1. È maggio, incontra WannaCry.
2. Wanna è il nome di un virus ransomware che ha iniziato la sua attività il 12 maggio 2017, infettando computer di utenti e aziende in 90 paesi. Microsoft ha ufficialmente rilasciato patch per sistemi operativi precedenti che non sono più supportati e sono obsoleti. Lista completa e tutti i collegamenti saranno forniti alla fine dell'articolo.

Come si presenta Wanna?

3. Come tutti i virus, il ransomware è difficile da notare durante il processo di crittografia se tu stesso non hai visto accidentalmente che i file cambiano e diventano con un'estensione diversa. Ad esempio, con questo virus, i file crittografati avranno questo aspetto: filename.png.WNCRY
4. Di seguito una mappa dell'infezione da virus dei paesi nelle prime ore di infezione e diffusione, una mappa di Sumantec.
5. Inoltre, poiché il virus mostra dopo aver crittografato i file, all'utente verrà mostrato un messaggio e potrà selezionare la lingua appropriata. Quale segnala che i tuoi file sono infetti e vai alle fasi di pagamento, diciamo così.
6. La seconda finestra mostra quanto e come devi pagare, trasferire 300 bitcoin. Oltre a un timer per il conto alla rovescia.
7. Lo sfondo del desktop e altre immagini di sfondo mostrano il messaggio:
8. I file crittografati hanno una doppia estensione, ad esempio: filename.doc.WNCRY. Di seguito è riportato come appare:
9. Inoltre in ogni cartella c'è un file eseguibile @ [e-mail protetta] per la decrittazione dopo il riscatto (forse ma difficilmente), così come un documento di testo @ [e-mail protetta] in cui c'è qualcosa da leggere all'utente (anche possibile, ma difficilmente).

Il virus crittografa i file con le seguenti estensioni:

10. Voglio sottolineare che tra le estensioni crittografate da WannaCry, non esiste un'estensione 1C utilizzata in Russia.
11. Ti chiedo anche di prestare attenzione alla cosa più importante nel ripristinare i tuoi file dopo l'infezione. È possibile se hai abilitato la protezione del sistema, vale a dire la copia shadow del volume e il sistema di controllo dell'account utente uac funziona, e molto probabilmente funziona se non lo hai disabilitato. Quindi il virus offrirà di disabilitare la protezione del sistema in modo che non sia possibile ripristinare i file crittografati, ovvero quelli eliminati dopo la crittografia. Naturalmente, in questo caso, non c'è modo di non essere d'accordo con la disconnessione. Somiglia a questo:

I portafogli Bitcoin sono truffatori.

12. La cosa più interessante qui è come cresce l'importo sul portafoglio dei truffatori. portafoglio bitcoin:
17. guarda visitando almeno una volta al giorno quanto è cresciuto il profitto dei truffatori e rimarrai sorpreso, credimi! Questo è un normale servizio Wallet Bitcoin in cui chiunque può registrare un portafoglio per se stesso, non c'è nulla di cui preoccuparsi se si guardano le statistiche di rifornimento del portafoglio.
18. WannaCry 1.0 è stato distribuito tramite spam e siti web. La versione 2.0 è identica alla prima versione, ma ad essa è stato aggiunto un worm, che si è propagato da solo, entrando nei computer della vittima attraverso un protocollo.

Microsoft nella lotta contro Wanna:

19. Microsoft suggerisce di installare i service pack per gli utenti di sistemi operativi meno recenti:

Server Windows 2003SP2x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Finestre 8x86

Finestre 8x64

Vai su blogs.technet.microsoft ufficiale

Cosa dice Kaspersky?

20. Sul blog ufficiale di Kaspersky, il processo è descritto in modo più dettagliato e ci sono diverse aggiunte che puoi imparare, anche se in inglese.

securelist.

21. Integrato con l'articolo di supporto di Kaspersky del 15 maggio 2017:

.

22. Puoi anche visualizzare mappa interattiva minacce informatiche e scoprire la diffusione del virus in tempo reale:

Scheda Intel malwaretech per il virus WannaCry 2.0:

23. Altra mappa, ma specifica per il virus WannaCry2.0, la diffusione del virus in tempo reale (se la mappa non ha funzionato dopo la transizione, aggiorna la pagina):

video Comodo Firewall 10 vs WannaCry Ransomware sulla tecnologia di protezione:

sito ufficiale.

