Atualização de segurança do Windows 7 contra ransomware. Como atualizar o Windows para se proteger do WannaCry. Vírus Quero Chorar na Rússia

  1. Maio chegou, conheça o WannaCry.
  2. Wanna é o nome do vírus ransomware que iniciou sua atividade, digamos, em 12 de maio de 2017, infectando computadores de usuários e empresas em 90 países. A Microsoft lançou oficialmente patches para sistemas operacionais mais antigos que não são mais suportados e estão desatualizados. Lista completa e fornecerei todos os links no final do artigo.
    3. Como o Wanna se manifesta?
  3. Como todos os vírus ransomware, é difícil perceber durante o processo de criptografia, a menos que você acidentalmente veja que os arquivos mudam e ficam com uma extensão diferente. Por exemplo, com este vírus, os arquivos criptografados ficarão assim: nome do arquivo.png.WNCRY
  4. Abaixo está um mapa de como os países foram infectados pelo vírus durante as primeiras horas de infecção e propagação, mapa da Sumantec.
  5. Em seguida, à medida que o vírus se manifesta após criptografar os arquivos, o usuário verá uma mensagem e poderá selecionar o idioma apropriado. Que informa que seus arquivos estão infectados e procedem a ações de pagamento, digamos assim.
  6. A segunda janela mostra quanto e como você deve pagar, transferir 300 bitcoins. E também um cronômetro para contagem regressiva.
  7. O plano de fundo da área de trabalho e outras imagens de plano de fundo mostram a mensagem:
  8. Os arquivos criptografados têm extensão dupla, por exemplo: nome do arquivo.doc.WNCRY. Abaixo está o que parece:
  9. Também em cada pasta existe um arquivo executável @ [e-mail protegido] para descriptografia após resgate (possivelmente, mas improvável), e também Documento de texto @[e-mail protegido] em que há algo para o usuário ler (também é possível, mas improvável).
    10. O vírus criptografa arquivos com as seguintes extensões:
  10. Gostaria de observar que entre as extensões que o WannaCry criptografa não há extensão 1C, que é usada na Rússia.
  11. Peço também que você preste atenção ao que é mais importante na restauração de seus arquivos após a infecção. É possível se você tiver a proteção do sistema ativada, ou seja, cópia de sombra de volume, e o sistema de controle de conta de usuário UAC estiver em execução, e provavelmente funcionará se você não o tiver desativado. Em seguida, o vírus oferecerá a desativação da proteção do sistema para que não seja possível restaurar os arquivos criptografados, ou seja, aqueles excluídos após a criptografia. É claro que, neste caso, não há como discordar do desligamento. Parece algo assim:
    12. Golpistas de carteiras Bitcoin.
  12. O mais interessante aqui é como cresce o valor na carteira dos golpistas. Carteira Bitcoin:
  17. Observe fazendo login pelo menos uma vez por dia o quanto os lucros dos golpistas aumentaram e você ficará surpreso, acredite! Este é um serviço normal da Wallet Bitcoin no qual qualquer pessoa pode registrar uma carteira, não há nada com que se preocupar se você observar as estatísticas de reposição da carteira.
  18. WannaCry 1.0 foi distribuído por meio de spam e sites. A versão 2.0 é idêntica à primeira versão, mas foi adicionado a ela um worm, que se espalha de forma independente, chegando aos computadores das vítimas por meio de um protocolo.
    19. Microsoft Corporation na luta contra Wanna:
  19. A Microsoft oferece a instalação de pacotes de atualização para usuários de sistemas operacionais mais antigos:
    20. Servidor Windows 2003 SP2 x64
    Servidor Windows 2003 SP2 x86
    WindowsXP SP2 x64
    WindowsXP SP3 x86
    Windows XP Embutido SP3 x86
    Janelas 8x86
    Janelas 8x64
    Acesse blogs oficiais.technet.microsoft
    O que Kaspersky diz?
  20. O blog oficial da Kaspersky descreve o processo com mais detalhes e há vários acréscimos que você pode descobrir, ainda que em inglês.
    21. Lista segura.
  21. Complementado pelo artigo de suporte do Kaspersky datado de 15 de maio de 2017:
    22. .
  22. Você também pode visualizar mapa interativo ameaças cibernéticas e descubra a propagação do vírus em tempo real:
    23. Mapa Intel malwaretech para o vírus WannaCry 2.0:
  23. Outro mapa, mas baseado especificamente no vírus WannaCry2.0, a propagação do vírus em tempo real (se o mapa não funcionar após a transição, atualize a página):
    24. Vídeo Firewall Comodo 10 vs WannaCry Ransomware sobre tecnologia de proteção:
    site oficial.
    596 variantes do WannaCry
  24. Um laboratório independente descobriu 596 amostras do WannaCrypt. Lista de hashes SHA256:
    25. Do autor:
  25. Acrescentarei em meu próprio nome, já que uso a proteção do Comodo 10 e além, mas o melhor antivírus é você mesmo. Como dizem, Deus protege os melhores, e eu tenho essa proteção porque enquanto trabalho tenho que realizar diversas tarefas nas quais há espaço para vazamento de ataques de vírus, vamos chamá-los assim.
  26. Desative o protocolo SMB1 temporariamente até instalar atualizações de segurança ou se não precisar dele usando linha de comando, execute cmd como administrador do sistema e use dism para desabilitar o protocolo, comando:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Bem como outros métodos para ativar e desativar o protocolo SMBv1,2,3 no site oficial da Microsoft.
  28. Na interface gráfica, você pode desabilitar o protocolo assim: Painel de Controle> Adicionar ou Remover Programas (Desinstalar ou alterar um programa)> Habilitar ou desabilitar Componentes do Windows> mais foto abaixo.

