auf einen PC gelangen, Benutzerdateien mit einem kryptografischen Algorithmus verschlüsseln und anschließend das Lesen dieser Dateien unmöglich machen.

Derzeit ist bekannt, dass die folgenden beliebten Dateierweiterungen der WannaCry-Verschlüsselung unterliegen:

  1. Beliebte Dateien Microsoft Office(.xlsx, .xls, .docx, .doc).
  2. Archiv- und Mediendateien (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry – wie sich das Virus verbreitet

Wir haben diese Methode der Virenverbreitung bereits in einem Artikel darüber erwähnt, das ist also nichts Neues.

An Briefkasten Der Benutzer erhält einen Brief mit einem „harmlosen“ Anhang – es kann ein Bild, ein Video, ein Lied sein, aber anstelle der Standarderweiterung für diese Formate hat der Anhang eine ausführbare Dateierweiterung – exe. Wenn eine solche Datei geöffnet und gestartet wird, wird das System „infiziert“ und durch eine Sicherheitslücke wird ein Virus direkt in das Betriebssystem Windows geladen und Benutzerdaten verschlüsselt.

Dies ist möglicherweise nicht die einzige Methode zur Verbreitung von WannaCry – Sie können Opfer werden, indem Sie „infizierte“ Dateien in sozialen Netzwerken, Torrent-Trackern und anderen Websites herunterladen.

WannaCry – So schützen Sie sich vor dem Ransomware-Virus

1. Installieren Sie den Patch für Microsoft Windows. Am 14. Mai veröffentlichte Microsoft einen Notfall-Patch für die folgenden Versionen: Vista, 7, 8.1, 10, Windows Server. Sie können diesen Patch einfach installieren, indem Sie ein Systemupdate über den Windows Update-Dienst ausführen.

2. Verwendung von Antivirensoftware mit aktuellen Datenbanken. Namhafte Entwickler von Sicherheitssoftware wie Kaspersky und Dr.Web haben bereits ein Update für ihre Produkte veröffentlicht, das Informationen zu WannaCry enthält und so ihre Benutzer schützt.

3. Speichern Sie wichtige Daten auf einem separaten Medium. Wenn Ihr Computer dies noch nicht unterstützt, können Sie die wichtigsten Dateien auf einem separaten Medium (Flash-Laufwerk, Diskette) speichern. Mit diesem Ansatz bewahren Sie, selbst wenn Sie Opfer werden, die wertvollsten Dateien vor der Verschlüsselung.

Dies alles sind derzeit bekannte wirksame Methoden zum Schutz vor WannaCry.

WannaCry-Entschlüsseler, wo kann man ihn herunterladen und ist es möglich, den Virus zu entfernen?

Ransomware-Viren gehören zur Kategorie der „bösesten“ Viren, weil... In den meisten Fällen werden Benutzerdateien mit einem 128-Bit- oder 256-Bit-Schlüssel verschlüsselt. Das Schlimmste ist, dass der Schlüssel in jedem Fall einzigartig ist und die Entschlüsselung jedes einzelnen sehr viel Zeit in Anspruch nimmt Rechenleistung, was es fast unmöglich macht, „normale“ Benutzer zu behandeln.

Was aber, wenn Sie Opfer von WannaCry werden und einen Entschlüsseler benötigen?

1. Wenden Sie sich mit einer Beschreibung des Problems an das Support-Forum von Kaspersky Lab – https://forum.kaspersky.com/. Das Forum besteht sowohl aus Unternehmensvertretern als auch aus Freiwilligen, die aktiv bei der Lösung von Problemen helfen.

2. Wie im Fall des bekannten CryptXXX-Verschlüsselungsprogramms wurde eine universelle Lösung für die Entschlüsselung verschlüsselter Dateien gefunden. Seit der Entdeckung von WannaCry ist erst eine Woche vergangen, und Spezialisten aus Antivirenlabors haben es noch nicht geschafft, eine solche Lösung dafür zu finden.

3. Die grundlegende Lösung wird sein: vollständige Entfernung Betriebssystem von einem Computer, gefolgt von einer Neuinstallation eines neuen. In dieser Situation gehen alle Benutzerdateien und Daten vollständig verloren und WannaCry wird entfernt.

