1. Jest maj, poznaj WannaCry.
2. Wanna to nazwa wirusa ransomware, który rozpoczął swoją aktywność 12 maja 2017 roku, infekując komputery użytkowników i firm w 90 krajach. Firma Microsoft oficjalnie wydała poprawki dla starszych systemów operacyjnych, które nie są już obsługiwane i są przestarzałe. Pełna lista a wszystkie linki zostaną podane na końcu artykułu.

Jak chce się pokazać?

3. Podobnie jak wszystkie wirusy, oprogramowanie ransomware jest trudne do zauważenia podczas procesu szyfrowania, jeśli sam przypadkowo nie zauważyłeś, że pliki zmieniają się i mają inne rozszerzenie. Na przykład w przypadku tego wirusa zaszyfrowane pliki będą wyglądać następująco: nazwa_pliku.png.WNCRY
4. Poniżej mapa infekcji wirusowej krajów w pierwszych godzinach infekcji i rozprzestrzeniania się, mapa firmy Sumantec.
5. Ponadto, jak pokazuje wirus po zaszyfrowaniu plików, użytkownikowi zostanie wyświetlony komunikat i będzie mógł wybrać odpowiedni język. Który zgłasza, że ​​twoje pliki są zainfekowane i przechodzi do kroków płatności, powiedzmy tak.
6. Drugie okienko pokazuje ile i jak trzeba zapłacić, przelać 300 bitcoinów. Jak również minutnik.
7. Tło pulpitu i inne obrazy tła pokazują komunikat:
8. Zaszyfrowane pliki mają podwójne rozszerzenie, na przykład: nazwa_pliku.doc.WNCRY. Poniżej przedstawiono, jak to wygląda:
9. Również w każdym folderze znajduje się plik wykonywalny @ [e-mail chroniony] do odszyfrowania po zapłaceniu okupu (być może, ale raczej nie), a także dokument tekstowy @ [e-mail chroniony] w którym jest coś do przeczytania użytkownikowi (również możliwe, ale mało prawdopodobne).

Wirus szyfruje pliki z następującymi rozszerzeniami:

10. Chcę zauważyć, że wśród rozszerzeń szyfrowanych przez WannaCry nie ma rozszerzenia 1C używanego w Rosji.
11. Proszę również o zwrócenie uwagi na najważniejszą rzecz w przywracaniu plików po infekcji. Jest to możliwe, jeśli masz włączoną ochronę systemu, a mianowicie kopiowanie woluminów w tle, a system kontroli konta użytkownika uac działa i działa najprawdopodobniej, jeśli go nie wyłączyłeś. Następnie wirus zaoferuje wyłączenie ochrony systemu, aby nie było możliwości przywrócenia zaszyfrowanych plików, a mianowicie tych usuniętych po zaszyfrowaniu. Oczywiście w tym przypadku nie sposób nie zgodzić się z rozłączeniem. Wygląda tak:

Portfele Bitcoin to oszuści.

12. Najciekawsze jest tutaj to, jak rośnie kwota na portfelu oszustów. portfel bitcoinów:
17. obserwuj odwiedzając przynajmniej raz dziennie, jak bardzo wzrósł zysk oszustów, a będziesz zaskoczony, uwierz mi! Jest to zwykła usługa Wallet Bitcoin, w której każdy może zarejestrować portfel dla siebie, nie ma się czym martwić, jeśli spojrzysz na statystyki uzupełniania portfela.
18. WannaCry 1.0 był dystrybuowany za pośrednictwem spamu i stron internetowych. Wersja 2.0 jest identyczna z wersją pierwszą, ale dodano do niej robaka, który rozprzestrzenia się samodzielnie, dostając się do komputerów ofiar za pośrednictwem protokołu.

Microsoft w walce z Wanna:

19. Microsoft sugeruje instalowanie dodatków Service Pack dla użytkowników starszych systemów operacyjnych:

serwer Windowsa 2003SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows8x86

Windows8 x64

Przejdź do oficjalnej strony blogs.technet.microsoft

Co mówi Kaspersky?

20. Na oficjalnym blogu firmy Kaspersky proces ten jest opisany bardziej szczegółowo i istnieje kilka dodatków, których można się nauczyć, chociaż w języku angielskim.

bezpieczna lista.

21. Uzupełniono artykułem pomocy technicznej programu kaspersky z dnia 15 maja 2017 r.:

.

22. Możesz też obejrzeć interaktywna mapa zagrożeń cybernetycznych i dowiedz się, jak rozprzestrzenia się wirus w czasie rzeczywistym:

Karta Intel malwaretech dla wirusa WannaCry 2.0:

23. Kolejna mapa, ale specjalnie dla wirusa WannaCry2.0, rozprzestrzenianie się wirusa w czasie rzeczywistym (jeśli mapa nie działała po przejściu, odśwież stronę):

Wideo Zapora sieciowa Comodo 10 kontra WannaCry Ransomware na temat technologii ochrony:

oficjalna strona.

