1. Es mayo, conoce a WannaCry.
2. Wanna es el nombre de un virus ransomware que inició su actividad el 12 de mayo de 2017, infectando equipos de usuarios y empresas en 90 países. Microsoft ha lanzado oficialmente parches para sistemas operativos más antiguos que ya no son compatibles y están obsoletos. Lista llena y todos los enlaces se darán al final del artículo.

¿Cómo aparece Wanna?

3. Como todos los virus, el ransomware es difícil de notar durante el proceso de cifrado si usted mismo no vio accidentalmente que los archivos cambian y se vuelven con una extensión diferente. Por ejemplo, con este virus, los archivos encriptados se verán así: filename.png.WNCRY
4. A continuación se muestra un mapa de infección por virus de los países en las primeras horas de infección y propagación, un mapa de Sumantec.
5. Además, como muestra el virus después de cifrar los archivos, al usuario se le mostrará un mensaje y podrá seleccionar el idioma apropiado. Que informe que tus archivos están infectados y vaya a los pasos de pago, digamos que sí.
6. La segunda ventana muestra cuánto y cómo tienes que pagar, transfiere 300 bitcoins. Así como un temporizador de cuenta regresiva.
7. El fondo del escritorio y otras imágenes de fondo muestran el mensaje:
8. Los archivos cifrados tienen una extensión doble, por ejemplo: filename.doc.WNCRY. A continuación se muestra lo que parece:
9. También en cada carpeta hay un archivo ejecutable @ [correo electrónico protegido] para el descifrado después del rescate (posiblemente pero difícilmente), así como un documento de texto @ [correo electrónico protegido] en el que hay algo que leer al usuario (también es posible, pero difícilmente).

El virus encripta archivos con las siguientes extensiones:

10. Quiero señalar que entre las extensiones que cifra WannaCry, no hay ninguna extensión 1C que se use en Rusia.
11. También le pido que preste atención a lo más importante en la restauración de sus archivos después de la infección. Es posible si tiene habilitada la protección del sistema, es decir, la instantánea de volumen y el sistema de control de cuentas de usuario de uac está funcionando, y lo más probable es que funcione si no lo deshabilitó. Luego, el virus ofrecerá desactivar la protección del sistema para que no sea posible restaurar los archivos cifrados, es decir, los eliminados después del cifrado. Por supuesto, en este caso, no hay forma de estar en desacuerdo con la desconexión. Se ve como esto:

Las billeteras de Bitcoin son estafadores.

12. Lo más interesante aquí es cómo crece la cantidad en la billetera de los estafadores. billetera bitcoin:
17. observe visitando al menos una vez al día cuánto ha crecido la ganancia de los estafadores y se sorprenderá, ¡créame! Este es un servicio regular de Wallet Bitcoin en el que cualquiera puede registrar una billetera para sí mismo, no hay nada de qué preocuparse si observa las estadísticas de reposición de la billetera.
18. WannaCry 1.0 se distribuyó a través de spam y sitios web. La versión 2.0 es idéntica a la primera, pero se le agregó un gusano que se propagó solo, ingresando a las computadoras de las víctimas a través de un protocolo.

Microsoft en la lucha contra Wanna:

19. Microsoft sugiere instalar service packs para usuarios de sistemas operativos más antiguos:

Servidor de windows 2003SP2x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64

Vaya a blogs.technet.microsoft oficiales

¿Qué dice Kaspersky?

20. En el blog oficial de Kaspersky, el proceso se describe con más detalle y hay varias adiciones que puedes aprender, aunque en inglés.

lista segura.

21. Complementado con el artículo de soporte de Kaspersky del 15 de mayo de 2017:

.

22. También puedes ver mapa interactivo amenazas cibernéticas y descubra la propagación del virus en tiempo real:

Tarjeta Intel malwaretech para el virus WannaCry 2.0:

23. Otro mapa, pero específicamente para el virus WannaCry2.0, la propagación del virus en tiempo real (si el mapa no funcionó después de la transición, actualice la página):

Video Cortafuegos de Comodo 10 vs WannaCry Ransomware sobre tecnología de protección:

sitio oficial.

596 variantes de WannaCry

24. Un laboratorio independiente descubrió 596 muestras de WannaCrypt. Lista de hashes SHA256:

Del autor:

25. Agregaré por mi cuenta ya que uso protección contra Comodo es 10 y además, pero el mejor antivirus eres tú mismo. Como dicen, Dios salva la caja fuerte, y tengo esa protección porque mientras trabajo, tengo que realizar varias tareas en las que hay un lugar para que se filtren los ataques de virus, llamémoslos así.
26. Deshabilite el protocolo SMB1 temporalmente hasta que instale actualizaciones de seguridad o si no lo necesita en absoluto usando línea de comando, ejecute cmd en nombre del administrador del sistema y use dism para deshabilitar el protocolo, comando:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

27. Así como otros métodos para habilitar y deshabilitar el protocolo SMBv1,2,3 en el sitio web oficial de Microsoft.
28. En la interfaz gráfica para deshabilitar el protocolo, puede hacer esto: Panel de control> Agregar o quitar programas (Desinstalar o cambiar un programa)> Habilitar o deshabilitar Componentes de Windows> más imagen a continuación.

