1. Прийшов травень, Познайомтеся з WannaCry.
2. Wanna назва вірусу шифрувальника який почав свою діяльність скажімо так 12 травня 2017 заразив в 90 країнах комп'ютери користувачів і компаній. Microsoft офіційно випустила патчі для старих операційних систем, які більше не підтримуються і є застарілими. Повний списокі всі посилання наведу наприкінці статті.

Як проявляє себе Wanna?

3. Як і всі віруси шифрувальники в процесі шифрування важко помітити якщо ви випадково самі не побачили, що файли змінюються і стають з іншим розширенням. Наприклад із цим вірусом зашифровані файли виглядатимуть так: назва файла.png.WNCRY
4. Нижче надана карта зараження вірусом країн у перші години зараження та розповсюдження, картка від компанії Sumantec.
5. Далі як виявляє вірус після того, як зашифрував файли, користувачеві буде показано повідомлення і можна вибрати відповідну мову. Що повідомляє, що ваші файли заражені і перейдіть до дій про оплату скажемо так.
6. Друге вікно показує скільки і як ви повинні заплатити, перевести 300 біткойнів. А також таймер для зворотного відліку.
7. Фон робочого столу та інші фонові зображення показують повідомлення:
8. Зашифровані файли мають подвійне розширення, наприклад, назву файлу.doc.WNCRY. Нижче наведено як це виглядає:
9. Також у кожній папці є файл @ [email protected]для дешифрування після викупу (можливо, але спали), а також текстовий документ @[email protected]в якому є що почитати користувачеві (теж можливо, але спасли).

Вірус шифрує файли з такими розширеннями:

10. Хочу зауважити, що серед розширень, які шифрує WannaCry, немає розширення 1С, яке використовується в Росії.
11. Також прошу звернути увагу на найголовніше у відновленні ваших файлів після зараження. Можливо якщо у вас включений захист системи, а саме тіньове копіювання тому і працює uac система контролю облікових записів, а вона працює швидше за все якщо ви не відключали. То вірус запропонує відключити захист системи для неможливості відновлення зашифрованих файлів а саме віддалених після шифрування. Звичайно в такому разі не в якомусь роді не погоджуватися з відключенням. Виглядає приблизно так:

Bitcoin гаманці шахраїв.

12. Тут найцікавіше, як зростає сума на гаманці шахраїв. Bitcoin wallet:
17. поспостерігайте заходячи хоча б раз на день на скільки виріс прибуток шахраїв і ви здивуєтеся повірте! Це звичайний Wallet Bitcoin сервіс в якому будь-хто може зареєструвати собі гаманець, немає нічого страшного якщо ви подивіться статистику поповнення гаманця.
18. WannaCry 1.0 поширювався за допомогою спаму та сайтів. Версія 2.0 ідентична першої версії але до неї додали хробака який поширювалася самостійно потрапляючи на комп'ютери жертви через протокол.

Корпорація Microsoft на боротьбі з Wanna:

19. Microsoft пропонує встановити пакети оновлень для користувачів старих операційних систем:

Windows Server 2003 SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64

Перейти на офіційний blogs.technet.microsoft

Що говорить Kaspersky?

20. На офіційному блозі Kaspersky більш детально розписаний процес і є кілька додатків, які ви можете дізнатися, правда англійською мовою.

Securelist.

21. Доповнилося статтею support kaspersky від 15 трав 2017р.

.

22. Також ви можете переглянути інтерактивну картукібер загроз і дізнатися про поширення вірусу в реальному часі:

Intel malwaretech карта з вірусу WannaCry 2.0:

23. Ще карта але саме за вірусом WannaCry2.0 розповсюдження вірусу в реальному часі (якщо карта після переходу не запрацювала оновіть сторінку):

Відео Comodo Firewall 10 vs WannaCry Ransomware про технологію захисту:

офіційний сайт.

596 варіантів WannaCry

24. Незалежна лабораторія виявила 596 зразків WannaCrypt. Список хешів SHA256:

Від автора:

25. Від себе додам оскільки використовую захист від Comodo is 10 і на додачу і найкращий антивірус це ви самі. Як то кажуть береженого бог береже, а захист у мене такий, тому що в міру роботи мені доводиться виконувати різні завдання, в яких є місце просочитися вірусним атакам, назвемо їх так.
26. Відключіть протокол SMB1 на час доки не встановите оновлення захисту або якщо він вам не потрібен зовсім за допомогою командного рядка, запускаєте cmd від імені адмінстратора системи та за допомогою dism відключаємо протокол, команда:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

27. А також інші методи включення та відключення протоколу SMBv1,2,3 на офіційному сайті Microsoft.
28. У графічному інтерфейсі відключення протоколу можна зробити так: Панель управління > Встановлення та видалення програм (Видалення або зміна програми) > Увімкнення або вимкнення компонентів Windows> далі малюнок нижче.

