WannaCry: kako se zaštititi od ransomware virusa. Wanna Cry virus šifriranja datoteka - kako se zaštititi i sačuvati podatke

Osim Interfaksa, još dva ruska medija su patila od virusa šifriranja, od kojih je jedan iz Sankt Peterburga Fontanka, zna Grupa-IB.

Glavni urednik Fontanke Aleksandar Gorškov rekao je za Vedomosti da su servere Fontanke napali nepoznati napadači. Ali Gorškov uvjerava da nema govora o napadu ransomware virusa na Fontanka: kompjuteri uredništva funkcionišu, a server odgovoran za rad stranice je hakovan.

Odjeljenja Interfaksa u Velikoj Britaniji, Azerbejdžanu, Bjelorusiji i Ukrajini, kao i internet stranica Interfax-religion, nastavljaju sa radom, rekao je Pogorely za Vedomosti. Nije jasno zašto šteta nije zahvatila druge divizije, možda je to zbog topologije Interfax mreže, gdje se serveri nalaze geografski, i operativnog sistema koji je na njima instaliran;

Ukrajinski Interfax izvijestio je u utorak poslijepodne o hakerskom napadu na međunarodni aerodrom Odesa. Aerodrom se na svojoj web stranici izvinio putnicima "zbog prisilnog povećanja vremena usluge", ali je, sudeći po online semaforu, ipak nastavio slati i primati avione u utorak.

Kijevski metro je takođe izvestio o sajber napadu na svoj Facebook nalog – bilo je problema sa plaćanjem putovanja bankovnim karticama. Front News je objavio da je metro napadnut virusom šifriranja.

Grupa-IB zaključuje da postoji nova epidemija. Posljednjih mjeseci svijetom su već zahvatila dva talasa ransomware napada: 12. maja pojavio se virus WannaCry, a 27. juna virus Petya (poznat i kao NotPetya i ExPetr). Prodrli su u računare sa operativnim sistemom Windows koji nisu imali instalirana ažuriranja, šifrovali sadržaj hard diskova i tražili 300 dolara za dešifrovanje. Kako se kasnije ispostavilo, Petya nije ni razmišljala o dešifriranju kompjutera žrtava. Prvi napad je zahvatio stotine hiljada računara u više od 150 zemalja, drugi je zahvatio 12.500 računara u 65 zemalja. Ruski Megafon, Evraz, Gazprom i Rosnjeft takođe su postali žrtve napada. Od virusa su patili i medicinski centri Invitro, koji nekoliko dana nisu primali testove pacijenata.

Petya je uspela da prikupi samo 18.000 dolara za skoro mesec i po dana, ali šteta je bila neuporedivo veća. Jedna od njegovih žrtava, danski logistički gigant Moller-Maersk, procijenio je izgubljeni prihod od sajber napada na 200-300 miliona dolara.

Među Moller-Maersk divizijama, glavni udar je pao na Maersk Line, koji se bavi morskim transportom kontejnera (u 2016. Maersk Line je zaradio ukupno 20,7 milijardi dolara, divizija zapošljava 31.900 ljudi).

Preduzeća su se brzo oporavila od napada, ali kompanije i regulatori su ostali oprezni. Tako su u avgustu direktori njenih filijala upozoreni na mogući sajber napad kriptorom od strane Federalne mrežne kompanije UES (koja upravlja sveruskom električnom mrežom), a nekoliko dana kasnije ruske banke su dobile slično upozorenje od FinCERT-a ( struktura Centralne banke koja se bavi sajber bezbjednošću).

Novi napad virusom enkripcije primijetio je i Kaspersky Lab, prema kojem je većina žrtava napada u Rusiji, ali ima infekcija u Ukrajini, Turskoj i Njemačkoj. Svi znakovi ukazuju na to da se radi o ciljanom napadu na korporativne mreže, kaže Vyacheslav Zakorzhevsky, šef odjela za istraživanje antivirusnih programa u Kaspersky Lab: koriste se metode slične ExPetr alatima, ali se ne može ući u trag povezanosti s ovim virusom.

A prema antivirusnoj kompaniji Eset, enkriptor je i dalje Petyin rođak. U napadu je korišten zlonamjerni softver Diskcoder.D, nova modifikacija enkriptora.

Pogorely je rekao da je Symantec antivirus instaliran na računarima Interfaxa. Predstavnici Symanteca juče nisu odgovorili na zahtjev Vedomosti.

Savremene tehnologije omogućavaju hakerima da stalno poboljšavaju svoje metode prevare protiv običnih korisnika. U pravilu se u ove svrhe koristi virusni softver koji prodire u računar. Posebno opasnim se smatraju virusi za šifriranje. Prijetnja je da se virus vrlo brzo širi, šifrirajući datoteke (korisnik jednostavno neće moći otvoriti niti jedan dokument). A ako je prilično jednostavno, onda je mnogo teže dešifrirati podatke.

