1. Toukokuu on täällä, tapaa WannaCry.
2. Wanna on ransomware-viruksen nimi, joka aloitti toimintansa, oletetaan, että 12. toukokuuta 2017 tartuttaen käyttäjien ja yritysten tietokoneita 90 maassa. Microsoft on virallisesti julkaissut korjaustiedostoja vanhemmille käyttöjärjestelmille, joita ei enää tueta ja jotka ovat vanhentuneet. Täysi lista ja annan kaikki linkit artikkelin loppuun.

Miten Wanna ilmenee?

3. Kuten kaikki kiristysohjelmavirukset, sitä on vaikea havaita salausprosessin aikana, ellet vahingossa näe tiedostojen muuttuvan ja muuttuvan eri tunnisteiksi. Esimerkiksi tämän viruksen yhteydessä salatut tiedostot näyttävät tältä: tiedostonimi.png.WNCRY
4. Alla on kartta siitä, miten maat saivat viruksen tartunnan ensimmäisten tuntien aikana tartunnan ja leviämisen aikana, kartta Sumantecilta.
5. Seuraavaksi, kun virus ilmaantuu sen jälkeen, kun se on salannut tiedostot, käyttäjälle näytetään viesti ja hän voi valita sopivan kielen. Joka ilmoittaa, että tiedostosi ovat saastuneet ja jatka maksutoimintoihin, sanotaanpa näin.
6. Toinen ikkuna näyttää kuinka paljon ja miten sinun tulee maksaa, siirtää 300 bitcoinia. Ja myös ajastin laskemista varten.
7. Työpöydän tausta ja muut taustakuvat näyttävät viestin:
8. Salatuilla tiedostoilla on kaksoistunniste, esimerkiksi: tiedostonimi.doc.WNCRY. Alla on miltä se näyttää:
9. Jokaisessa kansiossa on myös suoritettava tiedosto @ [sähköposti suojattu] salauksen purkamiseen lunnaiden jälkeen (mahdollisesti mutta epätodennäköisesti) ja myös Tekstiasiakirja @[sähköposti suojattu] jossa käyttäjällä on luettavaa (myös mahdollista, mutta epätodennäköistä).

Virus salaa tiedostot seuraavilla tunnisteilla:

10. Haluaisin huomauttaa, että WannaCryn salaamien laajennusten joukossa ei ole 1C-laajennusta, jota käytetään Venäjällä.
11. Pyydän myös kiinnittämään huomiota tärkeimpään asiaan tiedostojesi palauttamisessa tartunnan jälkeen. Se on mahdollista, jos sinulla on käytössä järjestelmän suojaus, eli äänenvoimakkuuden varjokopiointi, ja UAC-käyttäjätilien valvontajärjestelmä on käynnissä, ja se todennäköisesti toimii, jos et ole poistanut sitä käytöstä. Sitten virus ehdottaa järjestelmän suojauksen poistamista käytöstä, jotta salattuja tiedostoja, nimittäin salauksen jälkeen poistettuja tiedostoja ei ole mahdollista palauttaa. Tässä tapauksessa ei tietenkään voi olla eri mieltä sulkemisesta. Se näyttää jotakuinkin tältä:

Bitcoin-lompakkohuijarit.

12. Mielenkiintoisinta tässä on, kuinka huijareiden lompakon määrä kasvaa. Bitcoin-lompakko:
17. Tarkkaile kirjautumalla sisään vähintään kerran päivässä kuinka paljon huijareiden voitot ovat kasvaneet ja yllätyt, usko minua! Tämä on tavallinen Wallet Bitcoin -palvelu, johon kuka tahansa voi rekisteröidä lompakon, ei ole mitään hätää, jos katsot lompakon täydennystilastoja.
18. WannaCry 1.0 jaettiin roskapostin ja verkkosivustojen avulla. Versio 2.0 on identtinen ensimmäisen version kanssa, mutta siihen lisättiin mato, joka levisi itsenäisesti pääsemällä uhrin tietokoneille protokollan kautta.

Microsoft Corporation taistelussa Wannaa vastaan:

19. Microsoft tarjoaa päivityspakettien asentamista vanhempien käyttöjärjestelmien käyttäjille:

Windows Server 2003 SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64

Siirry viralliseen osoitteeseen blogs.technet.microsoft

Mitä Kaspersky sanoo?

20. Virallinen Kaspersky-blogi kuvaa prosessia yksityiskohtaisemmin, ja siellä on useita lisäyksiä, jotka voit selvittää, vaikkakin englanniksi.

Securelist.

21. Täydennetty 15. toukokuuta 2017 päivätyllä kaspersky-tukiartikkelilla:

.

22. Voit myös katsoa interaktiivinen kartta kyberuhat ja selvitä viruksen leviäminen reaaliajassa:

Intelin haittaohjelmatekniikkakartta WannaCry 2.0 -virukselle:

23. Toinen kartta, mutta nimenomaan WannaCry2.0-virukseen perustuva, viruksen leviäminen reaaliajassa (jos kartta ei toimi siirtymän jälkeen, päivitä sivu):

Video Comodo palomuuri 10 vs WannaCry Ransomware suojaustekniikasta:

virallinen sivusto.

596 WannaCry-versiota

24. Riippumaton laboratorio löysi 596 näytettä WannaCryptistä. Luettelo SHA256-tiivisteistä:

Kirjailijalta:

25. Lisään omasta puolestani koska käytän suojausta Comodosta on 10 ja lisäksi, mutta paras virustorjunta olet sinä itse. Kuten sanotaan, Jumala suojelee parasta, ja minulla on sellainen suoja, koska työskennellessäni joudun suorittamaan erilaisia ​​tehtäviä, joissa virushyökkäyksille on tilaa vuotaa, sanotaanko niitä niin.
26. Poista SMB1-protokolla väliaikaisesti käytöstä, kunnes asennat tietoturvapäivitykset tai jos et tarvitse sitä ollenkaan komentorivi, suorita cmd järjestelmänvalvojana ja poista protokolla käytöstä dism-komennolla:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

27. Sekä muita tapoja ottaa käyttöön ja poistaa käytöstä SMBv1,2,3-protokolla Microsoftin virallisella verkkosivustolla.
28. Graafisessa käyttöliittymässä voit poistaa protokollan käytöstä seuraavasti: Ohjauspaneeli> Lisää tai poista sovellus (Poista tai muuta ohjelmaa)> Ota käyttöön tai poista käytöstä Windowsin komponentit> lisäkuva alla.