596 varianti WannaCry

24. Un laboratorio indipendente ha scoperto 596 campioni di WannaCrypt. Elenco degli hash SHA256:

Dall'autore:

25. Aggiungerò da solo poiché utilizzo la protezione contro Comodo è 10 e inoltre, ma il miglior antivirus sei tu stesso. Come si suol dire, Dio salva la cassaforte, e io ho una tale protezione perché mentre lavoro, devo svolgere vari compiti in cui c'è un posto dove far trapelare gli attacchi di virus, chiamiamoli così.
26. Disabilita temporaneamente il protocollo SMB1 finché non installi gli aggiornamenti di sicurezza o se non ne hai affatto bisogno utilizzando riga di comando, eseguire cmd per conto dell'amministratore di sistema e utilizzare dism per disabilitare il protocollo, comando:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

27. Oltre ad altri metodi per abilitare e disabilitare il protocollo SMBv1,2,3 sul sito Web ufficiale di Microsoft.
28. Nell'interfaccia grafica per disabilitare il protocollo, puoi farlo: Pannello di controllo> Aggiungi o rimuovi programmi (Disinstalla o modifica un programma)> Abilita o disabilita Componenti Windows> più foto qui sotto.

Buon pomeriggio, cari lettori e ospiti del blog, come ricordate, a maggio 2017, un'ondata su larga scala di infezione di computer con sistema operativo Sistema Windows, un nuovo virus ransomware chiamato WannaCry, grazie al quale è stato in grado di infettare e crittografare i dati su più di 500.000 computer, basti pensare a questa cifra. La cosa peggiore è che questo tipo di virus non viene praticamente catturato dalle moderne soluzioni antivirus, il che lo rende ancora più minaccioso, di seguito ti dirò un metodo su come proteggere i tuoi dati dalla sua influenza e come proteggersi dal ransomware per un minuto, penso che ti interesserà.

Cos'è un virus codificatore

Il virus ransomware è un tipo Troiano, il cui compito è infettare la workstation dell'utente, identificare i file del formato richiesto su di essa (ad esempio foto, registrazioni audio, file video), quindi crittografarli con una modifica del tipo di file, a seguito della quale l'utente non più essere in grado di aprirli senza uno speciale programma di decrittazione. Sembra così.

Formati di file crittografati

I formati di file più comuni dopo la crittografia sono:

• no_more_ransom
• volta

Conseguenze del virus ransomware

Descriverò il caso più comune in cui è coinvolto il virus codificatore. Immagina un utente normale in qualsiasi organizzazione astratta, nel 90 percento dei casi l'utente ha Internet dietro il posto di lavoro, poiché con l'aiuto di esso porta profitto all'azienda, naviga nello spazio Internet. Una persona non è un robot e può essere distratta dal lavoro navigando su siti che gli interessano o su siti consigliati dal suo amico. Come risultato di questa attività, può infettare il suo computer con un crittografatore di file senza saperlo e scoprirlo quando è troppo tardi. il virus ha fatto il suo lavoro.

Il virus al momento del suo lavoro cerca di elaborare tutti i file a cui ha accesso, e qui inizia che i documenti importanti nella cartella del dipartimento, a cui l'utente ha accesso, si trasformano improvvisamente in spazzatura digitale, file locali e molto altro . È chiaro che dovrebbero esserci backup delle condivisioni di file, ma per quanto riguarda i file locali che possono costituire tutto il lavoro di una persona, di conseguenza l'azienda perde denaro per un lavoro semplice e l'amministratore di sistema esce dalla sua zona di comfort e passa il suo tempo a decrittografare i file.

Lo stesso può accadere a una persona comune, ma le conseguenze qui sono locali e riguardano personalmente lui e la sua famiglia, è molto triste vedere casi in cui un virus ha crittografato tutti i file, inclusi gli archivi di foto di famiglia e le persone non avevano una copia di backup , beh, non è consuetudine che gli utenti comuni lo facciano.

Con i servizi cloud non è tutto così semplice, se memorizzi tutto lì e non usi un thick client nel tuo sistema operativo Windows, una cosa è lì nel 99% non sei in pericolo, ma se usi, ad esempio, "Yandex disk" o "mail Cloud" che sincronizza i file dal tuo computer ad esso, quindi viene infettato e dopo aver ricevuto che tutti i file sono crittografati, il programma li invierà direttamente al cloud e perderai anche tutto.

Di conseguenza, vedi un'immagine simile a questa, in cui ti viene detto che tutti i file sono crittografati e devi inviare denaro, ora questo viene fatto in bitcoin per non scoprire gli aggressori. Dopo il pagamento, presumibilmente ti dovrebbe essere inviato un decoder e ripristinerai tutto.

Non inviare mai denaro ai truffatori

Ricorda che nessun antivirus moderno può attualmente fornire protezione di Windows contro il ransomware, per un semplice motivo che questo Trojan non fa nulla di sospetto dal suo punto di vista, essenzialmente si comporta come un utente, legge file, scrive, a differenza dei virus, non prova a cambiare file di sistema o aggiungi chiavi di registro, motivo per cui il suo rilevamento è così difficile, non c'è una linea che lo distingua dall'utente

Fonti di trojan ransomware

Proviamo a identificare le principali fonti di penetrazione dell'encoder sul tuo computer.

