Pembaruan keamanan Windows 7 dari ransomware. Cara memperbarui Windows untuk melindungi dari WannaCry. Virus Wanna Cry di Rusia

  1. Ini Mei, Temui WannaCry.
  2. Wanna adalah nama virus ransomware yang memulai aktivitasnya pada 12 Mei 2017, menginfeksi komputer pengguna dan perusahaan di 90 negara. Microsoft telah secara resmi merilis tambalan untuk sistem operasi lama yang tidak lagi didukung dan sudah usang. Daftar lengkap dan semua tautan akan diberikan di akhir artikel.
    3. Bagaimana Wanna muncul?
  3. Seperti semua virus, ransomware sulit diketahui selama proses enkripsi jika Anda sendiri tidak secara tidak sengaja melihat bahwa file berubah dan menjadi dengan ekstensi yang berbeda. Misalnya, dengan virus ini, file terenkripsi akan terlihat seperti ini: filename.png.WNCRY
  4. Di bawah ini adalah peta infeksi virus negara-negara pada jam-jam pertama infeksi dan penyebarannya, peta dari Sumantec.
  5. Selanjutnya, seperti yang ditunjukkan virus setelah mengenkripsi file, pengguna akan diperlihatkan pesan dan dapat memilih bahasa yang sesuai. Yang melaporkan bahwa file Anda terinfeksi dan pergi ke langkah pembayaran, katakanlah begitu.
  6. Jendela kedua menunjukkan berapa banyak dan bagaimana Anda harus membayar, mentransfer 300 bitcoin. Serta penghitung waktu mundur.
  7. Latar belakang desktop dan gambar latar belakang lainnya menampilkan pesan:
  8. File yang dienkripsi memiliki ekstensi ganda, misalnya: filename.doc.WNCRY. Di bawah ini adalah tampilannya:
  9. Juga di setiap folder ada file yang dapat dieksekusi @ [email dilindungi] untuk dekripsi setelah tebusan (mungkin tetapi tidak mungkin), serta dokumen teks @ [email dilindungi] di mana ada sesuatu untuk dibacakan kepada pengguna (juga mungkin, tetapi hampir tidak).
    10. Virus mengenkripsi file dengan ekstensi berikut:
  10. Saya ingin mencatat bahwa di antara ekstensi yang dienkripsi oleh WannaCry, tidak ada ekstensi 1C yang digunakan di Rusia.
  11. Saya juga meminta Anda untuk memperhatikan hal terpenting dalam memulihkan file Anda setelah terinfeksi. Dimungkinkan jika Anda mengaktifkan perlindungan sistem, yaitu penyalinan bayangan volume dan sistem kontrol akun pengguna uac berfungsi, dan kemungkinan besar berfungsi jika Anda tidak menonaktifkannya. Kemudian virus akan menawarkan untuk menonaktifkan perlindungan sistem sehingga tidak mungkin memulihkan file yang dienkripsi, yaitu yang dihapus setelah enkripsi. Tentu saja, dalam hal ini, tidak ada cara untuk tidak setuju dengan pemutusan tersebut. Terlihat seperti ini:
    12. Dompet Bitcoin adalah penipu.
  12. Hal yang paling menarik di sini adalah bagaimana jumlah di dompet penipu bertambah. dompet bitcoin:
  17. tonton dengan mengunjungi setidaknya sekali sehari berapa banyak keuntungan yang diperoleh scammers dan Anda akan terkejut, percayalah! Ini adalah layanan Wallet Bitcoin reguler di mana siapa pun dapat mendaftarkan dompetnya sendiri, tidak ada yang perlu dikhawatirkan jika Anda melihat statistik pengisian ulang dompet.
  18. WannaCry 1.0 didistribusikan melalui spam dan situs web. Versi 2.0 identik dengan versi pertama, tetapi worm ditambahkan ke dalamnya, yang menyebar dengan sendirinya, masuk ke komputer korban melalui protokol.
    19. Microsoft dalam perang melawan Wanna:
  19. Microsoft menyarankan untuk menginstal paket layanan untuk pengguna sistem operasi lama:
    20. Server Windows 2003SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Tertanam SP3 x86
    jendela 8x86
    jendela 8x64
    Kunjungi blog resmi.technet.microsoft
    Apa yang dikatakan Kaspersky?
  20. Di blog resmi Kaspersky, prosesnya dijelaskan lebih detail dan ada beberapa tambahan yang bisa Anda pelajari, meski dalam bahasa Inggris.
    21. securelist.
  21. Dilengkapi dengan artikel dukungan kaspersky tertanggal 15 Mei 2017:
    22. .
  22. Anda juga dapat melihat peta interaktif ancaman dunia maya dan mengetahui penyebaran virus secara real time:
    23. Kartu malwaretech Intel untuk virus WannaCry 2.0:
  23. Peta lain, tetapi khusus untuk virus WannaCry2.0, penyebaran virus secara real time (jika peta tidak berfungsi setelah transisi, segarkan halaman):
    24. Video Comodo Firewall 10 vs Ransomware WannaCry tentang teknologi perlindungan:
    situs resmi.
    596 varian WannaCry
  24. Laboratorium independen menemukan 596 sampel WannaCrypt. Daftar hash SHA256:
    25. Dari penulis:
  25. Saya akan menambahkan sendiri karena saya menggunakan perlindungan terhadap Comodo 10 dan sebagai tambahan, tetapi antivirus terbaik adalah Anda sendiri. Seperti yang mereka katakan, Tuhan menyelamatkan brankas, dan saya memiliki perlindungan seperti itu karena saat saya bekerja, saya harus melakukan berbagai tugas di mana ada tempat untuk bocornya serangan virus, sebut saja begitu.
  26. Nonaktifkan protokol SMB1 untuk sementara hingga Anda menginstal pembaruan keamanan atau jika Anda tidak memerlukannya sama sekali garis komando, jalankan cmd atas nama administrator sistem dan gunakan dism untuk menonaktifkan protokol, perintah:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Serta metode lain untuk mengaktifkan dan menonaktifkan protokol SMBv1,2,3 di situs web resmi Microsoft.
  28. Di antarmuka grafis untuk menonaktifkan protokol, Anda dapat melakukan ini: Panel Kontrol> Tambah atau Hapus Program (Copot pemasangan atau ubah program)> Aktifkan atau nonaktifkan komponen jendela> gambar lainnya di bawah ini.