596 wariantów WannaCry

24. Niezależne laboratorium odkryło 596 próbek WannaCrypt. Lista skrótów SHA256:

Od autora:

25. Dodam od siebie, ponieważ używam ochrony przed Comodo to 10 iw dodatku, ale najlepszym antywirusem jesteś ty sam. Jak to mówią Bóg ratuje sejf, a ja mam taką ochronę, bo w pracy muszę wykonywać różne zadania, w których jest miejsce na wyciek ataków wirusów, nazwijmy to tak.
26. Wyłącz tymczasowo protokół SMB1, dopóki nie zainstalujesz aktualizacji zabezpieczeń lub jeśli w ogóle go nie potrzebujesz wiersz poleceń, uruchom cmd w imieniu administratora systemu i użyj dism, aby wyłączyć protokół, polecenie:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

27. Jak również inne metody włączania i wyłączania protokołu SMBv1,2,3 na oficjalnej stronie Microsoft.
28. W interfejsie graficznym do wyłączania protokołu możesz to zrobić: Panel sterowania> Dodaj lub usuń programy (Odinstaluj lub zmień program)> Włącz lub wyłącz Komponenty Windowsa> więcej zdjęć poniżej.

Dzień dobry, drodzy czytelnicy i goście bloga, jak pamiętacie, w maju 2017 roku miała miejsce zakrojona na szeroką skalę fala infekcji komputerów systemu Windows, nowy wirus ransomware o nazwie WannaCry, w wyniku którego był w stanie zainfekować i zaszyfrować dane na ponad 500 000 komputerów, wystarczy pomyśleć o tej liczbie. Najgorsze jest to, że ten typ wirusa praktycznie nie jest wyłapywany przez nowoczesne rozwiązania antywirusowe, co czyni go jeszcze bardziej groźnym, poniżej powiem ci metodę, jak chronić swoje dane przed jego wpływem i jak chronić się przed oprogramowaniem ransomware przez chwilę, myślę, że będziesz zainteresowany.

Co to jest wirus kodujący

Wirus ransomware jest typem trojański, którego zadaniem jest zainfekowanie stacji roboczej użytkownika, zidentyfikowanie znajdujących się na niej plików wymaganego formatu (np. nie będzie już w stanie ich otworzyć bez specjalnego programu deszyfrującego. To wygląda tak.

Zaszyfrowane formaty plików

Najpopularniejsze formaty plików po zaszyfrowaniu to:

• no_more_ransom
• sklepienie

Konsekwencje wirusa ransomware

Opiszę najczęstszy przypadek, w który zaangażowany jest wirus encoder. Wyobraźmy sobie zwykłego użytkownika w dowolnej abstrakcyjnej organizacji, w 90 procentach przypadków użytkownik ma Internet za swoim miejscem pracy, ponieważ za jego pomocą przynosi firmie zysk, surfuje po przestrzeni internetowej. Człowiek nie jest robotem i może oderwać się od pracy, przeglądając strony, które go interesują, lub strony, które polecił mu znajomy. W wyniku tej aktywności może zainfekować swój komputer programem szyfrującym pliki nie wiedząc o tym i dowiedzieć się o tym, gdy jest już za późno. wirus zrobił swoje.

Wirus w czasie swojego działania próbuje przetworzyć wszystkie pliki, do których ma dostęp, i tu zaczyna się to, że ważne dokumenty w folderze działu, do którego użytkownik ma dostęp, nagle zamieniają się w cyfrowe śmieci, pliki lokalne i wiele więcej . Oczywiste jest, że powinny istnieć kopie zapasowe udziałów plików, ale co z plikami lokalnymi, które mogą nadrobić całą pracę osoby, w wyniku czego firma traci pieniądze na prostą pracę, a administrator systemu wychodzi ze swojej strefy komfortu i spędza czas na odszyfrowywaniu plików.

To samo może przytrafić się zwykłemu człowiekowi, ale konsekwencje są tutaj lokalne i dotyczą osobiście niego i jego rodziny, bardzo smutne są przypadki, gdy wirus zaszyfrował wszystkie pliki, w tym rodzinne archiwa zdjęć, a ludzie nie mieli kopii zapasowej , cóż, zwykli użytkownicy nie mają zwyczaju tego robić.

Z usługami w chmurze wszystko nie jest takie proste, jeśli wszystko tam przechowujesz i nie używasz grubego klienta w systemie operacyjnym Windows, to jedno, tam w 99% nie jesteś zagrożony, ale jeśli używasz np. „Yandex disk” lub „mail Cloud” synchronizując pliki z twojego komputera do niego, a następnie infekując i otrzymawszy, że wszystkie pliki są zaszyfrowane, program wyśle ​​je prosto do chmury, a także stracisz wszystko.

W rezultacie widzisz obraz podobny do tego, na którym powiedziano ci, że wszystkie pliki są zaszyfrowane i musisz wysłać pieniądze, teraz odbywa się to w bitcoinach, aby nie rozgryźć atakujących. Po wpłacie podobno powinien Ci zostać wysłany dekoder i wszystko zregenerujesz.

Nigdy nie wysyłaj pieniędzy oszustom

Pamiętaj, że żaden nowoczesny program antywirusowy nie może obecnie zapewnić ochrony systemu Windows przed oprogramowaniem ransomware, z jednego prostego powodu, że ten trojan nie robi nic podejrzanego ze swojego punktu widzenia, zasadniczo zachowuje się jak użytkownik, czyta pliki, zapisuje, w przeciwieństwie do wirusów, nie Spróbuj zmienić pliki systemowe lub dodać klucze rejestru, dlatego jego wykrycie jest tak trudne, że nie ma linii odróżniającej go od użytkownika

Źródła trojanów ransomware

Spróbujmy zidentyfikować główne źródła penetracji enkodera do twojego komputera.