1. Posta elettronica > molto spesso le persone ricevono email strane o false con link o allegati infetti, cliccando sui quali la vittima inizia a organizzare una notte insonne. Ti ho detto come proteggere la posta elettronica, ti consiglio di leggerlo.
2. Attraverso Software- hai scaricato un programma da una fonte sconosciuta o da un sito falso, contiene un virus codificatore e quando installi il software, lo inserisci nel tuo sistema operativo.
3. Attraverso le unità flash: le persone si incontrano ancora molto spesso e trasportano un sacco di virus attraverso le unità flash, ti consiglio di leggere "Protezione delle unità flash dai virus"
4. Attraverso telecamere IP e dispositivi di rete che hanno accesso a Internet, molto spesso a causa di impostazioni errate su un router o telecamera IP collegata a una rete locale, gli hacker infettano i computer sulla stessa rete.

Come proteggere il PC da un virus ransomware

L'uso corretto di un computer protegge dai ransomware, vale a dire:

• Non aprire la posta che non conosci e non seguire collegamenti incomprensibili, indipendentemente da come ti arrivano, sia essa posta o uno qualsiasi dei messaggeri
• Installa gli aggiornamenti del sistema operativo Windows o Linux il più rapidamente possibile, non vengono rilasciati così spesso, circa una volta al mese. Se parliamo di Microsoft, questo è il secondo martedì di ogni mese, ma nel caso dei crittografi di file, gli aggiornamenti potrebbero essere anomali.
• Non collegare unità flash sconosciute al tuo computer, chiedi ai tuoi amici di inviare un collegamento migliore al cloud.
• Assicurati che se il tuo computer non deve essere disponibile in rete locale per altri computer, quindi disattivarne l'accesso.
• Limitare i diritti di accesso a file e cartelle
• Installazione di una soluzione antivirus
• Non installare programmi incomprensibili hackerati da qualcuno sconosciuto

Tutto è chiaro con i primi tre punti, ma mi soffermerò più in dettaglio sui restanti due.

Disabilita l'accesso di rete al tuo computer

Quando le persone mi chiedono come è organizzata la protezione contro il ransomware in Windows, la prima cosa che consiglio è di disattivare il "Servizio di condivisione di file e stampanti di Microsoft Networks", che consente ad altri computer di accedere alle risorse questo computer utilizzando le reti Microsoft. È altrettanto rilevante per i curiosi amministratori di sistema che funzionano con il tuo ISP.

disattivare questo servizio E proteggersi dal ransomware in una rete locale o di un provider, come segue. Premi la combinazione di tasti WIN + R e nella finestra che si apre, esegui, inserisci il comando ncpa.cpl. Lo mostrerò sul mio computer di prova con sistema operativo Aggiornamento dei creatori di Windows 10.

Selezionare l'interfaccia di rete desiderata e fare clic su di essa clic destro topi, da menù contestuale seleziona "Proprietà"

Trovare l'oggetto Accesso generale a file e stampanti per reti Microsoft" e deselezionalo, quindi salvalo, tutto ciò ti aiuterà a proteggere il tuo computer dal virus ransomware sulla rete locale, la tua workstation semplicemente non sarà disponibile.

Limitazione dei diritti di accesso

La protezione contro il virus ransomware in Windows può essere implementata in un modo così interessante, ti dirò come l'ho fatto per me stesso. E quindi il problema principale nella lotta contro il ransomware è che gli antivirus semplicemente non possono combatterli in tempo reale, beh, non possono proteggerti al momento, quindi cerchiamo di essere più intelligenti. Se il virus crittografico non dispone dei permessi di scrittura, non sarà in grado di fare nulla con i tuoi dati. Per fare un esempio, ho una cartella di foto, è memorizzata localmente sul computer, inoltre ci sono due backup diversi dischi fissi. Da solo computer locale L'ho reso di sola lettura, per l'account con cui sono seduto al computer. Se il virus arrivasse lì, semplicemente non avrebbe abbastanza diritti, come puoi vedere, tutto è semplice.

Come implementare tutto questo per proteggersi dai crittografi di file e salvare tutto, facciamo quanto segue.

• Seleziona le cartelle che ti servono. Prova a utilizzare esattamente le cartelle, è più facile assegnare i diritti con esse. E idealmente, crea una cartella chiamata di sola lettura e inserisci già tutti i file e le cartelle di cui hai bisogno. Cosa c'è di buono, assegnando i diritti alla cartella in alto, verranno automaticamente applicati ad altre cartelle al suo interno. Dopo aver copiato tutti i file e le cartelle necessari, procedere al passaggio successivo.
• Fare clic destro sulla cartella e selezionare "Proprietà" dal menu

• Vai alla scheda "Sicurezza" e fai clic sul pulsante "Modifica".

• Stiamo tentando di eliminare i gruppi di accesso, se ricevi una finestra con un avviso che "È impossibile eliminare un gruppo perché questo oggetto eredita le autorizzazioni dal suo genitore", quindi chiudilo.