Selamat siang, para pembaca dan tamu blog yang budiman, seperti yang Anda ingat, pada Mei 2017, gelombang besar infeksi komputer dengan sistem operasi sistem jendela, virus ransomware baru yang disebut WannaCry, yang mampu menginfeksi dan mengenkripsi data di lebih dari 500.000 komputer, pikirkan saja angka ini. Hal terburuknya adalah virus jenis ini praktis tidak tertangkap oleh solusi antivirus modern, yang membuatnya semakin mengancam, di bawah ini saya akan memberi tahu Anda metode tentang cara melindungi data Anda dari pengaruhnya dan bagaimana melindungi diri dari ransomware sebentar, saya pikir Anda akan tertarik.

Apa itu virus encoder

Virus ransomware adalah jenis Trojan, yang tugasnya menginfeksi workstation pengguna, mengidentifikasi file dengan format yang diperlukan di dalamnya (misalnya, foto, rekaman audio, file video), kemudian mengenkripsinya dengan mengubah jenis file, sehingga pengguna tidak akan lagi dapat membukanya tanpa program dekripsi khusus. Sepertinya ini.

Format file terenkripsi

Format file yang paling umum setelah enkripsi adalah:

  • no_more_ransom
  • kubah

Konsekuensi dari virus ransomware

Saya akan menjelaskan kasus paling umum di mana virus encoder terlibat. Bayangkan seorang pengguna biasa di organisasi abstrak mana pun, dalam 90 persen kasus pengguna memiliki Internet di belakang tempat kerjanya, karena dengan bantuannya ia mendatangkan keuntungan bagi perusahaan, ia menjelajahi ruang Internet. Seseorang bukanlah robot dan dapat dialihkan dari pekerjaannya dengan menjelajahi situs yang menarik baginya, atau situs yang disarankan temannya. Sebagai hasil dari aktivitas ini, dia dapat menginfeksi komputernya dengan file encryptor tanpa menyadarinya dan mengetahuinya ketika sudah terlambat. virus telah melakukan tugasnya.

Virus pada saat bekerja mencoba memproses semua file yang dapat diaksesnya, dan di sini dimulai bahwa dokumen penting di folder departemen, yang dapat diakses pengguna, tiba-tiba berubah menjadi sampah digital, file lokal, dan banyak lagi . Jelas bahwa harus ada cadangan berbagi file, tetapi bagaimana dengan file lokal yang dapat menggantikan semua pekerjaan seseorang, akibatnya perusahaan kehilangan uang untuk pekerjaan sederhana, dan administrator sistem keluar dari zona nyamannya dan menghabiskan waktunya mendekripsi file.

Hal yang sama dapat terjadi pada orang biasa, tetapi konsekuensinya di sini bersifat lokal dan terkait secara pribadi dengan dia dan keluarganya, sangat menyedihkan melihat kasus ketika virus mengenkripsi semua file, termasuk arsip foto keluarga dan orang tidak memiliki salinan cadangan. , yah, itu bukan kebiasaan bagi pengguna biasa untuk melakukannya.

Dengan layanan cloud, semuanya tidak sesederhana itu, jika Anda menyimpan semuanya di sana dan tidak menggunakan klien tebal di sistem operasi Windows Anda, itu satu hal, 99% Anda tidak dalam bahaya, tetapi jika Anda menggunakan, misalnya, "Yandex disk" atau "mail Cloud" menyinkronkan file dari komputer Anda ke komputer Anda, kemudian terinfeksi dan menerima bahwa semua file dienkripsi, program akan mengirimkannya langsung ke cloud dan Anda juga akan kehilangan segalanya.

Akibatnya, Anda melihat gambar yang mirip dengan ini, di mana Anda diberi tahu bahwa semua file dienkripsi dan Anda perlu mengirim uang, sekarang ini dilakukan dalam bitcoin agar tidak mengetahui penyerang. Setelah pembayaran, Anda seharusnya dikirimi decoder dan Anda akan memulihkan semuanya.

Jangan pernah mengirim uang ke penipu

Ingatlah bahwa tidak ada satu pun antivirus modern saat ini yang dapat memberikan perlindungan jendela terhadap ransomware, karena satu alasan sederhana bahwa Trojan ini tidak mencurigakan dari sudut pandangnya, Trojan ini pada dasarnya berperilaku seperti pengguna, membaca file, menulis, tidak seperti virus, tidak mencoba untuk berubah file sistem atau tambahkan kunci registri, itulah sebabnya pendeteksiannya sangat sulit, tidak ada garis yang membedakannya dari pengguna

Sumber trojan ransomware

Mari kita coba mengidentifikasi sumber utama penetrasi encoder ke komputer Anda.