Hyvää iltapäivää, rakkaat blogin lukijat ja vieraat, kuten muistatte toukokuussa 2017 laajamittaisen tietokoneiden infektioaallon Windows-järjestelmä, uusi ransomware-virus nimeltä WannaCry, jonka seurauksena se pystyi saastuttamaan ja salaamaan tietoja yli 500 000 tietokoneessa, ajattele vain tätä lukua. Pahinta on, että nykyaikaiset virustorjuntaratkaisut eivät käytännössä tartu tämäntyyppiseen virukseen, mikä tekee siitä entistä uhkaavamman. Alla kerron sinulle menetelmän kuinka suojata tietosi sen vaikutuksilta ja kuinka suojautua lunnasohjelmilta minuutin kuluttua uskon, että se on kiinnostavaa.

Mikä on ransomware-virus?

Kiristysohjelmavirus on eräänlainen tyyppi Troijan hevonen, jonka tehtävänä on tartuttaa käyttäjän työasema, tunnistaa siltä vaaditun muotoiset tiedostot (esim. valokuvat, äänitallenteet, videotiedostot) ja salaa ne sitten tiedostotyypin muutoksella, jonka seurauksena käyttäjä ei enää voi avata niitä ilman erikoisohjelma dekooderi. Se näyttää tältä.

Salatut tiedostomuodot

Yleisimmät tiedostomuodot salauksen jälkeen ovat:

• no_more_ransom
• holvi

Kiristysohjelmaviruksen seuraukset

Kuvaan yleisimmän tapauksen, jossa enkooderivirus liittyy. Kuvittelemme tavallista käyttäjää missä tahansa abstraktissa organisaatiossa, 90 prosentissa tapauksista käyttäjällä on Internet työpaikallaan, koska sen avulla hän tuo voittoa yritykselle, hän surffailee Internet-tilassa. Ihminen ei ole robotti, ja hänen huomionsa voi häiritä työstä katsomalla häntä kiinnostavia sivustoja tai sivustoja, joita hänen ystävänsä suositteli hänelle. Tämän toiminnan seurauksena hän voi tietämättään saastuttaa tietokoneensa tiedostosalauslaitteella ja ottaa siitä selvää, kun on jo liian myöhäistä. Virus on tehnyt tehtävänsä.

Virus yrittää toimintansa aikana käsitellä kaikkia tiedostoja, joihin sillä on pääsy, ja tästä alkaa, että tärkeät asiakirjat osastokansiossa, johon käyttäjällä on pääsy, muuttuvat yhtäkkiä digitaaliseksi roskiksi, paikallisiksi tiedostoiksi ja paljon enemmän. On selvää, että tiedosto-osuuksista pitäisi olla varmuuskopioita, mutta entä paikalliset tiedostot, jotka voivat muodostaa ihmisen koko työn, jonka seurauksena yritys menettää rahaa joutotyöstä ja järjestelmänvalvoja poistuu mukavuusalueeltaan ja kuluttaa omansa. aika purkaa tiedostot.

Sama voi tapahtua tavalliselle ihmiselle, mutta seuraukset ovat paikallisia ja koskevat häntä ja hänen perhettään henkilökohtaisesti. On erittäin surullista nähdä tapauksia, joissa virus on salannut kaikki tiedostot, mukaan lukien perheen valokuva-arkistot, eikä ihmisillä ole varmuuskopiota. , se ei ole tavallista tavallisten ihmisten keskuudessa tehdä sitä.

Pilvipalveluissa kaikki ei ole niin yksinkertaista, jos tallennat kaiken sinne eikä käytä Windows-käyttöjärjestelmässäsi paksua asiakasta, se on yksi asia, 99% ajasta siellä ei uhkaa mikään, mutta jos käytät esim. Yandex-levy tai "mail Cloud" synkronoi tiedostot tietokoneeltasi siihen, niin jos saat tartunnan ja saat, että kaikki tiedostot on salattu, ohjelma lähettää ne suoraan pilveen ja menetät myös kaiken.

Seurauksena on tällainen kuva, jossa sinulle kerrotaan, että kaikki tiedostot on salattu ja sinun on lähetettävä rahaa, nyt tämä tehdään bitcoineissa, jotta hyökkääjiä ei tunnisteta. Maksun jälkeen heidän pitäisi lähettää sinulle salauksenpurku ja palautat kaiken.

Älä koskaan lähetä rahaa rikollisille

Muista, että yksikään nykyaikainen virustorjunta ei voi tarjota Windows-suojaa kiristysohjelmia vastaan ​​yhdestä yksinkertaisesta syystä, että tämä troijalainen ei tee mitään epäilyttävää sen näkökulmasta, se käyttäytyy olennaisesti kuin käyttäjä, se lukee tiedostoja, kirjoittaa, toisin kuin virukset, se ei yritä muuttaa järjestelmätiedostot tai lisää rekisteriavaimia, minkä vuoksi sen havaitseminen on niin vaikeaa, ettei sitä eroteta käyttäjästä

Kiristysohjelmien troijalaisten lähteet

Yritetään korostaa salauksen pääasialliset lähteet tietokoneellesi.