Vor etwa ein oder zwei Wochen tauchte im Internet ein weiterer Hack moderner Virenhersteller auf, der alle Dateien des Benutzers verschlüsselt. Ich werde noch einmal über die Frage nachdenken, wie man einen Computer nach einem Ransomware-Virus heilen kann verschlüsselt000007 und verschlüsselte Dateien wiederherstellen. In diesem Fall ist nichts Neues oder Einzigartiges erschienen, sondern lediglich eine Modifikation der vorherigen Version.

Garantierte Entschlüsselung von Dateien nach einem Ransomware-Virus – dr-shifro.ru. Einzelheiten zur Arbeit und zum Schema der Interaktion mit dem Kunden finden Sie weiter unten in meinem Artikel oder auf der Website im Abschnitt „Arbeitsablauf“.

Beschreibung des Ransomware-Virus CRYPTED000007

Der CRYPTED000007-Verschlüsseler unterscheidet sich nicht grundlegend von seinen Vorgängern. Es funktioniert fast genauso. Dennoch gibt es einige Nuancen, die es auszeichnen. Ich erzähle dir alles der Reihe nach.

Es kommt wie seine Gegenstücke per Post an. Mithilfe von Social-Engineering-Techniken wird sichergestellt, dass sich der Benutzer für den Brief interessiert und ihn öffnet. In meinem Fall ging es in dem Brief um eine Art Gericht und wichtige Informationen zum Fall im Anhang. Nach dem Starten des Anhangs öffnet der Benutzer ein Word-Dokument mit einem Auszug aus dem Moskauer Schiedsgericht.

Parallel zum Öffnen des Dokuments startet die Dateiverschlüsselung. Es erscheint ständig eine Informationsmeldung des Windows-Benutzerkontensteuerungssystems.

Wenn Sie dem Vorschlag zustimmen, werden die Sicherungskopien der Dateien in den Schattenkopien von Windows gelöscht und die Wiederherstellung der Informationen wird sehr schwierig. Es ist offensichtlich, dass Sie dem Vorschlag auf keinen Fall zustimmen können. In diesem Verschlüsselungsprogramm tauchen diese Anfragen ständig nacheinander auf und hören nicht auf, was den Benutzer dazu zwingt, zuzustimmen und die Sicherungskopien zu löschen. Dies ist der Hauptunterschied zu früheren Modifikationen von Verschlüsselungsgeräten. Ich bin noch nie auf Anfragen gestoßen, Schattenkopien ohne Unterbrechung zu löschen. Normalerweise hörten sie nach 5-10 Angeboten auf.

Ich werde sofort eine Empfehlung für die Zukunft aussprechen. Es kommt sehr häufig vor, dass Benutzer die Warnungen der Benutzerkontensteuerung deaktivieren. Es besteht keine Notwendigkeit, dies zu tun. Dieser Mechanismus kann wirklich bei der Abwehr von Viren helfen. Der zweite offensichtliche Ratschlag ist, nicht ständig unter Druck zu arbeiten Konto Computeradministrator, es sei denn, es besteht ein objektiver Bedarf dafür. In diesem Fall hat der Virus keine Möglichkeit, großen Schaden anzurichten. Sie haben eine bessere Chance, ihm zu widerstehen.

Aber selbst wenn Sie auf die Anfragen der Ransomware immer negativ geantwortet haben, sind alle Ihre Daten bereits verschlüsselt. Nachdem der Verschlüsselungsvorgang abgeschlossen ist, wird auf Ihrem Desktop ein Bild angezeigt.

Gleichzeitig wird es viele geben Textdateien mit gleichem Inhalt.

