Novi ransomware virus se širi. WannaCry ransomware virus: šta učiniti? Kako oporaviti datoteke šifrirane pomoću Wana Decryptor

Ovaj članak je pripremljen u vezi sa hakerski napad masovni karakter na globalnom nivou što može uticati i na vas. Posljedice su zaista ozbiljne. Ispod ćete naći Kratki opis problema i opis glavnih mjera koje treba poduzeti za zaštitu od ransomware-a porodice WannaCry.

WannaCry ransomware virus iskorištava ranjivost Microsoft Windows MS17-010 izvršiti zlonamjernog koda i pokrenuti program za šifrovanje na ranjivim računarima, tada virus nudi da plati sajber kriminalcima oko 300 dolara za dešifrovanje podataka. Virus se široko proširio na globalnom nivou, primajući aktivno praćenje u medijima - Fontanka.ru, Gazeta.ru, RBK.

Ova ranjivost utiče na računare sa Windows operativnim sistemima od XP do Windows 10 i Server 2016. službene informacije možete pročitati o ranjivosti od Microsofta i.

Ova ranjivost pripada klasi Daljinsko izvršavanje koda, što znači da se infekcija može izvršiti sa već zaraženog računara putem mreže sa nizak nivo sigurnost bez ME segmentacije - lokalne mreže, javne mreže, mreže gostiju, kao i pokretanjem zlonamjernog softvera primljenog poštom ili u obliku veze.

Sigurnosne mjere

Koje mjere treba identificirati kao efikasne u borbi protiv ovog virusa:

1. Provjerite jeste li instalirali stvarna ažuriranja Microsoft Windows koji uklanja ranjivost MS17-010. Možete pronaći linkove do ažuriranja, a također primijetiti da zbog neviđene ozbiljnosti ove ranjivosti - 13. maja su objavljena ažuriranja za nepodržani OS (windowsXP, 2003 server, 2008 server), možete ih preuzeti.
2. Korištenje rješenja za pružanje mrežna sigurnost IPS klasa, pobrinite se da imate ažuriranja koja uključuju detekciju i kompenzaciju ranjivost mreže... U bazi znanja Kontrolna tačka Ranjivost je opisana i uključena je u IPS ažuriranje od 14. marta 2017. za Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Takođe preporučujemo da konfigurišete IPS skeniranje internog saobraćaja ključnih segmenata mreže, barem na kratko, dok se ne smanji verovatnoća zaraze.
3. Zbog vjerovatnoće promjene koda virusa, preporučujemo da aktivirate AntiBot & Antivirus sisteme i emulirate pokretanje datoteka koje dolaze iz eksternih izvora poštom ili internetom. Ako ste korisnik Check Point Security Gatewaya, onda je ovaj sistem Threat Emulation. Posebno za kompanije koje nemaju ovu pretplatu, nudimo brzo izdavanje u probnom periodu od 30 dana. Da biste zatražili ključ za aktiviranje pretplate sa svim funkcijama za vaš Check Point gateway - pišite na mail [email protected] Možete pročitati više o sistemima za emulaciju datoteka i.

Također blokirajte prijenos arhiva lozinki i aktivirajte IPS potpise sa liste:

Još više preporuka i primjer izvještaja o blokiranju rada ransomware wannacry.

Poštovane kolege, na osnovu iskustva u radu sa prethodnim masovnim napadima, kao što je Heart Bleed, ranjivost Microsoft Windows MS17-010 će se aktivno eksploatisati u narednih 30-40 dana, ne odgađajte kontramere! Za svaki slučaj provjerite da li vaš BackUp sistem radi.

Rizik je zaista veliki!

UPD. U četvrtak, 18. maja, u 10:00 po moskovskom vremenu, pozivamo vas na webinar o ransomware-u i metodama zaštite.