1. E-mail > bardzo często ludzie otrzymują dziwne lub fałszywe wiadomości e-mail z linkami lub zainfekowanymi załącznikami, po kliknięciu których ofiara zaczyna umawiać się na bezsenną noc. Powiedziałem ci, jak chronić e-mail, radzę go przeczytać.
2. Poprzez oprogramowanie- pobrałeś program z nieznanego źródła lub fałszywej strony, zawiera on wirusa enkodera, a podczas instalacji oprogramowania wprowadzasz go do swojego systemu operacyjnego.
3. Przez dyski flash - ludzie nadal bardzo często chodzą do siebie i przenoszą kilka wirusów przez dyski flash, radzę przeczytać „Ochrona dysków flash przed wirusami”
4. Poprzez kamery ip i urządzenia sieciowe, które mają dostęp do internetu - bardzo często z powodu krzywych ustawień na routerze lub kamerze ip podłączonej do sieci lokalnej, hakerzy infekują komputery w tej samej sieci.

Jak chronić komputer przed wirusem ransomware

Właściwe korzystanie z komputera chroni przed ransomware, a mianowicie:

• Nie otwieraj poczty, której nie znasz i nie podążaj za niezrozumiałymi linkami, bez względu na to, jak do Ciebie dotrą, czy to poczta, czy którykolwiek z komunikatorów
• Zainstaluj aktualizacje systemu operacyjnego Windows lub Linux tak szybko, jak to możliwe, nie są one wydawane tak często, mniej więcej raz w miesiącu. Jeśli mówimy o Microsoft, to jest to drugi wtorek każdego miesiąca, ale w przypadku programów szyfrujących pliki aktualizacje mogą być nienormalne.
• Nie podłączaj nieznanych dysków flash do komputera, poproś znajomych o przesłanie lepszego łącza do chmury.
• Upewnij się, że jeśli Twój komputer nie musi być dostępny w lokalna sieć dla innych komputerów, a następnie wyłącz dostęp do niego.
• Ogranicz prawa dostępu do plików i folderów
• Instalowanie rozwiązania antywirusowego
• Nie instaluj niezrozumiałych programów zhakowanych przez kogoś nieznanego

W przypadku pierwszych trzech punktów wszystko jest jasne, ale omówię pozostałe dwa bardziej szczegółowo.

Wyłącz dostęp sieciowy do komputera

Kiedy ludzie pytają mnie, jak zorganizowana jest ochrona przed oprogramowaniem ransomware w systemie Windows, pierwszą rzeczą, którą zalecam, jest wyłączenie „Usługi udostępniania plików i drukarek sieci Microsoft”, która umożliwia innym komputerom dostęp do zasobów ten komputer przy użyciu sieci Microsoftu. Jest to równie istotne od ciekawskich administratorzy systemu które współpracują z Twoim dostawcą usług internetowych.

Wyłączyć ten serwis I chroń się przed oprogramowaniem ransomware w sieci lokalnej lub dostawcy w następujący sposób. Naciśnij kombinację klawiszy WIN + R iw oknie, które zostanie otwarte, wykonaj, wprowadź polecenie ncpa.cpl. Pokażę to na moim komputerze testowym z system operacyjny Aktualizacja dla twórców systemu Windows 10.

Wybierz żądany interfejs sieciowy i kliknij go kliknij prawym przyciskiem myszy myszy, od menu kontekstowe wybierz „Właściwości”

Znalezienie przedmiotu Ogólny dostęp do plików i drukarek dla sieci Microsoft” i odznacz to, a następnie zapisz, wszystko to pomoże chronić twój komputer przed wirusem ransomware w sieci lokalnej, twoja stacja robocza po prostu nie będzie dostępna.

Ograniczenie praw dostępu

Ochronę przed wirusem ransomware w oknach można zaimplementować w tak ciekawy sposób, że opowiem, jak zrobiłem to u siebie. Tak więc głównym problemem w walce z oprogramowaniem ransomware jest to, że antywirusy po prostu nie mogą z nimi walczyć w czasie rzeczywistym, cóż, w tej chwili nie mogą cię chronić, więc bądźmy mądrzejsi. Jeśli wirus szyfrujący nie ma uprawnień do zapisu, nie będzie mógł nic zrobić z twoimi danymi. Dla przykładu mam folder ze zdjęciami, który jest przechowywany lokalnie na komputerze, a ponadto są dwie kopie zapasowe na różnych dyski twarde. Samemu komputer lokalny Zrobiłem to tylko do odczytu, dla konta, na którym siedzę przy komputerze. Gdyby wirus się tam dostał, po prostu nie miałby wystarczających praw, jak widać, wszystko jest proste.

Jak zaimplementować to wszystko, aby chronić się przed programami szyfrującymi pliki i zapisać wszystko, wykonujemy następujące czynności.

• Wybierz potrzebne foldery. Staraj się używać dokładnie folderów, łatwiej jest przypisać im prawa. Najlepiej utwórz folder o nazwie tylko do odczytu i już umieść w nim wszystkie potrzebne pliki i foldery. Co dobre, przypisując uprawnienia do folderu nadrzędnego, zostaną one automatycznie przypisane do innych folderów w nim. Po skopiowaniu do niego wszystkich niezbędnych plików i folderów przejdź do następnego kroku.
• Kliknij folder prawym przyciskiem myszy i wybierz z menu „Właściwości”.

• Przejdź do zakładki „Bezpieczeństwo” i kliknij przycisk „Edytuj”.

• Próbujemy usunąć grupy dostępu, jeśli pojawi się okno z ostrzeżeniem, że „Nie można usunąć grupy, ponieważ ten obiekt dziedziczy uprawnienia od swojego rodzica”, zamknij je.