  1. Email > sangat sering orang menerima email aneh atau palsu dengan tautan atau lampiran yang terinfeksi, dengan mengklik di mana korban mulai mengatur malam tanpa tidur. Saya memberi tahu Anda cara melindungi email, saya menyarankan Anda untuk membacanya.
  2. Melalui perangkat lunak- Anda mengunduh program dari sumber yang tidak dikenal atau situs palsu, itu berisi virus penyandi, dan ketika Anda menginstal perangkat lunak, Anda memasukkannya ke dalam sistem operasi Anda.
  3. Melalui flash drive - orang masih sangat sering pergi ke satu sama lain dan membawa banyak virus melalui flash drive, saya menyarankan Anda untuk membaca "Melindungi flash drive dari virus"
  4. Melalui kamera ip dan perangkat jaringan yang memiliki akses ke Internet - sangat sering karena pengaturan bengkok pada router atau kamera ip yang terhubung ke jaringan lokal, peretas menginfeksi komputer di jaringan yang sama.

Bagaimana melindungi PC Anda dari virus ransomware

Penggunaan komputer yang benar melindungi dari ransomware, yaitu:

  • Jangan buka surat yang tidak Anda ketahui dan jangan ikuti tautan yang tidak dapat dipahami, tidak peduli bagaimana tautan itu sampai kepada Anda, baik itu surat atau utusan mana pun
  • Instal pembaruan sistem operasi Windows atau Linux secepat mungkin, tidak dirilis sesering mungkin, sekitar sebulan sekali. Jika kita berbicara tentang Microsoft, maka ini adalah hari Selasa kedua setiap bulan, tetapi dalam kasus enkripsi file, pembaruan mungkin tidak normal.
  • Jangan sambungkan flash drive yang tidak dikenal ke komputer Anda, minta teman Anda untuk mengirim tautan yang lebih baik ke cloud.
  • Pastikan bahwa jika komputer Anda tidak perlu tersedia di jaringan lokal untuk komputer lain, lalu matikan aksesnya.
  • Batasi hak akses ke file dan folder
  • Menginstal solusi antivirus
  • Jangan instal program yang tidak dapat dipahami yang diretas oleh seseorang yang tidak dikenal

Semuanya jelas dengan tiga poin pertama, tetapi saya akan membahas dua poin lainnya lebih detail.

Nonaktifkan akses jaringan ke komputer Anda

Ketika orang bertanya kepada saya bagaimana perlindungan terhadap ransomware diatur di windows, hal pertama yang saya sarankan adalah orang-orang mematikan "Microsoft Networks File and Printer Sharing Service", yang memungkinkan komputer lain mengakses sumber daya. komputer ini menggunakan jaringan Microsoft. Ini sama relevannya dengan yang penasaran administrator sistem yang bekerja dengan ISP Anda.

Cacat layanan ini dan melindungi diri dari ransomware dalam jaringan lokal atau provider, sebagai berikut. Tekan kombinasi tombol WIN + R dan di jendela yang terbuka, jalankan, masukkan perintah ncpa.cpl. Saya akan menunjukkannya di komputer uji saya dengan sistem operasi Pembaruan Windows 10 Kreator.

Pilih antarmuka jaringan yang diinginkan dan klik di atasnya klik kanan tikus, dari menu konteks pilih "Properti"

Menemukan item Akses umum ke file dan printer untuk jaringan Microsoft" dan hapus centang, lalu simpan, semua ini akan membantu melindungi komputer Anda dari virus ransomware di jaringan lokal, workstation Anda tidak akan tersedia.

Pembatasan hak akses

Perlindungan terhadap virus ransomware di windows dapat diimplementasikan dengan cara yang menarik, saya akan memberi tahu Anda bagaimana saya melakukannya sendiri. Jadi masalah utama dalam perang melawan ransomware adalah bahwa antivirus tidak dapat melawannya secara real time, yah, mereka tidak dapat melindungi Anda saat ini, jadi mari menjadi lebih pintar. Jika virus enkripsi tidak memiliki izin menulis, maka ia tidak akan dapat melakukan apa pun dengan data Anda. Sebagai contoh, saya punya folder foto, disimpan secara lokal di komputer, plus ada dua backup berbeda hard drive. Saya sendiri komputer lokal Saya membuatnya hanya-baca, untuk akun tempat saya duduk di depan komputer. Jika virus sampai di sana, maka dia tidak akan memiliki cukup hak, seperti yang Anda lihat, semuanya sederhana.

Bagaimana mengimplementasikan semua ini untuk melindungi diri Anda dari enkripsi file dan menyimpan semuanya, kami melakukan hal berikut.

  • Pilih folder yang Anda butuhkan. Coba gunakan folder yang tepat, lebih mudah untuk menetapkan hak dengannya. Dan idealnya, buat folder bernama read-only, dan sudah taruh semua file dan folder yang Anda butuhkan di dalamnya. Bagusnya, dengan memberikan hak ke folder teratas, mereka akan secara otomatis diterapkan ke folder lain di dalamnya. Setelah Anda menyalin semua file dan folder yang diperlukan ke dalamnya, lanjutkan ke langkah berikutnya.
  • Klik kanan pada folder dan pilih "Properties" dari menu

  • Buka tab "Keamanan" dan klik tombol "Edit".

  • Kami mencoba menghapus grup akses, jika Anda mendapatkan jendela dengan peringatan bahwa "Tidak mungkin menghapus grup karena objek ini mewarisi izin dari induknya", lalu tutup.