Boa tarde, queridos leitores e visitantes do blog, como vocês lembram, em maio de 2017, ocorreu uma onda em grande escala de infecção de computadores com sistemas operacionais Sistema Windows, um novo vírus ransomware chamado WannaCry, que conseguiu infectar e criptografar dados em mais de 500.000 computadores, basta pensar neste número. O pior é que esse tipo de vírus praticamente não é detectado pelas soluções antivírus modernas, o que o torna ainda mais ameaçador. A seguir contarei um método para proteger seus dados de sua influência e como se proteger de ransomware em um minuto, acho que você achará interessante.

O que é um vírus ransomware?

Um vírus ransomware é um tipo cavalo de Tróia, cuja tarefa é infectar a estação de trabalho do usuário, identificar nela arquivos do formato necessário (por exemplo, fotos, gravações de áudio, arquivos de vídeo) e, em seguida, criptografá-los com uma alteração no tipo de arquivo, como resultado do qual o usuário não não será mais possível abri-los, sem programa especial decodificador. Se parece com isso.

Formatos de arquivo criptografados

Os formatos de arquivo mais comuns após a criptografia são:

  • não_mais_ransom
  • cofre

Consequências de um vírus ransomware

Descreverei o caso mais comum em que um vírus codificador está envolvido. Imaginemos um usuário comum em qualquer organização abstrata, em 90 por cento dos casos o usuário tem Internet no seu local de trabalho, pois com a ajuda dela traz lucro para a empresa, navega no espaço da Internet. Uma pessoa não é um robô e pode se distrair do trabalho olhando sites que lhe interessam ou sites que seu amigo lhe recomendou. Como resultado dessa atividade, ele pode infectar seu computador com um criptografador de arquivos sem saber e descobrir quando já for tarde demais. O vírus fez seu trabalho.

O vírus, no momento de seu funcionamento, tenta processar todos os arquivos aos quais tem acesso, e é aí que começa que documentos importantes da pasta do departamento ao qual o usuário tem acesso repentinamente se transformam em lixo digital, arquivos locais e muito mais. É claro que deveria haver cópias de backup de compartilhamentos de arquivos, mas e os arquivos locais, que podem constituir todo o trabalho de uma pessoa; como resultado, a empresa perde dinheiro com trabalho ocioso, e o administrador do sistema sai de sua zona de conforto e gasta seu dinheiro tempo descriptografando arquivos.

O mesmo pode acontecer com uma pessoa comum, mas as consequências aqui são locais e dizem respeito a ele e à sua família pessoalmente. É muito triste ver casos em que um vírus criptografou todos os arquivos, incluindo arquivos de fotos de família, e as pessoas não têm cópia de backup, bem , não é comum entre usuários comuns fazer isso.

Com os serviços em nuvem nem tudo é tão simples, se você armazena tudo lá e não usa um cliente grosso no seu sistema operacional Windows, é uma coisa, 99% das vezes nada te ameaça aí, mas se você usar, por exemplo, Disco Yandex ou "mail Cloud" sincronizando arquivos do seu computador para ele, então se você for infectado e receber que todos os arquivos estão criptografados, o programa os enviará diretamente para a nuvem e você também perderá tudo.

Como resultado, você vê uma imagem como esta, onde é informado que todos os arquivos estão criptografados e você precisa enviar dinheiro, agora isso é feito em bitcoins para não identificar os invasores. Após o pagamento, eles deveriam lhe enviar um descriptografador e você restaurará tudo.

Nunca envie dinheiro para criminosos

Lembre-se de que nem um único antivírus moderno hoje pode fornecer proteção ao Windows contra ransomware, por uma simples razão que este Trojan não faz nada suspeito do seu ponto de vista, ele essencialmente se comporta como um usuário, ele lê arquivos, escreve, ao contrário dos vírus, ele não tenta mudar arquivos do sistema ou adicionar chaves de registro, por isso sua detecção é tão difícil, não há linha que o distinga do usuário

Fontes de trojans ransomware

Vamos tentar destacar as principais fontes de penetração do criptografador em seu computador.

