Ενημέρωση ασφαλείας των Windows 7 από ransomware. Πώς να ενημερώσετε τα Windows για προστασία από το WannaCry. Ιός Wanna Cry στη Ρωσία

  1. Είναι Μάιος, Γνωρίστε το WannaCry.
  2. Wanna είναι το όνομα ενός ιού ransomware που ξεκίνησε τη δραστηριότητά του στις 12 Μαΐου 2017, μολύνοντας υπολογιστές χρηστών και εταιρειών σε 90 χώρες. Η Microsoft κυκλοφόρησε επίσημα ενημερώσεις κώδικα για παλαιότερα λειτουργικά συστήματα που δεν υποστηρίζονται πλέον και είναι ξεπερασμένα. Πλήρης λίστακαι όλοι οι σύνδεσμοι θα δοθούν στο τέλος του άρθρου.
    3. Πώς εμφανίζεται το Wanna;
  3. Όπως όλοι οι ιοί, το ransomware είναι δύσκολο να το παρατηρήσετε κατά τη διαδικασία κρυπτογράφησης, εάν εσείς οι ίδιοι δεν είδατε κατά λάθος ότι τα αρχεία αλλάζουν και γίνονται με διαφορετική επέκταση. Για παράδειγμα, με αυτόν τον ιό, τα κρυπτογραφημένα αρχεία θα μοιάζουν με αυτό: filename.png.WNCRY
  4. Παρακάτω είναι ένας χάρτης της μόλυνσης από τον ιό των χωρών τις πρώτες ώρες μόλυνσης και εξάπλωσης, ένας χάρτης από τη Sumantec.
  5. Επιπλέον, όπως δείχνει ο ιός αφού κρυπτογραφήσει τα αρχεία, θα εμφανιστεί ένα μήνυμα στον χρήστη και θα μπορεί να επιλέξει την κατάλληλη γλώσσα. Το οποίο αναφέρει ότι τα αρχεία σας είναι μολυσμένα και πάει στα βήματα πληρωμής, ας το πούμε.
  6. Το δεύτερο παράθυρο δείχνει πόσα και πώς πρέπει να πληρώσετε, να μεταφέρετε 300 bitcoins. Καθώς και ένα χρονόμετρο αντίστροφης μέτρησης.
  7. Το φόντο της επιφάνειας εργασίας και άλλες εικόνες φόντου εμφανίζουν το μήνυμα:
  8. Τα κρυπτογραφημένα αρχεία έχουν διπλή επέκταση, για παράδειγμα: filename.doc.WNCRY. Παρακάτω είναι πώς φαίνεται:
  9. Επίσης σε κάθε φάκελο υπάρχει ένα εκτελέσιμο αρχείο @ [email προστατευμένο]για αποκρυπτογράφηση μετά τα λύτρα (πιθανώς αλλά σχεδόν καθόλου), καθώς και ένα έγγραφο κειμένου @ [email προστατευμένο]στο οποίο υπάρχει κάτι να διαβάσει ο χρήστης (επίσης δυνατό, αλλά σχεδόν καθόλου).
    10. Ο ιός κρυπτογραφεί αρχεία με τις ακόλουθες επεκτάσεις:
  10. Θέλω να σημειώσω ότι μεταξύ των επεκτάσεων που κρυπτογραφεί το WannaCry, δεν υπάρχει επέκταση 1C που χρησιμοποιείται στη Ρωσία.
  11. Σας ζητώ επίσης να δώσετε προσοχή στο πιο σημαντικό πράγμα στην επαναφορά των αρχείων σας μετά τη μόλυνση. Είναι δυνατό εάν έχετε ενεργοποιημένη την προστασία συστήματος, δηλαδή τη σκιώδη αντιγραφή τόμου και το σύστημα ελέγχου λογαριασμού χρήστη uac λειτουργεί, και πιθανότατα λειτουργεί εάν δεν το απενεργοποιήσατε. Στη συνέχεια, ο ιός θα προσφέρει την απενεργοποίηση της προστασίας του συστήματος, έτσι ώστε να μην είναι δυνατή η επαναφορά κρυπτογραφημένων αρχείων, δηλαδή εκείνων που έχουν διαγραφεί μετά την κρυπτογράφηση. Φυσικά, σε αυτή την περίπτωση, δεν υπάρχει περίπτωση να διαφωνήσετε με την αποσύνδεση. Μοιάζει με αυτό:
    12. Τα πορτοφόλια Bitcoin είναι απατεώνες.
  12. Το πιο ενδιαφέρον εδώ είναι πώς αυξάνεται το ποσό στο πορτοφόλι των απατεώνων. πορτοφόλι bitcoin:
  17. παρακολουθήστε επισκεπτόμενοι τουλάχιστον μια φορά την ημέρα πόσο έχει αυξηθεί το κέρδος των απατεώνων και θα εκπλαγείτε, πιστέψτε με! Αυτή είναι μια κανονική υπηρεσία Wallet Bitcoin στην οποία ο καθένας μπορεί να καταχωρήσει ένα πορτοφόλι για τον εαυτό του, δεν υπάρχει τίποτα να ανησυχείτε αν κοιτάξετε τα στατιστικά στοιχεία αναπλήρωσης πορτοφολιού.
  18. Το WannaCry 1.0 διανεμήθηκε μέσω ανεπιθύμητων μηνυμάτων και ιστότοπων. Η έκδοση 2.0 είναι πανομοιότυπη με την πρώτη έκδοση, αλλά προστέθηκε ένα σκουλήκι, το οποίο διαδόθηκε από μόνο του, μπαίνοντας στους υπολογιστές του θύματος μέσω ενός πρωτοκόλλου.
    19. Η Microsoft στον αγώνα ενάντια στο Wanna:
  19. Η Microsoft προτείνει την εγκατάσταση service pack για χρήστες παλαιότερων λειτουργικών συστημάτων:
    20. Windows Server 2003SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Embedded SP3 x86
    Windows 8 x86
    Windows 8 x64
    Μεταβείτε στο επίσημο blogs.technet.microsoft
    Τι λέει η Kaspersky;
  20. Στο επίσημο ιστολόγιο της Kaspersky, η διαδικασία περιγράφεται με περισσότερες λεπτομέρειες και υπάρχουν αρκετές προσθήκες που μπορείτε να μάθετε, αν και στα αγγλικά.
    21. ασφαλής λίστα.
  21. Συμπληρώνεται με το άρθρο υποστήριξης kaspersky με ημερομηνία 15 Μαΐου 2017:
    22. .
  22. Μπορείτε επίσης να δείτε διαδραστικό χάρτηαπειλές στον κυβερνοχώρο και ανακαλύψτε την εξάπλωση του ιού σε πραγματικό χρόνο:
    23. Κάρτα Intel malwaretech για τον ιό WannaCry 2.0:
  23. Ένας άλλος χάρτης, αλλά ειδικά για τον ιό WannaCry2.0, η εξάπλωση του ιού σε πραγματικό χρόνο (αν ο χάρτης δεν λειτούργησε μετά τη μετάβαση, ανανεώστε τη σελίδα):
    24. βίντεο Τείχος προστασίας Comodo 10 εναντίον WannaCry Ransomware σχετικά με την τεχνολογία προστασίας:
    επίσημη ιστοσελίδα.
    596 παραλλαγές WannaCry
  24. Ένα ανεξάρτητο εργαστήριο ανακάλυψε 596 δείγματα WannaCrypt. Λίστα κατακερματισμών SHA256:
    25. Από τον συγγραφέα:
  25. Θα προσθέσω μόνος μου, καθώς χρησιμοποιώ προστασία έναντι του Comodo είναι 10 και επιπλέον, αλλά το καλύτερο antivirus είστε εσείς οι ίδιοι. Όπως λένε, ο Θεός σώζει το χρηματοκιβώτιο και έχω τέτοια προστασία γιατί καθώς εργάζομαι πρέπει να εκτελώ διάφορες εργασίες στις οποίες υπάρχει χώρος για να διαρρεύσουν επιθέσεις ιών, ας τις ονομάσουμε έτσι.
  26. Απενεργοποιήστε προσωρινά το πρωτόκολλο SMB1 μέχρι να εγκαταστήσετε ενημερώσεις ασφαλείας ή εάν δεν το χρειάζεστε καθόλου χρησιμοποιώντας γραμμή εντολών, εκτελέστε το cmd για λογαριασμό του διαχειριστή του συστήματος και χρησιμοποιήστε το dim για να απενεργοποιήσετε το πρωτόκολλο, εντολή:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Καθώς και άλλες μέθοδοι ενεργοποίησης και απενεργοποίησης του πρωτοκόλλου SMBv1,2,3 στον επίσημο ιστότοπο της Microsoft.
  28. Στη γραφική διεπαφή για την απενεργοποίηση του πρωτοκόλλου, μπορείτε να κάνετε τα εξής: Πίνακας ελέγχου> Προσθήκη ή αφαίρεση προγραμμάτων (Κατάργηση εγκατάστασης ή αλλαγή προγράμματος)> Ενεργοποίηση ή απενεργοποίηση Στοιχεία των Windows> περισσότερη εικόνα παρακάτω.