Доброго дня шановні читачі та гості блогу, як ви пам'ятаєте у травні 2017 року, почалася масштабна хвиля зараження комп'ютерів з операційною системою Windows, новим вірусом шифрувальником, на ім'я WannaCry, в результаті чого він зміг заразити і зашифрувати дані, більш ніж на 500 000 комп'ютерів, ви тільки вдумайтеся в цю цифру. Найстрашніше, що цей різновид вірусів практично не відловлюється сучасними антивірусними рішеннями, що робить його ще більш загрозливим, нижче я вам розповім метод, як убезпечити свої дані від його впливу і як захиститися від шифрувальниківза хвилину, гадаю вам це буде цікаво.

Що таке вірус шифратор

Вірус шифрувальник - це різновид троянської програми, в завдання якої входить зараження робочої станції користувача, виявлення на ньому файлів необхідного формату (наприклад, фото, аудіозаписи, відео файли) їх подальше шифрування зі зміною типу файлу , в результаті чого користувач більше не зможе відкрити, без спеціальної програмидешифратора. Виглядає це так.

Формати зашифрованих файлів

Найпоширенішими форматами файлів після шифрування є:

• no_more_ransom
• vault

Наслідки вірусу шифрувальника

Опишу найпоширеніший випадок, у якому задіяний вірус шифратор. Уявімо звичайного користувача в будь-якій абстрактній організації, у 90 відсотках випадків у користувача є інтернет за його робочим місцем, оскільки за допомогою нього він приносить прибуток компанії, він робить серфінг в інтернет просторі. Людина не робот і може відволікатися від роботи, переглядаючи цікаві йому сайти, або сайти, які йому порадив його друг. В результаті цієї діяльності він може заразити свій комп'ютер шифрувальником файлів, сам того не підозрюючи і дізнатися про це, тоді, коли вже буде пізно. вірус зробив свою справу.

Вірус в момент своєї роботи намагається обробити всі файли, до яких у нього є доступ, тут і починається, що важливі документи в папці відділу, до яких у користувача є доступ, раптом перетворюються на сміття, локальні файли і багато іншого. Зрозуміло, що мають бути резервні копії файлових куль, але як бути з локальними файлами, які можуть становити всю роботу людини, в результаті компанія втрачає гроші за просту роботу, а системний адміністратор виходить із зони комфорту і витрачає свій час на розшифровку файлів.

Те саме може бути і у пересічної людини, але наслідки тут локальні і стосуються особисто його та його сім'ї, дуже сумно бачити випадки, коли вірус зашифрував усі файли, включаючи сімейних архів фотографій і у людей не залишилося резервної копії, ну не прийнято у звичайних користувачів її робити.

З хмарними сервісами все не так просто, якщо ви все зберігаєте там і не використовуєте товстого клієнта у себе в операційній системі Windows, одна справа, там у 99% вам нічого не загрожує, але якщо ви використовуєте, наприклад, "Яндекс диск" або "mail Хмара" синхронізуючи файли зі свого комп'ютера на нього, то заразившись і отримавши, що всі файли зашифровані, програма їх відправить хмару і ви так само все втратите.

У результаті ви бачите картинку на зразок цієї, де вам повідомляється, що всі файли зашифровані і вам необхідно відправити гроші, зараз це робиться в биткоинах, щоб не обчислити зловмисників. Після оплати вам нібито повинні надіслати дешифратор і ви все відновите.

Ніколи не надсилайте гроші зловмисникам

Запам'ятайте, що жоден сучасний антивірус, на сьогоднішній момент не може забезпечити windows захист від шифрувальників, з однієї простої причини, що даний троян нічого підозрілого з його точки зору не робить, він по суті веде себе як користувач, він читає файли, записує, на відміну від вірусів він не намагається змінити системні файлиабо додати ключі реєстру , тому його виявлення таке складне, немає межі, що відрізняє його від користувача

Джерела троянів шифрувальників

Спробуймо виділити основні джерела проникнення шифратора до вас на комп'ютер.