• Fare clic sul pulsante "Avanzate". Nell'elemento che si apre, fai clic su "disattiva ereditarietà"

• Alla domanda "Cosa vuoi fare con le attuali autorizzazioni ereditate", seleziona "Rimuovi tutte le autorizzazioni ereditate da questo oggetto"

• Di conseguenza, nel campo "Autorizzazioni", tutto verrà eliminato.

• Salviamo le modifiche. Tieni presente che ora solo il proprietario della cartella può modificare le autorizzazioni.

• Ora nella scheda Sicurezza, fai clic su Modifica

• Successivamente, fai clic su "Aggiungi - Avanzate"

• Dobbiamo aggiungere il gruppo "Tutti", per fare ciò, fai clic su "Cerca" e seleziona il gruppo desiderato.

• Per proteggere Windows dai ransomware è necessario disporre dei permessi impostati per il gruppo "Tutti", come in figura.

• Questo è tutto, nessun virus codificatore ti minaccia per i tuoi file in questa directory.

Spero che Microsoft e altre soluzioni antivirus possano migliorare i loro prodotti e proteggere i computer dai ransomware prima che svolgano il loro lavoro dannoso, ma fino a quando ciò non accadrà, segui le regole che ti ho descritto ed esegui sempre il backup dei dati importanti.

Il virus WannaCry "ha tuonato" in tutto il mondo il 12 maggio, in questo giorno diverse istituzioni mediche nel Regno Unito hanno annunciato che le loro reti erano state infettate, la società di telecomunicazioni spagnola e il Ministero degli affari interni russo hanno riferito di aver respinto un hacker attacco.

WannaCry (nella gente comune è già stato soprannominato Vaughn the Edge) appartiene alla categoria dei virus di crittografia (cryptor), che, quando entra in un PC, crittografa i file dell'utente con un algoritmo crittograficamente forte, successivamente - la lettura di questi file diventa impossibile .

Al momento, le seguenti estensioni di file popolari sono note per essere crittografate da WannaCry:

1. File popolari Microsoft Office(.xlsx, .xls, .docx, .doc).
2. File di archivio e multimediali (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - come si diffonde il virus

In precedenza, abbiamo menzionato questo metodo di diffusione dei virus in un articolo su, quindi niente di nuovo.

SU Cassetta postale Un utente riceve una lettera con un allegato "innocuo": può essere un'immagine, un video, una canzone, ma invece dell'estensione standard per questi formati, l'allegato avrà un'estensione di file eseguibile - exe. Quando un tale file viene aperto e avviato, il sistema viene "infettato" e un virus viene caricato direttamente nel sistema operativo Windows attraverso una vulnerabilità che crittografa i dati dell'utente.

Forse questo non è l'unico metodo per diffondere WannaCry: puoi diventare una vittima quando scarichi file "infetti" su social network, tracker torrent e altri siti.

WannaCry - come proteggersi da un virus ransomware

1. Installa la patch per Microsoft Windows. Il 14 maggio, Microsoft ha rilasciato una patch di emergenza per le seguenti versioni: Vista, 7, 8.1, 10, Windows Server. È possibile installare questa patch semplicemente eseguendo un aggiornamento del sistema tramite il servizio Windows Update.

2. Utilizzo di software antivirus con database aggiornati. Famosi sviluppatori di software di sicurezza, come Kaspersky, Dr.Web, hanno già rilasciato un aggiornamento per i loro prodotti contenente informazioni su WannaCry, proteggendo così i loro utenti.

3. Salva i dati importanti su un supporto separato. Se il tuo computer non funziona ancora, puoi salvare i file più importanti su un supporto separato (unità flash, disco). Con questo approccio, anche diventando una vittima, salverai i file più preziosi dalla crittografia.

Al momento, questi sono tutti metodi noti ed efficaci per proteggersi da WannaCry.

WannaCry decryptor, dove scaricare ed è possibile rimuovere il virus?

I virus di crittografia sono tra i virus più "cattivi", perché nella maggior parte dei casi, i file utente vengono crittografati con una chiave a 128 o 256 bit. La cosa peggiore è che in ogni caso la chiave è unica e ci vogliono numeri enormi per decrittografarla. potenza di calcolo, il che rende quasi impossibile trattare gli utenti "ordinari".

Ma cosa succede se sei una vittima di WannaCry e hai bisogno di un decryptor?

1. Contattare il forum di supporto di Kaspersky Lab — https://forum.kaspersky.com/ con una descrizione del problema. Il forum impiega sia rappresentanti dell'azienda che volontari che aiutano attivamente a risolvere i problemi.

2. Come nel caso del noto crittografo CryptXXX, è stata trovata una soluzione universale per decrittografare i file crittografati. È passata meno di una settimana dalla scoperta di WannaCry e gli specialisti dei laboratori antivirus non sono ancora riusciti a trovare una soluzione del genere.