Domaćini webinara su TS Solution i Sergey Nevstruev, Check Point Threat Prevention menadžer prodaje za istočnu Evropu.
Pokrićemo sljedeća pitanja:

• #WannaCry napad
• Razmjer i trenutni status
• Posebnosti
• Faktori mase

Sigurnosne preporuke

Kako ostati korak ispred i dobro spavati

• IPS + AM
• SandBlast: emulacija prijetnje i ekstrakcija prijetnje
• SandBlast Agent: Anti-Ransomware
• SandBlast Agent: Forensics
• SandBlast Agent: Anti-Bot

Možete se prijaviti tako što ćete odgovoriti na ovo pismo ili pratiti link za registraciju

Ovo uputstvo nije namenjeno tehničari, dakle:

1. neki pojmovi su pojednostavljeni;
2. tehnički detalji se ne uzimaju u obzir;
3. metode zaštite sistema (instaliranje ažuriranja, konfigurisanje sigurnosnih sistema, itd.) se ne razmatraju.

Uputstvo sam napisao da pomognem sistem administratorima koji žele da sprovedu obuku za zaposlene u kompaniji daleko od IT sfere (računovodstvo, kadrovi, prodavci itd.), osnove sajberhigijene.

Glossary

Softver(u daljem tekstu softver) je program ili skup programa koji se koristi za upravljanje računarom.

Enkripcija Je transformacija podataka u formu koja se ne može pročitati bez ključa za šifriranje.

Ključ za šifriranje- ovo je tajne informacije koristi se prilikom šifriranja / dešifriranja datoteka.

Dekoder- program koji implementira algoritam dešifriranja.

Algoritam- skup instrukcija koje opisuju redosled radnji izvršioca za postizanje određenog rezultata.

Prilog pošte- fajl priložen uz email.

Produžetak(ekstenzija naziva datoteke) - niz znakova koji se dodaje imenu datoteke i namijenjen je za identifikaciju tipa datoteke (na primjer, * .doc, * .jpg). U zavisnosti od tipa fajla, koristiće se specifičan program da ih otvori. Na primjer, ako je ekstenzija datoteke * .doc, onda će MS Word početi da je otvara, ako * .jpg, onda će se pokrenuti preglednik slika itd.

Veza(ili, preciznije, hiperveza) je dio web stranice dokumenta koji upućuje na drugi element (naredbu, tekst, naslov, bilješku, sliku) u samom dokumentu ili na drugi objekt (datoteka, direktorij, aplikacija) koji se nalazi na lokalni disk ili na računarskoj mreži.

Tekstualni fajl — kompjuterski fajl koji sadrže tekstualne podatke.

Arhiviranje- Ovo je kompresija, odnosno smanjenje veličine datoteke.

Rezervna kopija- fajl ili grupa datoteka stvorenih kao rezultat Rezervna kopija informacije.

Backup- proces kreiranja kopije podataka na mediju (hard disk, disketa i sl.) namijenjen za oporavak podataka na originalnoj ili novoj lokaciji za skladištenje u slučaju oštećenja ili uništenja.

Domain(ime domene) - ime koje omogućava pristup Internet stranicama i koje se nalaze na njima mrežni resursi(web stranice, serveri e-pošte, drugi servisi) na način prilagođen ljudima. Na primjer, umjesto 172.217.18.131 upisuju se google.com.ua, gdje su ua, com, google domene različitih nivoa.

Šta je ransomware virus?

Ransomware virus(u daljem tekstu - ransomware) - zlonamjerni softver koji šifrira korisničke datoteke i zahtijeva otkupninu za dešifriranje. Najčešće šifrovano popularne vrste fajlovi - MS Office dokumenti i tabele ( docx, xlsx), Slike ( jpeg, png, tif), video fajlovi ( avi, mpeg, mkv itd.), dokumenta u formatu pdf i drugi, kao i datoteke baze podataka - 1C ( 1CD, dbf), akcenat ( mdf). Sistemske datoteke a programi se obično ne šifriraju radi spremanja Windows zdravlje i omogućiti korisniku da kontaktira ransomware. U rijetkim slučajevima, cijeli disk je šifriran, Windows boot u ovom slučaju je nemoguće.

Koja je opasnost od ovakvih virusa?

U velikoj većini slučajeva, dešifriranje na svoju ruku NEMOGUĆE, jer koriste se izuzetno sofisticirani algoritmi šifriranja. U vrlo rijetkim slučajevima, datoteke se mogu dešifrirati ako je do infekcije već došlo. poznati tip virus za koji su proizvođači antivirusnih programa objavili dekoder, ali čak ni u ovom slučaju nije zajamčeno da će oporavak informacija biti 100%. Ponekad virus ima grešku u svom kodu i dešifrovanje postaje u principu nemoguće, čak i od strane autora zlonamernog programa.