1. Електронна пошта > дуже часто людям приходять незрозумілі або фейкові листи з посиланнями або зараженими вкладеннями, клікнувши за якими жертва починає влаштовувати собі безсонну ніч. Як захистити електронну пошту я вам розповідав, раджу почитати.
2. Через програмне забезпечення- Ви завантажили програму з невідомого джерела або підробленого сайту, в ній зашитий вірус шифратор, і при встановленні ПЗ ви його собі заносите в операційну систему.
3. Через флешки - люди досі дуже часто ходять один до одного і переносять через флешки купу вірусів, раджу вам почитати "Захист флешки від вірусів"
4. Через ip камери та мережні пристрої мають доступ в інтернет - дуже часто через криві налаштування на роутері або ip камері підключеної в локальну мережу, хакери заражають комп'ютери в тій же мережі.

Як захистити від вірусу шифрувальника ваш ПК

Захищає від шифрувальників грамотне використання комп'ютера, а саме:

• Не відкривайте не відому вам пошту і не переходіть по незрозумілих посиланнях, яким би чином вони до вас не потрапили, будь то пошта або будь-який з месенджерів
• Максимально швидко встановлюйте оновлення операційної системи Windows або Linux, вони виходять не так часто приблизно раз на місяць. Якщо говорити про Microsoft, то це другий вівторок кожного місяця, але у випадку з шифрувальниками файлів, оновлення можуть бути і позаштатні.
• Не підключайте до свого комп'ютера невідомі флешки, просіть друзів краще скинути посилання на хмару.
• Переконайтеся, що якщо ваш комп'ютер не потрібно бути доступним у локальної мережідля інших комп'ютерів, вимкніть доступ до нього.
• Обмежте права доступу до файлів та папок
• Встановлення антивірусного рішення
• Не встановлюйте незрозумілі програми, зламані незрозуміло ким

З першими трьома пунктами все зрозуміло, а ось на двох, що залишилися, я зупинюся докладніше.

Відключаємо мережевий доступ до вашого комп'ютера

Коли мене запитують як організовується у windows захист від шифрувальників, то насамперед я рекомендую людям відключити "службу доступу до файлів та принтерів мереж Microsoft", яка дозволяє іншим комп'ютерам отримати доступ до ресурсів даного комп'ютераза допомогою мереж Microsoft. Це також актуально від цікавих системних адміністраторів, що працюють у вашого провайдера.

Вимкнути цю службуі захиститися від шифрувальниківу локальній або провайдерській мережі можна наступним чином. Натискаємо клавіші WIN+R і у вікні виконати, вводимо команду ncpa.cpl. Я це покажу на своєму тестовому комп'ютері з операційною системою Windows 10 Creators Update.

Вибираємо потрібний мережевий інтерфейс і клацаємо по ньому правою кнопкоюмиші, з контекстного менювибираємо пункт "Властивості"

Знаходимо пункт " Загальний доступдо файлів і принтерів для мереж Microsoft і знімаємо з нього галку, після чого зберігаємо, все це допоможе захистити комп'ютер від вірусу шифрувальника в локальній мережі, ваша робоча станція просто не буде доступна.

Обмеження прав доступу

Захист від вірусу шифрувальника в windows може бути реалізований таким цікавим способом, я розповім як я зробив для себе. І так основна проблема в боротьбі з шифрувальниками, полягає в тому, що антивіруси просто не можуть в режимі реального часу з ними боротися, ну не може він на сьогоднішній момент захистити вас, тому будемо хитрішими. Якщо вірус шифратора немає прав на запис, то він і не зможе нічого зробити з вашими даними. Наведу приклад, у мене є папка фотографії, вона зберігається локально на комп'ютері плюс є дві резервні копії на різних жорстких дисках. На своєму локальному комп'ютерія зробив на неї права, тільки на читання, для того облікового запису, під яким сиджу за комп'ютером. Якби вірус потрапив, то прав у нього просто не вистачило б, все як просто бачите.

Як усе це продати, щоб захиститися від шифрувальників файлів і все зберегти, робимо таке.

• Вибираємо потрібні папки. Прагніть використовувати саме папки, з ними простіше призначати права. А в ідеалі створіть папку під назвою тільки для читання і вже в неї поміщайте всі потрібні вам файли та папки. Чим добре, призначивши на верхній папці права, вони автоматично будуть застосовані і для інших папок, що знаходяться в ній. Як тільки скопіюєте всі потрібні файли та папки до неї, переходьте до наступного пункту
• Клацаємо по папці правим кліком з меню вибираємо "Властивості"

• Переходимо на вкладку "Безпека" та натискаємо кнопку "Змінити"

• Спробуємо видалити групи доступу, якщо отримуєте вікно із попередженням, що "Неможливо видалити групу, оскільки цей об'єкт успадковує дозволи від свого батька", то закриваємо його.