1. Sähköposti > hyvin usein ihmiset saavat outoja tai väärennettyjä sähköposteja, joissa on linkkejä tai tartunnan saaneita liitteitä, joita napsauttamalla uhrilla alkaa olla uneton yö. Kerroin sinulle kuinka suojata sähköposti, suosittelen sinua lukemaan sen.
2. Kautta ohjelmisto- latasit ohjelman tuntemattomasta lähteestä tai väärennetyltä sivustolta, se sisältää enkooderiviruksen, ja kun asennat ohjelmiston, lisäät sen käyttöjärjestelmääsi.
3. Flash-asemien kautta - ihmiset vierailevat edelleen hyvin usein toistensa kanssa ja siirtävät joukon viruksia flash-asemien kautta, suosittelen lukemaan "Flash-aseman suojaaminen viruksilta"
4. IP-kameroiden ja Internet-yhteydellä varustettujen verkkolaitteiden kautta - hyvin usein paikalliseen verkkoon kytketyn reitittimen tai IP-kameran virheellisten asetusten vuoksi hakkerit tartuttavat samassa verkossa olevia tietokoneita.

Kuinka suojata tietokoneesi kiristysohjelmilta

Tietokoneesi oikea käyttö suojaa sinua kiristysohjelmilta, nimittäin:

• Älä avaa viestejä, joita et tunne, äläkä seuraa tuntemattomia linkkejä riippumatta siitä, miten ne saapuvat sinulle, oli se sitten posti tai joku lähettiläistä
• Asenna päivitykset Windows- tai Linux-käyttöjärjestelmään mahdollisimman nopeasti, niitä julkaistaan ​​harvemmin, noin kerran kuukaudessa. Jos puhumme Microsoftista, tämä on jokaisen kuukauden toinen tiistai, mutta tiedostojen salaajien tapauksessa päivitykset voivat olla epänormaalia.
• Älä liitä tuntemattomia flash-asemia tietokoneeseesi, vaan pyydä ystäviäsi lähettämään heille linkki pilveen.
• Varmista, että jos tietokoneesi ei tarvitse olla käytettävissä paikallinen verkko muilla tietokoneilla, sulje sitten niiden käyttö.
• Rajoita tiedostojen ja kansioiden käyttöoikeuksia
• Virustorjuntaratkaisun asentaminen
• Älä asenna käsittämättömiä ohjelmia, joihin tuntematon henkilö on hakkeroitu

Kaikki on selvää kolmesta ensimmäisestä kohdasta, mutta käsittelen kahta muuta yksityiskohtaisemmin.

Estä verkkoyhteys tietokoneeseesi

Kun ihmiset kysyvät minulta, kuinka suojautua kiristysohjelmilta Windowsissa, suosittelen ensimmäisenä, että ihmiset poistavat käytöstä "Microsoft Networks File and Printer Sharing Servicen", jonka avulla muut tietokoneet voivat käyttää resursseja. tästä tietokoneesta Microsoft-verkkojen avulla. Tämä koskee myös uteliailta järjestelmänvalvojat, työskentelee palveluntarjoajaltasi.

Poista käytöstä tämä palvelu Ja suojautua lunnasohjelmilta paikallisessa tai palveluntarjoajan verkossa seuraavasti. Paina näppäinyhdistelmää WIN+R ja suorita avautuvassa ikkunassa ja kirjoita komento ncpa.cpl. Näytän tämän testitietokoneellani käyttöjärjestelmä Windows 10 Creators -päivitys.

Valitse haluamasi verkkoliitäntä ja napsauta sitä oikealla painikkeella hiiret, alkaen kontekstivalikko valitse "Ominaisuudet"

Etsi kohde" Yleinen pääsy Microsoft-verkkojen tiedostoihin ja tulostimiin" ja poista valinta ja tallenna. Kaikki tämä auttaa suojaamaan tietokonettasi kiristysohjelmavirukselta paikallisverkossa; työasemaasi ei yksinkertaisesti voi käyttää.

Käyttöoikeuksien rajoittaminen

Suojaus ransomware-virusta vastaan ​​Windowsissa voidaan toteuttaa tällä mielenkiintoisella tavalla, kerron kuinka tein sen itse. Ja niinpä suurin ongelma salausohjelmien torjunnassa on se, että virukset eivät yksinkertaisesti pysty taistelemaan niitä vastaan ​​reaaliajassa, no, ne eivät voi suojata sinua tällä hetkellä, joten olemme ovelampia. Jos salausviruksella ei ole kirjoitusoikeuksia, se ei voi tehdä mitään tiedoillesi. Annan sinulle esimerkin, minulla on valokuvakansio, se on tallennettu paikallisesti tietokoneelle, ja siitä on kaksi varmuuskopiota eri Kovalevyt. Omillasi paikallinen tietokone Annoin sille vain lukuoikeudet sille tilille, jolla käytän tietokonetta. Jos virus olisi päässyt sisään, sillä ei yksinkertaisesti olisi ollut tarpeeksi oikeuksia, kuten näet, kaikki on yksinkertaista.

Kuinka toteuttaa tämä kaikki suojataksesi itsesi tiedostojen salaajilta ja suojataksesi kaiken, teemme seuraavasti.

• Valitse tarvitsemasi kansiot. Yritä käyttää kansioita; ne helpottavat oikeuksien myöntämistä. Ihannetapauksessa luo vain luku -niminen kansio ja sijoita siihen kaikki tarvitsemasi tiedostot ja kansiot. Hyvä asia on, että määrittämällä oikeudet ylimmälle kansiolle, niitä sovelletaan automaattisesti muihin kansioihin. Kun olet kopioinut kaikki tarvittavat tiedostot ja kansiot siihen, siirry seuraavaan vaiheeseen
• Napsauta kansiota hiiren kakkospainikkeella valikosta ja valitse "Ominaisuudet"

• Siirry "Turvallisuus"-välilehteen ja napsauta "Muokkaa" -painiketta

• Yritämme poistaa käyttöoikeusryhmiä, jos saamme varoitusikkunan "Ryhmää ei voida poistaa, koska tämä objekti perii käyttöoikeudet vanhemmalta", sulje se.