• Kliknij przycisk „Zaawansowane”. W elemencie, który się otworzy, kliknij „wyłącz dziedziczenie”

• Gdy pojawi się pytanie „Co chcesz zrobić z obecnymi odziedziczonymi uprawnieniami”, wybierz „Usuń wszystkie odziedziczone uprawnienia z tego obiektu”

• W rezultacie w polu „Uprawnienia” wszystko zostanie usunięte.

• Zapisujemy zmiany. Pamiętaj, że teraz tylko właściciel folderu może zmieniać uprawnienia.

• Teraz na karcie Zabezpieczenia kliknij Edytuj

• Następnie kliknij „Dodaj - Zaawansowane”

• Musimy dodać grupę „Wszyscy”, aby to zrobić, kliknij „Wyszukaj” i wybierz żądaną grupę.

• Aby chronić system Windows przed ransomware, musisz mieć ustawione uprawnienia dla grupy „Wszyscy”, jak na obrazku.

• To wszystko, żaden wirus enkodera nie zagraża twoim plikom w tym katalogu.

Mam nadzieję, że Microsoft i inne rozwiązania antywirusowe będą w stanie ulepszyć swoje produkty i chronić komputery przed oprogramowaniem ransomware, zanim wykona ono swoją złośliwą pracę, ale dopóki tak się nie stanie, postępuj zgodnie z zasadami, które ci opisałem i zawsze twórz kopie zapasowe ważnych danych.

Wirus WannaCry „zagrzmiał” na całym świecie 12 maja, tego dnia wiele placówek medycznych w Wielkiej Brytanii ogłosiło, że ich sieci zostały zainfekowane, hiszpańska firma telekomunikacyjna i rosyjskie Ministerstwo Spraw Wewnętrznych poinformowały, że odparły hakera atak.

WannaCry (w zwykłych ludziach był już nazywany Vaughn the Edge) należy do kategorii wirusów szyfrujących (cryptorów), które po wejściu do komputera szyfrują pliki użytkownika za pomocą silnego kryptograficznie algorytmu, a następnie - odczytanie tych plików staje się niemożliwe .

W tej chwili wiadomo, że następujące popularne rozszerzenia plików są szyfrowane przez WannaCry:

1. Popularne pliki Microsoft Office(.xlsx, .xls, .docx, .doc).
2. Archiwa i pliki multimedialne (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - jak rozprzestrzenia się wirus

Wcześniej wspomnieliśmy o tej metodzie rozprzestrzeniania wirusów w artykule na ten temat, więc nic nowego.

NA Skrzynka pocztowa Użytkownik otrzymuje list z „nieszkodliwym” załącznikiem – może to być zdjęcie, film, piosenka, ale zamiast standardowego rozszerzenia dla tych formatów, załącznik będzie miał rozszerzenie pliku wykonywalnego – exe. Gdy taki plik jest otwierany i uruchamiany, system zostaje „zainfekowany”, a wirus jest ładowany bezpośrednio do systemu operacyjnego Windows za pośrednictwem luki w zabezpieczeniach, która szyfruje dane użytkownika.

Być może nie jest to jedyna metoda rozprzestrzeniania WannaCry — możesz stać się ofiarą, pobierając „zainfekowane” pliki w sieciach społecznościowych, trackerach torrentów i innych witrynach.

WannaCry — jak chronić się przed wirusem ransomware

1. Zainstaluj poprawkę dla Microsoft Windows. 14 maja Microsoft udostępnił awaryjną łatę dla następujących wersji - Vista, 7, 8.1, 10, Windows Server. Możesz zainstalować tę poprawkę, po prostu uruchamiając aktualizację systemu za pośrednictwem usługi Windows Update.

2. Stosowanie oprogramowania antywirusowego z aktualnymi bazami danych. Znani twórcy oprogramowania zabezpieczającego, tacy jak Kaspersky, Dr.Web, opublikowali już aktualizację swoich produktów zawierającą informacje o WannaCry, chroniąc w ten sposób swoich użytkowników.

3. Zapisz ważne dane na oddzielnym nośniku. Jeśli Twój komputer jeszcze nie działa, możesz zapisać najważniejsze pliki na osobnym nośniku (dysk flash, dysk). Dzięki takiemu podejściu, nawet stając się ofiarą, uratujesz najcenniejsze pliki przed szyfrowaniem.

W tej chwili są to wszystkie znane skuteczne sposoby ochrony przed WannaCry.

Deszyfrator WannaCry, skąd pobrać i czy można usunąć wirusa?

Wirusy szyfrujące należą do najbardziej „paskudnych” wirusów, ponieważ w większości przypadków pliki użytkownika są szyfrowane kluczem 128-bitowym lub 256-bitowym. Najgorsze jest to, że w każdym przypadku klucz jest unikalny i odszyfrowanie każdego z nich wymaga ogromnych liczb. moc obliczeniowa, co prawie uniemożliwia traktowanie „zwykłych” użytkowników.

Ale co, jeśli jesteś ofiarą WannaCry i potrzebujesz deszyfratora?

1. Skontaktuj się z forum pomocy Kaspersky Lab — https://forum.kaspersky.com/, podając opis problemu. W forum pracują zarówno przedstawiciele firm, jak i wolontariusze, którzy aktywnie pomagają w rozwiązywaniu problemów.

2. Podobnie jak w przypadku dobrze znanego programu szyfrującego CryptXXX, znaleziono uniwersalne rozwiązanie do odszyfrowania zaszyfrowanych plików. Od wykrycia WannaCry minął niecały tydzień, a specjalistom z laboratoriów antywirusowych nie udało się jeszcze znaleźć dla niego takiego rozwiązania.