• Натискаємо кнопку "Додатково". У пункті, що відкрилося, натисніть "відключити успадкування"

• На питання "Що ви хочете зробити з поточним успадкованим дозволом" виберіть "Видалити всі успадковані дозволи з цього об'єкта"

• У результаті в полі "Дозволи" усі будуть видалені.

• Зберігаємо зміни. Зверніть увагу, що тепер власник папки може змінювати дозволи.

• Тепер на вкладці "Безпека" натисніть "Змінити"

• Далі натискаємо "Додати - Додатково"

• Нам необхідно додати групу "Всі", для цього натисніть "Пошук" та виберіть потрібну групу.

• Для захисту Windows від шифрувальника, у вас для групи "Всі" повинні бути виставлені права, як на зображенні.

• Все тепер ніякий вірус шифратор вам для ваших файлів у цій директорії не загрожує.

Я сподіваюся, що Microsoft та інші антивірусні рішення зможуть покращити свої продукти та захистять комп'ютери від шифрувальників, до їх шкідливої ​​роботи, але поки цього не сталося, дотримуйтесь тих правил, що я вам описав і робіть резервні копії важливих даних.

Вірус WannaCry «прогримів» на весь світ 12 травня, цього дня про зараження своїх мереж заявили низка медичних закладів у Великій Британії, Іспанська телекомунікаційна компанія та МВС Росії повідомили про відбиття хакерської атаки.

WannaCry (у народі його вже встигли прозвати Вона край) відноситься до розряду вірусів шифрувальників (крипторів), який при попаданні на ПК шифрує користувацькі файли криптостійким алгоритмом, згодом – читання цих файлів стає неможливим.

На даний момент відомі такі популярні розширення файлів, що піддаються шифруванню WannaCry:

1. Популярні файли Microsoft Office(.xlsx, .xls, .docx, .doc).
2. Файли архівів та медіа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - як поширюється вірус

Раніше ми згадували про цей спосіб поширення вірусів у статті про , так що – нічого нового.

на Поштова скринькакористувача приходить лист із «нешкідливим» вкладенням – це може бути картинка, відео, пісня, але замість стандартного розширення для цих форматів, вкладення матиме розширення файлу, що виконується – exe. При відкритті та запуску такого файлу відбувається «інфікування» системи і через вразливість в OS Windows завантажується безпосередньо вірус, що шифрує дані користувача.

Можливо, це не єдиний метод поширення WannaCry – стати жертвою ви можете при завантаженні «інфікованих» файлів у соціальних мережах, торрент-трекерах та інших сайтах.

WannaCry - як захиститися від вірусу шифрувальника

1. Встановити патч для Microsoft Windows. 14 Травня Microsoft випустила екстрений патч для наступних версій – Vista, 7, 8.1, 10, Windows Server. Встановити цей патч можна просто запустивши оновлення системи через службу оновлень Windows.

2. Використання антивірусного програмного забезпечення з актуальними базами даних. Відомі розробники захисного ПЗ, такі, як Касперський, Dr.Web, вже випустили оновлення для своїх продуктів, що містять інформацію про WannaCry, тим самим убезпечивши своїх користувачів.

3. Збережіть важливі дані на окремий носій. Якщо ваш комп'ютер ще не подає, ви можете зберегти найважливіші файли на окремий носій (flash-накопичувач, диск). За такого підходу, навіть ставши жертвою – ви збережете найцінніші файли від шифрування.

На даний момент це все відомі ефективні способи захисту від WannaCry.

WannaCry дешифратор, де завантажити і чи можна видалити вірус?

Віруси шифрувальники відносяться до розряду самих «противних» вірусів, т.к. в більшості випадків файли користувача шифруються 128bit'ним або 256bit'ним ключем. Найстрашніше, у кожному випадку - ключ унікальний і на розшифровку кожного потрібні величезні обчислювальні потужностіщо робить практично неможливим лікування «пересічних» користувачів.

Але, як бути, якщо ви стали жертвою WannaCry і потрібен дешифратор?

1. Зверніться на форум підтримки Лабораторії Касперського – https://forum.kaspersky.com/ з описом проблеми. На форумі працюють як представники компанії, так і волонтери, які активно допомагають у вирішенні проблем.

2. Як і у випадку з відомим шифрувальником CryptXXX – було знайдено універсальне рішення для дешифрування файлів, що зазнали кодування. З моменту виявлення WannaCry минуло не більше тижня, і фахівці з антивірусних лабораторій ще не встигли знайти таке рішення для нього.

3. Кардинальним рішенням буде повне видалення OS з комп'ютера з наступною чистою інсталяцією нової. При такому розкладі – всі файли користувача та дані повністю губляться, разом з видаленням WannaCry.