Καλησπέρα, αγαπητοί αναγνώστες και καλεσμένοι του ιστολογίου, όπως θυμάστε, τον Μάιο του 2017, ένα μεγάλο κύμα μόλυνσης των υπολογιστών με λειτουργικό Σύστημα Windows, ένας νέος ιός ransomware που ονομάζεται WannaCry, με αποτέλεσμα να μολύνει και να κρυπτογραφεί δεδομένα σε περισσότερους από 500.000 υπολογιστές, σκεφτείτε μόνο αυτό το νούμερο. Το χειρότερο είναι ότι αυτός ο τύπος ιού πρακτικά δεν συλλαμβάνεται από τις σύγχρονες λύσεις προστασίας από ιούς, γεγονός που τον καθιστά ακόμη πιο απειλητικό, παρακάτω θα σας πω μια μέθοδο για το πώς να προστατεύσετε τα δεδομένα σας από την επιρροή τους και πώς να προστατευτείτε από ransomwareγια ένα λεπτό, νομίζω ότι θα σας ενδιαφέρει.

Τι είναι ένας ιός κωδικοποιητή

Ο ιός ransomware είναι ένας τύπος γενναίο και φιλεργό άτομο, του οποίου η αποστολή είναι να μολύνει το σταθμό εργασίας του χρήστη, να αναγνωρίζει αρχεία της απαιτούμενης μορφής σε αυτόν (για παράδειγμα, φωτογραφίες, εγγραφές ήχου, αρχεία βίντεο), και στη συνέχεια να τα κρυπτογραφεί με μια αλλαγή στον τύπο αρχείου, με αποτέλεσμα ο χρήστης να μην να μπορείτε πλέον να τα ανοίγετε χωρίς ειδικό πρόγραμμα αποκρυπτογράφησης. Μοιάζει με αυτό.

Κρυπτογραφημένες μορφές αρχείων

Οι πιο συνηθισμένες μορφές αρχείων μετά την κρυπτογράφηση είναι:

  • no_more_ransom
  • θόλος

Συνέπειες του ιού ransomware

Θα περιγράψω την πιο συνηθισμένη περίπτωση στην οποία εμπλέκεται ο ιός κωδικοποιητή. Φανταστείτε έναν απλό χρήστη σε οποιονδήποτε αφηρημένο οργανισμό, στο 90 τοις εκατό των περιπτώσεων ο χρήστης έχει το Διαδίκτυο πίσω από τον χώρο εργασίας του, αφού με τη βοήθεια του φέρνει κέρδος στην εταιρεία, σερφάρει στο χώρο του Διαδικτύου. Ένα άτομο δεν είναι ρομπότ και μπορεί να αποσπαστεί από τη δουλειά περιηγώντας σε ιστότοπους που τον ενδιαφέρουν ή σε ιστότοπους που τον συμβούλεψε ο φίλος του. Ως αποτέλεσμα αυτής της δραστηριότητας, μπορεί να μολύνει τον υπολογιστή του με έναν κρυπτογράφηση αρχείων χωρίς να το γνωρίζει και να το μάθει όταν είναι πολύ αργά. ο ιός έκανε τη δουλειά του.

Ο ιός τη στιγμή της εργασίας του προσπαθεί να επεξεργαστεί όλα τα αρχεία στα οποία έχει πρόσβαση και εδώ αρχίζει ότι σημαντικά έγγραφα στον φάκελο του τμήματος, στον οποίο έχει πρόσβαση ο χρήστης, ξαφνικά μετατρέπονται σε ψηφιακά σκουπίδια, τοπικά αρχεία και πολλά άλλα . Είναι σαφές ότι πρέπει να υπάρχουν αντίγραφα ασφαλείας των κοινόχρηστων αρχείων, αλλά τι γίνεται με τα τοπικά αρχεία που μπορούν να αποτελέσουν όλη τη δουλειά ενός ατόμου, ως αποτέλεσμα, η εταιρεία χάνει χρήματα για απλή εργασία και ο διαχειριστής του συστήματος βγαίνει από τη ζώνη άνεσής του και ξοδεύει το χρόνο του αποκρυπτογραφώντας αρχεία.

Το ίδιο μπορεί να συμβεί σε έναν απλό άνθρωπο, αλλά οι συνέπειες εδώ είναι τοπικές και αφορούν προσωπικά τον ίδιο και την οικογένειά του, είναι πολύ λυπηρό να βλέπουμε περιπτώσεις όπου ένας ιός κρυπτογραφούσε όλα τα αρχεία, συμπεριλαμβανομένων των αρχείων οικογενειακών φωτογραφιών και οι άνθρωποι δεν είχαν αντίγραφο ασφαλείας Λοιπόν, δεν συνηθίζεται να το κάνουν οι απλοί χρήστες.

Με τις υπηρεσίες cloud, όλα δεν είναι τόσο απλά, εάν αποθηκεύετε τα πάντα εκεί και δεν χρησιμοποιείτε έναν παχύ πελάτη στο λειτουργικό σας σύστημα Windows, είναι ένα πράγμα, εκεί στο 99% δεν κινδυνεύετε, αλλά εάν χρησιμοποιείτε, για παράδειγμα, Ο "Δίσκος Yandex" ή το "mail Cloud" συγχρονίζουν αρχεία από τον υπολογιστή σας σε αυτόν, μετά μολύνονται και έχοντας λάβει ότι όλα τα αρχεία είναι κρυπτογραφημένα, το πρόγραμμα θα τα στείλει κατευθείαν στο cloud και επίσης θα χάσετε τα πάντα.

Ως αποτέλεσμα, βλέπετε μια εικόνα παρόμοια με αυτήν, όπου σας λένε ότι όλα τα αρχεία είναι κρυπτογραφημένα και πρέπει να στείλετε χρήματα, τώρα αυτό γίνεται σε bitcoin για να μην καταλάβετε τους εισβολείς. Μετά την πληρωμή, υποτίθεται ότι θα πρέπει να σας σταλεί ένας αποκωδικοποιητής και θα επαναφέρετε τα πάντα.

Ποτέ μην στέλνετε χρήματα σε απατεώνες

Να θυμάστε ότι ούτε ένα σύγχρονο antivirus δεν μπορεί επί του παρόντος να παρέχει προστασία των Windows από ransomware, για έναν απλό λόγο ότι αυτός ο Trojan δεν κάνει τίποτα ύποπτο από την άποψή του, ουσιαστικά συμπεριφέρεται σαν χρήστης, διαβάζει αρχεία, γράφει, σε αντίθεση με ιούς, δεν κάνει προσπαθήστε να αλλάξετε αρχεία συστήματοςή προσθέστε κλειδιά μητρώου, γι' αυτό ο εντοπισμός του είναι τόσο δύσκολος, δεν υπάρχει γραμμή που να το διακρίνει από τον χρήστη

Πηγές trojans ransomware

Ας προσπαθήσουμε να εντοπίσουμε τις κύριες πηγές διείσδυσης του κωδικοποιητή στον υπολογιστή σας.