  1. E-mail > muitas vezes as pessoas recebem e-mails estranhos ou falsos com links ou anexos infectados, ao clicar nos quais a vítima começa a ter uma noite sem dormir. Eu te disse como proteger o e-mail, aconselho você a ler.
  2. Através Programas- você baixou um programa de uma fonte desconhecida ou de um site falso, ele contém um vírus codificador e, ao instalar o software, você o adiciona ao seu sistema operacional.
  3. Através de pen drives - as pessoas ainda se visitam com frequência e transferem um monte de vírus por meio de pen drives, aconselho você a ler “Protegendo um pen drive contra vírus”
  4. Através de câmeras IP e dispositivos de rede com acesso à Internet - muitas vezes, devido a configurações incorretas em um roteador ou câmera IP conectado a uma rede local, hackers infectam computadores na mesma rede.

Como proteger seu PC contra ransomware

O uso adequado do seu computador protege você contra ransomware, a saber:

  • Não abra e-mails que você não conhece e não siga links desconhecidos, não importa como eles cheguem até você, seja correio ou qualquer um dos mensageiros
  • Instale atualizações para o sistema operacional Windows ou Linux o mais rápido possível; elas não são lançadas com tanta frequência, cerca de uma vez por mês. Se falamos da Microsoft, então esta é a segunda terça-feira de cada mês, mas no caso dos criptografadores de arquivos, as atualizações podem ser anormais.
  • Não conecte unidades flash desconhecidas ao seu computador; peça a seus amigos para enviar-lhes um link para a nuvem.
  • Certifique-se de que se o seu computador não precisar estar acessível em rede local para outros computadores e desative o acesso a ele.
  • Limite os direitos de acesso a arquivos e pastas
  • Instalando uma solução antivírus
  • Não instale programas incompreensíveis hackeados por alguém desconhecido

Tudo fica claro com os três primeiros pontos, mas irei me alongar nos dois restantes com mais detalhes.

Desative o acesso de rede ao seu computador

Quando as pessoas me perguntam como se proteger contra ransomware no Windows, a primeira coisa que recomendo é que desabilitem o “Serviço de compartilhamento de arquivos e impressoras de redes Microsoft”, que permite que outros computadores acessem recursos deste computador usando redes Microsoft. Isto também é relevante a partir do curioso administradores de sistema, trabalhando para seu provedor.

Desativar este serviço E proteja-se contra ransomware em uma rede local ou de provedor, conforme segue. Pressione a combinação de teclas WIN+R e na janela que se abre, execute, digite o comando ncpa.cpl. Vou mostrar isso no meu computador de teste com sistema operacional Atualização para criadores do Windows 10.

Selecione a interface de rede desejada e clique nela clique com o botão direito ratos, de menu contextual selecione "Propriedades"

Encontre o item " Acesso geral para arquivos e impressoras para redes Microsoft" e desmarque-o e salve, tudo isso ajudará a proteger seu computador contra um vírus ransomware na rede local; sua estação de trabalho simplesmente não estará acessível.

Restringindo direitos de acesso

A proteção contra vírus ransomware no Windows pode ser implementada desta forma interessante. Vou lhe contar como fiz isso sozinho. E assim o principal problema na luta contra os criptografadores é que os antivírus simplesmente não conseguem combatê-los em tempo real, bem, eles não podem protegê-lo no momento, então seremos mais astutos. Se o vírus criptografador não tiver direitos de gravação, ele não poderá fazer nada com seus dados. Deixe-me dar um exemplo, eu tenho uma pasta de fotos, ela está armazenada localmente no computador, além de duas cópias de backup em diferentes Discos rígidos. Por si só computador local Concedi direitos somente leitura para a conta sob a qual estou usando o computador. Se o vírus tivesse entrado, simplesmente não teria direitos suficientes, como você pode ver, tudo é simples.

Como implementar tudo isso para se proteger dos criptografadores de arquivos e proteger tudo, fazemos o seguinte.

  • Selecione as pastas que você precisa. Tente usar pastas; elas facilitam a atribuição de direitos. O ideal é criar uma pasta chamada somente leitura e colocar nela todos os arquivos e pastas necessários. O bom é que, ao atribuir direitos à pasta superior, eles serão automaticamente aplicados a outras pastas dela. Depois de copiar todos os arquivos e pastas necessários para ele, prossiga para a próxima etapa
  • Clique com o botão direito na pasta do menu e selecione "Propriedades"

  • Vá para a guia "Segurança" e clique no botão "Editar"

  • Tentamos excluir grupos de acesso, se recebermos uma janela de aviso de que “O grupo não pode ser excluído porque este objeto herda permissões de seu pai”, feche-o.