U ogromnoj većini slučajeva, nakon enkripcije, ransomware se uklanja izvorne datoteke korištenjem posebnih algoritama, što isključuje mogućnost oporavka.

Drugi opasna karakteristika virusi ove vrste - vrlo često su "nevidljivi" za antiviruse, jer Algoritmi koji se koriste za enkripciju također se koriste u mnogim legalnim programima (na primjer, klijent-banka), zbog čega antivirusni programi ne percipiraju mnoge ransomware kao zlonamjerni softver.

Putevi infekcije.

Najčešće se infekcija događa putem priloga e-pošte. Korisnik prima pismo od e-mail od adresata koji mu je poznat ili prerušen u organizaciju (poreska, banka). Pismo može sadržavati zahtjev za sprovođenje računovodstvenog usaglašavanja, potvrdu plaćanja računa, ponudu da se upoznate sa dugom po kreditu u banci ili nešto slično. Odnosno, informacije će biti takve da će sigurno zainteresirati ili uplašiti korisnika i navesti ga da otvori privitak e-pošte s virusom. Najčešće će izgledati kao arhiva, unutar koje se nalazi datoteka sa ekstenzijom * .js, * .scr, * .exe, * .hta, * .vbs, * .cmd, * .bat. Nakon pokretanja takve datoteke, odmah ili nakon nekog vremena, počinje proces šifriranja datoteka na PC-u. Takođe, zaražena datoteka se može poslati korisniku u nekom od programa za razmjenu instant poruka(Skype, Viber, itd.).

Manje uobičajeno, infekcija se javlja nakon instalacije softvera koji je razbijen ili nakon klika na zaraženu vezu na web stranici ili u tijelu e-pošte.

Treba imati na umu da se vrlo često, nakon zaraze jednog računara na mreži, virus može proširiti na druge mašine koristeći ranjivosti u Windows-u i/ili instaliranim programima.

Znakovi infekcije.

1. Vrlo često, nakon pokretanja datoteke priložene pismu, uočava se visoka aktivnost tvrdi disk, procesor je opterećen do 100%, tj. računar počinje snažno da usporava.
2. Neko vrijeme nakon pokretanja virusa, PC se iznenada ponovo pokreće (u većini slučajeva).
3. Nakon ponovnog pokretanja otvara se tekstualna datoteka koja obavještava da su datoteke korisnika šifrirane i navodi kontakte za komunikaciju (e-mail). Ponekad se umjesto otvaranja datoteke pozadina radne površine zamjenjuje tekstom otkupnine.
4. Većina korisničkih datoteka (dokumenti, fotografije, baze podataka) ispostavilo se da su s različitim ekstenzijama (na primjer - * .breaking_bad, * .better_call_soul, * .vault, * .neutrino, * .xtbl, itd.) ili su potpuno preimenovane , i nema programa čak i ako promijenite ekstenziju. Ponekad je cijeli tvrdi disk šifriran. U tome Windows kućište se uopšte ne učitava, a poruka o otkupnini se prikazuje skoro odmah nakon uključivanja računara.
5. Ponekad su svi korisnički fajlovi smešteni u jednu arhivu zaštićenu lozinkom. Ovo se dešava ako se napadač infiltrira u PC i ručno arhivira i izbriše datoteke. To jest, kada se zlonamjerna datoteka pokrene iz priloga e-pošte, datoteke korisnika se ne šifriraju automatski, već softvera koji omogućava napadaču da se tajno poveže sa računarom putem interneta.

Uzorak teksta za otkupninu

Šta ako se infekcija već dogodila?

1. Ako je proces šifriranja započeo u vašem prisustvu (računar je veoma spor; otvara se tekstualna datoteka s porukom o šifriranju; datoteke su počele nestajati, a umjesto njih su se pojavljivale njihove šifrirane kopije), trebali biste ODMAH Isključite računar tako što ćete isključiti kabl za napajanje ili ga držati 5 sekundi. dugme za napajanje. Možda će ovo uštedjeti neke od informacija. NEMOJTE PONOVNO POKRETATI VAŠ PC! SAMO ISKLJUČIVANJE!
2. Ako je šifriranje već izvršeno, ni u kom slučaju ne biste trebali pokušavati sami izliječiti infekciju, niti izbrisati ili preimenovati šifrirane datoteke ili datoteke koje je stvorio ransomware.