  1. E-mail > πολύ συχνά οι άνθρωποι λαμβάνουν περίεργα ή ψεύτικα email με συνδέσμους ή μολυσμένα συνημμένα, κάνοντας κλικ στα οποία το θύμα αρχίζει να κανονίζει μια άγρυπνη νύχτα. Σας είπα πώς να προστατεύσετε το e-mail, σας συμβουλεύω να το διαβάσετε.
  2. Διά μέσου λογισμικό- κατεβάσατε ένα πρόγραμμα από άγνωστη πηγή ή ψεύτικο ιστότοπο, περιέχει έναν ιό κωδικοποιητή και όταν εγκαθιστάτε το λογισμικό, το εισάγετε στο λειτουργικό σας σύστημα.
  3. Μέσω μονάδων flash - οι άνθρωποι εξακολουθούν να πηγαίνουν πολύ συχνά ο ένας στον άλλο και μεταφέρουν ένα σωρό ιούς μέσω μονάδων flash, σας συμβουλεύω να διαβάσετε "Προστασία μονάδων flash από ιούς"
  4. Μέσω καμερών ip και συσκευών δικτύου που έχουν πρόσβαση στο Διαδίκτυο - πολύ συχνά λόγω εσφαλμένων ρυθμίσεων σε δρομολογητή ή κάμερα ip που είναι συνδεδεμένη σε τοπικό δίκτυο, οι χάκερ μολύνουν υπολογιστές στο ίδιο δίκτυο.

Πώς να προστατέψετε τον υπολογιστή σας από έναν ιό ransomware

Η σωστή χρήση ενός υπολογιστή προστατεύει από ransomware, και συγκεκριμένα:

  • Μην ανοίγετε αλληλογραφία που δεν γνωρίζετε και μην ακολουθείτε ακατανόητους συνδέσμους, ανεξάρτητα από το πώς σας φτάνουν, είτε πρόκειται για αλληλογραφία είτε για οποιονδήποτε από τους αγγελιοφόρους
  • Εγκαταστήστε ενημερώσεις του λειτουργικού συστήματος Windows ή Linux όσο το δυνατόν γρηγορότερα, δεν κυκλοφορούν τόσο συχνά, περίπου μία φορά το μήνα. Αν μιλάμε για τη Microsoft, τότε αυτή είναι η δεύτερη Τρίτη κάθε μήνα, αλλά στην περίπτωση των κρυπτογραφητών αρχείων, οι ενημερώσεις μπορεί να είναι μη φυσιολογικές.
  • Μη συνδέετε άγνωστες μονάδες flash στον υπολογιστή σας, ζητήστε από τους φίλους σας να στείλουν έναν καλύτερο σύνδεσμο στο cloud.
  • Βεβαιωθείτε ότι εάν ο υπολογιστής σας δεν χρειάζεται να είναι διαθέσιμος σε τοπικό δίκτυογια άλλους υπολογιστές και, στη συνέχεια, απενεργοποιήστε την πρόσβαση σε αυτό.
  • Περιορίστε τα δικαιώματα πρόσβασης σε αρχεία και φακέλους
  • Εγκατάσταση λύσης προστασίας από ιούς
  • Μην εγκαθιστάτε ακατανόητα προγράμματα που έχουν παραβιαστεί από κάποιον άγνωστο

Όλα είναι ξεκάθαρα με τους πρώτους τρεις βαθμούς, αλλά στα υπόλοιπα δύο θα σταθώ αναλυτικότερα.

Απενεργοποιήστε την πρόσβαση δικτύου στον υπολογιστή σας

Όταν οι άνθρωποι με ρωτούν πώς οργανώνεται η προστασία από ransomware στα Windows, το πρώτο πράγμα που προτείνω είναι να απενεργοποιήσουν την "Υπηρεσία κοινής χρήσης αρχείων και εκτυπωτών του Microsoft Networks", η οποία επιτρέπει σε άλλους υπολογιστές να έχουν πρόσβαση σε πόρους αυτός ο υπολογιστήςχρησιμοποιώντας δίκτυα της Microsoft. Είναι εξίσου σχετικό από τους περίεργους διαχειριστές συστήματοςπου λειτουργούν με τον ISP σας.

Καθιστώ ανίκανο αυτή η υπηρεσίακαι προστατευτείτε από ransomwareσε τοπικό δίκτυο ή δίκτυο παρόχου, ως εξής. Πατήστε το συνδυασμό πλήκτρων WIN + R και στο παράθυρο που ανοίγει, εκτελέστε, εισάγετε την εντολή ncpa.cpl. Θα το δείξω στον δοκιμαστικό μου υπολογιστή με λειτουργικό σύστημα Windows 10 Creators Update.

Επιλέξτε την επιθυμητή διεπαφή δικτύου και κάντε κλικ σε αυτήν κάντε δεξί κλικποντίκια, από κατάλογος συμφραζόμενωνεπιλέξτε "Ιδιότητες"

Εύρεση του αντικειμένου Γενική πρόσβασησε αρχεία και εκτυπωτές για δίκτυα Microsoft" και καταργήστε την επιλογή και, στη συνέχεια, αποθηκεύστε το, όλα αυτά θα βοηθήσουν στην προστασία του υπολογιστή σας από τον ιό ransomware στο τοπικό δίκτυο, ο σταθμός εργασίας σας απλά δεν θα είναι διαθέσιμος.

Περιορισμός δικαιωμάτων πρόσβασης

Η προστασία από τον ιό ransomware στα Windows μπορεί να εφαρμοστεί με τόσο ενδιαφέροντα τρόπο, θα σας πω πώς το έκανα για τον εαυτό μου. Και έτσι το κύριο πρόβλημα στη μάχη κατά του ransomware είναι ότι τα antivirus απλά δεν μπορούν να τα καταπολεμήσουν σε πραγματικό χρόνο, καλά, δεν μπορούν να σας προστατεύσουν αυτή τη στιγμή, οπότε ας είμαστε πιο έξυπνοι. Εάν ο ιός κρυπτογράφησης δεν έχει δικαιώματα εγγραφής, τότε δεν θα μπορεί να κάνει τίποτα με τα δεδομένα σας. Για να δώσω ένα παράδειγμα, έχω έναν φάκελο φωτογραφιών, είναι αποθηκευμένος τοπικά στον υπολογιστή, καθώς και δύο αντίγραφα ασφαλείας σε διαφορετικά σκληροι ΔΙΣΚΟΙ. Μόνος μου τοπικός υπολογιστήςΤο έκανα μόνο για ανάγνωση, για τον λογαριασμό κάτω από τον οποίο κάθομαι στον υπολογιστή. Εάν ο ιός έφτασε εκεί, τότε απλά δεν θα είχε αρκετά δικαιώματα, όπως μπορείτε να δείτε, όλα είναι απλά.

Πώς να τα εφαρμόσετε όλα αυτά για να προστατευθείτε από κρυπτογράφηση αρχείων και να αποθηκεύσετε τα πάντα, κάνουμε τα εξής.

  • Επιλέξτε τους φακέλους που χρειάζεστε. Προσπαθήστε να χρησιμοποιήσετε ακριβώς φακέλους, είναι πιο εύκολο να εκχωρήσετε δικαιώματα μαζί τους. Και στην ιδανική περίπτωση, δημιουργήστε έναν φάκελο που ονομάζεται μόνο για ανάγνωση και βάλτε ήδη όλα τα αρχεία και τους φακέλους που χρειάζεστε σε αυτόν. Το καλό είναι ότι με την εκχώρηση δικαιωμάτων στον επάνω φάκελο, θα εφαρμοστούν αυτόματα σε άλλους φακέλους σε αυτόν. Αφού αντιγράψετε όλα τα απαραίτητα αρχεία και φακέλους σε αυτό, προχωρήστε στο επόμενο βήμα.
  • Κάντε δεξί κλικ στον φάκελο και επιλέξτε "Ιδιότητες" από το μενού

  • Μεταβείτε στην καρτέλα "Ασφάλεια" και κάντε κλικ στο κουμπί "Επεξεργασία".

  • Προσπαθούμε να διαγράψουμε ομάδες πρόσβασης, εάν λάβετε ένα παράθυρο με μια προειδοποίηση ότι "Είναι αδύνατο να διαγράψετε μια ομάδα επειδή αυτό το αντικείμενο κληρονομεί δικαιώματα από τον γονέα του", τότε κλείστε το.