  • Clique no botão "Avançado". No item que abre, clique em "desativar herança"

  • Quando perguntado "O que você deseja fazer com as permissões herdadas atuais", selecione "Remover todas as permissões herdadas deste objeto"

  • Como resultado, tudo que estiver no campo “Permissões” será excluído.

  • Salve as alterações. Observe que agora apenas o proprietário da pasta pode alterar as permissões.

  • Agora na aba "Segurança", clique em "Editar"

  • Em seguida, clique em "Adicionar - Avançado"

  • Precisamos adicionar o grupo “Todos”, para isso clique em “Pesquisar” e selecione o grupo desejado.

  • Para proteger o Windows contra ransomware, você deve ter permissões definidas para o grupo “Todos”, como na imagem.

  • Agora, nenhum vírus criptografador irá ameaçá-lo pelos seus arquivos neste diretório.

Espero que a Microsoft e outras soluções antivírus consigam melhorar seus produtos e proteger os computadores contra ransomware antes de seu trabalho malicioso, mas até que isso aconteça, siga as regras que descrevi para você e sempre faça cópias de backup dos dados importantes.

O vírus WannaCry trovejou em todo o mundo em 12 de maio, neste dia várias instituições médicas no Reino Unido anunciaram que suas redes foram infectadas, a empresa espanhola de telecomunicações e o Ministério de Assuntos Internos da Rússia relataram ter repelido um ataque de hacker.

WannaCry (as pessoas comuns já o apelidaram de Wona's Edge) pertence à categoria dos vírus ransomware (criptografadores), que, ao entrar no PC, criptografa os arquivos do usuário com um algoritmo criptográfico, impossibilitando posteriormente a leitura desses arquivos.

Atualmente, sabe-se que as seguintes extensões de arquivo populares estão sujeitas à criptografia WannaCry:

  1. Arquivos populares Microsoft Office(.xlsx, .xls, .docx, .doc).
  2. Arquivos compactados e de mídia (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - como o vírus se espalha

Anteriormente, mencionamos esse método de propagação de vírus em um artigo sobre, então isso não é novidade.

Sobre Caixa de correio o usuário recebe uma carta com um anexo “inofensivo” - pode ser uma imagem, um vídeo, uma música, mas em vez da extensão padrão para esses formatos, o anexo terá uma extensão de arquivo executável - exe. Quando tal arquivo é aberto e iniciado, o sistema é “infectado” e, por meio de uma vulnerabilidade, um vírus é carregado diretamente no sistema operacional Windows, criptografando os dados do usuário.

Este pode não ser o único método de distribuição do WannaCry - você pode se tornar uma vítima baixando arquivos “infectados” em redes sociais, rastreadores de torrent e outros sites.

WannaCry – como se proteger do vírus ransomware

1. Instale o patch para Microsoft Windows. Em 14 de maio, a Microsoft lançou um patch de emergência para as seguintes versões – Vista, 7, 8.1, 10, Windows Server. Você pode instalar este patch simplesmente executando uma atualização do sistema por meio do serviço Windows Update.

2. Utilizar software antivírus com bancos de dados atualizados. Desenvolvedores de software de segurança conhecidos, como Kaspersky, Dr.Web, já lançaram uma atualização para seus produtos contendo informações sobre o WannaCry, protegendo assim seus usuários.

3. Salve dados importantes em uma mídia separada. Se o seu computador ainda não for compatível, você pode salvar os arquivos mais importantes em uma mídia separada (unidade flash, disco). Com essa abordagem, mesmo que você se torne uma vítima, você salvará os arquivos mais valiosos da criptografia.

No momento, todos esses são métodos eficazes conhecidos de proteção contra o WannaCry.

Descriptografador WannaCry, onde fazer o download e é possível remover o vírus?

Os vírus ransomware pertencem à categoria dos vírus mais “desagradáveis”, porque... na maioria dos casos, os arquivos do usuário são criptografados com uma chave de 128 ou 256 bits. O pior é que em cada caso a chave é única e descriptografar cada uma requer enormes poder de computação, o que torna quase impossível tratar usuários “comuns”.

Mas e se você se tornar vítima do WannaCry e precisar de um descriptografador?

1. Entre em contato com o fórum de suporte da Kaspersky Lab - https://forum.kaspersky.com/ com uma descrição do problema. O fórum é composto por representantes de empresas e voluntários que ajudam ativamente a resolver problemas.

2. Como no caso do conhecido criptografador CryptXXX, foi encontrada uma solução universal para descriptografar arquivos que foram criptografados. Não se passou mais de uma semana desde que o WannaCry foi descoberto, e os especialistas dos laboratórios de antivírus ainda não conseguiram encontrar essa solução para ele.