U oba slučaja morate odmah prijaviti incident administratoru sistema.

BITAN!!!

Ne pokušavajte samostalno pregovarati sa napadačem putem kontakata koji su im dostavljeni! V najbolji slucaj beskorisno je, u najgorem slučaju može povećati otkupninu za dešifriranje.

Kako spriječiti infekciju ili minimizirati njene posljedice?

1. Ne otvarajte sumnjive mejlove, posebno one sa prilozima (kako prepoznati takve e-poruke - pogledajte u nastavku).
2. Nemojte pratiti sumnjive veze na web stranicama i u poslanim e-porukama.
3. Nemojte preuzimati niti instalirati programe iz nepouzdanih izvora (web-lokacije sa jailbreak softverom, torrent trackeri).
4. Uvek radi rezervne kopije važne datoteke. Najbolja opcijaće pohraniti sigurnosne kopije na drugi medij koji nije povezan na PC (fleš disk, eksterni disk, DVD) ili u oblaku (na primjer, Yandex.Disk). Virus često šifrira arhivske fajlove (zip, rar, 7z), tako da je čuvanje rezervnih kopija na istom računaru gde su pohranjeni originalni fajlovi besmisleno.

Kako prepoznati zlonamjerni email?

1. Predmet i sadržaj pisma nisu u vezi sa vašim profesionalne aktivnosti... Na primjer, menadžer kancelarije je dobio pismo o poreska revizija, rezultat ili rezime.

2. Pismo sadrži informacije koje se ne odnose na našu državu, region ili oblast delatnosti naše kompanije. Na primjer, zahtjev za otplatom duga u banci registrovanoj u Ruskoj Federaciji.

3. Često je zlonamjerno pismo osmišljeno kao navodni odgovor na neka od vaših pisama. Na početku retka predmeta takve e-pošte nalazi se kombinacija "Re:". Na primjer, "Re: Račun za plaćanje", iako sigurno znate da niste slali pisma na ovu adresu.

4. Pismo je navodno došlo od poznate kompanije, ali adresa pošiljaoca sadrži besmislene nizove slova, riječi, brojeva, stranih domena koji nemaju nikakve veze sa službene adrese kompanije pomenute u tekstu pisma.

5. Polje "Za" sadrži nepoznato ime (ne vaše poštansko sanduče), skup nekoherentnih znakova, ili se duplira naziv poštanskog sandučeta pošiljaoca.

6. U tekstu pisma, pod raznim izgovorima, od primaoca se traži da dostavi ili potvrdi bilo kakav lični ili servisne informacije, preuzmite datoteku ili slijedite link, uz obavještavanje o hitnosti ili eventualnim sankcijama u slučaju nepoštivanja uputstava navedenih u pismu.

7. Arhiva u prilogu pisma sadrži datoteke sa ekstenzijom * .js, * .scr, * .exe, * .hta, * .vbs, * .cmd, * .bat, * .iso. Prerušavanje je takođe vrlo uobičajeno. zlonamjerna ekstenzija... Na primjer, u nazivu datoteke "Accounts Receivable.doc.js", * .doc je lažna ekstenzija koja ne nosi nikakvu funkcionalnost, a * .js je prava ekstenzija virus fajl.

8. Ako je pismo stiglo od poznatog pošiljaoca, ali se stil pisma i pismenost veoma razlikuju - to je takođe razlog za oprez. Kao i nekarakteristični sadržaj - na primjer, stigao je zahtjev od klijenta za plaćanje računa. U ovom slučaju, bolje je kontaktirati pošiljaoca putem drugog kanala komunikacije (telefon, Skype), jer je velika vjerovatnoća da je njegov računar hakovan ili zaražen virusom.

Primjer zlonamjernog emaila

Decenijama su sajber kriminalci uspješno iskorištavali nedostatke i ranjivosti u Svjetska mreža... Međutim, u poslednjih godina došlo je do jasnog povećanja broja napada, kao i povećanja njihovog nivoa - napadači postaju sve opasniji, a malwarešire se brzinom koja do sada nije viđena.