Ihre Dateien wurden verschlüsselt. Um ux zu entschlüsseln, müssen Sie den Code 329D54752553ED978F94|0 an die E-Mail-Adresse senden [email protected]. Als nächstes erhalten Sie alle notwendigen Anweisungen. Versuche, es selbst zu entschlüsseln, führen zu nichts anderem als einer unwiderruflichen Menge an Informationen. Wenn Sie es dennoch versuchen möchten, erstellen Sie zunächst Sicherungskopien der Dateien, da sonst im Falle einer Änderung die Entschlüsselung auf keinen Fall unmöglich wird. Sollten Sie innerhalb von 48 Stunden (nur in diesem Fall!) keine Benachrichtigung an die oben genannte Adresse erhalten haben, nutzen Sie das Kontaktformular. Dies kann auf zwei Arten erfolgen: 1) Laden Sie den Tor-Browser über den Link herunter und installieren Sie ihn: https://www.torproject.org/download/download-easy.html.en Geben Sie in der Tor-Browser-Adresse die Adresse ein: http: //cryptsen7fo43rr6 .onion/ und drücken Sie die Eingabetaste. Die Seite mit dem Kontaktformular wird geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Alle wichtigen Dateien auf Ihrem Computer wurden verschlüsselt. Um die Dateien zu entschlüsseln, sollten Sie den folgenden Code senden: 329D54752553ED978F94|0 an die E-Mail-Adresse [email protected]. Dann Du wirst erhalten Sie alle notwendigen Anweisungen. Alle Entschlüsselungsversuche durch Sie selbst führen nur zum unwiderruflichen Verlust Ihrer Daten. Wenn Sie dennoch versuchen möchten, sie selbst zu entschlüsseln, erstellen Sie bitte zunächst eine Sicherungskopie, da die Entschlüsselung bei Änderungen in den Dateien unmöglich wird. Wenn Sie die Antwort auf die oben genannte E-Mail länger als 48 Stunden nicht erhalten haben (und nur in diesem Fall!), nutzen Sie das Feedback-Formular. Sie können dies auf zwei Arten tun: 1) Laden Sie den Tor-Browser hier herunter: https://www.torproject.org/download/download-easy.html.en Installieren Sie ihn und geben Sie die folgende Adresse in die Adressleiste ein: http:/ /cryptsen7fo43rr6.onion/ Drücken Sie die Eingabetaste und dann wird die Seite mit dem Feedback-Formular geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der folgenden Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Die Postanschrift kann sich ändern. Außerdem bin ich auf folgende Adressen gestoßen:

Adressen werden ständig aktualisiert und können daher völlig unterschiedlich sein.

Sobald Sie feststellen, dass Ihre Dateien verschlüsselt sind, schalten Sie Ihren Computer sofort aus. Dies muss durchgeführt werden, um den Verschlüsselungsprozess sowohl auf dem lokalen Computer als auch auf Netzlaufwerken zu unterbrechen. Ein Verschlüsselungsvirus kann alle Informationen verschlüsseln, die er erreichen kann, auch auf Netzlaufwerken. Wenn dort jedoch eine große Menge an Informationen vorhanden ist, wird es viel Zeit in Anspruch nehmen. Manchmal hatte der Kryptograf nicht einmal nach ein paar Stunden Zeit, alles zu verschlüsseln Netzlaufwerk etwa 100 Gigabyte.

Als nächstes müssen Sie sorgfältig darüber nachdenken, wie Sie vorgehen. Wenn Sie um jeden Preis Informationen auf Ihrem Computer benötigen und keine Sicherungskopien haben, wenden Sie sich in diesem Moment besser an Spezialisten. Für einige Unternehmen nicht unbedingt gegen Geld. Du brauchst einfach jemanden, der gut darin ist Informationssysteme. Es ist notwendig, das Ausmaß der Katastrophe einzuschätzen, den Virus zu entfernen und alle verfügbaren Informationen über die Situation zu sammeln, um zu verstehen, wie weiter vorgegangen werden soll.

Falsche Aktionen in dieser Phase können den Prozess der Entschlüsselung oder Wiederherstellung von Dateien erheblich erschweren. Im schlimmsten Fall können sie es unmöglich machen. Nehmen Sie sich also Zeit, seien Sie vorsichtig und konsequent.

Wie der Ransomware-Virus CRYPTED000007 Dateien verschlüsselt

Nachdem der Virus gestartet wurde und seine Aktivität beendet hat, werden alle nützlichen Dateien verschlüsselt und umbenannt extension.crypted000007. Darüber hinaus wird nicht nur die Dateierweiterung ersetzt, sondern auch der Dateiname, sodass Sie nicht genau wissen, welche Art von Dateien Sie hatten, wenn Sie sich nicht erinnern. Es wird ungefähr so ​​aussehen.