3. A solução fundamental será - remoção completa SO de um computador seguido de uma instalação limpa de um novo. Nesta situação, todos os arquivos e dados do usuário são completamente perdidos, juntamente com a remoção do WannaCry.

Cerca de uma ou duas semanas atrás, outro hack de criadores de vírus modernos apareceu na Internet, que criptografa todos os arquivos do usuário. Mais uma vez considerarei a questão de como curar um computador após um vírus ransomware criptografado000007 e recuperar arquivos criptografados. Neste caso, nada de novo ou único apareceu, apenas uma modificação da versão anterior.

Descriptografia garantida de arquivos após um vírus ransomware - dr-shifro.ru. Os detalhes da obra e o esquema de interação com o cliente estão abaixo no meu artigo ou no site na seção “Procedimento de Trabalho”.

Descrição do vírus ransomware CRYPTED000007

O criptografador CRYPTED000007 não é fundamentalmente diferente de seus antecessores. Funciona quase exatamente da mesma maneira. Mas ainda existem várias nuances que o distinguem. Vou te contar tudo em ordem.

Chega, como seus análogos, pelo correio. Técnicas de engenharia social são utilizadas para garantir que o usuário se interesse pela carta e a abra. No meu caso, a carta falava de algum tipo de tribunal e informação importante sobre o caso em anexo. Após iniciar o anexo, o usuário abre um documento Word com extrato do Tribunal Arbitral de Moscou.

Paralelamente à abertura do documento, a criptografia do arquivo é iniciada. Uma mensagem informativa do sistema de Controle de Conta de Usuário do Windows começa a aparecer constantemente.

Se você concordar com a proposta, os backups dos arquivos nas cópias de sombra do Windows serão excluídos e a restauração das informações será muito difícil. É óbvio que não pode concordar com a proposta em circunstância alguma. Neste criptografador, essas solicitações aparecem constantemente, uma após a outra e não param, obrigando o usuário a concordar e excluir as cópias de backup. Esta é a principal diferença em relação às modificações anteriores de criptografadores. Nunca encontrei solicitações para excluir cópias de sombra sem parar. Normalmente, depois de 5 a 10 ofertas, eles pararam.

Darei imediatamente uma recomendação para o futuro. É muito comum que as pessoas desabilitem os avisos do Controle de Conta de Usuário. Não há necessidade de fazer isso. Este mecanismo pode realmente ajudar na resistência aos vírus. O segundo conselho óbvio é não trabalhar constantemente sob conta administrador de computador, a menos que haja uma necessidade objetiva disso. Nesse caso, o vírus não terá oportunidade de causar muitos danos. Você terá mais chances de resistir a ele.

Mas mesmo que você sempre tenha respondido negativamente às solicitações do ransomware, todos os seus dados já estão criptografados. Após a conclusão do processo de criptografia, você verá uma imagem em sua área de trabalho.

Ao mesmo tempo, haverá muitos arquivos de texto com o mesmo conteúdo.

Seus arquivos foram criptografados. Para descriptografar ux, você precisa enviar o código: 329D54752553ED978F94|0 para o endereço de e-mail [e-mail protegido]. A seguir você receberá todas as instruções necessárias. As tentativas de decifrar por conta própria não levarão a nada além de uma quantidade irrevogável de informações. Se você ainda quiser tentar, primeiro faça cópias de backup dos arquivos, caso contrário, em caso de alteração, a descriptografia se tornará impossível em qualquer circunstância. Se você não recebeu a notificação no endereço acima em até 48 horas (somente neste caso!), utilize o formulário de contato. Isso pode ser feito de duas maneiras: 1) Baixe e instale o navegador Tor usando o link: https://www.torproject.org/download/download-easy.html.en No endereço do navegador Tor, digite o endereço: http: //cryptsen7fo43rr6 .onion/ e pressione Enter. A página com o formulário de contato será carregada. 2) Em qualquer navegador, acesse um dos endereços: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Todos os arquivos importantes do seu computador foram criptografados. Para descriptografar os arquivos você deve enviar o seguinte código: 329D54752553ED978F94|0 para o endereço de e-mail [e-mail protegido]. Então você irá receba todas as instruções necessárias. Todas as tentativas de descriptografia por conta própria resultarão apenas na perda irrevogável de seus dados. Se você ainda quiser tentar descriptografá-los sozinho, faça um backup primeiro, pois a descriptografia se tornará impossível em caso de qualquer alteração nos arquivos. Se você não recebeu a resposta do referido e-mail por mais de 48 horas (e somente neste caso!), utilize o formulário de feedback. Você pode fazer isso de duas maneiras: 1) Baixe o navegador Tor aqui: https://www.torproject.org/download/download-easy.html.en Instale-o e digite o seguinte endereço na barra de endereço: http:/ /cryptsen7fo43rr6.onion/ Pressione Enter e a página com o formulário de feedback será carregada. 2) Vá para um dos seguintes endereços em qualquer navegador: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

O endereço para correspondência pode mudar. Também encontrei os seguintes endereços:

Os endereços são atualizados constantemente, por isso podem ser completamente diferentes.