  • Klik tombol "Lanjutan". Di item yang terbuka, klik "nonaktifkan warisan"

  • Saat ditanya "Apa yang ingin Anda lakukan dengan izin yang diwariskan saat ini" pilih "Hapus semua izin yang diwariskan dari objek ini"

  • Akibatnya, di kolom "Izin", semuanya akan dihapus.

  • Kami menyimpan perubahan. Perhatikan bahwa sekarang hanya pemilik folder yang dapat mengubah izin.

  • Sekarang pada tab Keamanan, klik Edit

  • Selanjutnya, klik "Tambah - Lanjutan"

  • Kita perlu menambahkan grup "Semua Orang", untuk melakukan ini, klik "Cari" dan pilih grup yang diinginkan.

  • Untuk melindungi Windows dari ransomware, Anda harus mengatur izin untuk grup "Semua Orang", seperti pada gambar.

  • Itu saja, tidak ada virus penyandi yang mengancam Anda untuk file Anda di direktori ini.

Saya berharap Microsoft dan solusi antivirus lainnya dapat meningkatkan produk mereka dan melindungi komputer dari ransomware sebelum mereka melakukan pekerjaan jahatnya, tetapi sampai ini terjadi, ikuti aturan yang saya jelaskan kepada Anda dan selalu cadangkan data penting.

Virus WannaCry "menggemuruh" di seluruh dunia pada 12 Mei, pada hari ini sejumlah institusi medis di Inggris Raya mengumumkan bahwa jaringan mereka terinfeksi, perusahaan telekomunikasi Spanyol dan Kementerian Dalam Negeri Rusia melaporkan bahwa mereka telah memukul mundur seorang peretas menyerang.

WannaCry (pada orang awam sudah dijuluki Vaughn the Edge) termasuk dalam kategori virus enkripsi (cryptors), yang, ketika memasuki PC, mengenkripsi file pengguna dengan algoritme yang kuat secara kriptografis, selanjutnya - membaca file ini menjadi tidak mungkin .

Saat ini, ekstensi file populer berikut diketahui dienkripsi oleh WannaCry:

  1. File populer kantor Microsoft(.xlsx, .xls, .docx, .doc).
  2. File arsip dan media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - bagaimana virus menyebar

Sebelumnya, kami menyebutkan metode penyebaran virus ini dalam artikel tentang, jadi bukan hal baru.

Pada kotak surat Seorang pengguna menerima surat dengan lampiran "tidak berbahaya" - itu bisa berupa gambar, video, lagu, tetapi alih-alih ekstensi standar untuk format ini, lampiran tersebut akan memiliki ekstensi file yang dapat dieksekusi - exe. Saat file seperti itu dibuka dan diluncurkan, sistem "terinfeksi" dan virus dimuat langsung ke OS Windows melalui kerentanan yang mengenkripsi data pengguna.

Mungkin ini bukan satu-satunya metode penyebaran WannaCry - Anda bisa menjadi korban saat mengunduh file yang "terinfeksi" di jejaring sosial, pelacak torrent, dan situs lain.

WannaCry - cara melindungi diri dari virus ransomware

1. Instal tambalan untuk Microsoft Windows. Pada 14 Mei, Microsoft merilis tambalan darurat untuk versi berikut - Vista, 7, 8.1, 10, Windows Server. Anda dapat menginstal tambalan ini hanya dengan menjalankan pembaruan sistem melalui layanan Pembaruan Windows.

2. Penggunaan software anti-virus dengan database yang up-to-date. Pengembang perangkat lunak keamanan terkenal, seperti Kaspersky, Dr.Web, telah merilis pembaruan untuk produk mereka yang berisi informasi tentang WannaCry, sehingga melindungi penggunanya.

3. Simpan data penting ke media terpisah. Jika komputer Anda belum berfungsi, Anda dapat menyimpan file terpenting ke media terpisah (flash drive, disk). Dengan pendekatan ini, meski menjadi korban, Anda akan menyimpan file paling berharga dari enkripsi.

Saat ini, ini semua adalah cara efektif yang diketahui untuk melindungi dari WannaCry.

Dekripsi WannaCry, tempat mengunduh dan apakah mungkin menghapus virus?

Virus enkripsi adalah salah satu virus yang paling "jahat", karena mereka dalam kebanyakan kasus, file pengguna dienkripsi dengan kunci 128bit atau 256bit. Hal terburuknya adalah dalam setiap kasus kuncinya unik dan dibutuhkan jumlah yang sangat besar untuk mendekripsi masing-masing. daya komputasi, yang membuat hampir tidak mungkin untuk memperlakukan pengguna "biasa".

Tetapi bagaimana jika Anda adalah korban WannaCry dan membutuhkan dekripsi?

1. Hubungi forum dukungan Kaspersky Lab — https://forum.kaspersky.com/ dengan deskripsi masalahnya. Forum ini mempekerjakan perwakilan perusahaan dan sukarelawan yang secara aktif membantu memecahkan masalah.

2. Seperti dalam kasus enkripsi terkenal CryptXXX, solusi universal ditemukan untuk mendekripsi file terenkripsi. Kurang dari seminggu telah berlalu sejak penemuan WannaCry, dan spesialis dari laboratorium anti-virus belum berhasil menemukan solusi untuk itu.

3. Solusi utamanya adalah - penghapusan lengkap OS dari komputer, diikuti dengan instalasi baru yang bersih. Dalam skenario ini, semua file dan data pengguna benar-benar hilang, bersama dengan penghapusan WannaCry.