In einer solchen Situation wird es schwierig sein, das Ausmaß der Tragödie einzuschätzen, da Sie sich nicht mehr vollständig an das erinnern können, was Sie in Ihrem Leben erlebt haben. verschiedene Ordner. Dies geschah speziell, um die Leute zu verwirren und sie zu ermutigen, für die Dateientschlüsselung zu zahlen.

Und wenn Sie verschlüsselt hätten und Netzwerkordner und es keine vollständigen Backups gibt, kann dies die Arbeit der gesamten Organisation völlig zum Erliegen bringen. Es wird eine Weile dauern, herauszufinden, was letztendlich verloren gegangen ist, und dann mit der Wiederherstellung beginnen zu können.

So behandeln Sie Ihren Computer und entfernen die CRYPTED000007-Ransomware

Der CRYPTED000007-Virus befindet sich bereits auf Ihrem Computer. Die erste und wichtigste Frage ist, wie man einen Computer desinfiziert und wie man einen Virus von ihm entfernt, um eine weitere Verschlüsselung zu verhindern, wenn sie noch nicht abgeschlossen ist. Ich möchte Sie sofort darauf aufmerksam machen, dass die Chancen auf eine Entschlüsselung der Daten sinken, nachdem Sie selbst einige Aktionen mit Ihrem Computer ausgeführt haben. Wenn Sie Dateien um jeden Preis wiederherstellen müssen, berühren Sie Ihren Computer nicht, sondern wenden Sie sich sofort an einen Fachmann. Im Folgenden werde ich darüber sprechen, einen Link zur Website bereitstellen und beschreiben, wie sie funktionieren.

In der Zwischenzeit werden wir den Computer weiterhin selbstständig behandeln und den Virus entfernen. Traditionell lässt sich Ransomware leicht von einem Computer entfernen, da der Virus nicht die Aufgabe hat, um jeden Preis auf dem Computer zu verbleiben. Nach der vollständigen Verschlüsselung der Dateien ist es für ihn umso profitabler, sich selbst zu löschen und zu verschwinden, sodass es schwieriger wird, den Vorfall zu untersuchen und die Dateien zu entschlüsseln.

Beschreiben manuelle Entfernung Virus ist schwierig, obwohl ich es schon früher versucht habe, aber ich sehe, dass es meistens sinnlos ist. Dateinamen und Virenplatzierungspfade ändern sich ständig. Was ich gesehen habe, ist in ein oder zwei Wochen nicht mehr relevant. Normalerweise werden Viren in Wellen per E-Mail verschickt, und jedes Mal gibt es eine neue Änderung, die von Antivirenprogrammen noch nicht erkannt wird. Dabei helfen universelle Tools, die den Start überprüfen und verdächtige Aktivitäten in Systemordnern erkennen.

Um den CRYPTED000007-Virus zu entfernen, können Sie die folgenden Programme verwenden:

  1. Kaspersky Virus Removal Tool – ein Dienstprogramm von Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - ein ähnliches Produkt von einer anderen Website: http://free.drweb.ru/cureit.
  3. Wenn die ersten beiden Dienstprogramme nicht helfen, versuchen Sie es mit MALWAREBYTES 3.0 – https://ru.malwarebytes.com.

Höchstwahrscheinlich wird eines dieser Produkte Ihren Computer von der Ransomware CRYPTED000007 befreien. Wenn es plötzlich passiert, dass sie nicht helfen, versuchen Sie, den Virus manuell zu entfernen. Ich habe ein Beispiel für die Entfernungsmethode gegeben und Sie können es dort sehen. Kurz gesagt, Schritt für Schritt müssen Sie wie folgt vorgehen:

  1. Wir schauen uns die Liste der Prozesse an, nachdem wir dem Task-Manager mehrere zusätzliche Spalten hinzugefügt haben.
  2. Wir finden den Virenprozess, öffnen den Ordner, in dem er liegt, und löschen ihn.
  3. Wir löschen die Erwähnung des Virusprozesses anhand des Dateinamens in der Registrierung.
  4. Wir starten neu und stellen sicher, dass der CRYPTED000007-Virus nicht in der Liste der laufenden Prozesse enthalten ist.