• Napsauta "Lisäasetukset" -painiketta. Napsauta avautuvassa kohdassa "poista perintö käytöstä"

• Kun sinulta kysytään "Mitä haluat tehdä nykyisillä perityillä käyttöoikeuksilla", valitse "Poista kaikki perityt käyttöoikeudet tästä objektista".

• Tämän seurauksena kaikki Käyttöoikeudet-kentässä oleva osa poistetaan.

• Tallenna muutokset. Huomaa, että nyt vain kansion omistaja voi muuttaa käyttöoikeuksia.

• Napsauta nyt "Suojaus"-välilehdellä "Muokkaa"

• Napsauta seuraavaksi "Lisää - Lisäasetukset"

• Meidän on lisättävä ryhmä "Kaikki", napsauta "Hae" ja valitse haluamasi ryhmä.

• Suojataksesi Windowsia kiristysohjelmilta, sinulla on oltava "Kaikki"-ryhmän käyttöoikeudet, kuten kuvassa.

• Nyt mikään salausvirus ei uhkaa sinua tässä hakemistossa olevista tiedostoistasi.

Toivon, että Microsoft ja muut virustentorjuntaratkaisut pystyvät parantamaan tuotteitaan ja suojaamaan tietokoneita kiristysohjelmilta ennen haitallista toimintaansa, mutta ennen kuin näin tapahtuu, noudata sinulle kuvailemiani sääntöjä ja tee aina varmuuskopiot tärkeistä tiedoista.

WannaCry-virus jyrisi ympäri maailmaa 12. toukokuuta, tänä päivänä useat Ison-Britannian lääketieteelliset laitokset ilmoittivat, että heidän verkkonsa olivat saaneet tartunnan, espanjalainen teleyritys ja Venäjän sisäministeriö ilmoittivat torjuneensa hakkerihyökkäyksen.

WannaCry (tavallinen kansa on jo kutsunut sen lempinimeksi Wona's Edge) kuuluu kiristysohjelmavirusten (salausohjelmien) luokkaan, joka päästessään tietokoneeseen salaa käyttäjän tiedostot salausalgoritmilla tehden myöhemmin näiden tiedostojen lukemisen mahdottomaksi.

Tällä hetkellä seuraavien suosittujen tiedostopäätteiden tiedetään olevan WannaCry-salauksen alaisia:

1. Suosittuja tiedostoja Microsoft Office(.xlsx, .xls, .docx, .doc).
2. Arkisto- ja mediatiedostot (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - miten virus leviää

Mainitsimme aiemmin tämän virusten leviämismenetelmän artikkelissa, joka käsittelee asiaa, joten se ei ole mitään uutta.

Päällä Postilaatikko käyttäjä saa kirjeen, jossa on "vaaraton" liite - se voi olla kuva, video, kappale, mutta näiden muotojen vakiotunnisteen sijaan liitteellä on suoritettava tiedostopääte - exe. Kun tällainen tiedosto avataan ja käynnistetään, järjestelmä "tarttuu" ja haavoittuvuuden kautta virus ladataan suoraan OS Windowsiin, joka salaa käyttäjän tiedot.

Tämä ei ehkä ole ainoa tapa levittää WannaCryä - voit joutua uhriksi lataamalla "tartunnan saaneita" tiedostoja sosiaalisissa verkostoissa, torrent-seurantaohjelmissa ja muilla sivustoilla.

WannaCry – kuinka suojautua ransomware-virukselta

1. Asenna korjaustiedosto Microsoft Windows. Microsoft julkaisi 14. toukokuuta hätäkorjauksen seuraaville versioille - Vista, 7, 8.1, 10, Windows Server. Voit asentaa tämän korjaustiedoston yksinkertaisesti suorittamalla järjestelmäpäivityksen Windows Update -palvelun kautta.

2. Viruksentorjuntaohjelmiston käyttö ajan tasalla olevien tietokantojen kanssa. Tunnetut tietoturvaohjelmistokehittäjät, kuten Kaspersky, Dr.Web, ovat jo julkaisseet tuotteilleen päivityksen, joka sisältää tietoa WannaCrystä, mikä suojaa käyttäjiään.

3. Tallenna tärkeät tiedot erilliseen tietovälineeseen. Jos tietokoneesi ei vielä tue sitä, voit tallentaa tärkeimmät tiedostot erilliseen tietovälineeseen (flash-asema, levy). Tällä lähestymistavalla, vaikka joutuisit uhriksi, säästät arvokkaimmat tiedostot salauksesta.

Tällä hetkellä nämä ovat kaikki tunnettuja tehokkaita suojautumiskeinoja WannaCryä vastaan.

WannaCry decryptor, mistä ladata ja onko mahdollista poistaa virus?

Ransomware-virukset kuuluvat "ilkeimpien" virusten luokkaan, koska... Useimmissa tapauksissa käyttäjätiedostot salataan 128- tai 256-bittisellä avaimella. Pahinta on, että jokaisessa tapauksessa avain on ainutlaatuinen ja jokaisen salauksen purkaminen vaatii valtavasti laskentateho, mikä tekee "tavallisten" käyttäjien kohtelun lähes mahdottomaksi.

Mutta entä jos joudut WannaCryn uhriksi ja tarvitset salauksen purkajan?

1. Ota yhteyttä Kaspersky Labin tukifoorumiin https://forum.kaspersky.com/ ja kerro ongelmasta. Foorumissa työskentelee sekä yritysten edustajia että vapaaehtoisia, jotka auttavat aktiivisesti ongelmien ratkaisemisessa.

2. Kuten tunnetun CryptXXX-salauksen tapauksessa, löydettiin universaali ratkaisu salattujen tiedostojen salauksen purkamiseen. WannaCryn löytämisestä ei ole kulunut yli viikko, eivätkä virustentorjuntalaboratorioiden asiantuntijat ole vielä onnistuneet löytämään sellaista ratkaisua.