Sekitar satu atau dua minggu yang lalu, karya lain dari pembuat virus modern muncul di jaringan, yang mengenkripsi semua file pengguna. Sekali lagi, saya akan mempertimbangkan pertanyaan tentang bagaimana menyembuhkan komputer setelah virus ransomware crypted000007 dan memulihkan file terenkripsi. Dalam hal ini, tidak ada yang baru dan unik yang muncul, hanya modifikasi dari versi sebelumnya.

Dekripsi file terjamin setelah virus ransomware - dr-shifro.ru. Detail pekerjaan dan skema interaksi dengan pelanggan ada di bawah dalam artikel saya atau di situs web di bagian "Prosedur kerja".

Deskripsi virus ransomware CRYPTED000007

Enkripsi CRYPTED000007 pada dasarnya tidak berbeda dari pendahulunya. Ini bekerja hampir seperti satu lawan satu. Namun tetap ada beberapa nuansa yang membedakannya. Saya akan memberi tahu Anda tentang semuanya secara berurutan.

Dia datang, seperti rekan-rekannya, melalui surat. Teknik rekayasa sosial digunakan untuk membuat pengguna tertarik pada surat tersebut dan membukanya. Dalam kasus saya, surat itu tentang semacam pengadilan dan tentang informasi penting pada kasus di lampiran. Setelah meluncurkan lampiran, pengguna membuka dokumen Word dengan kutipan dari Pengadilan Arbitrase Moskow.

Sejalan dengan pembukaan dokumen, enkripsi file dimulai. Mulai terus memunculkan pesan informasi dari sistem Kontrol Akun Pengguna Windows.

Jika Anda setuju dengan proposal tersebut, salinan cadangan file dalam salinan bayangan Windows akan dihapus dan pemulihan informasi akan sangat sulit. Jelas, tidak mungkin menyetujui proposal dalam hal apa pun. Dalam ransomware ini, permintaan ini muncul terus-menerus, satu per satu, dan tidak berhenti, memaksa pengguna untuk menyetujui dan menghapus cadangan. Inilah perbedaan utama dari modifikasi ransomware sebelumnya. Saya belum pernah melihat permintaan penghapusan salinan bayangan tanpa henti. Biasanya, setelah 5-10 kalimat, mereka berhenti.

Saya akan memberi Anda rekomendasi untuk masa depan. Sangat sering, orang mematikan peringatan dari sistem kontrol akun pengguna. Anda tidak perlu melakukan ini. Mekanisme ini sangat membantu dalam melawan virus. Nasihat kedua yang jelas adalah jangan selalu bekerja di bawah Akun administrator komputer, jika ini tidak diperlukan secara objektif. Dalam hal ini, virus tidak akan memiliki kesempatan untuk melakukan banyak kerusakan. Anda akan lebih cenderung menolaknya.

Tetapi bahkan jika Anda selalu menjawab permintaan ransomware secara negatif, semua data Anda sudah dienkripsi. Setelah proses enkripsi selesai, Anda akan melihat gambar di desktop Anda.

Pada saat yang sama, akan ada banyak file teks dengan konten yang sama.

File Anda telah dienkripsi. Untuk mendekripsi ux, Anda perlu mengoreksi kode: 329D54752553ED978F94|0 ke alamat email [email dilindungi]. Kemudian Anda akan mendapatkan semua instruksi yang diperlukan. Upaya untuk menguraikannya sendiri tidak akan menghasilkan apa pun, kecuali sejumlah informasi yang tidak dapat diperoleh kembali. Jika Anda masih ingin mencoba, buat salinan cadangan file terlebih dahulu, jika tidak, dalam kasus perubahan ux, dekripsi tidak akan dimungkinkan dalam keadaan apa pun. Jika Anda belum menerima tanggapan ke alamat di atas dalam waktu 48 jam (dan hanya dalam kasus ini!), harap gunakan formulir umpan balik. Ini dapat dilakukan dengan dua cara: 1) Unduh dan pasang Tor Browser dari tautan: https://www.torproject.org/download/download-easy.html.en Masukkan alamat di alamat Tor Browser: http:/ /cryptsen7fo43rr6 .onion/ dan tekan Enter. Halaman dengan formulir kontak dimuat. 2) Di browser apa pun, buka salah satu alamat: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Semua file penting di komputer Anda dienkripsi. Untuk mendekripsi file, Anda harus mengirim kode berikut: 329D54752553ED978F94|0 ke alamat email [email dilindungi]. Kemudian kamu akan menerima semua instruksi yang diperlukan. Semua upaya dekripsi sendiri hanya akan mengakibatkan hilangnya data Anda yang tidak dapat dibatalkan. Jika Anda masih ingin mencoba mendekripsinya sendiri, harap buat cadangan terlebih dahulu karena dekripsi tidak dapat dilakukan jika ada perubahan di dalam file. Jika Anda tidak menerima jawaban dari email yang disebutkan sebelumnya selama lebih dari 48 jam (dan hanya dalam kasus ini!), gunakan formulir umpan balik. Anda dapat melakukannya dengan dua cara: 1) Unduh Tor Browser dari sini: https://www.torproject.org/download/download-easy.html.en Instal dan ketik alamat berikut di bilah alamat: http:/ /cryptsen7fo43rr6.onion/ Tekan Enter dan kemudian halaman dengan formulir umpan balik akan dimuat. 2) Buka salah satu alamat berikut di browser apa pun: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Alamat pos dapat berubah. Saya telah melihat alamat lain seperti ini:

Alamat terus diperbarui, sehingga bisa sangat berbeda.