  • Κάντε κλικ στο κουμπί "Για προχωρημένους". Στο στοιχείο που ανοίγει, κάντε κλικ στην "απενεργοποίηση κληρονομικότητας"

  • Όταν ερωτηθείτε "Τι θέλετε να κάνετε με τα τρέχοντα κληρονομικά δικαιώματα" επιλέξτε "Κατάργηση όλων των κληρονομικών δικαιωμάτων από αυτό το αντικείμενο"

  • Ως αποτέλεσμα, στο πεδίο "Άδειες", όλα θα διαγραφούν.

  • Αποθηκεύουμε τις αλλαγές. Σημειώστε ότι τώρα μόνο ο κάτοχος του φακέλου μπορεί να αλλάξει τα δικαιώματα.

  • Τώρα στην καρτέλα Ασφάλεια, κάντε κλικ στο Επεξεργασία

  • Στη συνέχεια, κάντε κλικ στο "Προσθήκη - Για προχωρημένους"

  • Πρέπει να προσθέσουμε την ομάδα "Όλοι", για να το κάνουμε αυτό, κάντε κλικ στην "Αναζήτηση" και επιλέξτε την ομάδα που θέλετε.

  • Για να προστατεύσετε τα Windows από ransomware, πρέπει να έχετε ορίσει δικαιώματα για την ομάδα "Everyone", όπως στην εικόνα.

  • Αυτό ήταν, κανένας ιός κωδικοποιητή δεν σας απειλεί για τα αρχεία σας σε αυτόν τον κατάλογο.

Ελπίζω ότι η Microsoft και άλλες λύσεις προστασίας από ιούς μπορούν να βελτιώσουν τα προϊόντα τους και να προστατεύσουν τους υπολογιστές από ransomware πριν κάνουν την κακόβουλη εργασία τους, αλλά μέχρι να συμβεί αυτό, ακολουθήστε τους κανόνες που σας περιέγραψα και πάντα δημιουργήστε αντίγραφα ασφαλείας σημαντικών δεδομένων.

Ο ιός WannaCry «βρόντηξε» σε όλο τον κόσμο στις 12 Μαΐου, αυτήν την ημέρα πολλά ιατρικά ιδρύματα στο Ηνωμένο Βασίλειο ανακοίνωσαν ότι τα δίκτυά τους είχαν μολυνθεί, η ισπανική εταιρεία τηλεπικοινωνιών και το ρωσικό υπουργείο Εσωτερικών ανέφεραν ότι απώθησαν έναν χάκερ επίθεση.

Το WannaCry (στον κοινό λαό έχει ήδη το παρατσούκλι Vaughn the Edge) ανήκει στην κατηγορία των ιών κρυπτογράφησης (cryptors), οι οποίοι, όταν εισέρχονται σε έναν υπολογιστή, κρυπτογραφούν τα αρχεία χρήστη με έναν κρυπτογραφικά ισχυρό αλγόριθμο, στη συνέχεια - η ανάγνωση αυτών των αρχείων γίνεται αδύνατη .

Προς το παρόν, οι ακόλουθες δημοφιλείς επεκτάσεις αρχείων είναι γνωστό ότι είναι κρυπτογραφημένες από το WannaCry:

  1. Δημοφιλή αρχεία Το γραφείο της Microsoft(.xlsx, .xls, .docx, .doc).
  2. Αρχεία και αρχεία πολυμέσων (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - πώς εξαπλώνεται ο ιός

Νωρίτερα, αναφέραμε αυτήν τη μέθοδο εξάπλωσης ιών σε ένα άρθρο σχετικά, οπότε τίποτα καινούργιο.

Επί γραμματοκιβώτιοΈνας χρήστης λαμβάνει ένα γράμμα με ένα "ακίνδυνο" συνημμένο - μπορεί να είναι εικόνα, βίντεο, τραγούδι, αλλά αντί για την τυπική επέκταση για αυτές τις μορφές, το συνημμένο θα έχει μια εκτελέσιμη επέκταση αρχείου - exe. Όταν ανοίγει και εκκινείται ένα τέτοιο αρχείο, το σύστημα «μολύνεται» και ένας ιός φορτώνεται απευθείας στο λειτουργικό σύστημα Windows μέσω μιας ευπάθειας που κρυπτογραφεί τα δεδομένα χρήστη.

Ίσως αυτή δεν είναι η μόνη μέθοδος διάδοσης του WannaCry - μπορείτε να γίνετε θύμα όταν κατεβάζετε "μολυσμένα" αρχεία σε κοινωνικά δίκτυα, προγράμματα παρακολούθησης torrent και άλλους ιστότοπους.

WannaCry - πώς να προστατευτείτε από έναν ιό ransomware

1. Εγκαταστήστε την ενημερωμένη έκδοση κώδικα για Microsoft Windows. Στις 14 Μαΐου, η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα έκτακτης ανάγκης για τις ακόλουθες εκδόσεις - Vista, 7, 8.1, 10, Windows Server. Μπορείτε να εγκαταστήσετε αυτήν την ενημέρωση κώδικα απλά εκτελώντας μια ενημέρωση συστήματος μέσω της υπηρεσίας Windows Update.

2. Χρήση λογισμικού προστασίας από ιούς με ενημερωμένες βάσεις δεδομένων. Γνωστοί προγραμματιστές λογισμικού ασφαλείας, όπως οι Kaspersky, Dr.Web, έχουν ήδη κυκλοφορήσει μια ενημέρωση για τα προϊόντα τους που περιέχει πληροφορίες για το WannaCry, προστατεύοντας έτσι τους χρήστες τους.

3. Αποθηκεύστε σημαντικά δεδομένα σε ξεχωριστό μέσο. Εάν ο υπολογιστής σας δεν εξυπηρετείται ακόμη, μπορείτε να αποθηκεύσετε τα πιο σημαντικά αρχεία σε ξεχωριστό μέσο (μονάδα flash, δίσκος). Με αυτήν την προσέγγιση, ακόμη και να γίνετε θύμα, θα σώσετε τα πιο πολύτιμα αρχεία από την κρυπτογράφηση.

Προς το παρόν, αυτοί είναι όλοι γνωστοί αποτελεσματικοί τρόποι προστασίας από το WannaCry.

WannaCry decryptor, πού να κατεβάσετε και είναι δυνατόν να αφαιρέσετε τον ιό;

Οι ιοί κρυπτογράφησης είναι από τους πιο «κακούς» ιούς, επειδή Στις περισσότερες περιπτώσεις, τα αρχεία χρήστη κρυπτογραφούνται με κλειδί 128 bit ή 256 bit. Το χειρότερο είναι ότι σε κάθε περίπτωση το κλειδί είναι μοναδικό και χρειάζονται τεράστιοι αριθμοί για να αποκρυπτογραφηθεί το καθένα. υπολογιστική ισχύς, γεγονός που καθιστά σχεδόν αδύνατη τη μεταχείριση των «απλών» χρηστών.

Τι γίνεται όμως αν είστε θύμα του WannaCry και χρειάζεστε έναν αποκρυπτογραφητή;

1. Επικοινωνήστε με το φόρουμ υποστήριξης της Kaspersky Lab — https://forum.kaspersky.com/ με μια περιγραφή του προβλήματος. Το φόρουμ απασχολεί τόσο εκπροσώπους εταιρειών όσο και εθελοντές που βοηθούν ενεργά στην επίλυση προβλημάτων.

2. Όπως και στην περίπτωση του γνωστού κρυπτογραφητή CryptXXX, βρέθηκε μια καθολική λύση για την αποκρυπτογράφηση κρυπτογραφημένων αρχείων. Δεν έχει περάσει λιγότερο από μία εβδομάδα από την ανακάλυψη του WannaCry και ειδικοί από εργαστήρια κατά των ιών δεν έχουν καταφέρει ακόμη να βρουν μια τέτοια λύση για αυτό.

3. Η βασική λύση θα ήταν - πλήρης αφαίρεση OS από υπολογιστή, ακολουθούμενη από καθαρή εγκατάσταση ενός νέου. Σε αυτό το σενάριο, όλα τα αρχεία και τα δεδομένα χρήστη χάνονται εντελώς, μαζί με την αφαίρεση του WannaCry.