3. Kardynalnym rozwiązaniem byłoby - całkowite usunięcie OS z komputera, a następnie czysta instalacja nowego. W tym scenariuszu wszystkie pliki i dane użytkownika zostają całkowicie utracone wraz z usunięciem WannaCry.

Mniej więcej tydzień lub dwa temu w sieci pojawiło się kolejne dzieło współczesnych twórców wirusów, które szyfruje wszystkie pliki użytkowników. Jeszcze raz rozważę pytanie, jak wyleczyć komputer po wirusie ransomware zaszyfrowany000007 i odzyskać zaszyfrowane pliki. W tym przypadku nie pojawiło się nic nowego i wyjątkowego, a jedynie modyfikacja poprzedniej wersji.

Gwarantowane odszyfrowanie plików po wirusie ransomware - dr-shifro.ru. Szczegóły pracy i schemat interakcji z klientem znajdują się poniżej w moim artykule lub na stronie internetowej w dziale „Procedura pracy”.

Opis wirusa ransomware CRYPTED000007

Szyfrator CRYPTED000007 zasadniczo nie różni się od swoich poprzedników. Działa prawie jeden do jednego. Ale wciąż istnieje kilka niuansów, które go wyróżniają. Opowiem ci o wszystkim po kolei.

Przychodzi, podobnie jak jego koledzy, pocztą. Techniki socjotechniczne mają na celu zainteresowanie użytkownika listem i jego otwarcie. W moim przypadku pismo było o jakimś sądzie io ważna informacja sprawa w załączniku Po uruchomieniu załącznika użytkownik otwiera dokument Word z wyciągiem z Moskiewskiego Sądu Arbitrażowego.

Równolegle z otwarciem dokumentu rozpoczyna się szyfrowanie pliku. Zaczyna stale wyświetlać komunikat informacyjny z systemu kontroli konta użytkownika systemu Windows.

Jeśli zgodzisz się z propozycją, kopie zapasowe plików w kopiach w tle systemu Windows zostaną usunięte, a odzyskanie informacji będzie bardzo trudne. Oczywiście w żadnym wypadku nie można zgodzić się z propozycją. W tym oprogramowaniu ransomware żądania te pojawiają się stale, jedno po drugim i nie przestają, zmuszając użytkownika do wyrażenia zgody i usunięcia kopii zapasowych. Jest to główna różnica w stosunku do poprzednich modyfikacji ransomware. Nigdy nie widziałem, aby żądania usunięcia kopii w tle działały bez przerwy. Zwykle po 5-10 zdaniach przestawali.

Dam ci rekomendację na przyszłość. Bardzo często ludzie wyłączają ostrzeżenia z systemu kontroli konta użytkownika. Nie musisz tego robić. Ten mechanizm może naprawdę pomóc w zwalczaniu wirusów. Druga oczywista rada brzmi: nie pracuj bez przerwy konto administratora komputera, jeśli nie jest to obiektywnie konieczne. W takim przypadku wirus nie będzie miał możliwości wyrządzenia większej szkody. Będziesz bardziej skłonny mu się oprzeć.

Ale nawet jeśli przez cały czas odpowiadałeś negatywnie na żądania ransomware, wszystkie Twoje dane są już zaszyfrowane. Po zakończeniu procesu szyfrowania zobaczysz obraz na pulpicie.

Jednocześnie będzie ich dużo pliki tekstowe z tą samą treścią.

Twoje pliki zostały zaszyfrowane. Aby odszyfrować ux, musisz poprawić kod: 329D54752553ED978F94|0 na adres e-mail [e-mail chroniony]. Następnie otrzymasz wszystkie niezbędne instrukcje. Próby samodzielnego rozszyfrowania nie doprowadzą do niczego, z wyjątkiem nieodwracalnej liczby informacji. Jeśli nadal chcesz spróbować, wykonaj wcześniej kopie zapasowe plików, w przeciwnym razie, w przypadku zmian ux, odszyfrowanie nie będzie możliwe w żadnych okolicznościach. Jeśli nie otrzymałeś odpowiedzi na powyższy adres w ciągu 48 godzin (i tylko w tym przypadku!), skorzystaj z formularza zwrotnego. Można to zrobić na dwa sposoby: 1) Pobierz i zainstaluj Tor Browser z linku: https://www.torproject.org/download/download-easy.html.en Wprowadź adres w adresie przeglądarki Tor: http:/ /cryptsen7fo43rr6 .onion/ i naciśnij Enter. Załaduje się strona z formularzem kontaktowym. 2) W dowolnej przeglądarce przejdź na jeden z adresów: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Wszystkie ważne pliki na twoim komputerze zostały zaszyfrowane. Aby odszyfrować pliki należy wysłać następujący kod: 329D54752553ED978F94|0 na adres e-mail [e-mail chroniony]. Następnie będziesz otrzymać wszystkie niezbędne instrukcje. Wszelkie próby samodzielnego odszyfrowania spowodują jedynie nieodwracalną utratę danych. Jeśli nadal chcesz spróbować odszyfrować je samodzielnie, najpierw wykonaj kopię zapasową, ponieważ odszyfrowanie stanie się niemożliwe w przypadku jakichkolwiek zmian w plikach. Jeśli nie otrzymałeś odpowiedzi z powyższego maila przez ponad 48 godzin (i tylko w tym przypadku!), skorzystaj z formularza zwrotnego. Możesz to zrobić na dwa sposoby: 1) Pobierz przeglądarkę Tor Browser stąd: https://www.torproject.org/download/download-easy.html.en Zainstaluj ją i wpisz następujący adres w pasku adresu: http:/ /cryptsen7fo43rr6.onion/ Naciśnij Enter, a następnie zostanie załadowana strona z formularzem opinii. 2) Przejdź do jednego z poniższych adresów w dowolnej przeglądarce: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adres pocztowy może ulec zmianie. Widziałem inne adresy, takie jak ten:

• [e-mail chroniony]
• [e-mail chroniony]

Adresy są na bieżąco aktualizowane, więc mogą być zupełnie inne.