3. La soluzione cardinale sarebbe: rimozione completa Sistema operativo da un computer, seguito da un'installazione pulita di uno nuovo. In questo scenario, tutti i file e i dati dell'utente vengono completamente persi, insieme alla rimozione di WannaCry.

Circa una o due settimane fa, sulla rete è apparso un altro lavoro dei moderni produttori di virus, che crittografa tutti i file degli utenti. Ancora una volta, prenderò in considerazione la questione di come curare un computer dopo un virus ransomware criptato000007 e recuperare i file crittografati. In questo caso non è apparso nulla di nuovo e unico, solo una modifica della versione precedente.

Decrittografia garantita dei file dopo un virus ransomware - dr-shifro.ru. I dettagli del lavoro e lo schema di interazione con il cliente sono riportati di seguito nel mio articolo o sul sito Web nella sezione "Procedura di lavoro".

Descrizione del virus ransomware CRYPTED000007

Il crittografo CRYPTED000007 non differisce fondamentalmente dai suoi predecessori. Funziona quasi uno a uno come. Ma ci sono ancora alcune sfumature che lo distinguono. Ti parlerò di tutto in ordine.

Viene, come i suoi colleghi, per posta. Le tecniche di ingegneria sociale vengono utilizzate per far interessare l'utente alla lettera e aprirla. Nel mio caso, la lettera parlava di una specie di tribunale e di Informazioni importanti sul caso in allegato. Dopo aver lanciato l'allegato, l'utente apre un documento Word con un estratto del tribunale arbitrale di Mosca.

Parallelamente all'apertura del documento, inizia la crittografia dei file. Inizia a visualizzare costantemente un messaggio informativo dal sistema di controllo dell'account utente di Windows.

Se sei d'accordo con la proposta, le copie di backup dei file nelle copie shadow di Windows verranno eliminate e il ripristino delle informazioni sarà molto difficile. Ovviamente, è impossibile essere d'accordo con la proposta in ogni caso. In questo ransomware, queste richieste compaiono costantemente, una per una, e non si fermano, costringendo l'utente ad accettare ed eliminare i backup. Questa è la principale differenza rispetto alle precedenti modifiche al ransomware. Non ho mai visto richieste di eliminazione di copie shadow ininterrotte. Di solito, dopo 5-10 frasi, si fermavano.

Ti darò una raccomandazione per il futuro. Molto spesso, le persone disattivano gli avvisi dal sistema di controllo dell'account utente. Non è necessario farlo. Questo meccanismo può davvero aiutare a resistere ai virus. Il secondo consiglio ovvio è di non lavorare costantemente sotto account amministratore del computer, se ciò non è oggettivamente necessario. In questo caso, il virus non avrà l'opportunità di fare molto male. Sarai più propenso a resistergli.

Ma anche se hai sempre risposto negativamente alle richieste di ransomware, tutti i tuoi dati sono già crittografati. Al termine del processo di crittografia, vedrai un'immagine sul desktop.

Allo stesso tempo, ce ne saranno molti file di testo con lo stesso contenuto.

I tuoi file sono stati crittografati. Per decifrare ux, devi correggere il codice: 329D54752553ED978F94|0 all'indirizzo email [e-mail protetta]. Quindi riceverai tutte le istruzioni necessarie. I tentativi di decifrarlo da soli non porteranno a nulla, tranne che al numero irrecuperabile di informazioni. Se vuoi ancora provare, fai prima delle copie di backup dei file, altrimenti, in caso di modifiche all'ux, la decrittazione non sarà possibile in nessun caso. Se non hai ricevuto risposta all'indirizzo sopra indicato entro 48 ore (e solo in questo caso!), utilizza il modulo di feedback. Questo può essere fatto in due modi: 1) Scarica e installa Tor Browser dal link: https://www.torproject.org/download/download-easy.html.en Inserisci l'indirizzo nell'indirizzo Tor Browser: http:/ /cryptsen7fo43rr6 .onion/ e premi Invio. Viene caricata la pagina con il modulo di contatto. 2) In qualsiasi browser, vai a uno degli indirizzi: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tutti i file importanti sul tuo computer sono stati crittografati. Per decifrare i file è necessario inviare il seguente codice: 329D54752553ED978F94|0 all'indirizzo e-mail [e-mail protetta]. Poi desideri ricevere tutte le istruzioni necessarie. Tutti i tentativi di decrittazione da parte tua comporteranno solo la perdita irrevocabile dei tuoi dati. Se vuoi ancora provare a decrittografarli da solo, fai prima un backup perché la decrittazione diventerà impossibile in caso di modifiche all'interno dei file. Se non hai ricevuto risposta dalla suddetta email per più di 48 ore (e solo in questo caso!), utilizza il modulo di feedback. Puoi farlo in due modi: 1) Scarica Tor Browser da qui: https://www.torproject.org/download/download-easy.html.en Installalo e digita il seguente indirizzo nella barra degli indirizzi: http:/ /cryptsen7fo43rr6.onion/ Premi Invio e verrà caricata la pagina con il modulo di feedback. 2) Vai a uno dei seguenti indirizzi in qualsiasi browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

L'indirizzo postale può cambiare. Ho visto altri indirizzi come questo:

• [e-mail protetta]
• [e-mail protetta]

Gli indirizzi sono costantemente aggiornati, quindi possono essere completamente diversi.