Πριν από περίπου μία ή δύο εβδομάδες, εμφανίστηκε στο δίκτυο ένα άλλο έργο από σύγχρονους κατασκευαστές ιών, το οποίο κρυπτογραφεί όλα τα αρχεία των χρηστών. Για άλλη μια φορά, θα εξετάσω το ερώτημα πώς να θεραπεύσετε έναν υπολογιστή μετά από έναν ιό ransomware crypted000007και να ανακτήσετε κρυπτογραφημένα αρχεία. Σε αυτήν την περίπτωση, δεν έχει εμφανιστεί τίποτα νέο και μοναδικό, απλώς μια τροποποίηση της προηγούμενης έκδοσης.

Εγγυημένη αποκρυπτογράφηση αρχείων μετά από ιό ransomware - dr-shifro.ru. Οι λεπτομέρειες της εργασίας και το σχέδιο αλληλεπίδρασης με τον πελάτη βρίσκονται παρακάτω στο άρθρο μου ή στον ιστότοπο στην ενότητα "Διαδικασία εργασίας".

Περιγραφή του ιού ransomware CRYPTED000007

Ο κρυπτογραφητής CRYPTED000007 δεν διαφέρει ουσιαστικά από τους προκατόχους του. Λειτουργεί σχεδόν ένα προς ένα όπως. Αλλά εξακολουθούν να υπάρχουν μερικές αποχρώσεις που το διακρίνουν. Θα σας τα πω όλα με τη σειρά.

Έρχεται, όπως και οι ομόλογοί του, ταχυδρομικώς. Οι τεχνικές κοινωνικής μηχανικής χρησιμοποιούνται για να κάνουν τον χρήστη να ενδιαφερθεί για το γράμμα και να το ανοίξει. Στην περίπτωσή μου, η επιστολή αφορούσε κάποιο είδος δικαστηρίου και περίπου σημαντικές πληροφορίεςγια την υπόθεση στο συνημμένο. Μετά την εκκίνηση του συνημμένου, ο χρήστης ανοίγει ένα έγγραφο του Word με απόσπασμα από το Διαιτητικό Δικαστήριο της Μόσχας.

Παράλληλα με το άνοιγμα του εγγράφου, ξεκινά η κρυπτογράφηση αρχείων. Αρχίζει να εμφανίζεται συνεχώς ένα ενημερωτικό μήνυμα από το σύστημα ελέγχου λογαριασμού χρήστη των Windows.

Εάν συμφωνείτε με την πρόταση, τότε τα αντίγραφα ασφαλείας των αρχείων σε σκιώδη αντίγραφα των Windows θα διαγραφούν και η ανάκτηση πληροφοριών θα είναι πολύ δύσκολη. Προφανώς, είναι αδύνατο να συμφωνήσουμε με την πρόταση σε καμία περίπτωση. Σε αυτό το ransomware, αυτά τα αιτήματα εμφανίζονται συνεχώς, ένα προς ένα, και δεν σταματούν, αναγκάζοντας τον χρήστη να συμφωνήσει και να διαγράψει τα αντίγραφα ασφαλείας. Αυτή είναι η κύρια διαφορά από τις προηγούμενες τροποποιήσεις ransomware. Δεν έχω δει ποτέ αιτήματα διαγραφής σκιωδών αντιγράφων να γίνονται ασταμάτητα. Συνήθως μετά από 5-10 προτάσεις σταματούσαν.

Θα σας κάνω μια σύσταση για το μέλλον. Πολύ συχνά, οι άνθρωποι απενεργοποιούν τις προειδοποιήσεις από το σύστημα ελέγχου λογαριασμού χρήστη. Δεν χρειάζεται να το κάνετε αυτό. Αυτός ο μηχανισμός μπορεί πραγματικά να βοηθήσει στην αντίσταση στους ιούς. Η δεύτερη προφανής συμβουλή είναι να μην εργάζεστε συνεχώς λογαριασμόςδιαχειριστή υπολογιστή, εάν αυτό δεν είναι αντικειμενικά απαραίτητο. Σε αυτή την περίπτωση, ο ιός δεν θα έχει την ευκαιρία να κάνει πολύ κακό. Θα είναι πιο πιθανό να του αντισταθείτε.

Αλλά ακόμα κι αν απαντούσατε αρνητικά σε αιτήματα ransomware συνεχώς, όλα τα δεδομένα σας είναι ήδη κρυπτογραφημένα. Αφού ολοκληρωθεί η διαδικασία κρυπτογράφησης, θα δείτε μια εικόνα στην επιφάνεια εργασίας σας.

Ταυτόχρονα, θα υπάρχουν πολλά αρχεία κειμένουμε το ίδιο περιεχόμενο.

Τα αρχεία σας έχουν κρυπτογραφηθεί. Για να αποκρυπτογραφήσετε το ux, πρέπει να διορθώσετε τον κωδικό: 329D54752553ED978F94|0 στη διεύθυνση email [email προστατευμένο]. Στη συνέχεια θα λάβετε όλες τις απαραίτητες οδηγίες. Οι προσπάθειες να το αποκρυπτογραφήσετε μόνοι σας δεν θα οδηγήσουν σε τίποτα, εκτός από τον ανεπανόρθωτο αριθμό πληροφοριών. Αν πάλι θέλετε να δοκιμάσετε, τότε δημιουργήστε αντίγραφα ασφαλείας των αρχείων εκ των προτέρων, διαφορετικά, σε περιπτώσεις αλλαγών ux, η αποκρυπτογράφηση δεν θα είναι δυνατή σε καμία περίπτωση. Εάν δεν έχετε λάβει απάντηση στην παραπάνω διεύθυνση εντός 48 ωρών (και μόνο σε αυτήν την περίπτωση!), χρησιμοποιήστε τη φόρμα σχολίων. Αυτό μπορεί να γίνει με δύο τρόπους: 1) Κατεβάστε και εγκαταστήστε το Tor Browser από τον σύνδεσμο: https://www.torproject.org/download/download-easy.html.en Εισαγάγετε τη διεύθυνση στη διεύθυνση του Tor Browser: http:/ /cryptsen7fo43rr6 .onion/ και πατήστε Enter. Φορτώνεται η σελίδα με τη φόρμα επικοινωνίας. 2) Σε οποιοδήποτε πρόγραμμα περιήγησης, μεταβείτε σε μία από τις διευθύνσεις: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Όλα τα σημαντικά αρχεία στον υπολογιστή σας ήταν κρυπτογραφημένα. Για να αποκρυπτογραφήσετε τα αρχεία θα πρέπει να στείλετε τον ακόλουθο κωδικό: 329D54752553ED978F94|0 στη διεύθυνση e-mail [email προστατευμένο]. Τότε εσύ θαλάβετε όλες τις απαραίτητες οδηγίες. Όλες οι προσπάθειες αποκρυπτογράφησης από εσάς θα έχουν ως αποτέλεσμα μόνο αμετάκλητη απώλεια των δεδομένων σας. Εάν εξακολουθείτε να θέλετε να προσπαθήσετε να τα αποκρυπτογραφήσετε μόνοι σας, κάντε ένα αντίγραφο ασφαλείας στην αρχή γιατί η αποκρυπτογράφηση θα γίνει αδύνατη σε περίπτωση οποιωνδήποτε αλλαγών μέσα στα αρχεία. Εάν δεν λάβατε την απάντηση από το προαναφερθέν email για περισσότερες από 48 ώρες (και μόνο σε αυτήν την περίπτωση!), χρησιμοποιήστε τη φόρμα σχολίων. Μπορείτε να το κάνετε με δύο τρόπους: 1) Κατεβάστε το Tor Browser από εδώ: https://www.torproject.org/download/download-easy.html.en Εγκαταστήστε το και πληκτρολογήστε την ακόλουθη διεύθυνση στη γραμμή διευθύνσεων: http:/ /cryptsen7fo43rr6.onion/ Πατήστε Enter και στη συνέχεια θα φορτωθεί η σελίδα με τη φόρμα σχολίων. 2) Μεταβείτε σε μία από τις ακόλουθες διευθύνσεις σε οποιοδήποτε πρόγραμμα περιήγησης: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Η ταχυδρομική διεύθυνση μπορεί να αλλάξει. Έχω δει άλλες διευθύνσεις όπως αυτή:

Οι διευθύνσεις ενημερώνονται συνεχώς, επομένως μπορεί να είναι εντελώς διαφορετικές.