Assim que você descobrir que seus arquivos estão criptografados, desligue imediatamente o computador. Isso deve ser feito para interromper o processo de criptografia no computador local e nas unidades de rede. Um vírus de criptografia pode criptografar todas as informações que pode alcançar, inclusive em unidades de rede. Mas se houver uma grande quantidade de informações lá, isso levará um tempo considerável. Às vezes, mesmo depois de algumas horas, o criptógrafo não tinha tempo de criptografar tudo unidade de rede aproximadamente 100 gigabytes.

Em seguida, você precisa pensar cuidadosamente sobre como agir. Se você precisa de informações sobre seu computador a qualquer custo e não possui cópias de segurança, é melhor neste momento recorrer a especialistas. Não necessariamente por dinheiro para algumas empresas. Você só precisa de alguém que seja bom em sistemas de informação. É necessário avaliar a dimensão do desastre, remover o vírus e recolher toda a informação disponível sobre a situação para saber como proceder.

Ações incorretas nesta fase podem complicar significativamente o processo de descriptografia ou restauração de arquivos. Na pior das hipóteses, eles podem tornar isso impossível. Portanto, não tenha pressa, seja cuidadoso e consistente.

Como o vírus ransomware CRYPTED000007 criptografa arquivos

Depois que o vírus for lançado e terminar sua atividade, todos os arquivos úteis serão criptografados, renomeados de extensão.crypted000007. Além disso, não apenas a extensão do arquivo será substituída, mas também o nome do arquivo, então você não saberá exatamente que tipo de arquivo possui se não se lembrar. Vai parecer algo assim.

Em tal situação, será difícil avaliar a escala da tragédia, pois você não conseguirá se lembrar totalmente do que aconteceu em sua vida. pastas diferentes. Isso foi feito especificamente para confundir as pessoas e incentivá-las a pagar pela descriptografia de arquivos.

E se você tivesse criptografado e pastas de rede e não há backups completos, isso pode interromper completamente o trabalho de toda a organização. Levará um tempo para você descobrir o que foi perdido para iniciar a restauração.

Como tratar o seu computador e remover o ransomware CRYPTED000007

O vírus CRYPTED000007 já está no seu computador. A primeira e mais importante questão é como desinfetar um computador e como remover um vírus dele para evitar criptografia adicional, caso ainda não tenha sido concluída. Gostaria de chamar imediatamente a sua atenção para o fato de que depois que você mesmo começa a realizar algumas ações com o seu computador, as chances de descriptografar os dados diminuem. Se precisar recuperar arquivos a qualquer custo, não toque no seu computador, mas entre em contato imediatamente com profissionais. Abaixo falarei sobre eles e fornecerei um link para o site e descreverei como funcionam.

Enquanto isso, continuaremos a tratar o computador de forma independente e a remover o vírus. Tradicionalmente, o ransomware é facilmente removido de um computador, já que o vírus não tem a função de permanecer no computador a qualquer custo. Depois de criptografar completamente os arquivos, é ainda mais lucrativo para ele se deletar e desaparecer, tornando mais difícil investigar o incidente e descriptografar os arquivos.

Descrever remoção manual vírus é difícil, embora eu tenha tentado fazer isso antes, mas vejo que na maioria das vezes é inútil. Os nomes dos arquivos e os caminhos de localização dos vírus mudam constantemente. O que vi não será mais relevante em uma ou duas semanas. Normalmente, os vírus são enviados por correio em ondas, e a cada vez há uma nova modificação que ainda não foi detectada pelos antivírus. Ferramentas universais que verificam a inicialização e detectam atividades suspeitas nas pastas do sistema ajudam.

Para remover o vírus CRYPTED000007, você pode usar os seguintes programas:

  1. Ferramenta de remoção de vírus Kaspersky - um utilitário da Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
  2. Dr.Web CureIt! - um produto semelhante de outro site http://free.drweb.ru/cureit.
  3. Se os dois primeiros utilitários não ajudarem, tente MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Muito provavelmente, um desses produtos irá limpar o seu computador do ransomware CRYPTED000007. Se de repente acontecer que eles não ajudem, tente remover o vírus manualmente. Dei um exemplo do método de remoção e você pode ver lá. Resumidamente, passo a passo, você precisa agir assim:

  1. Observamos a lista de processos, depois de adicionar várias colunas adicionais ao gerenciador de tarefas.
  2. Encontramos o processo do vírus, abrimos a pasta onde ele está e o excluímos.
  3. Limpamos a menção ao processo do vírus pelo nome do arquivo no registro.
  4. Reinicializamos e garantimos que o vírus CRYPTED000007 não esteja na lista de processos em execução.