Близько тижня-двох тому в мережі з'явився черговий виріб сучасних вірусоделів, який шифрує всі файли користувача. Вкотре розгляну питання як вилікувати комп'ютер після вірусу шифрувальника crypted000007та відновити зашифровані файли. В даному випадку нічого нового та унікального не з'явилося, просто модифікація попередньої версії.

Гарантована розшифровка файлів після вірусу шифрувальника - dr-shifro.ru. Подробиці роботи та схема взаємодії із замовником нижче у мене у статті або на сайті у розділі «Порядок роботи».

Опис вірусу шифрувальника CRYPTED000007

Шифрувальник CRYPTED000007 нічим принципово не відрізняється від своїх попередників. Діє він практично один на один як. Але все ж таки є кілька нюансів, які його відрізняють. Розповім про все по порядку.

Приходить він, як і його аналоги, поштою. Використовуються прийоми соціальної інженерії, щоб користувач неодмінно зацікавився листом та відкрив його. У моєму випадку в листі йшлося про якийсь суд і про важливої ​​інформаціїу справі у вкладенні. Після запуску вкладення користувача відкривається ордівський документ з випискою з арбітражного суду Москви.

Паралельно із відкриттям документа запускається шифрування файлів. Починає постійно вискакувати інформаційне повідомлення системи контролю облікових записів Windows.

Якщо погодитися з пропозицією, резервні копії файлів у тіньових копіях Windows будуть видалені і відновлення інформації буде дуже важко. Очевидно, що погоджуватися з пропозицією в жодному разі не можна. У цьому шифрувальнику ці запити вискакують постійно, один за одним і не припиняються, змушуючи користувача таки погодитися і видалити резервні копії. Це головна відмінність від попередніх модифікацій шифрувальників. Я ще жодного разу не стикався з тим, щоб запити видалення тіньових копій йшли без зупинки. Зазвичай, після 5-10 пропозицій вони припинялися.

Дам одразу рекомендацію на майбутнє. Дуже часто люди відключають попередження системи контролю облікових записів. Цього робити не треба. Цей механізм реально може допомогти у протистоянні вірусам. Друга очевидна порада - не працюйте постійно під обліковим записомадміністратора комп'ютера, якщо в цьому немає потреби. У такому разі вірус не матиме змоги сильно нашкодити. У вас буде більше шансів протистояти йому.

Але навіть якщо ви постійно відповідали негативно на запити шифрувальника, всі ваші дані вже шифруються. Після завершення процесу шифрування ви побачите на робочому столі картинку.

Одночасно з цим на робочому столі буде багато текстових файлівз тим самим змістом.

Ваші файли були зашифровані. Щоб розшифрувати ux, Baм необхідно відвернути код: 329D54752553ED978F94|0 на електронний адрес [email protected]. Далі ви отримаєте всі необхідні інструкції. Пошуки розшифровувати самостійно не приведеним ні до чого, крім безповоротної номери інформації. Якщо ви все ж таки хочете випробувати, то неодноразово зробіть резервні копії файлів, інакше у випадку ux зміни розшифровка коштує неможливої ​​ні за яких умов. Якщо ви не отримували омові по вищевказаному адресу протягом 48 годин (і дуже в цьому випадку!), Скористайтеся формою зворотного зв'язку. Це можна зробити двома способами: 1) Завантажте і виконайте Tor Browser за посиланням: https://www.torproject.org/download/download-easy.html.en .onion/ і натисніть клавішу Enter. 3авантажується сторінка з формою зворотного зв'язку. 2) В будь-якому браузері не реєструєтеся по одному адреси: http://cryptsen7fo43rr6.onion.to/ Щоб записати файли, ви повинні прочитати наступний код: 329D54752553ED978F94|0 до електронної пошти address [email protected]. Then you willотримувати всі необхідні інструкції. Всі аспекти звільнення від вас будутьв результаті тільки в невиправдані втрати з вашого data. Якщо ви хочете, щоб попросити їх, ви можете скористатись тим, що в першу чергу, щоб перевірити, щоб бути неможливим в разі будь-яких змін всередині файлів. Якщо ви не отримуєте повідомлення від отриманого електронної пошти для більше ніж 48 годин (і тільки в цьому випадку!), Використовуйте повідомлення. Ви можете до двох способів: 1) Download Tor Browser від цього: https://www.torproject.org/download/download-easy.html.en Install it and type following address in address bar: http:/ /cryptsen7fo43rr6.onion/ Натисніть клавішу Enter і на сторінці з backback form will be loaded. 2) Перейти до однієї з наступних адрес в будь-якому браузері: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Поштова адреса може змінюватись. Я зустрічав ще такі адреси:

• [email protected]
• [email protected]

Адреси постійно оновлюються, тому можуть бути зовсім різними.