Μόλις διαπιστώσετε ότι τα αρχεία είναι κρυπτογραφημένα, απενεργοποιήστε αμέσως τον υπολογιστή. Αυτό πρέπει να γίνει για να διακοπεί η διαδικασία κρυπτογράφησης τόσο στον τοπικό υπολογιστή όσο και στις μονάδες δίσκου δικτύου. Ένας ιός ransomware μπορεί να κρυπτογραφήσει όλες τις πληροφορίες που μπορεί να φτάσει, συμπεριλαμβανομένων των μονάδων δίσκου δικτύου. Αλλά αν υπάρχει μεγάλος όγκος πληροφοριών, τότε θα του πάρει αρκετό χρόνο. Μερικές φορές, ακόμη και σε μερικές ώρες, ο κρυπτογραφητής δεν είχε χρόνο να κρυπτογραφήσει τα πάντα μονάδα δίσκου δικτύουπερίπου 100 gigabyte σε μέγεθος.

Στη συνέχεια, πρέπει να σκεφτείτε προσεκτικά πώς να ενεργήσετε. Εάν χρειάζεστε οπωσδήποτε πληροφορίες στον υπολογιστή σας και δεν έχετε αντίγραφα ασφαλείας, τότε είναι καλύτερα να επικοινωνήσετε με ειδικούς αυτήν τη στιγμή. Όχι απαραίτητα για χρήματα σε ορισμένες εταιρείες. Χρειάζεσαι απλά έναν άνθρωπο που να είναι καλά γνώστης πληροφοριακά συστήματα. Είναι απαραίτητο να αξιολογηθεί το μέγεθος της καταστροφής, να αφαιρεθεί ο ιός, να συλλεχθούν όλες οι διαθέσιμες πληροφορίες για την κατάσταση, προκειμένου να κατανοήσουμε πώς να προχωρήσουμε.

Εσφαλμένες ενέργειες σε αυτό το στάδιο μπορεί να περιπλέξουν σημαντικά τη διαδικασία αποκρυπτογράφησης ή ανάκτησης αρχείων. Στη χειρότερη, μπορούν να το κάνουν αδύνατο. Πάρτε λοιπόν το χρόνο σας, να είστε προσεκτικοί και συνεπείς.

Πώς ο ιός ransomware CRYPTED000007 κρυπτογραφεί αρχεία

Μετά την εκκίνηση του ιού και την ολοκλήρωση της δραστηριότητάς του, όλα τα χρήσιμα αρχεία θα κρυπτογραφηθούν και θα μετονομαστούν από επέκταση.crypted000007. Και όχι μόνο η επέκταση αρχείου θα αντικατασταθεί, αλλά και το όνομα του αρχείου, έτσι δεν θα γνωρίζετε ακριβώς τι είδους αρχεία είχατε αν δεν θυμάστε. Θα υπάρχει κάτι σαν αυτή την εικόνα.

Σε μια τέτοια κατάσταση, θα είναι δύσκολο να εκτιμήσετε το μέγεθος της τραγωδίας, καθώς δεν θα μπορείτε να θυμηθείτε πλήρως τι είχατε διαφορετικούς φακέλους. Αυτό έγινε επίτηδες για να μπερδέψει ένα άτομο και να το ενθαρρύνει να πληρώσει για την αποκρυπτογράφηση αρχείων.

Και αν ήσουν κρυπτογραφημένος και φακέλους δικτύουκαι δεν υπάρχουν πλήρη αντίγραφα ασφαλείας, τότε αυτό μπορεί γενικά να σταματήσει τη δουλειά ολόκληρου του οργανισμού. Δεν θα καταλάβετε αμέσως τι χάνεται τελικά για να ξεκινήσετε την αποκατάσταση.

Πώς να χειριστείτε τον υπολογιστή σας και να αφαιρέσετε το CRYPTED000007 ransomware

Ο ιός CRYPTED000007 βρίσκεται ήδη στον υπολογιστή σας. Το πρώτο και πιο σημαντικό ερώτημα είναι πώς να θεραπεύσετε έναν υπολογιστή και πώς να αφαιρέσετε έναν ιό από αυτόν για να αποτρέψετε περαιτέρω κρυπτογράφηση, εάν δεν έχει ακόμη ολοκληρωθεί. Εφιστώ αμέσως την προσοχή σας στο γεγονός ότι αφού αρχίσετε να εκτελείτε κάποιες ενέργειες με τον υπολογιστή σας, οι πιθανότητες αποκρυπτογράφησης των δεδομένων μειώνονται. Εάν χρειάζεται να ανακτήσετε αρχεία με κάθε τρόπο, μην αγγίζετε τον υπολογιστή σας, αλλά επικοινωνήστε αμέσως με επαγγελματίες. Παρακάτω θα μιλήσω για αυτούς και θα δώσω έναν σύνδεσμο προς τον ιστότοπο και θα περιγράψω το σχήμα της δουλειάς τους.

Στο μεταξύ, θα συνεχίσουμε να αντιμετωπίζουμε ανεξάρτητα τον υπολογιστή και να αφαιρούμε τον ιό. Παραδοσιακά, το ransomware αφαιρείται εύκολα από τον υπολογιστή, καθώς ο ιός δεν έχει το καθήκον να παραμείνει στον υπολογιστή με κάθε κόστος. Μετά την πλήρη κρυπτογράφηση των αρχείων, είναι ακόμη πιο επικερδές για αυτόν να διαγραφεί και να εξαφανιστεί, έτσι ώστε να είναι πιο δύσκολο να διερευνήσει το περιστατικό και να αποκρυπτογραφήσει τα αρχεία.

περιγράφω χειροκίνητη αφαίρεσηΟ ιός είναι δύσκολος, αν και προσπάθησα να το κάνω πριν, αλλά βλέπω ότι τις περισσότερες φορές είναι άσκοπο. Τα ονόματα αρχείων και οι διαδρομές τοποθέτησης ιών αλλάζουν συνεχώς. Αυτό που είδα δεν είναι πλέον σχετικό σε μια ή δύο εβδομάδες. Συνήθως, οι ιοί αποστέλλονται ταχυδρομικά κατά κύματα και κάθε φορά υπάρχει μια νέα τροποποίηση που δεν έχει ακόμη εντοπιστεί από τα προγράμματα προστασίας από ιούς. Βοηθούν τα καθολικά εργαλεία που ελέγχουν την αυτόματη εκτέλεση και τον εντοπισμό ύποπτης δραστηριότητας στους φακέλους του συστήματος.

Για να αφαιρέσετε τον ιό CRYPTED000007, μπορείτε να χρησιμοποιήσετε τα ακόλουθα προγράμματα:

  1. Kaspersky Virus Removal Tool - ένα βοηθητικό πρόγραμμα από την Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - ένα παρόμοιο προϊόν από άλλο web http://free.drweb.ru/cureit .
  3. Εάν τα δύο πρώτα βοηθητικά προγράμματα δεν βοηθήσουν, δοκιμάστε το MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

Πιθανότατα, ένα από αυτά τα προϊόντα θα καθαρίσει τον υπολογιστή από το CRYPTED000007 ransomware. Εάν ξαφνικά συμβεί ότι δεν βοηθούν, δοκιμάστε να αφαιρέσετε τον ιό με μη αυτόματο τρόπο. Έδωσα την τεχνική αφαίρεσης ως παράδειγμα και μπορείτε να τη δείτε εκεί. Με λίγα λόγια, ορίστε τι πρέπει να κάνετε:

  1. Εξετάζουμε τη λίστα των διαδικασιών, έχοντας προηγουμένως προσθέσει αρκετές πρόσθετες στήλες στη διαχείριση εργασιών.
  2. Βρίσκουμε τη διαδικασία του ιού, ανοίγουμε το φάκελο στον οποίο βρίσκεται και τον διαγράφουμε.
  3. Καθαρίζουμε την αναφορά της διαδικασίας του ιού με το όνομα του αρχείου στο μητρώο.
  4. Κάνουμε επανεκκίνηση και βεβαιωνόμαστε ότι ο ιός CRYPTED000007 δεν βρίσκεται στη λίστα των διεργασιών που εκτελούνται.