Gdy tylko stwierdzisz, że pliki są zaszyfrowane, natychmiast wyłącz komputer. Należy to zrobić, aby przerwać proces szyfrowania zarówno na komputerze lokalnym, jak i na dyskach sieciowych. Wirus ransomware może zaszyfrować wszystkie informacje, do których może dotrzeć, w tym na dyskach sieciowych. Ale jeśli jest duża ilość informacji, zajmie mu to sporo czasu. Czasami nawet w ciągu kilku godzin program szyfrujący nie miał czasu na zaszyfrowanie wszystkiego dysk sieciowy około 100 gigabajtów.

Następnie musisz dokładnie przemyśleć, jak działać. Jeśli z całą pewnością potrzebujesz informacji na swoim komputerze, a nie masz kopii zapasowych, lepiej w tej chwili skontaktować się ze specjalistami. Niekoniecznie za pieniądze w niektórych firmach. Wystarczy osoba dobrze zorientowana w temacie systemy informacyjne. Konieczna jest ocena skali katastrofy, usunięcie wirusa, zebranie wszelkich dostępnych informacji o sytuacji, aby zrozumieć, jak postępować.

Nieprawidłowe działania na tym etapie mogą znacznie skomplikować proces odszyfrowywania lub odzyskiwania plików. W najgorszym przypadku mogą to uniemożliwić. Więc nie spiesz się, bądź ostrożny i konsekwentny.

Jak wirus ransomware CRYPTED000007 szyfruje pliki

Po uruchomieniu i zakończeniu działania wirusa wszystkie przydatne pliki zostaną zaszyfrowane, a ich nazwa zostanie zmieniona rozszerzenie.crypted000007. I nie tylko rozszerzenie pliku zostanie zastąpione, ale także nazwa pliku, więc nie będziesz dokładnie wiedział, jakie pliki miałeś, jeśli nie pamiętasz. Będzie coś takiego jak to zdjęcie.

W takiej sytuacji trudno będzie ocenić skalę tragedii, ponieważ nie będziesz w stanie w pełni przypomnieć sobie, co miałeś w różne foldery. Zrobiono to celowo, aby zdezorientować osobę i zachęcić ją do zapłacenia za odszyfrowanie plików.

A jeśli byłeś zaszyfrowany i foldery sieciowe i nie ma pełnych kopii zapasowych, może to generalnie zatrzymać pracę całej organizacji. Nie od razu zrozumiesz, co ostatecznie tracisz, aby rozpocząć powrót do zdrowia.

Jak leczyć komputer i usunąć ransomware CRYPTED000007

Wirus CRYPTED000007 jest już na twoim komputerze. Pierwszym i najważniejszym pytaniem jest to, jak wyleczyć komputer i jak usunąć z niego wirusa, aby zapobiec dalszemu szyfrowaniu, jeśli nie zostało ono jeszcze zakończone. Od razu zwracam uwagę na fakt, że po tym, jak sam zaczniesz wykonywać pewne czynności na swoim komputerze, szanse na odszyfrowanie danych maleją. Jeśli chcesz odzyskać pliki wszelkimi sposobami, nie dotykaj komputera, ale natychmiast skontaktuj się ze specjalistami. Poniżej opowiem o nich i podam link do strony oraz opiszę schemat ich pracy.

W międzyczasie będziemy nadal samodzielnie leczyć komputer i usuwać wirusa. Tradycyjnie ransomware można łatwo usunąć z komputera, ponieważ wirus nie ma za zadanie pozostać na komputerze za wszelką cenę. Po całkowitym zaszyfrowaniu plików jeszcze bardziej opłaca mu się usunąć i zniknąć, co utrudniłoby zbadanie incydentu i odszyfrowanie plików.

opisać usuwanie ręczne wirus jest trudny, chociaż próbowałem to zrobić wcześniej, ale widzę, że najczęściej jest to bez sensu. Nazwy plików i ścieżki umieszczania wirusów stale się zmieniają. To, co zobaczyłem, nie jest już aktualne za tydzień lub dwa. Zwykle wirusy są wysyłane pocztą falami i za każdym razem pojawia się nowa modyfikacja, która nie została jeszcze wykryta przez programy antywirusowe. Pomocne są uniwersalne narzędzia, które sprawdzają automatyczne uruchamianie i wykrywają podejrzaną aktywność w folderach systemowych.

Aby usunąć wirusa CRYPTED000007, możesz użyć następujących programów:

1. Kaspersky Virus Removal Tool - narzędzie firmy Kaspersky http://www.kaspersky.ru/antivirus-removal-tool .
2. Dr.Web CureIt! - podobny produkt z innej sieci http://free.drweb.ru/cureit .
3. Jeśli pierwsze dwa narzędzia nie pomogą, wypróbuj MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Najprawdopodobniej jeden z tych produktów oczyści komputer z oprogramowania ransomware CRYPTED000007. Jeśli nagle okaże się, że nie pomagają, spróbuj usunąć wirusa ręcznie. Technikę usuwania podałem jako przykład i można to tam zobaczyć. W skrócie, oto co musisz zrobić:

1. Patrzymy na listę procesów, po wcześniejszym dodaniu kilku dodatkowych kolumn do menedżera zadań.
2. Znajdujemy proces wirusa, otwieramy folder, w którym się znajduje, i usuwamy go.
3. Czyścimy wzmiankę o procesie wirusa według nazwy pliku w rejestrze.
4. Ponownie uruchamiamy i upewniamy się, że wirusa CRYPTED000007 nie ma na liście uruchomionych procesów.