Як тільки ви виявили, що файли зашифровані, одразу ж вимикайте комп'ютер. Це потрібно зробити, щоб перервати процес шифрування як на локальному комп'ютері, так і на мережевих дисках. Вірус-шифрувальник може зашифрувати всю інформацію, до якої зможе дотягнутися, у тому числі на мережевих дисках. Але якщо там великий обсяг інформації, то йому для цього знадобиться значний час. Іноді й за кілька годин шифрувальник не встигав усе зашифрувати на мережному дискуобсягом приблизно 100 гігабайт.

Далі треба добре подумати, як діяти. Якщо вам будь-що потрібна інформація на комп'ютері і у вас немає резервних копій, то краще в цей момент звернутися до фахівців. Не обов'язково за гроші у якісь фірми. Просто потрібна людина, яка добре розуміється на інформаційних системах. Необхідно оцінити масштаб лиха, видалити вірус, зібрати всю наявну інформацію щодо ситуації, щоб зрозуміти, як діяти далі.

Неправильні дії на даному етапі можуть суттєво ускладнити процес розшифрування чи відновлення файлів. У гіршому випадку можуть унеможливити його. Так що не поспішайте, будьте обережні та послідовні.

Як вірус здирник CRYPTED000007 шифрує файли

Після того, як вірус у вас був запущений і закінчив свою діяльність, всі корисні файли будуть зашифровані, перейменовані з розширенням.crypted000007. Причому не тільки розширення файлу буде замінено, а й ім'я файлу, так що ви не дізнаєтесь точно, що за файли у вас були, якщо самі не пам'ятаєте. Буде приблизно така картина.

У такій ситуації буде важко оцінити масштаб трагедії, тому що ви до кінця не зможете згадати, що ж у вас було в різних папках. Зроблено це спеціально, щоб збити людину з пантелику і спонукати до оплати розшифрування файлів.

А якщо у вас були зашифровані та мережеві папкиі немає повних бекапів, це може взагалі зупинити роботу всієї організації. Не одразу розберешся, що зрештою втрачено, щоб почати відновлення.

Як лікувати комп'ютер та видалити здирник CRYPTED000007

Вірус CRYPTED000007 вже на комп'ютері. Перше і найголовніше питання - як вилікувати комп'ютер і як видалити з нього вірус, щоб запобігти подальшому шифруванню, якщо воно ще не було закінчено. Відразу звертаю увагу на те, що після того, як ви самі почнете робити якісь дії зі своїм комп'ютером, шанси на розшифровку даних зменшуються. Якщо вам будь-що потрібно відновити файли, комп'ютер не чіпайте, а відразу звертайтеся до професіоналів. Нижче розповім про них і наведу посилання на сайт і опишу схему їх роботи.

А поки що продовжимо самостійно лікувати комп'ютер і видаляти вірус. Традиційно шифрувальники легко видаляються з комп'ютера, так як у вірусу немає завдання будь-що-будь залишитися на комп'ютері. Після повного шифрування файлів йому навіть вигідніше самовидалитись і зникнути, щоб було важче розслідувати ініціативу та розшифрувати файли.

Описати ручне видаленнявірусу важко, хоча я намагався раніше це робити, але бачу, що найчастіше це безглуздо. Назви файлів та шляхи розміщення вірусу постійно змінюються. Те, що бачив я вже не актуально за тиждень-два. Зазвичай розсилання вірусів поштою йде хвилями, і щоразу там нова модифікація, яка ще не детектується антивірусами. Допомагають універсальні засоби, які перевіряють автозапуск та детектують підозрілу активність у системних папках.

Для видалення вірусу CRYPTED000007 можна скористатися такими програмами:

1. Kaspersky Virus Removal Tool - утилітою від касперського http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - Схожий продукт від ін. веб http://free.drweb.ru/cureit
3. Якщо не допоможуть перші дві утиліти, спробуйте MALWAREBYTES 3.0 - https://ua.malwarebytes.com.

Швидше за все, щось із цих продуктів очистить комп'ютер від шифрувальника CRYPTED000007. Якщо так трапиться, що вони не допоможуть, спробуйте видалити вірус вручну. Методику видалення я наводив на прикладі і, можете подивитися там. Якщо коротко по кроках, то діяти треба так:

1. Дивимося список процесів, попередньо додавши кілька додаткових стовпців диспетчер завдань.
2. Знаходимо процес вірусу, відкриваємо папку, де він сидить і видаляємо його.
3. Чистимо згадку про процес вірусу на ім'я файлу в реєстрі.
4. Перезавантажуємось і переконуємося, що вірусу CRYPTED000007 немає у списку запущених процесів.