Πού να κατεβάσετε τον αποκρυπτογραφητή CRYPTED000007

Το ερώτημα ενός απλού και αξιόπιστου αποκρυπτογραφητή τίθεται πρώτα από όλα όταν πρόκειται για έναν ιό ransomware. Το πρώτο πράγμα που σας συμβουλεύω είναι να χρησιμοποιήσετε την υπηρεσία https://www.nomoreransom.org. Τι γίνεται αν είστε τυχεροί, θα έχουν έναν αποκρυπτογραφητή για την έκδοση του κρυπτογραφητή CRYPTED000007. Θα πω αμέσως ότι δεν έχετε πολλές πιθανότητες, αλλά η προσπάθεια δεν είναι βασανιστήριο. Επί αρχική σελίδακάντε κλικ στο Ναι:

Στη συνέχεια, ανεβάστε μερικά κρυπτογραφημένα αρχεία και κάντε κλικ στο Go! βρίσκω:

Τη στιγμή της γραφής, ο αποκωδικοποιητής δεν βρισκόταν στον ιστότοπο.

Ίσως θα έχετε περισσότερη τύχη. Μπορείτε επίσης να δείτε τη λίστα των αποκρυπτογραφητών για λήψη σε μια ξεχωριστή σελίδα - https://www.nomoreransom.org/decryption-tools.html . Ίσως υπάρχει κάτι χρήσιμο εκεί. Όταν ο ιός είναι πολύ φρέσκος, υπάρχει μικρή πιθανότητα για κάτι τέτοιο, αλλά με την πάροδο του χρόνου μπορεί να εμφανιστεί κάτι. Υπάρχουν παραδείγματα όταν εμφανίστηκαν στο δίκτυο αποκρυπτογραφητές για ορισμένες τροποποιήσεις ransomware. Και αυτά τα παραδείγματα βρίσκονται στην καθορισμένη σελίδα.

Που αλλού μπορώ να βρω αποκωδικοποιητή, δεν ξέρω. Είναι απίθανο να υπάρχει πραγματικά, λαμβάνοντας υπόψη τις ιδιαιτερότητες του έργου του σύγχρονου ransomware. Μόνο οι δημιουργοί του ιού μπορούν να έχουν πλήρη αποκωδικοποιητή.

Πώς να αποκρυπτογραφήσετε και να ανακτήσετε αρχεία μετά από τον ιό CRYPTED000007

Τι να κάνετε όταν ο ιός CRYPTED000007 έχει κρυπτογραφήσει τα αρχεία σας; Τεχνική υλοποίησηΗ κρυπτογράφηση δεν σας επιτρέπει να αποκρυπτογραφήσετε αρχεία χωρίς κλειδί ή αποκρυπτογραφητή, που έχει μόνο ο συγγραφέας του κρυπτογραφητή. Ίσως υπάρχει κάποιος άλλος τρόπος να το αποκτήσω, αλλά δεν έχω τέτοιες πληροφορίες. Μπορούμε μόνο να προσπαθήσουμε να ανακτήσουμε αρχεία χρησιμοποιώντας αυτοσχέδιες μεθόδους. Αυτά περιλαμβάνουν:

  • Εργαλείο σκιώδη αντίγραφαπαράθυρα.
  • Προγράμματα για την ανάκτηση διαγραμμένων δεδομένων

Αρχικά, ας ελέγξουμε αν έχουμε ενεργοποιημένα τα σκιώδη αντίγραφα. Αυτό το εργαλείο λειτουργεί από προεπιλογή σε Windows 7 και νεότερες εκδόσεις, εκτός εάν το απενεργοποιήσετε χειροκίνητα. Για έλεγχο, ανοίξτε τις ιδιότητες του υπολογιστή και μεταβείτε στην ενότητα προστασίας συστήματος.

Εάν κατά τη διάρκεια της μόλυνσης δεν επιβεβαιώσετε το αίτημα UAC για διαγραφή αρχείων σε σκιερά αντίγραφα, τότε κάποια δεδομένα θα πρέπει να παραμείνουν εκεί. Μίλησα για αυτό το αίτημα με περισσότερες λεπτομέρειες στην αρχή της ιστορίας, όταν μίλησα για το έργο του ιού.

Για να επαναφέρετε εύκολα αρχεία από σκιώδη αντίγραφα, προτείνω να χρησιμοποιήσετε δωρεάν πρόγραμμαγια αυτό - ShadowExplorer . Κατεβάστε το αρχείο, αποσυσκευάστε το πρόγραμμα και εκτελέστε.

Θα ανοίξει το τελευταίο αντίγραφο των αρχείων και η ρίζα της μονάδας δίσκου C. Στην επάνω αριστερή γωνία, μπορείτε να επιλέξετε ένα αντίγραφο ασφαλείας εάν έχετε περισσότερα από ένα. Ελέγξτε διαφορετικά αντίγραφα για τα απαραίτητα αρχεία. Συγκρίνετε κατά ημερομηνίες όπου βρίσκεται η πιο πρόσφατη έκδοση. Στο παρακάτω παράδειγμά μου, βρήκα 2 αρχεία στην επιφάνεια εργασίας μου που ήταν τριών μηνών κατά την τελευταία επεξεργασία τους.

Κατάφερα να ανακτήσω αυτά τα αρχεία. Για να το κάνω αυτό, τα επέλεξα, έκανα δεξί κλικ, επέλεξα Εξαγωγή και υπέδειξα τον φάκελο όπου θα τα επαναφέρω.

Μπορείτε να επαναφέρετε τους φακέλους αμέσως με τον ίδιο τρόπο. Εάν τα σκιώδη αντίγραφα λειτούργησαν για εσάς και δεν τα διαγράψατε, έχετε πολλές πιθανότητες να ανακτήσετε όλα ή σχεδόν όλα τα αρχεία που είναι κρυπτογραφημένα από τον ιό. Ίσως κάποια από αυτά να είναι περισσότερα παλιά εκδοχήαπό ό,τι θα ήθελα, αλλά παρόλα αυτά, είναι καλύτερο από το τίποτα.

Εάν για κάποιο λόγο δεν έχετε σκιώδη αντίγραφα αρχείων, η μόνη ευκαιρία να αποκτήσετε τουλάχιστον μερικά από τα κρυπτογραφημένα αρχεία είναι να τα επαναφέρετε χρησιμοποιώντας εργαλεία ανάκτησης διαγραμμένα αρχεία. Για να το κάνετε αυτό, προτείνω να χρησιμοποιήσετε το δωρεάν πρόγραμμα Photorec.

Εκτελέστε το πρόγραμμα και επιλέξτε το δίσκο στον οποίο θα ανακτήσετε αρχεία. Η εκκίνηση της γραφικής έκδοσης του προγράμματος εκτελεί το αρχείο qphotorec_win.exe. Πρέπει να επιλέξετε το φάκελο όπου θα τοποθετηθούν τα αρχεία που βρέθηκαν. Είναι καλύτερα αυτός ο φάκελος να μην βρίσκεται στην ίδια μονάδα δίσκου όπου κάνουμε αναζήτηση. Συνδέστε μια μονάδα flash ή μια εξωτερική HDDγια αυτό.

Η διαδικασία αναζήτησης θα διαρκέσει πολύ. Στο τέλος θα δείτε στατιστικά. Τώρα μπορείτε να μεταβείτε στον προκαθορισμένο φάκελο και να δείτε τι βρίσκεται εκεί. Το πιθανότερο είναι ότι θα υπάρχουν πολλά αρχεία και τα περισσότερα είτε θα είναι κατεστραμμένα, είτε θα είναι κάποιου είδους σύστημα και άχρηστα αρχεία. Ωστόσο, σε αυτήν τη λίστα θα μπορείτε να βρείτε μερικά χρήσιμα αρχεία. Δεν υπάρχουν εγγυήσεις εδώ, αυτό που θα βρείτε είναι αυτό που θα βρείτε. Το καλύτερο από όλα, συνήθως, οι εικόνες αποκαθίστανται.