Uvod

Govorimo o ransomware-u koji je napravio nevjerovatan skok u 2017. godini, nanijevši štetu hiljadama organizacija širom svijeta. Na primjer, u Australiji su napadi ransomware-a kao što su WannaCry i NotPetya čak izazvali zabrinutost vlade.

Da sumiramo 'uspjehe' ransomware-a ove godine, pogledat ćemo 10 najopasnijih ransomware-a najveća šteta organizacije. Nadamo se da ćemo sljedeće godine izvući pouke i spriječiti da ova vrsta problema uđe u naše mreže.

NotPetya

Ovaj ransomware napad je započeo sa ukrajinski program računovodstveni iskazi M.E.Doc, koji je zamijenio 1C, koji je bio zabranjen u Ukrajini. Za samo nekoliko dana, NotPetya je zarazila stotine hiljada računara u preko 100 zemalja. Ovaj zlonamjerni softver je varijanta starijeg Petya ransomwarea, osim što su NotPetya napadi koristili isti eksploat kao i WannaCry napadi.

Kako se širio, NotPetya je utjecala na nekoliko organizacija u Australiji, poput fabrike čokolade Cadbury na Tasmaniji, koja je morala privremeno ugasiti cijeli svoj IT sistem. Ovaj ransomware se također uspio infiltrirati u najveći svjetski kontejnerski brod, u vlasništvu kompanije Maersk, koji je navodno izgubio do 300 miliona dolara prihoda.

WannaCry

Ovaj ransomware, strašnih razmjera, praktično je zavladao cijelim svijetom. Njegovi napadi koristili su zloglasni EternalBlue eksploataciju, iskorištavajući ranjivost u protokolu. Microsoft Server Blok poruka (SMB).

WannaCry je zarazio žrtve u 150 zemalja i preko 200.000 mašina samo prvog dana. Objavili smo ovaj senzacionalni zlonamjerni softver.

Locky

Locky je bio najpopularniji ransomware u 2016. godini, ali je nastavio sa radom u 2017. Nove varijante Lockyja, nazvane Diablo i Lukitus, pojavile su se ove godine, koristeći isti vektor phishinga za ciljanje eksploata.

Locky je stajao iza skandala e-pošte Australijske pošte. Prema Australijskoj komisiji za konkurenciju i zaštitu potrošača, građani su zbog ove prevare izgubili više od 80.000 dolara.

CrySis

Ova instanca se istakla u svojoj majstorskoj upotrebi protokola za udaljenu radnu površinu (RDP). RDP je jedan od najvećih popularne načineširenje ransomware-a, jer sajber kriminalci na taj način mogu kompromitovati mašine koje kontrolišu čitave organizacije.

Žrtve CrySisa bile su primorane da plate između 455 i 1.022 dolara za oporavak svojih fajlova.

Nemucod

Nemucod se širi koristeći phishing email koji izgleda kao faktura za otpremu. Ovaj ransomware preuzima zlonamjerne datoteke pohranjene na ugroženim web stranicama.

Što se tiče phishing emailova, Nemucod je drugi nakon Lockyja.

Jaff

Jaff je sličan Lockyju i koristi slične tehnike. Ovaj ransomware nije izvanredan po svojim originalnim metodama distribucije ili šifriranja datoteka; naprotiv, kombinira najuspješnije prakse.

Napadači iza njega tražili su do 3.700 dolara za pristup šifrovanim fajlovima.

Spora

Kako bi proširili ovu vrstu ransomwarea, sajber kriminalci hakuju legitimne stranice dodavanjem JavaScript kod... Korisnici koji posjete takvu stranicu vidjet će iskačuće upozorenje koje ih traži da ažuriraju Chrome pretraživač da nastavite sa pregledavanjem stranice. Nakon preuzimanja takozvanog Chrome Font Pack-a, korisnici su se zarazili Sporom.

Cerber

Jedan od mnogih vektora napada koje Cerber koristi zove se RaaS (Ransomware-as-a-Service). Prema ovoj šemi, sajber kriminalci nude plaćanje za distribuciju Trojanca, obećavajući postotak novca primljenog za to. Ova „usluga“ omogućava sajber kriminalcima da pošalju ransomware, a zatim drugim napadačima daju alate za distribuciju.