3. Pääratkaisu on - täydellinen poisto OS tietokoneelta, jonka jälkeen uusi puhdas asennus. Tässä tilanteessa kaikki käyttäjätiedostot ja tiedot menetetään kokonaan, samoin kuin WannaCry poistetaan.

Noin viikko tai kaksi sitten Internetiin ilmestyi uusi nykyaikaisten virustenvalmistajien hakkerointi, joka salaa kaikki käyttäjän tiedostot. Jälleen kerran harkitsen kysymystä tietokoneen parantamisesta lunnasohjelmaviruksen jälkeen salattu000007 ja palauttaa salatut tiedostot. Tässä tapauksessa mitään uutta tai ainutlaatuista ei ole ilmestynyt, vain muutos edelliseen versioon.

Taattu tiedostojen salauksen purku kiristysohjelmaviruksen jälkeen - dr-shifro.ru. Yksityiskohdat työstä ja vuorovaikutussuunnitelma asiakkaan kanssa ovat alla artikkelissani tai verkkosivustolla "Työmenettely"-osiossa.

Kuvaus CRYPTED000007 lunnasohjelmaviruksesta

CRYPTED000007-salauslaite ei eroa olennaisesti edeltäjistään. Se toimii lähes täsmälleen samalla tavalla. Mutta silti on useita vivahteita, jotka erottavat sen. Kerron sinulle kaikesta järjestyksessä.

Se saapuu, kuten sen analogit, postitse. Sosiaalisen suunnittelun tekniikoilla varmistetaan, että käyttäjä kiinnostuu kirjeestä ja avaa sen. Minun tapauksessani kirjeessä puhuttiin jonkinlaisesta tuomioistuimesta ja tärkeää tietoa liitteenä olevasta tapauksesta. Liitteen käynnistämisen jälkeen käyttäjä avaa Word-asiakirjan, jossa on ote Moskovan välitystuomioistuimesta.

Samanaikaisesti asiakirjan avaamisen kanssa tiedostojen salaus alkaa. Tietosanoma Windowsin käyttäjätilien valvontajärjestelmästä alkaa jatkuvasti ponnahtaa esiin.

Jos hyväksyt ehdotuksen, Windowsin varjokopioiden tiedostojen varmuuskopiot poistetaan ja tietojen palauttaminen on erittäin vaikeaa. On selvää, että et voi hyväksyä ehdotusta missään olosuhteissa. Tässä salauksessa nämä pyynnöt ponnahtavat esiin jatkuvasti, yksi toisensa jälkeen eivätkä lopu, ja pakottaa käyttäjän suostumaan ja poistamaan varmuuskopiot. Tämä on tärkein ero salauslaitteiden aikaisempiin muutoksiin. En ole koskaan kohdannut pyyntöjä poistaa varjokopiot pysähtymättä. Yleensä 5-10 tarjouksen jälkeen he pysähtyivät.

Annan heti suosituksen tulevaisuutta varten. On hyvin yleistä, että ihmiset poistavat käyttäjätilien valvontavaroitukset käytöstä. Tätä ei tarvitse tehdä. Tämä mekanismi voi todella auttaa vastustamaan viruksia. Toinen ilmeinen neuvo on, että älä työskentele jatkuvasti tili tietokoneen ylläpitäjä, ellei sille ole objektiivista tarvetta. Tässä tapauksessa viruksella ei ole mahdollisuutta tehdä paljon haittaa. Sinulla on paremmat mahdollisuudet vastustaa häntä.

Mutta vaikka olisit aina vastannut kielteisesti kiristysohjelmien pyyntöihin, kaikki tietosi on jo salattu. Kun salausprosessi on valmis, näet kuvan työpöydälläsi.

Samaan aikaan niitä tulee olemaan monia tekstitiedostoja samalla sisällöllä.

Tiedostosi on salattu. ux:n salauksen purkamiseksi sinun on lähetettävä koodi: 329D54752553ED978F94|0 sähköpostiosoitteeseen [sähköposti suojattu]. Seuraavaksi saat kaikki tarvittavat ohjeet. Yritykset selvittää omat tiedot eivät johda mihinkään muuhun kuin peruuttamattomaan määrään tietoja. Jos haluat silti yrittää, tee tiedostoista ensin varmuuskopiot, muuten salauksen purkaminen tulee muuttuessa mahdottomaksi missään olosuhteissa. Jos et ole saanut ilmoitusta yllä olevaan osoitteeseen 48 tunnin sisällä (vain tässä tapauksessa!), käytä yhteydenottolomaketta. Tämä voidaan tehdä kahdella tavalla: 1) Lataa ja asenna Tor-selain linkin kautta: https://www.torproject.org/download/download-easy.html.en Kirjoita osoite Tor-selaimen osoitteeseen: http: //cryptsen7fo43rr6 .onion/ ja paina Enter. Yhteydenottolomakkeen sisältävä sivu latautuu. 2) Siirry millä tahansa selaimella johonkin osoitteista: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Kaikki tietokoneesi tärkeät tiedostot salattiin. Tiedostojen salauksen purkamiseksi sinun tulee lähettää seuraava koodi: 329D54752553ED978F94|0 sähköpostiosoitteeseen [sähköposti suojattu]. Sitten sinä tulet saada kaikki tarvittavat ohjeet. Kaikki itse tekemäsi salauksen purkuyritykset johtavat vain tietojen peruuttamattomaan menettämiseen. Jos haluat silti yrittää purkaa ne itse, tee ensin varmuuskopio, koska salauksen purkaminen tulee mahdottomaksi, jos tiedostoissa tehdään muutoksia. Jos et ole saanut vastausta yllä mainitusta sähköpostista yli 48 tuntiin (ja vain tässä tapauksessa!), käytä palautelomaketta. Voit tehdä sen kahdella tavalla: 1) Lataa Tor-selain täältä: https://www.torproject.org/download/download-easy.html.en Asenna se ja kirjoita osoitepalkkiin seuraava osoite: http:/ /cryptsen7fo43rr6.onion/ Paina Enter, jolloin palautelomakkeella varustettu sivu ladataan. 2) Siirry johonkin seuraavista osoitteista millä tahansa selaimella: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Postiosoite voi muuttua. Törmäsin myös seuraaviin osoitteisiin:

• [sähköposti suojattu]
• [sähköposti suojattu]

Osoitteita päivitetään jatkuvasti, joten ne voivat olla täysin erilaisia.