Segera setelah Anda menemukan bahwa file tersebut dienkripsi, segera matikan komputer. Ini harus dilakukan untuk menghentikan proses enkripsi baik di komputer lokal maupun di drive jaringan. Virus ransomware dapat mengenkripsi semua informasi yang dapat dijangkau, termasuk di drive jaringan. Tetapi jika ada banyak informasi, maka itu akan memakan banyak waktu. Kadang-kadang, bahkan dalam beberapa jam, penyandi tidak punya waktu untuk mengenkripsi semuanya penggerak jaringan berukuran sekitar 100 gigabyte.

Selanjutnya, Anda perlu memikirkan dengan hati-hati tentang bagaimana harus bertindak. Jika Anda benar-benar membutuhkan informasi di komputer Anda dan Anda tidak memiliki salinan cadangan, lebih baik hubungi spesialis saat ini. Belum tentu untuk uang di beberapa perusahaan. Anda hanya membutuhkan orang yang berpengalaman sistem Informasi. Penting untuk menilai skala bencana, menghapus virus, mengumpulkan semua informasi yang tersedia tentang situasi tersebut untuk memahami bagaimana melanjutkan.

Tindakan yang salah pada tahap ini dapat mempersulit proses mendekripsi atau memulihkan file secara signifikan. Paling buruk, mereka dapat membuatnya tidak mungkin. Jadi luangkan waktu Anda, hati-hati dan konsisten.

Bagaimana virus ransomware CRYPTED000007 mengenkripsi file

Setelah virus diluncurkan dan menyelesaikan aktivitasnya, semua file yang berguna akan dienkripsi, diganti namanya extension.crypted000007. Dan tidak hanya ekstensi file yang akan diganti, tetapi juga nama file, jadi Anda tidak akan tahu persis file apa yang Anda miliki jika Anda tidak ingat. Akan ada sesuatu seperti gambar ini.

Dalam situasi seperti itu, akan sulit untuk menilai skala tragedi tersebut, karena Anda tidak akan dapat mengingat sepenuhnya apa yang Anda alami. folder yang berbeda. Ini dilakukan dengan sengaja untuk membingungkan seseorang dan mendorong mereka membayar untuk mendekripsi file.

Dan jika Anda dienkripsi dan folder jaringan dan tidak ada cadangan lengkap, maka ini umumnya dapat menghentikan pekerjaan seluruh organisasi. Anda tidak akan langsung memahami apa yang akhirnya hilang untuk memulai pemulihan.

Cara merawat komputer Anda dan menghapus ransomware CRYPTED000007

Virus CRYPTED000007 sudah ada di komputer Anda. Pertanyaan pertama dan terpenting adalah bagaimana menyembuhkan komputer dan bagaimana menghapus virus darinya untuk mencegah enkripsi lebih lanjut jika belum selesai. Saya segera menarik perhatian Anda pada fakta bahwa setelah Anda sendiri mulai melakukan beberapa tindakan dengan komputer Anda, kemungkinan mendekripsi data berkurang. Jika Anda perlu memulihkan file dengan segala cara, jangan sentuh komputer Anda, tetapi segera hubungi profesional. Di bawah ini saya akan berbicara tentang mereka dan memberikan tautan ke situs dan menjelaskan skema kerja mereka.

Sementara itu, kami akan terus merawat komputer secara mandiri dan menghapus virus. Secara tradisional, ransomware mudah dihapus dari komputer, karena virus tidak memiliki tugas untuk tetap berada di komputer dengan cara apa pun. Setelah mengenkripsi file sepenuhnya, akan lebih menguntungkan baginya untuk menghapus dirinya sendiri dan menghilang, sehingga akan lebih sulit untuk menyelidiki kejadian tersebut dan mendekripsi file tersebut.

menggambarkan penghapusan manual virus itu sulit, meskipun saya mencoba melakukan ini sebelumnya, tetapi saya melihat bahwa paling sering tidak ada gunanya. Nama file dan jalur penempatan virus terus berubah. Apa yang saya lihat tidak lagi relevan dalam satu atau dua minggu. Biasanya virus dikirim melalui surat secara bergelombang, dan setiap kali ada modifikasi baru yang belum terdeteksi oleh antivirus. Alat universal yang memeriksa autorun dan mendeteksi aktivitas mencurigakan di folder sistem membantu.

Untuk menghapus virus CRYPTED000007, Anda dapat menggunakan program berikut:

  1. Alat Penghapus Virus Kaspersky - utilitas dari Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
  2. Dr.Web CureIt! - produk serupa dari web lain http://free.drweb.ru/cureit .
  3. Jika dua utilitas pertama tidak membantu, coba MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

Kemungkinan besar, salah satu dari produk ini akan membersihkan komputer dari ransomware CRYPTED000007. Jika tiba-tiba mereka tidak membantu, coba hapus virus secara manual. Saya memberikan teknik penghapusan sebagai contoh dan Anda bisa melihatnya di sana. Singkatnya, inilah yang perlu Anda lakukan:

  1. Kami melihat daftar proses, setelah sebelumnya menambahkan beberapa kolom tambahan ke pengelola tugas.
  2. Kami menemukan proses virus, buka folder tempatnya berada dan hapus.
  3. Kami membersihkan penyebutan proses virus dengan nama file di registri.
  4. Kami mem-boot ulang dan memastikan bahwa virus CRYPTED000007 tidak ada dalam daftar proses yang sedang berjalan.