Buenas tardes queridos lectores e invitados del blog, como recordarán, en mayo de 2017 se produjo una ola de infección a gran escala de equipos con funcionamiento sistema de ventanas, un nuevo virus ransomware llamado WannaCry, gracias al cual fue capaz de infectar y cifrar datos en más de 500.000 equipos, solo piense en esta cifra. Lo peor es que este tipo de virus prácticamente no es detectado por las soluciones antivirus modernas, lo que lo hace aún más amenazante, a continuación le diré un método sobre cómo proteger sus datos de su influencia y cómo protegerse del ransomware por un minuto, creo que te interesará.

¿Qué es un virus codificador?

El virus ransomware es un tipo troyano, cuya tarea es infectar la estación de trabajo del usuario, identificar archivos del formato requerido (por ejemplo, fotos, grabaciones de audio, archivos de video), luego cifrarlos con un cambio en el tipo de archivo, como resultado de lo cual el usuario no ya no podrá abrirlos sin un programa de descifrado especial. Se parece a esto.

Formatos de archivos cifrados

Los formatos de archivo más comunes después del cifrado son:

• no_more_ransom
• bóveda

Consecuencias del virus ransomware

Describiré el caso más común en el que está involucrado el virus del codificador. Imagínese un usuario común en cualquier organización abstracta, en el 90 por ciento de los casos el usuario tiene Internet detrás de su lugar de trabajo, ya que con la ayuda de él genera ganancias para la empresa, navega por el espacio de Internet. Una persona no es un robot y puede distraerse del trabajo navegando por sitios que le interesan o sitios que su amigo le aconsejó. Como resultado de esta actividad, puede infectar su computadora con un encriptador de archivos sin saberlo y descubrirlo cuando sea demasiado tarde. el virus ha hecho su trabajo.

El virus en el momento de su trabajo intenta procesar todos los archivos a los que tiene acceso, y aquí comienza que los documentos importantes en la carpeta del departamento, a los que tiene acceso el usuario, de repente se convierten en basura digital, archivos locales y mucho más. . Está claro que debe haber copias de seguridad de los archivos compartidos, pero ¿qué pasa con los archivos locales que pueden compensar todo el trabajo de una persona? Como resultado, la empresa pierde dinero por un trabajo simple y el administrador del sistema sale de su zona de confort. y pasa su tiempo descifrando archivos.

Lo mismo le puede pasar a una persona común, pero las consecuencias aquí son locales y se relacionan personalmente con él y su familia, es muy triste ver casos en los que un virus cifró todos los archivos, incluidos los archivos de fotos familiares y las personas no tenían una copia de seguridad. , bueno, no es costumbre que los usuarios comunes lo hagan.

Con los servicios en la nube no todo es tan sencillo, si almacenas todo ahí y no usas un cliente pesado en tu sistema operativo Windows, una cosa es, ahí en un 99% no corres peligro, pero si usas, por ejemplo, "Disco Yandex" o "nube de correo" sincronizando archivos desde su computadora, luego infectándose y habiendo recibido que todos los archivos están encriptados, el programa los enviará directamente a la nube y también perderá todo.

Como resultado, ve una imagen similar a esta, donde se le dice que todos los archivos están encriptados y que necesita enviar dinero, ahora esto se hace en bitcoins para no descifrar a los atacantes. Después del pago, supuestamente se le debe enviar un decodificador y restaurará todo.

Nunca envíe dinero a los estafadores

Recuerde que ni un solo antivirus moderno puede actualmente brindar protección a Windows contra el ransomware, por una simple razón, este troyano no hace nada sospechoso desde su punto de vista, esencialmente se comporta como un usuario, lee archivos, escribe, a diferencia de los virus, no lo hace. Trata de cambiar archivos del sistema o agregar claves de registro, por lo que su detección es tan difícil, no hay una línea que lo distinga del usuario

Fuentes de troyanos ransomware

Intentemos identificar las principales fuentes de penetración del codificador en su computadora.