Šta učiniti ako virus ima šifrovane datoteke na vašem računaru

Svako može biti napadnut od strane ransomwarea, čak ni korisnici koji imaju moćan antivirusni softver nisu imuni. Trojanci za šifriranje datoteka dolaze u raznim kodovima koji mogu biti izvan mogućnosti antivirusnog programa. Hakeri na sličan način uspijevaju da napadnu i velike kompanije koje nisu vodile računa o potrebnoj zaštiti svojih informacija. Dakle, nakon što ste preuzeli ransomware program na mreži, morate poduzeti niz mjera.

Glavni znakovi infekcije su spor rad računara i promjene u nazivima dokumenata (mogu se vidjeti na radnoj površini).

1. Ponovo pokrenite računar da zaustavite šifriranje. Kada uključite, nemojte potvrđivati ​​pokretanje nepoznatih programa.
2. Pokrenite svoj antivirus ako ga nije napao ransomware.
3. U nekim slučajevima, sjenovite kopije će pomoći da se vrati informacija. Da biste ih pronašli, otvorite “Svojstva” šifriranog dokumenta. Ova metoda radi sa šifriranim podacima iz Vault ekstenzije, o čemu postoje informacije na portalu.
4. Preuzmite najnoviju verziju uslužnog programa za borbu protiv ransomware virusa. Najefikasnije nudi Kaspersky Lab.

Ransomware virusi u 2016: primjeri

Kada se borite protiv bilo kakvog virusnog napada, važno je shvatiti da se kod vrlo često mijenja, dopunjen novom antivirusnom zaštitom. Naravno, sigurnosnim programima je potrebno neko vrijeme dok programer ne ažurira baze podataka. Odabrali smo najopasnije viruse za šifriranje u posljednje vrijeme.

Ishtar Ransomware

Ishtar je ransomware koji iznuđuje novac od korisnika. Virus je primijećen u jesen 2016. godine, zarazivši ogroman broj računara korisnika iz Rusije i niza drugih zemalja. Distribuira se putem e-pošte, koja sadrži priložene dokumente (instalateri, dokumenti, itd.). Podaci zaraženi Ishtar enkriptorom imaju prefiks “ISHTAR” u svom nazivu. Proces kreira probni dokument koji pokazuje gdje treba ići da dobijete lozinku. Napadači za to traže od 3.000 do 15.000 rubalja.

Opasnost od Ishtar virusa je u tome što danas ne postoji dešifrator koji bi pomogao korisnicima. Kompaniji antivirusnog softvera treba vremena da dešifruju sav kod. Sada možete samo izolirati važne informacije (ako su od posebne važnosti) na poseban medij, čekajući objavljivanje uslužnog programa koji može dešifrirati dokumente. Preporučuje se ponovna instalacija operativnog sistema.

Neitrino

Neitrino enkriptor se pojavio na internetu 2015. godine. Princip napada sličan je drugim virusima slične kategorije. Mijenja nazive foldera i datoteka dodavanjem "Neitrino" ili "Neutrino". Virus je teško dešifrirati ne poduzimaju svi predstavnici antivirusnih kompanija, pozivajući se na vrlo složen kod. Neki korisnici mogu imati koristi od vraćanja sjene kopije. Da biste to učinili, desnom tipkom miša kliknite šifrirani dokument, idite na "Svojstva", karticu "Prethodne verzije", kliknite na "Vrati". Bilo bi dobro da koristite besplatni uslužni program kompanije Kaspersky Lab.

Novčanik ili .wallet.

Virus enkripcije Wallet pojavio se krajem 2016. godine. Tokom procesa zaraze, mijenja naziv podataka u “Ime..wallet” ili nešto slično. Kao i većina ransomware virusa, on ulazi u sistem putem priloga u e-porukama koje šalju napadači. Budući da se prijetnja pojavila vrlo nedavno, antivirusni programi je ne primjećuju. Nakon šifriranja, kreira dokument u kojem prevarant naznačuje email za komunikaciju. Trenutno, programeri antivirusnog softvera rade na dešifrovanju koda ransomware virusa. [email protected]. Korisnici koji su napadnuti mogu samo da čekaju. Ako su podaci važni, preporučuje se da ih sačuvate na eksternom disku brisanjem sistema.

Enigma

Virus ransomware Enigma počeo je da inficira računare ruskih korisnika krajem aprila 2016. godine. Koristi se AES-RSA model enkripcije, koji se danas nalazi u većini ransomware virusa. Virus prodire u računar pomoću skripte koju korisnik pokreće otvaranjem datoteka iz sumnjive e-pošte. Još uvijek ne postoji univerzalno sredstvo za borbu protiv Enigma ransomwarea. Korisnici s antivirusnom licencom mogu zatražiti pomoć na službenoj web stranici programera. Pronađena je i mala „rupa“ - Windows UAC. Ako korisnik klikne “Ne” u prozoru koji se pojavi tokom procesa zaraze virusom, moći će naknadno vratiti informacije pomoću sjenčanih kopija.