Skąd pobrać deszyfrator CRYPTED000007

Pytanie o prosty i niezawodny deszyfrator pojawia się przede wszystkim w przypadku wirusa ransomware. Pierwszą rzeczą, którą radzę, jest skorzystanie z usługi https://www.nomoreransom.org. Co jeśli masz szczęście, będą mieli deszyfrator dla twojej wersji programu szyfrującego CRYPTED000007. Od razu powiem, że nie masz zbyt wielu szans, ale próba to nie tortura. NA strona główna kliknij Tak:

Następnie prześlij kilka zaszyfrowanych plików i kliknij Go! dowiadywać się:

W momencie pisania dekodera nie było na stronie.

Być może będziesz miał więcej szczęścia. Możesz również zobaczyć listę deszyfratorów do pobrania na osobnej stronie - https://www.nomoreransom.org/decryption-tools.html. Może jest tam coś przydatnego. Kiedy wirus jest bardzo świeży, jest na to niewielka szansa, ale z czasem coś może się pojawić. Istnieją przykłady, kiedy w sieci pojawiły się deszyfratory niektórych modyfikacji ransomware. A te przykłady znajdują się na określonej stronie.

Gdzie jeszcze mogę znaleźć dekoder, nie wiem. Jest mało prawdopodobne, aby naprawdę istniał, biorąc pod uwagę specyfikę działania współczesnego oprogramowania ransomware. Tylko autorzy wirusa mogą mieć pełnoprawny dekoder.

Jak odszyfrować i odzyskać pliki po wirusie CRYPTED000007

Co zrobić, gdy wirus CRYPTED000007 zaszyfrował twoje pliki? Realizacja techniczna szyfrowanie nie pozwala na odszyfrowanie plików bez klucza lub narzędzia deszyfrującego, które posiada tylko autor narzędzia szyfrującego. Być może jest jakiś inny sposób na zdobycie go, ale nie mam takich informacji. Możemy tylko próbować odzyskać pliki za pomocą improwizowanych metod. Obejmują one:

• Narzędzie kopie w tle okna.
• Programy do odzyskiwania skasowanych danych

Najpierw sprawdźmy, czy mamy włączone kopie w tle. To narzędzie działa domyślnie w systemie Windows 7 i nowszych, chyba że wyłączysz je ręcznie. Aby to sprawdzić, otwórz właściwości komputera i przejdź do sekcji ochrony systemu.

Jeśli podczas infekcji nie potwierdziłeś żądania UAC usunięcia plików z kopii w tle, to część danych powinna tam pozostać. Mówiłem o tej prośbie bardziej szczegółowo na początku historii, kiedy mówiłem o działaniu wirusa.

Aby łatwo przywrócić pliki z kopii w tle, sugeruję użycie darmowy program do tego - ShadowExplorer . Pobierz archiwum, rozpakuj program i uruchom.

Otworzy się ostatnia kopia plików i katalog główny dysku C. W lewym górnym rogu możesz wybrać kopię zapasową, jeśli masz więcej niż jedną. Sprawdź różne kopie pod kątem niezbędnych plików. Porównaj według dat, w których znajduje się nowsza wersja. W poniższym przykładzie znalazłem na pulpicie 2 pliki, które miały trzy miesiące, kiedy były ostatnio edytowane.

Udało mi się odzyskać te pliki. Aby to zrobić, wybrałem je, kliknąłem prawym przyciskiem myszy, wybrałem Eksportuj i wskazałem folder, w którym mają zostać przywrócone.

Możesz natychmiast przywrócić foldery w ten sam sposób. Jeśli kopie w tle zadziałały i nie usunąłeś ich, masz całkiem spore szanse na odzyskanie wszystkich lub prawie wszystkich plików zaszyfrowanych przez wirusa. Być może niektórych z nich będzie więcej stara wersja niż bym chciał, ale i tak lepsze to niż nic.

Jeśli z jakiegoś powodu nie masz kopii plików w tle, jedyną szansą na odzyskanie przynajmniej części zaszyfrowanych plików jest przywrócenie ich za pomocą narzędzi do odzyskiwania usunięte pliki. Aby to zrobić, sugeruję skorzystanie z bezpłatnego programu Photorec.

Uruchom program i wybierz dysk, na który odzyskasz pliki. Uruchomienie graficznej wersji programu powoduje wykonanie pliku qphotorec_win.exe. Musisz wybrać folder, w którym zostaną umieszczone znalezione pliki. Lepiej, jeśli ten folder nie znajduje się na tym samym dysku, na którym szukamy. Podłącz dysk flash lub zewnętrzny Dysk twardy dla tego.

Proces wyszukiwania zajmie dużo czasu. Na koniec zobaczysz statystyki. Teraz możesz przejść do wcześniej określonego folderu i zobaczyć, co się tam znajduje. Najprawdopodobniej będzie dużo plików i większość z nich będzie albo uszkodzona, albo będą to jakieś pliki systemowe i bezużyteczne. Niemniej jednak na tej liście będzie można znaleźć kilka przydatnych plików. Nie ma tu żadnych gwarancji, znajdziesz to, co znajdziesz. Co najlepsze, zazwyczaj obrazy są przywracane.