1. Correo electrónico > muy a menudo las personas reciben correos electrónicos extraños o falsos con enlaces o archivos adjuntos infectados, al hacer clic en los cuales la víctima comienza a organizar una noche de insomnio. Te dije cómo proteger el correo electrónico, te aconsejo que lo leas.
2. Mediante software- descargó un programa de una fuente desconocida o un sitio falso, contiene un virus codificador, y cuando instala el software, lo ingresa en su sistema operativo.
3. A través de unidades flash: las personas aún se encuentran muy a menudo y transportan un montón de virus a través de unidades flash, le aconsejo que lea "Proteger las unidades flash de virus"
4. A través de cámaras IP y dispositivos de red que tienen acceso a Internet, muy a menudo debido a configuraciones torcidas en un enrutador o cámara IP conectada a una red local, los piratas informáticos infectan computadoras en la misma red.

Cómo proteger su PC de un virus ransomware

El uso adecuado de una computadora protege contra ransomware, a saber:

• No abras correo que no conoces y no sigas enlaces incomprensibles, sin importar cómo te lleguen, ya sea correo o cualquiera de los mensajeros.
• Instale las actualizaciones del sistema operativo Windows o Linux lo más rápido posible, no se publican con tanta frecuencia, aproximadamente una vez al mes. Si hablamos de Microsoft, entonces este es el segundo martes de cada mes, pero en el caso de los cifradores de archivos, las actualizaciones pueden ser anormales.
• No conecte unidades flash desconocidas a su computadora, pídales a sus amigos que envíen un mejor enlace a la nube.
• Asegúrese de que si su computadora no necesita estar disponible en red local para otras computadoras, luego desactive el acceso a él.
• Restringir los derechos de acceso a archivos y carpetas
• Instalación de una solución antivirus
• No instale programas incomprensibles pirateados por un desconocido

Todo está claro con los tres primeros puntos, pero me detendré en los dos restantes con más detalle.

Deshabilite el acceso de red a su computadora

Cuando la gente me pregunta cómo está organizada la protección contra el ransomware en Windows, lo primero que recomiendo es que apaguen el "Servicio de uso compartido de archivos e impresoras de Microsoft Networks", que permite que otras computadoras accedan a los recursos. este computador utilizando las redes de Microsoft. Es igual de relevante para los curiosos administradores del sistema que funcionan con su ISP.

Deshabilitar este servicio y protégete del ransomware en una red local o de proveedores, de la siguiente manera. Presione la combinación de teclas WIN + R y en la ventana que se abre, ejecute, ingrese el comando ncpa.cpl. Lo mostraré en mi computadora de prueba con Sistema operativo Actualización de creadores de Windows 10.

Seleccione la interfaz de red deseada y haga clic en ella botón derecho del ratón ratones, de Menú de contexto seleccione "Propiedades"

Encontrar el artículo Acceso general a archivos e impresoras para redes Microsoft" y desmárquelo, luego guárdelo, todo esto ayudará a proteger su computadora del virus ransomware en la red local, su estación de trabajo simplemente no estará disponible.

Restricción de los derechos de acceso

La protección contra el virus ransomware en Windows se puede implementar de una manera tan interesante, les diré cómo lo hice yo mismo. Entonces, el principal problema en la lucha contra el ransomware es que los antivirus simplemente no pueden combatirlos en tiempo real, bueno, no pueden protegerlo en este momento, así que seamos más inteligentes. Si el virus del cifrador no tiene permisos de escritura, no podrá hacer nada con sus datos. Para dar un ejemplo, tengo una carpeta de fotos, está almacenada localmente en la computadora, además hay dos copias de seguridad en diferentes unidades de disco duro. Por mi cuenta computadora local Lo hice de solo lectura, para la cuenta bajo la cual estoy sentado en la computadora. Si el virus llegó allí, simplemente no tendría suficientes derechos, como puede ver, todo es simple.

Cómo implementar todo esto para protegerse de los encriptadores de archivos y guardar todo, hacemos lo siguiente.

• Seleccione las carpetas que necesita. Trate de usar carpetas exactamente, es más fácil asignar derechos con ellas. E idealmente, crea una carpeta llamada de solo lectura, y ya coloca todos los archivos y carpetas que necesitas en ella. Lo que es bueno, al asignar derechos a la carpeta superior, se aplicarán automáticamente a otras carpetas en ella. Una vez que copie todos los archivos y carpetas necesarios, continúe con el siguiente paso.
• Haga clic derecho en la carpeta y seleccione "Propiedades" en el menú

• Vaya a la pestaña "Seguridad" y haga clic en el botón "Editar"

• Estamos tratando de eliminar grupos de acceso, si aparece una ventana con una advertencia que dice "Es imposible eliminar un grupo porque este objeto hereda los permisos de su padre", ciérrelo.

• Haga clic en el botón "Avanzado". En el elemento que se abre, haga clic en "deshabilitar herencia"

• Cuando se le pregunte "¿Qué desea hacer con los permisos heredados actuales", seleccione "Eliminar todos los permisos heredados de este objeto"

• Como resultado, en el campo "Permisos", todo se eliminará.