Wo kann man den Entschlüsseler CRYPTED000007 herunterladen?

Wenn es um einen Ransomware-Virus geht, stellt sich zunächst die Frage nach einem einfachen und zuverlässigen Entschlüsseler. Als erstes empfehle ich die Nutzung des Dienstes https://www.nomoreransom.org. Was ist, wenn Sie Glück haben und es einen Entschlüsseler für Ihre Version des CRYPTED000007-Verschlüsselungsprogramms gibt? Ich sage gleich, dass Sie nicht viele Chancen haben, aber es zu versuchen ist keine Folter. An Startseite Klicken Sie auf Ja:

Laden Sie dann ein paar verschlüsselte Dateien herunter und klicken Sie auf Los! Finde es heraus:

Zum Zeitpunkt des Verfassens dieses Artikels gab es auf der Website kein Entschlüsselungsprogramm.

Vielleicht haben Sie mehr Glück. Sie können die Liste der Entschlüsselungsprogramme auch auf einer separaten Seite einsehen – https://www.nomoreransom.org/decryption-tools.html. Vielleicht ist da etwas Nützliches dabei. Wenn das Virus völlig frisch ist, ist die Wahrscheinlichkeit gering, dass dies geschieht, aber im Laufe der Zeit kann etwas auftauchen. Es gibt Beispiele dafür, dass im Netzwerk Entschlüsseler für einige Modifikationen von Verschlüsselern aufgetaucht sind. Und diese Beispiele finden Sie auf der angegebenen Seite.

Ich weiß nicht, wo man sonst noch einen Decoder finden kann. Es ist unwahrscheinlich, dass es tatsächlich existieren wird, wenn man die Besonderheiten der Arbeit moderner Verschlüsselungsgeräte berücksichtigt. Nur die Autoren des Virus können über einen vollwertigen Entschlüsseler verfügen.

So entschlüsseln und stellen Sie Dateien nach dem CRYPTED000007-Virus wieder her

Was tun, wenn der CRYPTED000007-Virus Ihre Dateien verschlüsselt hat? Technische Umsetzung Mit der Verschlüsselung können Sie Dateien nicht ohne Schlüssel oder Entschlüsselungsprogramm entschlüsseln, über das nur der Autor des Verschlüsselungsprogramms verfügt. Vielleicht gibt es einen anderen Weg, es zu bekommen, aber ich habe diese Informationen nicht. Wir können nur versuchen, Dateien mit improvisierten Methoden wiederherzustellen. Diese beinhalten:

  • Werkzeug Schattenkopien Fenster.
  • Gelöschte Datenwiederherstellungsprogramme

Überprüfen wir zunächst, ob Schattenkopien aktiviert sind. Dieses Tool funktioniert standardmäßig unter Windows 7 und höher, sofern Sie es nicht manuell deaktivieren. Um dies zu überprüfen, öffnen Sie die Computereigenschaften und gehen Sie zum Abschnitt Systemschutz.

Wenn Sie während der Infektion die UAC-Anfrage zum Löschen von Dateien in Schattenkopien nicht bestätigt haben, sollten einige Daten dort verbleiben. Ich habe zu Beginn der Geschichte ausführlicher über diese Bitte gesprochen, als ich über die Wirkung des Virus sprach.

Um Dateien einfach aus Schattenkopien wiederherzustellen, empfehle ich die Verwendung kostenloses Programm zu diesem Zweck - ShadowExplorer. Laden Sie das Archiv herunter, entpacken Sie das Programm und führen Sie es aus.

Die neueste Kopie der Dateien und das Stammverzeichnis von Laufwerk C werden geöffnet. In der oberen linken Ecke können Sie eine Sicherungskopie auswählen, wenn Sie mehrere davon haben. Überprüfen Sie verschiedene Kopien auf die erforderlichen Dateien. Vergleichen Sie nach Datum, um die aktuellste Version zu erhalten. In meinem Beispiel unten habe ich auf meinem Desktop zwei Dateien gefunden, die vor drei Monaten zum letzten Mal bearbeitet wurden.

Ich konnte diese Dateien wiederherstellen. Dazu habe ich sie ausgewählt, mit der rechten Maustaste geklickt, „Exportieren“ ausgewählt und den Ordner angegeben, in dem sie wiederhergestellt werden sollen.