Tempat mengunduh dekripsi CRYPTED000007

Pertanyaan tentang dekripsi yang sederhana dan andal muncul pertama-tama ketika menyangkut virus ransomware. Hal pertama yang saya sarankan adalah menggunakan layanan https://www.nomoreransom.org. Bagaimana jika Anda beruntung, mereka akan memiliki dekripsi untuk versi enkripsi CRYPTED000007 Anda. Saya akan segera mengatakan bahwa Anda tidak memiliki banyak peluang, tetapi upaya itu bukanlah siksaan. Pada halaman rumah klik Ya:

Kemudian unggah beberapa file terenkripsi dan klik Go! Temukan:

Pada saat penulisan, decoder tidak ada di situs.

Mungkin Anda akan lebih beruntung. Anda juga dapat melihat daftar dekripsi untuk diunduh di halaman terpisah - https://www.nomoreransom.org/decryption-tools.html . Mungkin ada sesuatu yang berguna di sana. Ketika virus masih sangat segar, kecil kemungkinannya, tetapi seiring waktu, sesuatu mungkin muncul. Ada contoh ketika dekripsi untuk beberapa modifikasi ransomware muncul di jaringan. Dan contoh-contoh ini ada di halaman yang ditentukan.

Di mana lagi saya dapat menemukan decoder, saya tidak tahu. Tidak mungkin itu akan benar-benar ada, dengan mempertimbangkan kekhasan pekerjaan ransomware modern. Hanya pembuat virus yang dapat memiliki dekoder lengkap.

Cara mendekripsi dan memulihkan file setelah virus CRYPTED000007

Apa yang harus dilakukan ketika virus CRYPTED000007 telah mengenkripsi file Anda? Implementasi teknis enkripsi tidak memungkinkan Anda untuk mendekripsi file tanpa kunci atau dekripsi, yang hanya dimiliki oleh pembuat enkripsi. Mungkin ada cara lain untuk mendapatkannya, tapi saya tidak punya informasi seperti itu. Kami hanya dapat mencoba memulihkan file menggunakan metode improvisasi. Ini termasuk:

  • Alat salinan bayangan jendela.
  • Program untuk memulihkan data yang dihapus

Pertama, mari kita periksa apakah kita telah mengaktifkan salinan bayangan. Alat ini berfungsi secara default di windows 7 dan lebih tinggi kecuali Anda menonaktifkannya secara manual. Untuk memeriksanya, buka properti komputer dan buka bagian perlindungan sistem.

Jika selama infeksi Anda tidak mengonfirmasi permintaan UAC untuk menghapus file dalam salinan bayangan, maka beberapa data akan tetap ada. Saya berbicara tentang permintaan ini lebih detail di awal cerita, ketika saya berbicara tentang cara kerja virus.

Untuk mengembalikan file dengan mudah dari salinan bayangan, saya sarankan menggunakan program gratis untuk ini - ShadowExplorer . Unduh arsip, buka paket program dan jalankan.

Salinan file terakhir dan root drive C akan terbuka Di pojok kiri atas, Anda dapat memilih cadangan jika Anda memiliki lebih dari satu. Periksa salinan yang berbeda untuk file yang diperlukan. Bandingkan berdasarkan tanggal di mana versi yang lebih baru. Dalam contoh saya di bawah ini, saya menemukan 2 file di desktop saya yang berumur tiga bulan saat terakhir diedit.

Saya dapat memulihkan file-file ini. Untuk melakukan ini, saya memilihnya, mengklik kanan, memilih Ekspor dan menunjukkan folder tempat memulihkannya.

Anda dapat segera memulihkan folder dengan cara yang sama. Jika salinan bayangan bekerja untuk Anda dan Anda tidak menghapusnya, Anda memiliki peluang yang cukup besar untuk memulihkan semua atau hampir semua file yang dienkripsi oleh virus. Mungkin beberapa dari mereka akan lebih versi lama daripada yang saya inginkan, tetapi bagaimanapun, itu lebih baik daripada tidak sama sekali.

Jika karena alasan tertentu Anda tidak memiliki salinan bayangan file, satu-satunya kesempatan untuk mendapatkan setidaknya beberapa file terenkripsi adalah memulihkannya menggunakan alat pemulihan file yang dihapus. Untuk melakukan ini, saya sarankan menggunakan program Photorec gratis.

Jalankan program dan pilih disk tempat Anda akan memulihkan file. Meluncurkan versi grafis dari program mengeksekusi file qphotorec_win.exe. Anda harus memilih folder tempat file yang ditemukan akan ditempatkan. Sebaiknya folder ini tidak terletak di drive yang sama tempat kita mencari. Hubungkan flash drive atau eksternal HDD untuk ini.

Proses pencarian akan memakan waktu lama. Pada akhirnya Anda akan melihat statistik. Sekarang Anda dapat pergi ke folder yang ditentukan sebelumnya dan melihat apa yang ditemukan di sana. Kemungkinan besar akan ada banyak file dan sebagian besar akan rusak, atau akan menjadi semacam sistem dan file yang tidak berguna. Namun demikian, dalam daftar ini dimungkinkan untuk menemukan beberapa file yang berguna. Tidak ada jaminan di sini, apa yang Anda temukan adalah apa yang akan Anda temukan. Yang terbaik dari semuanya, biasanya, gambar dipulihkan.