• Guardamos los cambios. Tenga en cuenta que ahora solo el propietario de la carpeta puede cambiar los permisos.

• Ahora en la pestaña Seguridad, haga clic en Editar

• A continuación, haga clic en "Agregar - Avanzado"

• Necesitamos agregar el grupo "Todos", para hacer esto, haga clic en "Buscar" y seleccione el grupo deseado.

• Para proteger Windows del ransomware, debe tener permisos establecidos para el grupo "Todos", como se muestra en la imagen.

• Eso es todo, ningún virus codificador lo amenaza por sus archivos en este directorio.

Espero que Microsoft y otras soluciones antivirus puedan mejorar sus productos y proteger las computadoras del ransomware antes de que hagan su trabajo malicioso, pero hasta que esto suceda, siga las reglas que le describí y siempre haga una copia de seguridad de los datos importantes.

El virus WannaCry “retumbaba” en todo el mundo el 12 de mayo, ese día varias instituciones médicas del Reino Unido anunciaron que sus redes estaban infectadas, la empresa de telecomunicaciones española y el Ministerio del Interior de Rusia informaron que habían repelido a un hacker ataque.

WannaCry (en la gente común ya ha sido apodado Vaughn the Edge) pertenece a la categoría de virus de encriptación (encriptadores), que, cuando ingresa a una PC, encripta los archivos del usuario con un algoritmo criptográficamente fuerte, posteriormente, la lectura de estos archivos se vuelve imposible .

Por el momento, se sabe que WannaCry cifra las siguientes extensiones de archivo populares:

1. Archivos populares oficina de microsoft(.xlsx, .xls, .docx, .doc).
2. Archivos de almacenamiento y multimedia (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry: cómo se propaga el virus

Anteriormente, mencionamos este método de propagación de virus en un artículo sobre, así que nada nuevo.

En buzón Un usuario recibe una carta con un archivo adjunto "inofensivo": puede ser una imagen, un video, una canción, pero en lugar de la extensión estándar para estos formatos, el archivo adjunto tendrá una extensión de archivo ejecutable: exe. Cuando se abre e inicia un archivo de este tipo, el sistema se “infecta” y se carga un virus directamente en el sistema operativo Windows a través de una vulnerabilidad que cifra los datos del usuario.

Quizás este no sea el único método para propagar WannaCry: puede convertirse en una víctima cuando descarga archivos "infectados" en redes sociales, rastreadores de torrents y otros sitios.

WannaCry: cómo protegerse de un virus ransomware

1. Instale el parche para Microsoft Windows. El 14 de mayo, Microsoft lanzó un parche de emergencia para las siguientes versiones: Vista, 7, 8.1, 10, Windows Server. Puede instalar este parche simplemente ejecutando una actualización del sistema a través del servicio de actualización de Windows.

2. Uso de software antivirus con bases de datos actualizadas. Desarrolladores de software de seguridad conocidos, como Kaspersky, Dr.Web, ya han lanzado una actualización para sus productos que contiene información sobre WannaCry, protegiendo así a sus usuarios.

3. Guarde los datos importantes en un medio separado. Si su computadora aún no funciona, puede guardar los archivos más importantes en un medio separado (unidad flash, disco). Con este enfoque, incluso convirtiéndose en una víctima, salvará los archivos más valiosos del cifrado.

Por el momento, todas estas son formas efectivas conocidas de protegerse contra WannaCry.

Descifrador WannaCry, ¿dónde descargar y es posible eliminar el virus?

Los virus de cifrado se encuentran entre los virus más "desagradables", porque en la mayoría de los casos, los archivos de usuario se cifran con una clave de 128 o 256 bits. Lo peor es que en cada caso la clave es única y se necesitan números enormes para descifrar cada una. poder computacional, lo que hace que sea casi imposible tratar a los usuarios "normales".

Pero, ¿qué pasa si eres víctima de WannaCry y necesitas un descifrador?

1. Comuníquese con el foro de soporte de Kaspersky Lab — https://forum.kaspersky.com/ con una descripción del problema. El foro emplea tanto a representantes de la empresa como a voluntarios que ayudan activamente a resolver problemas.

2. Como en el caso del conocido encriptador CryptXXX, se encontró una solución universal para desencriptar archivos encriptados. Ha pasado menos de una semana desde el descubrimiento de WannaCry, y los especialistas de los laboratorios antivirus aún no han logrado encontrar una solución de este tipo.

3. La solución cardinal sería - eliminación completa OS de una computadora, seguido de una instalación limpia de una nueva. En este escenario, todos los archivos y datos del usuario se pierden por completo, junto con la eliminación de WannaCry.