Nach dem gleichen Prinzip können Sie Ordner sofort wiederherstellen. Wenn Sie Schattenkopien hatten und diese nicht gelöscht haben, haben Sie gute Chancen, alle oder fast alle vom Virus verschlüsselten Dateien wiederherzustellen. Vielleicht werden es einige mehr sein alte Version, als uns lieb ist, aber trotzdem ist es besser als nichts.

Wenn Sie aus irgendeinem Grund keine Schattenkopien Ihrer Dateien haben, besteht Ihre einzige Chance, zumindest etwas von den verschlüsselten Dateien zu erhalten, darin, sie mithilfe von Wiederherstellungstools wiederherzustellen gelöschte Dateien. Dazu empfehle ich die Verwendung des kostenlosen Programms Photorec.

Starten Sie das Programm und wählen Sie die Festplatte aus, auf der Sie Dateien wiederherstellen möchten. Durch Starten der grafischen Version des Programms wird die Datei ausgeführt qphotorec_win.exe. Sie müssen einen Ordner auswählen, in dem die gefundenen Dateien abgelegt werden. Es ist besser, wenn sich dieser Ordner nicht auf demselben Laufwerk befindet, auf dem wir suchen. Schließen Sie ein Flash-Laufwerk oder ein externes Laufwerk an Festplatte dafür.

Der Suchvorgang wird lange dauern. Am Ende sehen Sie Statistiken. Nun können Sie in den zuvor angegebenen Ordner gehen und sehen, was sich dort befindet. Es werden höchstwahrscheinlich viele Dateien vorhanden sein, und die meisten davon sind entweder beschädigt oder es handelt sich um eine Art System- und nutzlose Dateien. Dennoch sind in dieser Liste einige nützliche Dateien zu finden. Hier gibt es keine Garantien; was Sie finden, ist, was Sie finden werden. Bilder lassen sich in der Regel am besten wiederherstellen.

Wenn Sie mit dem Ergebnis nicht zufrieden sind, gibt es auch Programme zum Wiederherstellen gelöschter Dateien. Nachfolgend finden Sie eine Liste der Programme, die ich normalerweise verwende, wenn ich eine Wiederherstellung durchführen muss Höchstbetrag Dateien:

  • R.sparer
  • Starus-Dateiwiederherstellung
  • JPEG-Wiederherstellung Pro
  • Aktiver Dateiwiederherstellungsprofi

Diese Programme sind nicht kostenlos, daher werde ich keine Links bereitstellen. Wenn Sie wirklich wollen, können Sie sie selbst im Internet finden.

Der gesamte Dateiwiederherstellungsprozess wird im Video ganz am Ende des Artikels ausführlich gezeigt.

Kaspersky, eset nod32 und andere im Kampf gegen den Filecoder.ED-Verschlüsselungsdienst

Gängige Antivirenprogramme erkennen die Ransomware CRYPTED000007 als Filecoder.ED und dann könnte es noch eine andere Bezeichnung geben. Ich habe die wichtigsten Antiviren-Foren durchgesehen und dort nichts Nützliches gefunden. Leider erwies sich Antivirensoftware wie üblich als unvorbereitet für die Invasion einer neuen Ransomware-Welle. Hier ist ein Beitrag aus dem Kaspersky-Forum.

Antivirenprogramme übersehen traditionell neue Modifikationen von Ransomware-Trojanern. Dennoch empfehle ich die Verwendung. Wenn Sie Glück haben und nicht in der ersten Infektionswelle, sondern etwas später eine Ransomware-E-Mail erhalten, besteht die Möglichkeit, dass Ihnen das Antivirenprogramm hilft. Sie alle agieren einen Schritt hinter den Angreifern. Es stellt sich heraus eine neue Version Ransomware, Antivirenprogramme reagieren nicht darauf. Sobald sich eine gewisse Menge an Material für die Erforschung eines neuen Virus ansammelt, veröffentlicht die Antivirensoftware ein Update und beginnt darauf zu reagieren.