Non appena scopri che i file sono crittografati, spegni immediatamente il computer. Questo deve essere fatto per interrompere il processo di crittografia sia sul computer locale che sulle unità di rete. Un virus ransomware può crittografare tutte le informazioni che può raggiungere, anche sulle unità di rete. Ma se c'è una grande quantità di informazioni, allora gli ci vorrà molto tempo. A volte, anche in un paio d'ore, il crittografo non ha avuto il tempo di crittografare tutto unità di rete circa 100 gigabyte di dimensione.

Successivamente, devi pensare attentamente a come agire. Se hai assolutamente bisogno di informazioni sul tuo computer e non disponi di copie di backup, allora è meglio contattare gli specialisti in questo momento. Non necessariamente per soldi in alcune aziende. Hai solo bisogno di una persona esperta sistemi di informazione. È necessario valutare l'entità del disastro, rimuovere il virus, raccogliere tutte le informazioni disponibili sulla situazione per capire come procedere.

Le azioni errate in questa fase possono complicare notevolmente il processo di decrittazione o ripristino dei file. Nel peggiore dei casi, possono renderlo impossibile. Quindi prenditi il ​​​​tuo tempo, sii attento e coerente.

In che modo il virus ransomware CRYPTED000007 crittografa i file

Dopo che il virus è stato lanciato e ha terminato la sua attività, tutti i file utili verranno crittografati, rinominati da extension.crypted000007. E non solo l'estensione del file verrà sostituita, ma anche il nome del file, quindi non saprai esattamente che tipo di file avevi se non ricordi. Ci sarà qualcosa come questa immagine.

In una situazione del genere, sarà difficile valutare l'entità della tragedia, poiché non sarai in grado di ricordare completamente ciò che avevi dentro cartelle diverse. Ciò è stato fatto apposta per confondere una persona e incoraggiarla a pagare per decrittografare i file.

E se tu fossi crittografato e cartelle di rete e non ci sono backup completi, questo può generalmente interrompere il lavoro dell'intera organizzazione. Non capirai immediatamente cosa si perde alla fine per iniziare il recupero.

Come trattare il tuo computer e rimuovere il ransomware CRYPTED000007

Il virus CRYPTED000007 è già sul tuo computer. La prima e più importante domanda è come curare un computer e come rimuovere un virus da esso per impedire un'ulteriore crittografia se non è stata ancora completata. Attiro immediatamente la tua attenzione sul fatto che dopo che tu stesso inizi a eseguire alcune azioni con il tuo computer, le possibilità di decrittografare i dati diminuiscono. Se hai bisogno di recuperare i file con tutti i mezzi, non toccare il tuo computer, ma contatta immediatamente i professionisti. Di seguito parlerò di loro e fornirò un collegamento al sito e descriverò lo schema del loro lavoro.

Nel frattempo, continueremo a trattare autonomamente il computer e rimuovere il virus. Tradizionalmente, il ransomware viene facilmente rimosso dal computer, poiché il virus non ha il compito di rimanere a tutti i costi sul computer. Dopo aver crittografato completamente i file, è ancora più redditizio per lui cancellarsi e scomparire, in modo che sia più difficile indagare sull'incidente e decrittografare i file.

descrivere rimozione manuale virus è difficile, anche se ho provato a farlo prima, ma vedo che il più delle volte è inutile. I nomi dei file e i percorsi di posizionamento dei virus cambiano costantemente. Quello che ho visto non è più rilevante in una o due settimane. Di solito, i virus vengono inviati per posta a ondate e ogni volta c'è una nuova modifica che non è stata ancora rilevata dagli antivirus. Gli strumenti universali che controllano l'esecuzione automatica e rilevano attività sospette nelle cartelle di sistema aiutano.

Per rimuovere il virus CRYPTED000007, è possibile utilizzare i seguenti programmi:

1. Kaspersky Virus Removal Tool - un'utilità di Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
2. Dr.Web CureIt! - un prodotto simile da un altro web http://free.drweb.ru/cureit .
3. Se le prime due utility non aiutano, prova MALWAREBYTES 3.0 - https://ru.malwarebytes.com .

Molto probabilmente, uno di questi prodotti cancellerà il computer dal ransomware CRYPTED000007. Se all'improvviso accade che non aiutano, prova a rimuovere il virus manualmente. Ho fornito la tecnica di rimozione come esempio e puoi vederla lì. In poche parole, ecco cosa devi fare:

1. Esaminiamo l'elenco dei processi, avendo precedentemente aggiunto diverse colonne aggiuntive al task manager.
2. Troviamo il processo del virus, apriamo la cartella in cui si trova ed eliminalo.
3. Puliamo la menzione del processo del virus in base al nome del file nel registro.
4. Riavviamo e ci assicuriamo che il virus CRYPTED000007 non sia nell'elenco dei processi in esecuzione.