Onde baixar o descriptografador CRYPTED000007

A questão de um descriptografador simples e confiável surge primeiro quando se trata de um vírus ransomware. A primeira coisa que recomendo é usar o serviço https://www.nomoreransom.org. E se você tiver sorte e eles tiverem um descriptografador para sua versão do criptografador CRYPTED000007. Direi desde já que você não tem muitas chances, mas tentar não é uma tortura. Sobre pagina inicial clique em Sim:

Em seguida, baixe alguns arquivos criptografados e clique em Ir! Descobrir:

No momento em que este artigo foi escrito, não havia descriptografador no site.

Talvez você tenha mais sorte. Você também pode ver a lista de descriptografadores para download em uma página separada - https://www.nomoreransom.org/decryption-tools.html. Talvez haja algo útil aí. Quando o vírus está completamente fresco, há poucas chances de isso acontecer, mas com o tempo, algo pode aparecer. Há exemplos em que decodificadores para algumas modificações de criptografadores apareceram na rede. E esses exemplos estão na página especificada.

Não sei onde mais você pode encontrar um decodificador. É improvável que realmente exista, dadas as peculiaridades do trabalho dos criptografadores modernos. Somente os autores do vírus podem ter um descriptografador completo.

Como descriptografar e recuperar arquivos após o vírus CRYPTED000007

O que fazer quando o vírus CRYPTED000007 criptografou seus arquivos? Implementação técnica a criptografia não permite descriptografar arquivos sem uma chave ou descriptografador, que apenas o autor do criptografador possui. Talvez haja alguma outra maneira de conseguir isso, mas não tenho essa informação. Só podemos tentar recuperar arquivos usando métodos improvisados. Esses incluem:

  • Ferramenta cópias de sombra janelas.
  • Programas de recuperação de dados excluídos

Primeiro, vamos verificar se temos cópias de sombra habilitadas. Esta ferramenta funciona por padrão no Windows 7 e superior, a menos que você a desative manualmente. Para verificar, abra as propriedades do computador e vá para a seção de proteção do sistema.

Se durante a infecção você não confirmou a solicitação do UAC para excluir arquivos em cópias de sombra, alguns dados deverão permanecer lá. Falei mais detalhadamente sobre esse pedido no início da matéria, quando falei sobre o trabalho do vírus.

Para restaurar facilmente arquivos de cópias de sombra, sugiro usar programa gratuito para este propósito - ShadowExplorer. Baixe o arquivo, descompacte o programa e execute-o.

Será aberta a cópia mais recente dos arquivos e a raiz da unidade C. No canto superior esquerdo, você pode selecionar uma cópia de backup se tiver várias delas. Verifique diferentes cópias dos arquivos necessários. Compare por data a versão mais recente. No meu exemplo abaixo, encontrei 2 arquivos em minha área de trabalho de três meses atrás, quando foram editados pela última vez.

Consegui recuperar esses arquivos. Para fazer isso, selecionei-os, cliquei com o botão direito, selecionei Exportar e especifiquei a pasta onde restaurá-los.

Você pode restaurar pastas imediatamente usando o mesmo princípio. Se você tinha cópias de sombra funcionando e não as excluiu, você tem uma boa chance de recuperar todos ou quase todos os arquivos criptografados pelo vírus. Talvez alguns deles sejam mais versão antiga, do que gostaríamos, mas mesmo assim é melhor que nada.

Se por algum motivo você não tiver cópias de sombra de seus arquivos, sua única chance de obter pelo menos algo dos arquivos criptografados é restaurá-los usando ferramentas de recuperação arquivos excluídos. Para fazer isso, sugiro usar o programa gratuito Photorec.

Inicie o programa e selecione o disco no qual você irá restaurar os arquivos. Iniciar a versão gráfica do programa executa o arquivo qphotorec_win.exe. Você deve selecionar uma pasta onde os arquivos encontrados serão colocados. É melhor que esta pasta não esteja localizada na mesma unidade onde estamos pesquisando. Conecte uma unidade flash ou externa Disco rígido por esta.

O processo de pesquisa levará muito tempo. No final você verá estatísticas. Agora você pode ir para a pasta especificada anteriormente e ver o que é encontrado lá. Provavelmente haverá muitos arquivos e a maioria deles estará danificada ou será algum tipo de sistema e arquivos inúteis. Mesmo assim, alguns arquivos úteis podem ser encontrados nesta lista. Não há garantias aqui; o que você encontra é o que você encontrará. As imagens geralmente são melhor restauradas.