Heti kun huomaat, että tiedostosi on salattu, sammuta tietokone välittömästi. Tämä on tehtävä salausprosessin keskeyttämiseksi sekä paikallisessa tietokoneessa että verkkoasemissa. Salausvirus voi salata kaiken tiedon, jonka se voi tavoittaa, myös verkkoasemilla. Mutta jos siellä on paljon tietoa, se vie häneltä huomattavasti aikaa. Joskus jopa parissa tunnissa kryptografi ei ehtinyt salata kaikkea päälle verkkoasema noin 100 gigatavua.

Seuraavaksi sinun on mietittävä tarkkaan, miten toimia. Jos tarvitset tietoja tietokoneellesi hinnalla millä hyvänsä ja sinulla ei ole varmuuskopioita, on tällä hetkellä parempi kääntyä asiantuntijoiden puoleen. Ei välttämättä rahasta joillekin yrityksille. Tarvitset vain jonkun, joka on hyvä tietojärjestelmä. On tarpeen arvioida katastrofin laajuus, poistaa virus ja kerätä kaikki saatavilla oleva tieto tilanteesta, jotta voidaan ymmärtää, miten edetä.

Virheelliset toimet tässä vaiheessa voivat merkittävästi vaikeuttaa tiedostojen salauksen purkamista tai palauttamista. Pahimmassa tapauksessa ne voivat tehdä sen mahdottomaksi. Joten ota aikaa, ole varovainen ja johdonmukainen.

Kuinka CRYPTED000007 lunnasohjelmavirus salaa tiedostoja

Kun virus on käynnistetty ja lopettanut toimintansa, kaikki hyödylliset tiedostot salataan ja nimetään uudelleen extension.crypted000007. Lisäksi ei vain tiedostopääte korvata, vaan myös tiedoston nimi, joten et tiedä tarkalleen, millaisia ​​tiedostoja sinulla oli, jos et muista. Se näyttää tältä.

Tällaisessa tilanteessa on vaikea arvioida tragedian laajuutta, koska et pysty täysin muistamaan, mitä sinulla oli elämässäsi. erilaisia ​​kansioita. Tämä tehtiin nimenomaan hämmentämään ihmisiä ja rohkaisemaan heitä maksamaan tiedostojen salauksen purkamisesta.

Ja jos olisit salannut ja verkkokansiot ja täydellisiä varmuuskopioita ei ole, tämä voi pysäyttää koko organisaation työn kokonaan. Kestää jonkin aikaa selvittääksesi, mikä lopulta hävisi, jotta voit aloittaa restauroinnin.

Kuinka käsitellä tietokonettasi ja poistaa CRYPTED000007 lunnasohjelmat

CRYPTED000007 virus on jo tietokoneessasi. Ensimmäinen ja tärkein kysymys on tietokoneen desinfioiminen ja viruksen poistaminen siitä, jotta estetään lisäsalaus, jos sitä ei ole vielä suoritettu. Haluan välittömästi kiinnittää huomiosi siihen, että kun olet itse alkanut suorittaa joitain toimintoja tietokoneellasi, tietojen salauksen purkamisen mahdollisuudet vähenevät. Jos haluat palauttaa tiedostoja hinnalla millä hyvänsä, älä koske tietokoneeseesi, vaan ota välittömästi yhteyttä ammattilaisiin. Alla kerron niistä ja annan linkin sivustolle ja kuvailen kuinka ne toimivat.

Sillä välin jatkamme tietokoneen itsenäistä käsittelyä ja viruksen poistamista. Perinteisesti lunnasohjelmat poistetaan helposti tietokoneelta, koska viruksen tehtävänä ei ole jäädä tietokoneeseen hinnalla millä hyvänsä. Kun tiedostot on salattu kokonaan, hänen on vielä kannattavampaa poistaa itsensä ja kadota, jolloin tapauksen tutkiminen ja tiedostojen salauksen purkaminen on vaikeampaa.

Kuvaile manuaalinen poisto virus on vaikea, vaikka yritin tehdä tätä aiemmin, mutta näen, että useimmiten se on turhaa. Tiedostojen nimet ja virusten sijoituspolut muuttuvat jatkuvasti. Se, mitä näin, ei ole enää relevantti viikon tai kahden kuluttua. Yleensä virukset lähetetään postitse aaltoina, ja joka kerta tulee uusi muutos, jota virustorjunta ei vielä tunnista. Yleiset työkalut, jotka tarkistavat käynnistyksen ja havaitsevat epäilyttävän toiminnan järjestelmäkansioissa, auttavat.

Voit poistaa CRYPTED000007 viruksen käyttämällä seuraavia ohjelmia:

1. Kaspersky Virus Removal Tool - apuohjelma Kasperskyltä http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - samankaltainen tuote muusta verkosta http://free.drweb.ru/cureit.
3. Jos kaksi ensimmäistä apuohjelmaa eivät auta, kokeile MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Todennäköisesti jokin näistä tuotteista tyhjentää tietokoneesi CRYPTED000007 lunnasohjelmasta. Jos yhtäkkiä tapahtuu, etteivät ne auta, yritä poistaa virus manuaalisesti. Annoin esimerkin poistomenetelmästä ja näet sen siellä. Lyhyesti, askel askeleelta, sinun on toimittava näin:

1. Katsomme prosessiluetteloa lisättyään useita lisäsarakkeita tehtävänhallintaan.
2. Löydämme virusprosessin, avaamme kansion, jossa se sijaitsee, ja poistamme sen.
3. Poistamme virusprosessin mainitsemisen rekisteristä tiedostonimellä.
4. Käynnistämme uudelleen ja varmistamme, että CRYPTED000007 virus ei ole käynnissä olevien prosessien luettelossa.