Dove scaricare il decryptor CRYPTED000007

La questione di un decryptor semplice e affidabile si pone prima di tutto quando si tratta di un virus ransomware. La prima cosa che consiglio è di utilizzare il servizio https://www.nomoreransom.org. E se sei fortunato, avranno un decryptor per la tua versione del criptatore CRYPTED000007. Dirò subito che non hai molte possibilità, ma il tentativo non è una tortura. SU pagina iniziale fare clic su Sì:

Quindi carica un paio di file crittografati e fai clic su Vai! scoprire:

Al momento in cui scriviamo, il decoder non era presente sul sito.

Forse avrai più fortuna. Puoi anche vedere l'elenco dei decryptor per il download su una pagina separata - https://www.nomoreransom.org/decryption-tools.html . Forse c'è qualcosa di utile lì. Quando il virus è molto fresco, ci sono poche possibilità che ciò accada, ma nel tempo potrebbe apparire qualcosa. Ci sono esempi in cui sulla rete sono apparsi decryptor per alcune modifiche del ransomware. E questi esempi sono nella pagina specificata.

Dove altro posso trovare un decoder, non lo so. È improbabile che esista davvero, tenendo conto delle peculiarità del lavoro del ransomware moderno. Solo gli autori del virus possono avere un decodificatore completo.

Come decrittografare e recuperare i file dopo il virus CRYPTED000007

Cosa fare quando il virus CRYPTED000007 ha crittografato i tuoi file? Implementazione tecnica la crittografia non consente di decrittografare i file senza una chiave o un decryptor, che solo l'autore del criptatore ha. Forse c'è un altro modo per ottenerlo, ma non ho tali informazioni. Possiamo solo provare a recuperare i file usando metodi improvvisati. Questi includono:

• Attrezzo copie ombra finestre.
• Programmi per recuperare dati cancellati

Per prima cosa, controlliamo se abbiamo abilitato le copie shadow. Questo strumento funziona per impostazione predefinita in Windows 7 e versioni successive a meno che non lo disabiliti manualmente. Per verificare, apri le proprietà del computer e vai alla sezione Protezione del sistema.

Se durante l'infezione non hai confermato la richiesta UAC di eliminare i file nelle copie shadow, alcuni dati dovrebbero rimanere lì. Ho parlato di questa richiesta in modo più dettagliato all'inizio della storia, quando ho parlato del lavoro del virus.

Per ripristinare facilmente i file dalle copie shadow, suggerisco di utilizzare programma gratuito per questo - ShadowExplorer . Scarica l'archivio, decomprimi il programma ed esegui.

Si apriranno l'ultima copia dei file e la radice dell'unità C. Nell'angolo in alto a sinistra, puoi selezionare un backup se ne hai più di uno. Controlla diverse copie per i file necessari. Confronta per date in cui si trova la versione più recente. Nel mio esempio qui sotto, ho trovato 2 file sul mio desktop che avevano tre mesi quando sono stati modificati l'ultima volta.

Sono stato in grado di recuperare questi file. Per fare ciò li ho selezionati, cliccato con il tasto destro, selezionato Esporta e indicato la cartella dove ripristinarli.

Puoi ripristinare le cartelle immediatamente allo stesso modo. Se le copie shadow hanno funzionato per te e non le hai eliminate, hai molte possibilità di recuperare tutti o quasi tutti i file crittografati dal virus. Forse alcuni di loro saranno di più vecchia versione di quanto vorrei, ma comunque è meglio di niente.

Se per qualche motivo non disponi di copie shadow dei file, l'unica possibilità di ottenere almeno alcuni dei file crittografati è ripristinarli utilizzando gli strumenti di ripristino file eliminati. Per fare ciò, suggerisco di utilizzare il programma gratuito Photorec.

Esegui il programma e seleziona il disco su cui recupererai i file. L'avvio della versione grafica del programma esegue il file qphotorec_win.exe. È necessario selezionare la cartella in cui verranno inseriti i file trovati. È meglio se questa cartella non si trova sulla stessa unità in cui stiamo cercando. Collegare un'unità flash o esterna HDD per questo.

Il processo di ricerca richiederà molto tempo. Alla fine vedrai le statistiche. Ora puoi andare alla cartella specificata in precedenza e vedere cosa si trova lì. Molto probabilmente ci saranno molti file e la maggior parte di essi sarà danneggiata o saranno una sorta di file di sistema e inutili. Tuttavia, in questo elenco sarà possibile trovare alcuni file utili. Non ci sono garanzie qui, quello che trovi è quello che troverai. Soprattutto, di solito le immagini vengono ripristinate.