Granit

Novi ransomware virus, Granit, pojavio se na internetu u jesen 2016. godine. Infekcija se događa prema sljedećem scenariju: korisnik pokreće instalater koji inficira i šifrira sve podatke na PC-u, kao i povezane diskove. Borba protiv virusa je teška. Da biste ga uklonili, možete koristiti posebne uslužne programe kompanije Kaspersky, ali još nismo uspjeli dešifrirati kod. Možda će vam pomoći vraćanje prethodnih verzija podataka. Osim toga, stručnjak koji ima veliko iskustvo može dešifrirati, ali usluga je skupa.

Tyson

Nedavno primećen. To je proširenje već poznatog ransomwarea no_more_ransom, o kojem možete saznati na našoj web stranici. Do ličnih računara stiže putem e-pošte. Mnogi korporativni računari su napadnuti. Virus kreira tekstualni dokument s uputama za otključavanje, nudeći plaćanje “otkupnine”. Tyson ransomware se pojavio nedavno, tako da još nema ključa za otključavanje. Jedini način za vraćanje informacija je vraćanje prethodnih verzija ako ih nije obrisao virus. Možete, naravno, riskirati prebacivanjem novca na račun koji su naveli napadači, ali nema garancije da ćete dobiti lozinku.

Spora

Početkom 2017. jedan broj korisnika postao je žrtva novog Spora ransomwarea. Što se tiče principa rada, ne razlikuje se mnogo od svojih kolega, ali se može pohvaliti profesionalnijim dizajnom: upute za dobivanje lozinke su bolje napisane, a web stranica izgleda ljepše. Spora ransomware virus kreiran je na jeziku C i koristi kombinaciju RSA i AES za šifriranje podataka žrtve. U pravilu su napadnuti računari na kojima se aktivno koristio računovodstveni program 1C. Virus, koji se krije pod maskom jednostavne fakture u .pdf formatu, prisiljava zaposlene kompanije da ga lansiraju. Liječenje još nije pronađeno.

1C.Drop.1

Ovaj 1C virus šifriranja pojavio se u ljeto 2016. godine, poremeteći rad mnogih računovodstvenih odjela. Razvijen je posebno za računare koji koriste 1C softver. Jednom na računaru putem datoteke u e-poruci, traži od vlasnika da ažurira program. Koje god dugme korisnik pritisne, virus će započeti šifriranje datoteka. Dr.Web stručnjaci rade na alatima za dešifriranje, ali rješenje još nije pronađeno. To je zbog složenog koda, koji može imati nekoliko modifikacija. Jedina zaštita od 1C.Drop.1 je budnost korisnika i redovno arhiviranje važnih dokumenata.

da_vinci_code

Novi ransomware s neobičnim imenom. Virus se pojavio u proljeće 2016. Od svojih prethodnika se razlikuje po poboljšanom kodu i jakom načinu šifriranja. da_vinci_code inficira računar zahvaljujući izvršnoj aplikaciji (obično priloženoj e-poruci), koju korisnik samostalno pokreće. Alat za šifriranje da Vinci kopira tijelo u sistemski direktorij i registar, osiguravajući automatsko pokretanje kada je Windows uključen. Računaru svake žrtve je dodijeljen jedinstveni ID (pomaže u dobivanju lozinke). Gotovo je nemoguće dešifrirati podatke. Možete platiti novac napadačima, ali niko ne garantuje da ćete dobiti lozinku.

[email protected] / [email protected]

Dvije adrese e-pošte koje su često bile praćene virusima ransomware-a u 2016. Služe za povezivanje žrtve sa napadačem. U prilogu su bile adrese za razne tipove virusa: da_vinci_code, no_more_ransom, itd. Veoma je preporučljivo da ne kontaktirate niti prenosite novac prevarantima. Korisnici u većini slučajeva ostaju bez lozinki. Dakle, pokazujući da ransomware napadača radi, stvarajući prihod.

Breaking Bad

Pojavio se početkom 2015., ali se aktivno proširio tek godinu dana kasnije. Princip zaraze je identičan drugom ransomware-u: instaliranje datoteke iz e-pošte, šifriranje podataka. Konvencionalni antivirusni programi, u pravilu, ne primjećuju virus Breaking Bad. Neki kod ne može zaobići Windows UAC, ostavljajući korisniku opciju da vrati prethodne verzije dokumenata. Nijedna kompanija koja razvija antivirusni softver još nije predstavila dekriptor.