Hace aproximadamente una semana o dos, apareció en la red otro trabajo de los creadores de virus modernos, que encripta todos los archivos de los usuarios. Una vez más, consideraré la cuestión de cómo curar una computadora después de un virus ransomware cifrado000007 y recuperar archivos cifrados. En este caso no ha aparecido nada nuevo y único, solo una modificación de la versión anterior.

Descifrado garantizado de archivos después de un virus ransomware - dr-shifro.ru. Los detalles del trabajo y el esquema de interacción con el cliente se encuentran a continuación en mi artículo o en el sitio web en la sección "Procedimiento de trabajo".

Descripción del virus ransomware CRYPTED000007

El cifrador CRYPTED000007 no difiere fundamentalmente de sus predecesores. Funciona casi uno a uno como. Pero todavía hay algunos matices que lo distinguen. Te contaré todo en orden.

Viene, como sus homólogos, por correo. Se utilizan técnicas de ingeniería social para que el usuario se interese por la carta y la abra. En mi caso, la carta era sobre una especie de corte y sobre información importante sobre el caso en el archivo adjunto. Después de iniciar el archivo adjunto, el usuario abre un documento de Word con un extracto del Tribunal de Arbitraje de Moscú.

Paralelamente a la apertura del documento, se inicia el cifrado de archivos. Comienza a aparecer constantemente un mensaje informativo del sistema de control de cuentas de usuario de Windows.

Si está de acuerdo con la propuesta, las copias de seguridad de los archivos en las instantáneas de Windows se eliminarán y la recuperación de la información será muy difícil. Obviamente, es imposible estar de acuerdo con la propuesta en cualquier caso. En este ransomware, estas solicitudes aparecen constantemente, una por una, y no se detienen, lo que obliga al usuario a aceptar y eliminar las copias de seguridad. Esta es la principal diferencia con las modificaciones anteriores del ransomware. Nunca he visto solicitudes de eliminación de instantáneas sin parar. Por lo general, después de 5 a 10 oraciones, se detenían.

Te daré una recomendación para el futuro. Muy a menudo, las personas desactivan las advertencias del sistema de control de cuentas de usuario. No necesitas hacer esto. Este mecanismo realmente puede ayudar a resistir los virus. El segundo consejo obvio es que no trabaje constantemente bajo cuenta administrador de la computadora, si esto no es objetivamente necesario. En este caso, el virus no tendrá la oportunidad de hacer mucho daño. Será más probable que te resistas a él.

Pero incluso si respondió negativamente a las solicitudes de ransomware todo el tiempo, todos sus datos ya están encriptados. Una vez que se complete el proceso de encriptación, verá una imagen en su escritorio.

Al mismo tiempo, habrá muchos archivos de texto con el mismo contenido.

Sus archivos han sido encriptados. Para descifrar ux, debe corregir el código: 329D54752553ED978F94|0 a la dirección de correo electrónico [correo electrónico protegido]. Luego obtendrá todas las instrucciones necesarias. Los intentos de descifrarlo usted mismo no conducirán a nada, excepto a la cantidad irrecuperable de información. Si aún desea intentarlo, haga copias de seguridad de los archivos de antemano; de lo contrario, en casos de cambios de ux, el descifrado no será posible bajo ninguna circunstancia. Si no ha recibido una respuesta a la dirección anterior dentro de las 48 horas (¡y solo en este caso!), utilice el formulario de comentarios. Esto se puede hacer de dos maneras: 1) Descargue e instale el Navegador Tor desde el enlace: https://www.torproject.org/download/download-easy.html.en Ingrese la dirección en la dirección del Navegador Tor: http:/ /cryptsen7fo43rr6 .onion/ y presione Entrar. Se carga la página con el formulario de contacto. 2) En cualquier navegador, vaya a una de las direcciones: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Todos los archivos importantes en su computadora fueron encriptados. Para descifrar los archivos debe enviar el siguiente código: 329D54752553ED978F94|0 a la dirección de correo electrónico [correo electrónico protegido]. Después Vas a recibir todas las instrucciones necesarias. Todos los intentos de descifrado realizados por usted solo resultarán en la pérdida irrevocable de sus datos. Si aún desea intentar descifrarlos usted mismo, primero haga una copia de seguridad porque el descifrado será imposible en caso de cambios dentro de los archivos. Si no recibió la respuesta del correo electrónico antes mencionado durante más de 48 horas (¡y solo en este caso!), utilice el formulario de comentarios. Puede hacerlo de dos maneras: 1) Descargue Tor Browser desde aquí: https://www.torproject.org/download/download-easy.html.en Instálelo y escriba la siguiente dirección en la barra de direcciones: http:/ /cryptsen7fo43rr6.onion/ Presione Entrar y luego se cargará la página con el formulario de comentarios. 2) Vaya a una de las siguientes direcciones en cualquier navegador: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

La dirección postal puede cambiar. He visto otras direcciones como esta:

• [correo electrónico protegido]
• [correo electrónico protegido]

Las direcciones se actualizan constantemente, por lo que pueden ser completamente diferentes.