Se il risultato non ti soddisfa, ci sono ancora programmi per recuperare file cancellati. Di seguito è riportato un elenco di programmi che di solito utilizzo quando devo ripristinare importo massimo File:

• R.saver
• Recupero file Starus
• Recupero JPEG Pro
• Professionista di recupero file attivo

Questi programmi non sono gratuiti, quindi non fornirò collegamenti. Con un forte desiderio, puoi trovarli tu stesso su Internet.

L'intero processo di recupero dei file è mostrato in dettaglio nel video alla fine dell'articolo.

Kaspersky, eset nod32 e altri nella lotta contro il ransomware Filecoder.ED

Gli antivirus più diffusi definiscono il ransomware CRYPTED000007 come Filecoder.ED e poi potrebbe esserci qualche altra designazione. Ho esaminato i forum dei principali antivirus e non ho visto nulla di utile lì. Sfortunatamente, come al solito, gli antivirus non erano pronti per l'invasione di una nuova ondata di ransomware. Ecco un messaggio dal forum di Kaspersky.

Gli antivirus tradizionalmente ignorano le nuove modifiche dei trojan ransomware. Consiglio comunque di utilizzarli. Se sei fortunato e ricevi un ransomware nella tua posta non nella prima ondata di infezioni, ma poco dopo, c'è la possibilità che l'antivirus ti aiuti. Lavorano tutti un passo dietro gli aggressori. uscire una nuova versione ransomware, gli antivirus non rispondono. Non appena si accumula una certa massa di materiale per la ricerca su un nuovo virus, gli antivirus rilasciano un aggiornamento e iniziano a rispondere ad esso.

Ciò che impedisce agli antivirus di rispondere immediatamente a qualsiasi processo di crittografia nel sistema non mi è chiaro. Forse c'è qualche sfumatura tecnica su questo argomento che non ti consente di rispondere adeguatamente e impedire la crittografia dei file dell'utente. Mi sembra che sarebbe possibile almeno visualizzare un avviso sul fatto che qualcuno sta crittografando i tuoi file e offrirti di interrompere il processo.

Dove richiedere la decrittazione garantita

Mi è capitato di incontrare un'azienda che decodifica davvero i dati dopo il lavoro di vari virus di crittografia, incluso CRYPTED000007. Il loro indirizzo è http://www.dr-shifro.ru. Pagamento solo dopo la decrittazione completa e la tua verifica. Ecco un esempio di flusso di lavoro:

1. Uno specialista dell'azienda si avvicina al tuo ufficio oa casa e firma un contratto con te, in cui fissa il costo del lavoro.
2. Esegue il decryptor e decrittografa tutti i file.
3. Ti assicuri che tutti i file siano aperti e firmi l'atto di consegna / accettazione del lavoro svolto.
4. Pagamento solo in caso di esito positivo della decrittazione.

Ad essere onesti, non so come facciano, ma non rischi nulla. Pagamento solo dopo la dimostrazione del decoder. Scrivi una recensione sulla tua esperienza con questa azienda.

Metodi di protezione contro il virus CRYPTED000007

Come proteggersi dal lavoro di un ransomware e fare a meno di danni materiali e morali? Ci sono alcuni consigli semplici ed efficaci:

1. Backup! Copia di backup tutti i dati importanti. E non solo un backup, ma un backup a cui non c'è accesso permanente. In caso contrario, il virus può infettare sia i documenti che i backup.
2. Antivirus con licenza. Sebbene non diano una garanzia al 100%, aumentano le possibilità di evitare la crittografia. Molto spesso non sono pronti per le nuove versioni del ransomware, ma dopo 3-4 giorni iniziano a reagire. Ciò aumenta le tue possibilità di evitare l'infezione se non sei incluso nella prima ondata di invii di una nuova modifica del ransomware.
3. Non aprire allegati sospetti nella posta. Non c'è niente da commentare qui. Tutti i crittografi a me noti sono arrivati ​​agli utenti tramite posta. E ogni volta vengono inventati nuovi trucchi per ingannare la vittima.
4. Non aprire sconsideratamente i link che ti sono stati inviati dai tuoi amici tramite mezzi di comunicazione sociale o messaggeri. È così che a volte si diffondono i virus.
5. Abilita le finestre per visualizzare le estensioni dei file. Come farlo è facile da trovare su Internet. Questo ti permetterà di notare l'estensione del file sul virus. Molto spesso lo farà .exe, .vbs, .src. Nel lavoro quotidiano con i documenti, è improbabile che ti imbatti in tali estensioni di file.

Ho cercato di integrare ciò che ho già scritto in precedenza in ogni articolo sul virus ransomware. Fino ad allora ti saluto. Sarò lieto di ricevere commenti utili sull'articolo e sul virus di crittografia CRYPTED000007 in generale.

Video con decrittazione e recupero file

Ecco un esempio di una precedente modifica del virus, ma il video è pienamente rilevante anche per CRYPTED000007.