Cryptomix

Ovo je jedan od rijetkih ransomware-a koji nema određenog tipa portal za plaćanje dostupan unutar darkweba. Pogođeni korisnici moraju čekati da im sajber kriminalci pošalju upute e-poštom.

Žrtve Cryptomixa bili su korisnici iz 29 zemalja, bili su primorani da plate i do 3.000 dolara.

Jigsaw

Još jedan zlonamjerni softver sa liste koji je započeo svoju aktivnost 2016. godine. Jigsaw ubacuje sliku klovna iz serije filmova Saw spam emails... Čim korisnik klikne na sliku, ransomware ne samo da šifrira, već i briše datoteke u slučaju da korisniku treba predugo da plati otkupninu, čija je veličina 150 dolara.

zaključci

Kao što vidimo, moderne prijetnje koriste sve sofisticiranije eksploatacije protiv dobro zaštićenih mreža. Dok povećana svijest zaposlenih može pomoći u suočavanju s utjecajem infekcija, kompanije moraju ići dalje od osnovnih standarda kibernetičke sigurnosti kako bi se zaštitile. Odbrana od današnjih prijetnji zahtijeva proaktivne pristupe koji koriste mogućnosti analize u realnom vremenu zasnovane na mehanizmu učenja koji uključuje razumijevanje ponašanja i konteksta prijetnji.

Dana 12. aprila 2017. godine pojavila se informacija da se ransomware virus pod nazivom WannaCry, što se može prevesti kao "Želim da plačem", brzo širi svijetom. Korisnici imaju pitanja o Windows ažuriranje od virusa WannaCry.

Virus na ekranu računara izgleda ovako:

Loš virus WannaCry koji sve šifrira

Virus šifrira sve fajlove na računaru i traži otkupninu za Bitcoin novčanik u iznosu od 300 ili 600 dolara da bi navodno dešifrovao računar. Zaraženi su računari u 150 zemalja svijeta, a najviše je pogođena Rusija.

Megafon, Ruske željeznice, Ministarstvo unutrašnjih poslova, Ministarstvo zdravlja i druge kompanije susrele su se licem u lice sa ovim virusom. Među žrtvama ima obični korisnici Internet.

Skoro svi su jednaki pred virusom. Razlika je možda u tome što se u kompanijama virus širi lokalna mreža unutar organizacije i trenutno zarazi što više računara.

Virus WannaCry šifrira datoteke na računarima koji koriste Windows. V Microsoft Još u martu 2017. puštena su ažuriranja za MS17-010 različite verzije Windows XP, Vista, 7, 8, 10.

Ispostavilo se da su oni koji su to konfigurisali automatsko ažuriranje Windows je van zone rizika od virusa, jer su na vrijeme primili ažuriranje i uspjeli su ga izbjeći. Ne usuđujem se reći da je to tako.

Rice. 3. Poruka prilikom instaliranja ažuriranja KB4012212

Ažuriranje KB4012212 nakon instalacije zahtijevalo je ponovno pokretanje laptopa, što mi se baš i nije svidjelo, jer ne znam kako bi moglo završiti, ali gdje bi korisnik trebao otići? Međutim, ponovno pokretanje je prošlo u redu. To znači da živimo u miru do sljedećeg napada virusa, i da će ovakvih napada biti – avaj, nema razloga za sumnju.

Neki virusi pobjeđuju, drugi se ponovo pojavljuju. Ova borba će očigledno biti beskrajna.

Video "Želim da plačem": ransomware virus zarazio 75 hiljada sistema u 99 zemalja

Nabavite članke u trendu poznavanje rada na računaru direktno u inbox.
Već više 3.000 pretplatnika

.

Nastavlja svoj depresivni marš širom Weba, inficirajući računare i šifrirajući važne podatke. Kako se zaštititi od ransomware-a, zaštititi Windows od ransomware-a - da li su objavljene neke zakrpe ili zakrpe za dešifriranje i dezinfekciju datoteka?

Novi ransomware virus 2017 Wanna cry nastavlja da zarazi korporativne i privatne računare. Have Šteta od virusnog napada iznosi milijardu dolara... Za 2 sedmice, virus ransomwarea zaražen je najmanje 300 hiljada kompjutera uprkos upozorenjima i sigurnosnim mjerama.