Tan pronto como encuentre que los archivos están encriptados, apague inmediatamente la computadora. Esto debe hacerse para interrumpir el proceso de cifrado tanto en la computadora local como en las unidades de red. Un virus ransomware puede cifrar toda la información a la que puede acceder, incluso en las unidades de red. Pero si hay una gran cantidad de información, le llevará una cantidad considerable de tiempo. A veces, incluso en un par de horas, el encriptador no tenía tiempo para encriptar todo en unidad de red unos 100 gigabytes de tamaño.

A continuación, debe pensar detenidamente sobre cómo actuar. Si por supuesto necesita información en su computadora y no tiene copias de respaldo, entonces es mejor contactar a especialistas en este momento. No necesariamente por dinero en algunas empresas. Sólo necesita una persona que esté bien versada en sistemas de información. Es necesario evaluar la magnitud del desastre, eliminar el virus, recopilar toda la información disponible sobre la situación para comprender cómo proceder.

Las acciones incorrectas en esta etapa pueden complicar significativamente el proceso de descifrado o recuperación de archivos. En el peor de los casos, pueden hacerlo imposible. Así que tómese su tiempo, sea cuidadoso y constante.

Cómo el virus ransomware CRYPTED000007 cifra los archivos

Una vez que el virus se haya iniciado y terminado su actividad, todos los archivos útiles se cifrarán, se renombrarán de extensión.crypted000007. Y no solo se reemplazará la extensión del archivo, sino también el nombre del archivo, por lo que no sabrá exactamente qué tipo de archivos tenía si no lo recuerda. Habrá algo como esta imagen.

En tal situación, será difícil evaluar la magnitud de la tragedia, ya que no podrá recordar completamente lo que tuvo en diferentes carpetas. Esto se hizo a propósito para confundir a una persona y alentarla a pagar por descifrar archivos.

Y si estuvieras encriptado y carpetas de red y no hay copias de seguridad completas, esto generalmente puede detener el trabajo de toda la organización. No comprenderá de inmediato lo que finalmente se pierde para comenzar la recuperación.

Cómo tratar su computadora y eliminar el ransomware CRYPTED000007

El virus CRYPTED000007 ya está en su computadora. La primera y más importante pregunta es cómo reparar una computadora y cómo eliminar un virus para evitar un mayor cifrado si aún no se ha completado. Inmediatamente llamo su atención sobre el hecho de que después de que usted mismo comience a realizar algunas acciones con su computadora, las posibilidades de descifrar los datos disminuyen. Si necesita recuperar archivos por todos los medios, no toque su computadora, pero comuníquese inmediatamente con profesionales. A continuación, hablaré sobre ellos, daré un enlace al sitio y describiré el esquema de su trabajo.

Mientras tanto, continuaremos tratando la computadora de forma independiente y eliminando el virus. Tradicionalmente, el ransomware se elimina fácilmente de la computadora, ya que el virus no tiene la tarea de permanecer en la computadora a toda costa. Después de cifrar completamente los archivos, es aún más rentable para él borrarse y desaparecer, por lo que sería más difícil investigar el incidente y descifrar los archivos.

describir extracción manual virus es difícil, aunque traté de hacer esto antes, pero veo que la mayoría de las veces no tiene sentido. Los nombres de archivo y las rutas de ubicación de virus cambian constantemente. Lo que vi ya no es relevante en una semana o dos. Por lo general, los virus se envían por correo en oleadas, y cada vez hay una nueva modificación que aún no ha sido detectada por los antivirus. Las herramientas universales que verifican la ejecución automática y detectan actividades sospechosas en las carpetas del sistema ayudan.

Para eliminar el virus CRYPTED000007, puede utilizar los siguientes programas:

1. Kaspersky Virus Removal Tool: una utilidad de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un producto similar de otra web http://free.drweb.ru/cureit .
3. Si las dos primeras utilidades no ayudan, pruebe MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Lo más probable es que uno de estos productos borre la computadora del ransomware CRYPTED000007. Si de repente sucede que no ayudan, intente eliminar el virus manualmente. Di la técnica de eliminación como ejemplo y puedes verla allí. En pocas palabras, esto es lo que debe hacer:

1. Miramos la lista de procesos, habiendo agregado previamente varias columnas adicionales al administrador de tareas.
2. Encontramos el proceso del virus, abrimos la carpeta en la que se encuentra y lo eliminamos.
3. Limpiamos la mención del proceso del virus por el nombre del archivo en el registro.
4. Reiniciamos y nos aseguramos de que el virus CRYPTED000007 no esté en la lista de procesos en ejecución.