Mistä ladata salauksenpurkuohjelma CRYPTED000007

Kysymys yksinkertaisesta ja luotettavasta salauksenpurkuohjelmasta nousee ensimmäisenä esille, kun kyse on lunnasohjelmaviruksesta. Ensimmäinen asia, jonka suosittelen, on käyttää palvelua https://www.nomoreransom.org. Entä jos olet onnekas ja heillä on salauksenpurkuohjelma CRYPTED000007-salauksen versiollesi. Sanon heti, että sinulla ei ole paljon mahdollisuuksia, mutta yrittäminen ei ole kidutusta. Päällä kotisivu napsauta Kyllä:

Lataa sitten muutama salattu tiedosto ja napsauta Go! Selvittää:

Kirjoitushetkellä sivustolla ei ollut salauksen purkuohjelmaa.

Ehkä sinulla on parempi tuuri. Voit myös nähdä luettelon ladattavista salauksenpurkuohjelmista erillisellä sivulla - https://www.nomoreransom.org/decryption-tools.html. Ehkä siellä on jotain hyödyllistä. Kun virus on täysin tuore, tämän tapahtuman mahdollisuus on pieni, mutta ajan myötä jotain saattaa ilmaantua. On esimerkkejä siitä, kun verkkoon ilmestyi salauksenpurkuja joidenkin salauslaitteiden modifikaatioille. Ja nämä esimerkit ovat määritetyllä sivulla.

En tiedä mistä muualta löydät dekooderin. On epätodennäköistä, että se todella olisi olemassa, kun otetaan huomioon nykyaikaisten salaajien työn erityispiirteet. Vain viruksen tekijöillä voi olla täysimittainen salauksen purkaja.

Kuinka purkaa ja palauttaa tiedostot CRYPTED000007 viruksen jälkeen

Mitä tehdä, kun CRYPTED000007-virus on salannut tiedostosi? Tekninen toteutus salaus ei salli tiedostojen salauksen purkamista ilman avainta tai salauksen purkajaa, joka on vain salauksen tekijällä. Ehkä on joku muu tapa saada se, mutta minulla ei ole sitä tietoa. Voimme yrittää palauttaa tiedostoja vain improvisoiduilla menetelmillä. Nämä sisältävät:

• Työkalu varjokopiot ikkunat.
• Poistetut tietojen palautusohjelmat

Tarkista ensin, ovatko varjokopiot käytössä. Tämä työkalu toimii oletuksena Windows 7:ssä ja uudemmissa käyttöjärjestelmissä, ellet poista sitä manuaalisesti käytöstä. Tarkistaaksesi, avaa tietokoneen ominaisuudet ja siirry järjestelmän suojausosioon.

Jos et tartunnan aikana vahvistanut UAC-pyyntöä poistaa varjokopioissa olevia tiedostoja, osan tiedoista pitäisi jäädä sinne. Kerroin tästä pyynnöstä tarkemmin tarinan alussa, kun puhuin viruksen toiminnasta.

Suosittelen käyttämään tiedostojen palauttamista helposti varjokopioista ilmainen ohjelma tätä tarkoitusta varten - ShadowExplorer. Lataa arkisto, pura ohjelma ja suorita se.

Tiedostojen uusin kopio ja C-aseman juuri avautuvat. Vasemmasta yläkulmasta voit valita varmuuskopion, jos sinulla on niitä useita. Tarkista tarvittavat tiedostot eri kopioista. Vertaa uusimman version päivämäärän mukaan. Alla olevassa esimerkissäni löysin työpöydältäni 2 tiedostoa kolmen kuukauden takaa, kun niitä viimeksi muokattiin.

Pystyin palauttamaan nämä tiedostot. Tätä varten valitsin ne, napsautin hiiren kakkospainikkeella, valitsin Vie ja määritin kansion, johon ne palautetaan.

Voit palauttaa kansiot välittömästi samalla periaatteella. Jos varjokopiot toimivat etkä poistanut niitä, sinulla on hyvät mahdollisuudet palauttaa kaikki tai melkein kaikki viruksen salaamat tiedostot. Ehkä jotkut niistä ovat enemmän vanha versio, kuin haluaisimme, mutta silti se on parempi kuin ei mitään.

Jos sinulla ei jostain syystä ole varjokopioita tiedostoistasi, ainoa mahdollisuutesi saada ainakin jotain salatuista tiedostoista on palauttaa ne palautustyökaluilla poistetut tiedostot. Tätä varten suosittelen ilmaisen Photorec-ohjelman käyttöä.

Käynnistä ohjelma ja valitse levy, jolle palautat tiedostot. Ohjelman graafisen version käynnistäminen suorittaa tiedoston qphotorec_win.exe. Sinun on valittava kansio, johon löydetyt tiedostot sijoitetaan. On parempi, jos tämä kansio ei sijaitse samalla asemalla, josta etsimme. Liitä flash-asema tai ulkoinen HDD tätä varten.

Hakuprosessi kestää kauan. Lopussa näet tilastot. Nyt voit siirtyä aiemmin määritettyyn kansioon ja katsoa, ​​mitä sieltä löytyy. Tiedostoja tulee todennäköisesti olemaan paljon ja suurin osa niistä joko vaurioituu tai ne ovat jonkinlaisia ​​järjestelmiä ja hyödyttömiä tiedostoja. Tästä luettelosta löytyy kuitenkin hyödyllisiä tiedostoja. Täällä ei ole takuita; mitä löydät, sen löydät. Kuvat palautuvat yleensä parhaiten.