Jeśli wynik Cię nie satysfakcjonuje, nadal istnieją programy do odzyskiwania usuniętych plików. Poniżej znajduje się lista programów, których zwykle używam, gdy potrzebuję przywrócić maksymalna ilość akta:

• Oszczędzanie R
• Odzyskiwanie plików Starus
• JPEG Recovery Pro
• Aktywny profesjonalista w zakresie odzyskiwania plików

Te programy nie są darmowe, więc nie będę podawać linków. Z silnym pragnieniem możesz je sam znaleźć w Internecie.

Cały proces odzyskiwania plików jest szczegółowo pokazany na filmie na samym końcu artykułu.

Kaspersky, eset nod32 i inni w walce z oprogramowaniem ransomware Filecoder.ED

Popularne programy antywirusowe definiują ransomware CRYPTED000007 jako Filecoder.ED a potem może być jakieś inne oznaczenie. Przejrzałem fora głównych programów antywirusowych i nie widziałem tam nic przydatnego. Niestety, jak zwykle antywirusy nie były gotowe na inwazję nowej fali oprogramowania ransomware. Oto wiadomość z forum Kaspersky.

Antywirusy tradycyjnie pomijają nowe modyfikacje trojanów ransomware. Jednak polecam ich stosowanie. Jeśli masz szczęście i otrzymasz ransomware pocztą nie w pierwszej fali infekcji, ale nieco później, jest szansa, że ​​antywirus ci pomoże. Wszyscy pracują o krok za napastnikami. wychodzić nowa wersja ransomware, antywirusy nie reagują na to. Gdy tylko zgromadzi się pewna masa materiału do badań nad nowym wirusem, antywirusy wypuszczają aktualizację i zaczynają na nią reagować.

Nie jest dla mnie jasne, co uniemożliwia programom antywirusowym natychmiastową reakcję na jakikolwiek proces szyfrowania w systemie. Być może istnieje jakiś techniczny niuans w tym temacie, który nie pozwala odpowiednio zareagować i zapobiec szyfrowaniu plików użytkownika. Wydaje mi się, że można by przynajmniej wyświetlić ostrzeżenie o tym, że ktoś szyfruje twoje pliki i zaoferować zatrzymanie tego procesu.

Gdzie złożyć wniosek o gwarantowane odszyfrowanie

Spotkałem jedną firmę, która naprawdę odszyfrowuje dane po działaniu różnych wirusów szyfrujących, w tym CRYPTED000007. Ich adres to http://www.dr-shifro.ru. Płatność dopiero po pełnym odszyfrowaniu i weryfikacji. Oto przykładowy przepływ pracy:

1. Specjalista firmy podjeżdża do Twojego biura lub domu i podpisuje z Tobą umowę, w której ustala koszt pracy.
2. Uruchamia deszyfrator i odszyfrowuje wszystkie pliki.
3. Upewniasz się, że wszystkie pliki są otwarte i podpisujesz akt dostarczenia/odbioru wykonanej pracy.
4. Płatność tylko po pomyślnym wyniku odszyfrowania.

Szczerze mówiąc, nie wiem, jak oni to robią, ale nic nie ryzykujesz. Płatność tylko po pokazie dekodera. Napisz recenzję o swoich doświadczeniach z tą firmą.

Metody ochrony przed wirusem CRYPTED000007

Jak uchronić się przed działaniem ransomware i obejść się bez szkód materialnych i moralnych? Istnieje kilka prostych i skutecznych wskazówek:

1. Kopia zapasowa! Kopia zapasowa wszystkie ważne dane. I to nie tylko kopia zapasowa, ale kopia zapasowa, do której nie ma stałego dostępu. W przeciwnym razie wirus może zainfekować zarówno dokumenty, jak i kopie zapasowe.
2. Licencjonowany program antywirusowy. Chociaż nie dają 100% gwarancji, zwiększają szanse na uniknięcie szyfrowania. Najczęściej nie są gotowi na nowe wersje ransomware, ale po 3-4 dniach zaczynają reagować. Zwiększa to twoje szanse na uniknięcie infekcji, jeśli nie jesteś objęty pierwszą falą wysyłek nowej modyfikacji ransomware.
3. Nie otwieraj podejrzanych załączników w poczcie. Tu nie ma co komentować. Wszyscy znani mi kryptografowie docierali do użytkowników za pośrednictwem poczty. I za każdym razem wymyślane są nowe sztuczki, aby oszukać ofiarę.
4. Nie otwieraj bezmyślnie linków przesłanych Ci przez znajomych za pośrednictwem Media społecznościowe lub posłańców. W ten sposób czasami rozprzestrzeniają się wirusy.
5. Zezwól systemowi Windows na wyświetlanie rozszerzeń plików. Jak to zrobić, łatwo znaleźć w Internecie. Pozwoli to zauważyć rozszerzenie pliku wirusa. Najczęściej będzie exe, .vbs, źródło. W codziennej pracy z dokumentami raczej nie spotkasz się z takimi rozszerzeniami plików.

W każdym artykule o wirusie ransomware starałem się uzupełnić to, co już wcześniej napisałem. Do tego czasu żegnam. Chętnie otrzymam przydatne komentarze na temat artykułu i ogólnie wirusa szyfrującego CRYPTED000007.

Wideo z deszyfrowaniem i odzyskiwaniem plików

Oto przykład poprzedniej modyfikacji wirusa, ale film jest w pełni odpowiedni również dla CRYPTED000007.