Dónde descargar el descifrador CRYPTED000007

La cuestión de un descifrador simple y confiable surge en primer lugar cuando se trata de un virus ransomware. Lo primero que aconsejo es usar el servicio https://www.nomoreransom.org. Si tiene suerte, tendrán un descifrador para su versión del encriptador CRYPTED000007. Diré enseguida que no tienes muchas posibilidades, pero el intento no es una tortura. En página de inicio haga clic en Sí:

Luego cargue un par de archivos cifrados y haga clic en ¡Ir! descubrir:

Al momento de escribir, el decodificador no estaba en el sitio.

Quizás tengas más suerte. También puede ver la lista de descifradores para descargar en una página separada: https://www.nomoreransom.org/decryption-tools.html. Tal vez hay algo útil allí. Cuando el virus está muy fresco, hay pocas posibilidades de que esto suceda, pero con el tiempo puede aparecer algo. Hay ejemplos cuando aparecieron en la red descifradores para algunas modificaciones de ransomware. Y estos ejemplos están en la página especificada.

¿Dónde más puedo encontrar un decodificador? No lo sé. Es poco probable que realmente exista, teniendo en cuenta las peculiaridades del trabajo del ransomware moderno. Solo los autores del virus pueden tener un decodificador completo.

Cómo descifrar y recuperar archivos después del virus CRYPTED000007

¿Qué hacer cuando el virus CRYPTED000007 ha cifrado tus archivos? Implementación técnica el cifrado no le permite descifrar archivos sin una clave o descifrador, que solo tiene el autor del encriptador. Tal vez haya alguna otra forma de obtenerlo, pero no tengo esa información. Solo podemos intentar recuperar archivos usando métodos improvisados. Éstos incluyen:

• Herramienta instantáneas ventanas
• Programas para recuperar datos borrados

Primero, verifiquemos si tenemos habilitadas las instantáneas. Esta herramienta funciona de forma predeterminada en Windows 7 y versiones posteriores, a menos que la deshabilite manualmente. Para verificar, abra las propiedades de la computadora y vaya a la sección de protección del sistema.

Si durante la infección no confirmó la solicitud de UAC para eliminar archivos en instantáneas, algunos datos deberían permanecer allí. Hablé sobre esta solicitud con más detalle al comienzo de la historia, cuando hablé sobre el trabajo del virus.

Para restaurar fácilmente archivos de instantáneas, sugiero usar programa gratis para esto - ShadowExplorer. Descargue el archivo, descomprima el programa y ejecútelo.

Se abrirá la última copia de los archivos y la raíz de la unidad C. En la esquina superior izquierda, puede seleccionar una copia de seguridad si tiene más de una. Compruebe diferentes copias para los archivos necesarios. Comparar por fechas donde está la versión más reciente. En mi ejemplo a continuación, encontré 2 archivos en mi escritorio que tenían tres meses cuando se editaron por última vez.

Pude recuperar estos archivos. Para ello, los seleccioné, hice clic derecho, seleccioné Exportar e indiqué la carpeta donde restaurarlos.

Puede restaurar carpetas inmediatamente de la misma manera. Si las instantáneas funcionaron para usted y no las eliminó, tiene muchas posibilidades de recuperar todos o casi todos los archivos cifrados por el virus. Quizás algunos de ellos serán más versión antigua de lo que me gustaría, pero sin embargo, es mejor que nada.

Si por algún motivo no tiene instantáneas de los archivos, la única posibilidad de obtener al menos algunos de los archivos cifrados es restaurarlos con herramientas de recuperación. archivos borrados. Para hacer esto, sugiero usar el programa gratuito Photorec.

Ejecute el programa y seleccione el disco en el que recuperará los archivos. Al iniciar la versión gráfica del programa se ejecuta el archivo qphotorec_win.exe. Debe seleccionar la carpeta donde se colocarán los archivos encontrados. Es mejor si esta carpeta no se encuentra en la misma unidad en la que estamos buscando. Conecte una unidad flash o externa disco duro para esto.

El proceso de búsqueda llevará mucho tiempo. Al final verás estadísticas. Ahora puede ir a la carpeta especificada anteriormente y ver qué se encuentra allí. Lo más probable es que haya muchos archivos y la mayoría de ellos estarán dañados o serán algún tipo de sistema y archivos inútiles. Sin embargo, en esta lista será posible encontrar algunos archivos útiles. No hay garantías aquí, lo que encuentras es lo que encontrarás. Lo mejor de todo es que, por lo general, las imágenes se restauran.