Jika hasilnya tidak memuaskan Anda, maka masih ada program untuk memulihkan file yang terhapus. Di bawah ini adalah daftar program yang biasa saya gunakan saat saya perlu memulihkan jumlah maksimum file:

  • R. saver
  • Pemulihan File Starus
  • Pemulihan JPEG Pro
  • Profesional Pemulihan File Aktif

Program-program ini tidak gratis, jadi saya tidak akan memberikan tautan. Dengan keinginan yang kuat, Anda dapat menemukannya sendiri di Internet.

Seluruh proses pemulihan file ditampilkan secara detail dalam video di bagian paling akhir artikel.

Kaspersky, eset nod32, dan lainnya dalam perang melawan ransomware Filecoder.ED

Antivirus populer mendefinisikan ransomware CRYPTED000007 sebagai Filecoder.ED dan kemudian mungkin ada beberapa sebutan lain. Saya mengunjungi forum antivirus utama dan tidak melihat sesuatu yang berguna di sana. Sayangnya, seperti biasa, antivirus belum siap menghadapi serbuan gelombang baru ransomware. Ini pesan dari forum Kaspersky.

Antivirus biasanya melewatkan modifikasi baru trojan ransomware. Namun, saya sarankan untuk menggunakannya. Jika Anda beruntung dan menerima ransomware di email Anda bukan pada gelombang infeksi pertama, tetapi beberapa saat kemudian, ada kemungkinan antivirus akan membantu Anda. Mereka semua bekerja satu langkah di belakang penyerang. keluar versi baru ransomware, antivirus tidak meresponsnya. Segera setelah sejumlah besar materi untuk penelitian tentang virus baru terakumulasi, antivirus merilis pembaruan dan mulai meresponsnya.

Apa yang mencegah antivirus segera merespons proses enkripsi apa pun dalam sistem tidak jelas bagi saya. Mungkin ada beberapa nuansa teknis pada topik ini yang tidak memungkinkan Anda merespons dan mencegah enkripsi file pengguna secara memadai. Menurut saya, setidaknya mungkin untuk menampilkan peringatan tentang fakta bahwa seseorang mengenkripsi file Anda, dan menawarkan untuk menghentikan prosesnya.

Di mana mengajukan permohonan untuk jaminan dekripsi

Saya kebetulan bertemu dengan satu perusahaan yang benar-benar mendekripsi data setelah pekerjaan berbagai virus enkripsi, termasuk CRYPTED000007. Alamat mereka adalah http://www.dr-shifro.ru. Pembayaran hanya setelah dekripsi penuh dan verifikasi Anda. Berikut adalah contoh alur kerja:

  1. Seorang spesialis perusahaan pergi ke kantor atau rumah Anda, dan menandatangani kontrak dengan Anda, di mana dia menetapkan biaya pekerjaan.
  2. Jalankan dekripsi dan dekripsi semua file.
  3. Anda memastikan bahwa semua file dibuka, dan menandatangani akta penyerahan/penerimaan pekerjaan yang dilakukan.
  4. Pembayaran hanya setelah hasil dekripsi berhasil.

Sejujurnya, saya tidak tahu bagaimana mereka melakukannya, tetapi Anda tidak mengambil risiko apa pun. Pembayaran hanya setelah demonstrasi dekoder. Silakan tulis ulasan tentang pengalaman Anda dengan perusahaan ini.

Metode perlindungan terhadap virus CRYPTED000007

Bagaimana cara melindungi diri Anda dari pekerjaan ransomware dan melakukannya tanpa kerusakan material dan moral? Ada beberapa tip sederhana dan efektif:

  1. Cadangan! Salinan cadangan semua data penting. Dan bukan hanya cadangan, tetapi cadangan yang tidak memiliki akses permanen. Jika tidak, virus dapat menginfeksi dokumen dan cadangan Anda.
  2. Antivirus berlisensi. Meskipun mereka tidak memberikan jaminan 100%, mereka meningkatkan kemungkinan menghindari enkripsi. Mereka paling sering tidak siap untuk versi baru ransomware, tetapi setelah 3-4 hari mereka mulai bereaksi. Ini meningkatkan peluang Anda untuk menghindari infeksi jika Anda tidak termasuk dalam pengiriman gelombang pertama dari modifikasi ransomware baru.
  3. Jangan buka lampiran yang mencurigakan di surat. Tidak ada yang perlu dikomentari di sini. Semua kriptografer yang saya kenal sampai ke pengguna melalui surat. Dan setiap kali trik baru ditemukan untuk menipu korban.
  4. Jangan sembarangan membuka tautan yang dikirimkan kepada Anda oleh teman Anda melalui media sosial atau utusan. Beginilah cara virus terkadang menyebar.
  5. Aktifkan windows untuk menampilkan ekstensi file. Cara melakukannya mudah ditemukan di Internet. Ini akan memungkinkan Anda untuk melihat ekstensi file pada virus. Paling sering itu akan terjadi .exe, .vbs, .src. Dalam pekerjaan sehari-hari dengan dokumen, Anda tidak mungkin menemukan ekstensi file seperti itu.

Saya mencoba melengkapi apa yang sudah saya tulis sebelumnya di setiap artikel tentang virus ransomware. Sampai saat itu saya mengucapkan selamat tinggal. Saya akan senang menerima komentar yang bermanfaat tentang artikel dan virus enkripsi CRYPTED000007 secara umum.

Video dengan dekripsi dan pemulihan file

Berikut adalah contoh modifikasi virus sebelumnya, tetapi videonya juga sepenuhnya relevan untuk CRYPTED000007.



ARTIKEL TERKAIT