Де завантажити дешифратор CRYPTED000007

Питання простого і надійного дешифратора постає насамперед, коли справа стосується вірусу-шифрувальника. Перше, що я пораджу, це скористатися сервісом https://www.nomoreransom.org. А раптом вам пощастить у них буде дешифратор під вашу версію шифрувальника CRYPTED000007. Скажу відразу, що шансів у вас небагато, але спроба не катування. на головній сторінцінатискаєте Yes:

Потім завантажуєте пару зашифрованих файлів та натискаєте Go! Find out:

На момент написання статті дешифратора на сайті не було.

Можливо, вам пощастить більше. Можна ще ознайомитися зі списком дешифраторів для завантаження на окремій сторінці - https://www.nomoreransom.org/decryption-tools.html. Можливо, там знайдеться щось корисне. Коли вірус дуже свіжий шансів на це мало, але з часом можливо щось з'явиться. Є приклади, коли в мережі з'являлися дешифратори до деяких модифікацій шифрувальників. І ці приклади є на вказаній сторінці.

Де ще можна знайти дешифратора, я не знаю. Навряд чи реально існуватиме, з урахуванням особливостей роботи сучасних шифрувальників. Повноцінний дешифратор може лише у авторів вірусу.

Як розшифрувати та відновити файли після вірусу CRYPTED000007

Що робити, коли вірус CRYPTED000007 зашифрував ваші файли? Технічна реалізаціяшифрування не дозволяє розшифровувати файли без ключа або дешифратора, який є тільки у автора шифрувальника. Можливо, є ще якийсь спосіб його отримати, але в мене немає такої інформації. Нам залишається лише спробувати відновити файли вручну. До таких належать:

• Інструмент тіньових копій windows.
• Програми відновлення віддалених даних

Для початку перевіримо, чи у нас включені тіньові копії. Цей інструмент за замовчуванням працює у Windows 7 і вище, якщо ви його не відключили вручну. Для перевірки відкриваємо властивості комп'ютера та переходимо до розділу захисту системи.

Якщо ви під час зараження не підтвердили запит UAC на видалення файлів у тіньових копіях, якісь дані у вас там повинні залишитися. Докладніше про цей запит я розповів на початку розповіді, коли розповідав про роботу вірусу.

Для зручного відновлення файлів із тіньових копій пропоную скористатися безкоштовною програмоюдля цього - ShadowExplorer. Завантажуйте архів, розпакуйте програму та запускайте.

Відкриється остання копія файлів і корінь диска C. У верхньому лівому куті можна вибрати резервну копію, якщо у вас їх кілька. Перевірте різні копії на наявність файлів. Порівняйте за датами, де свіжіша версія. У прикладі нижче я знайшов 2 файли на робочому столі тримісячної давності, коли вони востаннє редагувалися.

Мені вдалося відновити ці файли. Для цього я вибрав їх, натиснув правою кнопкою миші, вибрав Export і вказав папку, куди їх відновити.

Ви можете відновлювати папки за таким же принципом. Якщо у вас працювали тіньові копії і ви їх не видаляли, у вас досить багато шансів відновити всі або майже всі файли, зашифровані вірусом. Можливо, якісь із них будуть більше старої версії, ніж хотілося б, але тим не менш, це краще, ніж нічого.

Якщо з якоїсь причини у вас немає тіньових копій файлів, залишається єдиний шанс отримати хоч щось із зашифрованих файлів – відновити їх за допомогою засобів відновлення віддалених файлів. Для цього пропоную скористатися безкоштовною програмою Photorec.

Запускайте програму та вибирайте диск, на якому відновлюватимете файли. Запуск графічної версії програми виконує файл qphotorec_win.exe. Необхідно вибрати папку, куди будуть розміщені знайдені файли. Краще, якщо ця папка розташовуватиметься не на тому ж диску, де ми шукаємо. Підключіть флешку або зовнішній жорсткий дискдля цього.

Процес пошуку триватиме довго. Наприкінці ви побачите статистику. Тепер можна йти у зазначену раніше папку та дивитися, що там знайдено. Файлів буде швидше за все багато і більшість з них будуть пошкоджені або це будуть якісь системні і марні файли. Проте в цьому списку можна буде знайти і частину корисних файлів. Тут уже жодних гарантій немає, що знайдете, те знайдете. Найкраще, як правило, відновлюються зображення.