Se o resultado não o satisfizer, também existem programas para recuperar arquivos excluídos. Abaixo está uma lista de programas que costumo usar quando preciso restaurar Quantia máxima arquivos:

  • R.saver
  • Recuperação de arquivos Starus
  • Recuperação JPEG Pro
  • Profissional de recuperação de arquivos ativo

Esses programas não são gratuitos, portanto não fornecerei links. Se você realmente quiser, poderá encontrá-los na Internet.

Todo o processo de recuperação de arquivos é mostrado em detalhes no vídeo no final do artigo.

Kaspersky, eset nod32 e outros na luta contra o criptografador Filecoder.ED

Antivírus populares detectam o ransomware CRYPTED000007 como Codificador de arquivo.ED e então pode haver alguma outra designação. Examinei os principais fóruns de antivírus e não vi nada de útil lá. Infelizmente, como sempre, o software antivírus revelou-se despreparado para a invasão de uma nova onda de ransomware. Aqui está uma postagem do fórum Kaspersky.

Os antivírus tradicionalmente ignoram novas modificações de Trojans ransomware. No entanto, recomendo usá-los. Se você tiver sorte e receber um e-mail de ransomware não na primeira onda de infecções, mas um pouco mais tarde, há uma chance de que o antivírus o ajude. Todos eles trabalham um passo atrás dos atacantes. Acontece que uma nova versão ransomware, os antivírus não respondem a ele. Assim que uma certa quantidade de material para pesquisa de um novo vírus se acumula, o software antivírus lança uma atualização e começa a responder a ela.

Não entendo o que impede os antivírus de responder imediatamente a qualquer processo de criptografia no sistema. Talvez haja alguma nuance técnica neste tópico que não nos permite responder adequadamente e impedir a criptografia dos arquivos do usuário. Parece-me que seria possível pelo menos exibir um aviso sobre o fato de alguém estar criptografando seus arquivos e oferecer a interrupção do processo.

Onde ir para obter descriptografia garantida

Acontece que conheci uma empresa que realmente descriptografa dados após o trabalho de vários vírus de criptografia, incluindo CRYPTED000007. O endereço deles é http://www.dr-shifro.ru. Pagamento somente após descriptografia completa e sua verificação. Aqui está um esquema aproximado de trabalho:

  1. Um especialista da empresa vai até seu escritório ou casa e assina com você um acordo que define o custo da obra.
  2. Inicia o descriptografador e descriptografa todos os arquivos.
  3. Você se certifica de que todos os arquivos estão abertos e assina o certificado de entrega/aceitação do trabalho concluído.
  4. O pagamento é feito somente após resultados de descriptografia bem-sucedidos.

Vou ser sincero, não sei como fazem isso, mas você não arrisca nada. Pagamento somente após demonstração do funcionamento do decodificador. Por favor, escreva um comentário sobre sua experiência com esta empresa.

Métodos de proteção contra o vírus CRYPTED000007

Como se proteger de ransomware e evitar danos materiais e morais? Existem algumas dicas simples e eficazes:

  1. Cópia de segurança! Cópia de segurança todos os dados importantes. E não apenas um backup, mas um backup ao qual não há acesso constante. Caso contrário, o vírus pode infectar seus documentos e cópias de segurança.
  2. Antivírus licenciado. Embora não ofereçam 100% de garantia, aumentam as chances de evitar a criptografia. Na maioria das vezes, eles não estão prontos para novas versões do criptografador, mas após 3-4 dias começam a responder. Isso aumenta suas chances de evitar a infecção caso você não tenha sido incluído na primeira onda de distribuição de uma nova modificação do ransomware.
  3. Não abra anexos suspeitos no correio. Não há nada a comentar aqui. Todos os ransomware que conheço chegaram aos usuários por e-mail. Além disso, toda vez que novos truques são inventados para enganar a vítima.
  4. Não abra impensadamente links enviados a você por seus amigos via mídia social ou mensageiros. É também assim que os vírus às vezes se espalham.
  5. Habilite o Windows para exibir extensões de arquivo. Como fazer isso é fácil de encontrar na Internet. Isso permitirá que você observe a extensão do arquivo do vírus. Na maioria das vezes será .exe, .vbs, .src. Em seu trabalho diário com documentos, é improvável que você encontre essas extensões de arquivo.

Tentei complementar o que já escrevi antes em cada artigo sobre o vírus ransomware. Enquanto isso, digo adeus. Eu ficaria feliz em receber comentários úteis sobre o artigo e sobre o vírus ransomware CRYPTED000007 em geral.

Vídeo sobre descriptografia e recuperação de arquivos

Aqui está um exemplo de uma modificação anterior do vírus, mas o vídeo é totalmente relevante para CRYPTED000007.



ARTIGOS RELACIONADOS