Si el resultado no le satisface, todavía hay programas para recuperar archivos borrados. A continuación hay una lista de programas que suelo usar cuando necesito restaurar cantidad máxima archivos:

• R.ahorro
• Recuperación de archivos Starus
• Recuperación JPEG Pro
• Profesional de recuperación activa de archivos

Estos programas no son gratuitos, por lo que no proporcionaré enlaces. Con un fuerte deseo, puede encontrarlos usted mismo en Internet.

Todo el proceso de recuperación de archivos se muestra en detalle en el video al final del artículo.

Kaspersky, eset nod32 y otros en la lucha contra el ransomware Filecoder.ED

Los antivirus populares definen el ransomware CRYPTED000007 como Filecoder.ED y luego puede haber alguna otra designación. Revisé los foros de los principales antivirus y no vi nada útil allí. Desafortunadamente, como siempre, los antivirus no estaban preparados para la invasión de una nueva ola de ransomware. Aquí hay un mensaje del foro de Kaspersky.

Los antivirus omiten tradicionalmente las nuevas modificaciones de los troyanos ransomware. Sin embargo, recomiendo usarlos. Si tiene suerte y recibe un ransomware en su correo no en la primera ola de infecciones, sino un poco más tarde, existe la posibilidad de que el antivirus lo ayude. Todos trabajan un paso detrás de los atacantes. saliendo una nueva version ransomware, los antivirus no responden. Tan pronto como se acumula una cierta cantidad de material para la investigación de un nuevo virus, los antivirus lanzan una actualización y comienzan a responder.

Lo que impide que los antivirus respondan inmediatamente a cualquier proceso de encriptación en el sistema no me queda claro. Quizás haya algún matiz técnico en este tema que no le permita responder adecuadamente y evitar el cifrado de los archivos de los usuarios. Me parece que sería posible al menos mostrar una advertencia sobre el hecho de que alguien está encriptando sus archivos y ofrecer detener el proceso.

Dónde solicitar el descifrado garantizado

Me encontré con una empresa que realmente descifra datos después del trabajo de varios virus de cifrado, incluido CRYPTED000007. Su dirección es http://www.dr-shifro.ru. Pago solo después del descifrado completo y su verificación. Aquí hay un flujo de trabajo de ejemplo:

1. Un especialista de la empresa se desplaza hasta su oficina u hogar y firma un contrato con usted, en el que fija el costo del trabajo.
2. Ejecuta el descifrador y descifra todos los archivos.
3. Te aseguras de que todos los expedientes estén abiertos, y firmas el acta de entrega/recepción del trabajo realizado.
4. Pago solo después de un resultado de descifrado exitoso.

La verdad es que no sé cómo lo hacen, pero no te arriesgas a nada. Pago solo después de la demostración del decodificador. Por favor escriba una reseña sobre su experiencia con esta empresa.

Métodos de protección contra el virus CRYPTED000007

¿Cómo protegerse del trabajo de un ransomware y prescindir de daños materiales y morales? Hay algunos consejos simples y efectivos:

1. ¡Respaldo! Copia de respaldo todos los datos importantes. Y no solo una copia de seguridad, sino una copia de seguridad a la que no hay acceso permanente. De lo contrario, el virus puede infectar tanto sus documentos como sus copias de seguridad.
2. Antivirus con licencia. Aunque no dan una garantía del 100%, aumentan las posibilidades de evitar el cifrado. La mayoría de las veces no están preparados para las nuevas versiones del ransomware, pero después de 3 o 4 días comienzan a reaccionar. Esto aumenta sus posibilidades de evitar la infección si no está incluido en la primera ola de correos de una nueva modificación de ransomware.
3. No abra archivos adjuntos sospechosos en el correo. No hay nada que comentar aquí. Todos los criptógrafos que conozco llegaron a los usuarios por correo. Y cada vez se inventan nuevos trucos para engañar a la víctima.
4. No abra sin pensar enlaces enviados por sus amigos a través de medios de comunicación social o mensajeros. Así es como a veces se propagan los virus.
5. Habilite las ventanas para mostrar las extensiones de archivo. Cómo hacer esto es fácil de encontrar en Internet. Esto le permitirá notar la extensión del archivo en el virus. La mayoría de las veces lo hará .exe, .vbs, .src. En el trabajo diario con documentos, es poco probable que encuentre tales extensiones de archivo.

Traté de complementar lo que ya escribí anteriormente en cada artículo sobre el virus ransomware. Hasta entonces me despido. Estaré encantado de recibir comentarios útiles sobre el artículo y el virus de cifrado CRYPTED000007 en general.

Vídeo con descifrado y recuperación de archivos.

Aquí hay un ejemplo de una modificación anterior del virus, pero el video también es completamente relevante para CRYPTED000007.