Якщо результат вас не задовольнить, то є ще програми для відновлення віддалених файлів. Нижче список програм, які я зазвичай використовую, коли потрібно відновити максимальна кількістьфайлів:

• R.saver
• Starus File Recovery
• JPEG Recovery Pro
• Active File Recovery Professional

Програми ці не безкоштовні, тому я не наводитиму посилань. За великого бажання ви зможете їх самі знайти в інтернеті.

Весь процес відновлення файлів детально показаний у відео наприкінці статті.

Касперський, eset nod32 та інші у боротьбі з шифрувальником Filecoder.ED

Популярні антивіруси визначаю шифрувальник CRYPTED000007 як Filecoder.EDі далі може бути ще якесь позначення. Я пробігся форумами основних антивірусів і не побачив там нічого корисного. На жаль, як завжди, антивіруси виявилися не готовими до нашестя нової хвилі шифрувальників. Ось повідомлення з форуму Kaspersky.

Антивіруси традиційно пропускають нові модифікації троянів-шифрувальників. Проте я рекомендую ними користуватися. Якщо вам пощастить, і ви отримаєте на пошту шифрувальника не в першу хвилю заражень, а пізніше, є шанс, що антивірус вам допоможе. Вони все працює на крок позаду зловмисників. Виходить Нова версіяздирника, антивіруси на неї не реагують. Як тільки накопичується певна маса матеріалу для дослідження щодо нового вірусу, антивіруси випускають оновлення та починають на нього реагувати.

Що заважає антивірусам реагувати відразу на будь-який процес шифрування в системі, мені не зрозуміло. Можливо, є якийсь технічний нюанс на цю тему, який не дозволяє адекватно зреагувати і запобігти шифруванню файлів користувача. Мені здається, можна було хоча б попередження виводити на тему того, що хтось шифрує ваші файли, і запропонувати зупинити процес.

Куди звернутися за гарантованим розшифруванням

Мені довелося познайомитися з однією компанією, яка реально розшифровує дані після роботи різних вірусів-шифрувальників, у тому числі CRYPTED000007. Їхня адреса - http://www.dr-shifro.ru. Оплата тільки після повної розшифровки та перевірки. Ось зразкова схема роботи:

1. Фахівець компанії під'їжджає до вас в офіс або на будинок і підписує з вами договір, в якому фіксує вартість робіт.
2. Запускає дешифратор та розшифровує всі файли.
3. Ви переконуєтеся в тому, що всі файли відкриваються і підписуєте акт здачі/приймання виконаних робіт.
4. Оплата винятково за фактом успішного результату дешифрації.

Скажу чесно, я не знаю, як вони це роблять, але ви нічого не ризикуєте. Оплата лише після демонстрації роботи дешифратора. Прохання написати відгук про досвід взаємодії з цією компанією.

Методи захисту від вірусу CRYPTED000007

Як захиститися від роботи шифрувальника і обійтися без матеріальних та моральних збитків? Є кілька простих та ефективних порад:

1. Бекап! Резервна копіяважливих даних. І не просто бекап, а бекап, до якого немає постійного доступу. Інакше вірус може заразити як ваші документи, і резервні копії.
2. Ліцензійний антивірус. Хоча вони не дають 100% гарантії, але шанси уникнути шифрування збільшують. До нових версій шифрувальника вони найчастіше не готові, але вже через 3-4 дні починають реагувати. Це підвищує ваші шанси уникнути зараження, якщо ви не потрапили в першу хвилю розсилки нової модифікації шифрувальника.
3. Не відкривайте підозрілі вкладення у пошті. Тут коментувати нема чого. Усі відомі мені шифрувальники потрапили до користувачів через пошту. Причому щоразу вигадуються нові хитрощі, щоб обдурити жертву.
4. Не відкривайте бездумно посилання, надіслані вам від ваших знайомих через соціальні мережічи месенджери. Так також іноді поширюються віруси.
5. Увімкніть у Windows відображення розширень файлів. Як це зробити, легко знайти в інтернеті. Це дозволить помітити розширення файлу на вірусі. Найчастіше воно буде .exe, .vbs, .src. У повсякденній роботі з документами вам навряд чи трапляються такі розширення файлів.

Постарався доповнити те, що вже писав раніше у кожній статті про вірус шифрувальник. А поки що прощаюся. Буду радий корисним зауваженням за статтею та вірусом-шифрувальником CRYPTED000007 в цілому.

Відео з розшифровкою та відновленням файлів

Тут є приклад попередньої модифікації вірусу, але відео повністю актуально і для CRYPTED000007.