Ich verstehe nicht, was Antivirenprogramme daran hindert, sofort auf Verschlüsselungsvorgänge im System zu reagieren. Möglicherweise gibt es bei diesem Thema eine technische Nuance, die es uns nicht ermöglicht, angemessen zu reagieren und die Verschlüsselung von Benutzerdateien zu verhindern. Meiner Meinung nach wäre es möglich, zumindest eine Warnung anzuzeigen, dass jemand Ihre Dateien verschlüsselt, und anzubieten, den Vorgang zu stoppen.

Wohin für eine garantierte Entschlüsselung?

Ich traf zufällig ein Unternehmen, das tatsächlich Daten nach der Arbeit verschiedener Verschlüsselungsviren, darunter CRYPTED000007, entschlüsselt. Ihre Adresse ist http://www.dr-shifro.ru. Zahlung erst nach vollständiger Entschlüsselung und Ihrer Verifizierung. Hier ist ein ungefähres Arbeitsschema:

  1. Ein Unternehmensspezialist kommt zu Ihnen ins Büro oder nach Hause und unterzeichnet mit Ihnen einen Vertrag, in dem die Kosten für die Arbeiten festgelegt sind.
  2. Startet den Entschlüsseler und entschlüsselt alle Dateien.
  3. Sie stellen sicher, dass alle Dateien geöffnet sind und unterzeichnen die Liefer-/Abnahmebescheinigung der abgeschlossenen Arbeiten.
  4. Die Zahlung erfolgt ausschließlich bei erfolgreichem Entschlüsselungsergebnis.

Ich bin ehrlich, ich weiß nicht, wie sie das machen, aber man riskiert nichts. Bezahlung erst nach Demonstration der Funktionsfähigkeit des Decoders. Bitte schreiben Sie eine Bewertung über Ihre Erfahrungen mit diesem Unternehmen.

Methoden zum Schutz vor dem CRYPTED000007-Virus

Wie schützt man sich vor Ransomware und vermeidet materiellen und moralischen Schaden? Es gibt einige einfache und effektive Tipps:

  1. Sicherung! Sicherheitskopie alle wichtigen Daten. Und nicht nur ein Backup, sondern ein Backup, auf das kein ständiger Zugriff besteht. Andernfalls kann der Virus sowohl Ihre Dokumente als auch Sicherungskopien infizieren.
  2. Lizenziertes Antivirenprogramm. Sie bieten zwar keine hundertprozentige Garantie, erhöhen aber die Chancen, eine Verschlüsselung zu umgehen. Meistens sind sie nicht bereit für neue Versionen des Verschlüsselungsprogramms, aber nach 3-4 Tagen beginnen sie zu reagieren. Dies erhöht Ihre Chancen, eine Infektion zu vermeiden, wenn Sie nicht in die erste Verbreitungswelle einer neuen Modifikation der Ransomware einbezogen wurden.
  3. Öffnen Sie keine verdächtigen Anhänge in E-Mails. Hier gibt es nichts zu kommentieren. Sämtliche mir bekannte Ransomware erreichte die Nutzer per E-Mail. Darüber hinaus werden jedes Mal neue Tricks erfunden, um das Opfer zu täuschen.
  4. Öffnen Sie nicht gedankenlos Links, die Ihnen von Ihren Freunden über geschickt wurden soziale Netzwerke oder Boten. Auf diese Weise verbreiten sich manchmal auch Viren.
  5. Aktivieren Sie Windows, um Dateierweiterungen anzuzeigen. Wie das geht, ist im Internet leicht zu finden. Dadurch können Sie die Dateierweiterung des Virus erkennen. Meistens wird es so sein .exe, .vbs, .src. Bei Ihrer täglichen Arbeit mit Dokumenten werden Sie wahrscheinlich nicht auf solche Dateierweiterungen stoßen.

Ich habe versucht, das zu ergänzen, was ich bereits in jedem Artikel über den Ransomware-Virus geschrieben habe. In der Zwischenzeit verabschiede ich mich. Ich würde mich über nützliche Kommentare zum Artikel und zum CRYPTED000007-Ransomware-Virus im Allgemeinen freuen.

Video über Dateientschlüsselung und -wiederherstellung

Hier ist ein Beispiel einer früheren Modifikation des Virus, aber das Video ist für CRYPTED000007 vollständig relevant.



IN VERBINDUNG STEHENDE ARTIKEL