Jos tulos ei tyydytä sinua, on olemassa myös ohjelmia poistettujen tiedostojen palauttamiseksi. Alla on luettelo ohjelmista, joita yleensä käytän, kun minun on palautettava enimmäismäärä tiedostot:

• R.saver
• Starus-tiedoston palautus
• JPEG Recovery Pro
• Active File Recovery Professional

Nämä ohjelmat eivät ole ilmaisia, joten en tarjoa linkkejä. Jos todella haluat, voit löytää ne itse Internetistä.

Koko tiedoston palautusprosessi esitetään yksityiskohtaisesti artikkelin lopussa olevassa videossa.

Kaspersky, eset nod32 ja muut taistelussa Filecoder.ED-salausta vastaan

Suositut virustorjuntaohjelmat havaitsevat kiristysohjelman CRYPTED000007 as Filecoder.ED ja sitten voi olla jokin muu nimitys. Selailin läpi tärkeimmät virustorjuntafoorumit, enkä löytänyt niistä mitään hyödyllistä. Valitettavasti, kuten tavallista, virustorjuntaohjelmisto osoittautui valmistautumattomaksi uuden kiristysohjelmien hyökkäykseen. Tässä on viesti Kaspersky-foorumilta.

Virustentorjuntaohjelmat kaipaavat perinteisesti ransomware-troijalaisten uusia muutoksia. Suosittelen kuitenkin niiden käyttöä. Jos olet onnekas ja saat kiristysohjelmasähköpostin ei ensimmäisellä tartuntaaaltolla, vaan hieman myöhemmin, on mahdollista, että virustorjunta auttaa sinua. He kaikki työskentelevät askeleen hyökkääjiä jäljessä. Se käy ilmi uusi versio ransomware, virustorjunta ei vastaa siihen. Heti kun tietty määrä materiaalia uuden viruksen tutkimukseen kerääntyy, virustorjuntaohjelmisto julkaisee päivityksen ja alkaa vastata siihen.

En ymmärrä, mikä estää virustorjuntaohjelmia vastaamasta välittömästi järjestelmän salausprosessiin. Ehkä tässä aiheessa on jokin tekninen vivahde, joka ei salli meidän vastata riittävästi ja estää käyttäjätiedostojen salausta. Minusta näyttää siltä, ​​​​että olisi mahdollista näyttää ainakin varoitus siitä, että joku salaa tiedostojasi, ja tarjota prosessin pysäyttämistä.

Minne hakea taattua salauksen purkamista

Satuin tapaamaan yhden yrityksen, joka todella purkaa tietojen salauksen erilaisten salausvirusten, mukaan lukien CRYPTED000007, työn jälkeen. Heidän osoitteensa on http://www.dr-shifro.ru. Maksu vasta täydellisen salauksen purkamisen ja vahvistuksen jälkeen. Tässä on likimääräinen työkaavio:

1. Yrityksen asiantuntija tulee toimistoosi tai kotiin ja tekee kanssasi sopimuksen, jossa määritellään työn kustannukset.
2. Käynnistää salauksenpurkuohjelman ja purkaa kaikkien tiedostojen salauksen.
3. Varmistat, että kaikki tiedostot on avattu ja allekirjoitat valmiiden töiden toimitus-/vastaanottotodistuksen.
4. Maksu suoritetaan vain onnistuneiden salauksen purkutulosten perusteella.

Olen rehellinen, en tiedä kuinka he tekevät sen, mutta et riskeeraa mitään. Maksu vasta dekooderin toiminnan osoittamisen jälkeen. Kirjoita arvostelu kokemuksistasi tästä yrityksestä.

Suojausmenetelmät CRYPTED000007 virukselta

Kuinka suojautua kiristysohjelmilta ja välttää aineelliset ja moraaliset vahingot? On olemassa muutamia yksinkertaisia ​​ja tehokkaita vinkkejä:

1. Varmuuskopioida! Varmuuskopio kaikki tärkeät tiedot. Eikä vain varmuuskopio, vaan varmuuskopio, johon ei ole jatkuvaa pääsyä. Muussa tapauksessa virus voi tartuttaa sekä asiakirjojasi että varmuuskopioita.
2. Lisensoitu virustorjunta. Vaikka ne eivät tarjoa 100-prosenttista takuuta, ne lisäävät mahdollisuuksia välttää salaus. He eivät useimmiten ole valmiita uusiin salausversioihin, mutta 3-4 päivän kuluttua he alkavat vastata. Tämä lisää mahdollisuuksiasi välttää tartuntaa, jos et ollut mukana ransomwaren uuden muunnelman ensimmäisessä jakelussa.
3. Älä avaa epäilyttäviä liitteitä postissa. Täällä ei ole mitään kommentoitavaa. Kaikki tuntemani kiristysohjelmat tavoittivat käyttäjät sähköpostitse. Lisäksi joka kerta keksitään uusia temppuja uhrin huijaamiseksi.
4. Älä ajattele ajattelemattomasti ystäviltäsi lähettämiä linkkejä sosiaalinen media tai lähettiläitä. Näin myös virukset joskus leviävät.
5. Ota ikkunat käyttöön tiedostotunnisteiden näyttämiseksi. Kuinka tämä tehdään, on helppo löytää Internetistä. Tämän avulla voit huomata viruksen tiedostotunnisteen. Useimmiten se tulee olemaan .exe, .vbs, .src. Jokapäiväisessä työssäsi asiakirjojen kanssa et todennäköisesti törmää tällaisiin tiedostopäätteisiin.

Yritin täydentää sitä, mitä olen jo aiemmin kirjoittanut jokaisessa kiristysohjelmaviruksesta kertovassa artikkelissa. Sillä välin sanon hyvästit. Otan mielelläni vastaan ​​hyödyllisiä kommentteja artikkelista ja CRYPTED000007 ransomware-viruksesta yleensä.

Video tiedostojen salauksen purkamisesta ja palauttamisesta

Tässä on esimerkki viruksen aiemmasta muutoksesta, mutta video on täysin relevantti CRYPTED000007:lle.