Šta je ransomware 2017?- po pravilu, možete "pokupiti", čini se, na najbezazlenijim stranicama, na primjer, bankarske servere s korisničkim pristupom. Jednom HDDžrtve, ransomware se "naseli". sistemski folder System32... Odatle, program odmah deaktivira antivirus i ulazi u "Autostart". Nakon svakog ponovnog pokretanja, ransomware upada u registar započinjući svoje prljavo djelo. Ransomware počinje preuzimati slične kopije programa kao što su Ransom i Trojan... To se takođe često dešava samoreplikacija ransomwarea... Ovaj proces može biti trenutan, ili može potrajati sedmicama - dok žrtva ne primijeti da nešto nije u redu.

Kriptor je često prerušen u obične slike, tekstualne datoteke ali suština je uvek jedna - to je izvršna datoteka sa ekstenzijom .exe, .drv, .xvd; ponekad - library.dll... Najčešće datoteka ima potpuno bezopasan naziv, na primjer " dokument. doc", ili " picture.jpg", gdje je ekstenzija napisana ručno, i pravi tip datoteke je skriven.

Nakon što je šifriranje završeno, korisnik umjesto poznatih datoteka vidi skup "slučajnih" znakova u nazivu i unutra, a ekstenzija se mijenja u do sada nepoznatu - .NO_MORE_RANSOM, .xdata ostalo.

2017 Wanna Cry ransomware virus - kako se zaštititi... Želio bih odmah da napomenem da je Wanna Cry prije zbirni izraz za sve ransomware i ransomware viruse, jer za novije vrijeme najčešće zaraženi računari. dakle, biti će o s Zaštitite od Ransom Ware ransomwarea, kojih ima mnogo: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Kako zaštititi Windows od ransomware-a. – EternalBlue via SMB protokol luke.

Zaštita Windowsa od ransomwarea 2017 - osnovna pravila:

• Windows ažuriranje, blagovremeni prelazak na licencirani OS (napomena: XP verzija nije ažurirana)
• ažurirati antivirusne baze podataka i zaštitni zidovi na zahtjev
• najveća pažnja pri preuzimanju bilo kojeg fajla (slatke "mačke" mogu dovesti do gubitka svih podataka)
• backup važna informacija na prenosivim medijima.

Ransomware virus 2017: kako izliječiti i dešifrirati datoteke.

Nadajući se antivirusnom softveru, možete zaboraviti na dekoder na neko vrijeme... U laboratorijama Kaspersky, Dr. Web, Avast! i ostali antivirusi do sada nije pronađeno rješenje za liječenje zaraženih datoteka... On ovog trenutka moguće je ukloniti virus pomoću antivirusa, ali još ne postoje algoritmi koji bi sve vratili na početak.

Neki ljudi pokušavaju koristiti dekodere poput uslužnog programa RectorDecryptor ali nece pomoci: algoritam za dešifriranje novih virusa još nije izrađen... Također je apsolutno nepoznato kako će se virus ponašati ako se ne ukloni nakon korištenja takvih programa. Često to može rezultirati brisanjem svih fajlova - za pouku onih koji ne žele da plate sajber kriminalce, autore virusa.

Trenutno najviše efikasan način vratiti izgubljene podatke - ovo je apel onima. podrška dobavljača antivirusni softver koju koristite. Da biste to učinili, trebate poslati pismo ili koristiti obrazac za povratne informacije na web stranici proizvođača. Obavezno dodajte šifriranu datoteku u prilog i, ako postoji, kopiju originala. Ovo će pomoći programerima da sastave algoritam. Nažalost za mnoge napad virusa postaje potpuno iznenađenje, a kopije nisu pronađene, što ponekad komplikuje situaciju.

Kardijalne metode izlečiti Windows od ransomwarea... Nažalost, ponekad morate pribjeći potpuno formatiranje hard disk, što podrazumijeva potpunu promjenu OS-a. Mnogi ljudi bi pomislili na vraćanje sistema, ali to nije opcija - čak i ako dođe do "povratka" će se riješiti virusa, datoteke će i dalje ostati šifrirane.