Εάν το αποτέλεσμα δεν σας ικανοποιεί, τότε υπάρχουν ακόμα προγράμματα για την ανάκτηση των διαγραμμένων αρχείων. Παρακάτω είναι μια λίστα με τα προγράμματα που χρησιμοποιώ συνήθως όταν χρειάζεται να επαναφέρω μέγιστο ποσόαρχεία:

  • R.saver
  • Ανάκτηση αρχείων Starus
  • JPEG Recovery Pro
  • Active File Recovery Professional

Αυτά τα προγράμματα δεν είναι δωρεάν, επομένως δεν θα παράσχω συνδέσμους. Με έντονη επιθυμία, μπορείτε να τα βρείτε μόνοι σας στο Διαδίκτυο.

Ολόκληρη η διαδικασία ανάκτησης αρχείων παρουσιάζεται λεπτομερώς στο βίντεο στο τέλος του άρθρου.

Kaspersky, eset nod32 και άλλα στον αγώνα ενάντια στο Filecoder.ED ransomware

Τα δημοφιλή προγράμματα προστασίας από ιούς ορίζουν το CRYPTED000007 ransomware ως Filecoder.EDκαι μετά μπορεί να υπάρχει κάποιος άλλος προσδιορισμός. Πέρασα από τα φόρουμ των κύριων antivirus και δεν είδα τίποτα χρήσιμο εκεί. Δυστυχώς, ως συνήθως, τα antivirus δεν ήταν έτοιμα για την εισβολή ενός νέου κύματος ransomware. Εδώ είναι ένα μήνυμα από το φόρουμ της Kaspersky.

Τα antivirus παρακάμπτουν παραδοσιακά τις νέες τροποποιήσεις των trojans ransomware. Ωστόσο, προτείνω τη χρήση τους. Εάν είστε τυχεροί και λάβετε ένα ransomware στην αλληλογραφία σας όχι στο πρώτο κύμα μολύνσεων, αλλά λίγο αργότερα, υπάρχει πιθανότητα να σας βοηθήσει το antivirus. Όλοι δουλεύουν ένα βήμα πίσω από τους επιτιθέμενους. βγαίνοντας μια νέα έκδοση ransomware, τα antivirus δεν ανταποκρίνονται σε αυτό. Μόλις συσσωρευτεί μια ορισμένη μάζα υλικού για έρευνα σε έναν νέο ιό, τα antivirus κυκλοφορούν μια ενημέρωση και αρχίζουν να ανταποκρίνονται σε αυτήν.

Το τι εμποδίζει τα προγράμματα προστασίας από ιούς να ανταποκρίνονται άμεσα σε οποιαδήποτε διαδικασία κρυπτογράφησης στο σύστημα δεν είναι σαφές για μένα. Ίσως υπάρχει κάποια τεχνική απόχρωση σε αυτό το θέμα που δεν σας επιτρέπει να ανταποκριθείτε επαρκώς και να αποτρέψετε την κρυπτογράφηση των αρχείων χρήστη. Μου φαίνεται ότι θα ήταν δυνατό να εμφανιστεί τουλάχιστον μια προειδοποίηση σχετικά με το γεγονός ότι κάποιος κρυπτογραφεί τα αρχεία σας και να προσφερθεί να σταματήσει τη διαδικασία.

Πού να υποβάλετε αίτηση για εγγυημένη αποκρυπτογράφηση

Έτυχε να συναντήσω μια εταιρεία που πραγματικά αποκρυπτογραφεί δεδομένα μετά από την εργασία διαφόρων ιών κρυπτογράφησης, συμπεριλαμβανομένου του CRYPTED000007. Η διεύθυνσή τους είναι http://www.dr-shifro.ru. Πληρωμή μόνο μετά την πλήρη αποκρυπτογράφηση και την επαλήθευση σας. Ακολουθεί ένα παράδειγμα ροής εργασίας:

  1. Ένας ειδικός της εταιρείας οδηγεί μέχρι το γραφείο ή το σπίτι σας και υπογράφει μαζί σας ένα συμβόλαιο, στο οποίο καθορίζει το κόστος της εργασίας.
  2. Εκτελεί τον αποκρυπτογραφητή και αποκρυπτογραφεί όλα τα αρχεία.
  3. Βεβαιωθείτε ότι έχουν ανοίξει όλα τα αρχεία και υπογράφετε την πράξη παράδοσης / αποδοχής της εργασίας που εκτελείται.
  4. Πληρωμή μόνο με επιτυχές αποτέλεσμα αποκρυπτογράφησης.

Για να είμαι ειλικρινής, δεν ξέρω πώς το κάνουν, αλλά δεν ρισκάρεις τίποτα. Πληρωμή μόνο μετά την επίδειξη του αποκωδικοποιητή. Γράψτε μια κριτική σχετικά με την εμπειρία σας με αυτήν την εταιρεία.

Μέθοδοι προστασίας από τον ιό CRYPTED000007

Πώς να προστατευτείτε από το έργο ενός ransomware και να το κάνετε χωρίς υλική και ηθική ζημιά; Υπάρχουν μερικές απλές και αποτελεσματικές συμβουλές:

  1. Αντιγράφων ασφαλείας! Αντίγραφο ασφαλείαςόλα τα σημαντικά δεδομένα. Και όχι απλώς ένα αντίγραφο ασφαλείας, αλλά ένα αντίγραφο ασφαλείας στο οποίο δεν υπάρχει μόνιμη πρόσβαση. Διαφορετικά, ο ιός μπορεί να μολύνει τόσο τα έγγραφά σας όσο και τα αντίγραφα ασφαλείας.
  2. Άδεια προστασίας από ιούς. Αν και δεν δίνουν 100% εγγύηση, αυξάνουν τις πιθανότητες αποφυγής της κρυπτογράφησης. Τις περισσότερες φορές δεν είναι έτοιμοι για νέες εκδόσεις του ransomware, αλλά μετά από 3-4 ημέρες αρχίζουν να αντιδρούν. Αυτό αυξάνει τις πιθανότητές σας να αποφύγετε τη μόλυνση εάν δεν συμπεριληφθείτε στο πρώτο κύμα αποστολών μιας νέας τροποποίησης ransomware.
  3. Μην ανοίγετε ύποπτα συνημμένα στο ταχυδρομείο. Δεν υπάρχει τίποτα να σχολιάσω εδώ. Όλοι οι γνωστοί μου κρυπτογράφοι έφτασαν στους χρήστες μέσω ταχυδρομείου. Και κάθε φορά επινοούνται νέα κόλπα για να εξαπατήσουν το θύμα.
  4. Μην ανοίγετε άσκοπα συνδέσμους που σας στέλνουν οι φίλοι σας μέσω μεσα ΚΟΙΝΩΝΙΚΗΣ ΔΙΚΤΥΩΣΗΣή αγγελιοφόροι. Κάπως έτσι μεταδίδονται μερικές φορές οι ιοί.
  5. Ενεργοποιήστε τα παράθυρα για εμφάνιση επεκτάσεων αρχείων. Πώς να το κάνετε αυτό είναι εύκολο να βρείτε στο Διαδίκτυο. Αυτό θα σας επιτρέψει να παρατηρήσετε την επέκταση αρχείου στον ιό. Τις περισσότερες φορές θα γίνει .exe, .vbs, .src. Στην καθημερινή εργασία με έγγραφα, είναι απίθανο να συναντήσετε τέτοιες επεκτάσεις αρχείων.

Προσπάθησα να συμπληρώσω όσα έγραψα νωρίτερα σε κάθε άρθρο σχετικά με τον ιό ransomware. Μέχρι τότε λέω αντίο. Θα χαρώ να λάβω χρήσιμα σχόλια για το άρθρο και τον ιό κρυπτογράφησης CRYPTED000007 γενικά.

Βίντεο με αποκρυπτογράφηση και ανάκτηση αρχείων

Ακολουθεί ένα παράδειγμα προηγούμενης τροποποίησης του ιού, αλλά το βίντεο είναι απολύτως σχετικό και με το CRYPTED000007.



ΣΧΕΤΙΚΑ ΑΡΘΡΑ