XTBL

Vrlo čest ransomware koji je uzrokovao probleme mnogim korisnicima. Kada se nađe na računaru, virus menja ekstenziju datoteke u .xtbl za nekoliko minuta. Kreira se dokument u kojem napadač iznuđuje novac. Neke varijante virusa XTBL ne mogu uništiti datoteke za oporavak sistema, što vam omogućava da vratite važne dokumente. Sam virus mogu ukloniti mnogi programi, ali dešifriranje dokumenata je vrlo teško. Ako ste vlasnik licenciranog antivirusa, koristite tehničku podršku tako što ćete priložiti uzorke zaraženih podataka.

Kukaracha

Cucaracha ransomware otkriven je u decembru 2016. Virus zanimljivog imena skriva korisničke datoteke koristeći RSA-2048 algoritam, koji je vrlo otporan. Kaspersky antivirus ga je označio kao Trojan-Ransom.Win32.Scatter.lb. Kukaracha se može ukloniti sa računara kako se drugi dokumenti ne bi zarazili. Međutim, zaražene je trenutno gotovo nemoguće dešifrirati (veoma moćan algoritam).

Kako funkcioniše ransomware virus?

Postoji ogroman broj ransomware-a, ali svi rade na sličnom principu.

1. Ulazak na lični računar. Obično zahvaljujući priloženom fajlu u e-poruci. Instalaciju pokreće sam korisnik otvaranjem dokumenta.
2. Infekcija fajla. Gotovo sve vrste datoteka su šifrirane (ovisno o virusu). Kreira se tekstualni dokument koji sadrži kontakte za komunikaciju sa napadačima.
3. Sve. Korisnik ne može pristupiti nijednom dokumentu.

Kontrolni agensi iz popularnih laboratorija

Široka upotreba ransomwarea, koji je prepoznat kao najopasnija prijetnja korisničkim podacima, postala je poticaj za mnoge antivirusne laboratorije. Svaka popularna kompanija svojim korisnicima pruža programe koji im pomažu u borbi protiv ransomware-a. Osim toga, mnogi od njih pomažu u dešifriranju dokumenata i zaštiti sistema.

Kaspersky i ransomware virusi

Jedna od najpoznatijih antivirusnih laboratorija u Rusiji i svijetu danas nudi najefikasnije alate za borbu protiv ransomware virusa. Prva prepreka virusu ransomware-a biće Kaspersky Endpoint Security 10 sa najnovijim ažuriranjima. Antivirus jednostavno neće dozvoliti prijetnji da uđe na vaš računar (iako možda neće zaustaviti nove verzije). Za dešifriranje informacija, programer predstavlja nekoliko besplatnih uslužnih programa: XoristDecryptor, RakhniDecryptor i Ransomware Decryptor. Pomažu u pronalaženju virusa i odabiru lozinke.

dr. Web i ransomware

Ova laboratorija preporučuje korištenje njihovog antivirusnog programa, čija je glavna karakteristika sigurnosna kopija datoteka. Skladište sa kopijama dokumenata takođe je zaštićeno od neovlašćenog pristupa uljeza. Vlasnici licenciranog proizvoda Dr. Web funkcija je dostupna za traženje pomoći od tehničke podrške. Istina, čak ni iskusni stručnjaci ne mogu uvijek odoljeti ovoj vrsti prijetnje.

ESET Nod 32 i ransomware

Ni ova kompanija nije ostala po strani, pružajući svojim korisnicima dobru zaštitu od virusa koji uđu na njihov računar. Osim toga, laboratorija je nedavno objavila besplatni uslužni program sa ažuriranim bazama podataka - Eset Crysis Decryptor. Programeri kažu da će pomoći u borbi čak i protiv najnovijeg ransomwarea.

Ovaj članak je pripremljen u vezi sa masovnim hakerskim napadom na globalnom nivou, koji može uticati i na vas. Posljedice postaju zaista ozbiljne. U nastavku ćete naći kratak opis problema i opis glavnih mjera koje je potrebno poduzeti za zaštitu od WannaCry porodice ransomware virusa.

WannaCry ransomware iskorištava ranjivost Microsoft Windows MS17-010 da izvrši zlonamjerni kod i pokrene ransomware na ranjivim računarima, tada virus nudi napadačima da plati oko 300 dolara za dešifriranje podataka. Virus se naširoko proširio širom svijeta, primajući aktivno praćenje u medijima - Fontanka.ru, Gazeta.ru, RBC.

Ova ranjivost pogađa računare sa Windows OS instaliranim od XP do Windows 10 i Server 2016 možete pročitati zvanične informacije o ranjivosti od Microsofta i.

Ova ranjivost pripada klasi Daljinsko izvršavanje koda, što znači da se infekcija može izvršiti sa već zaraženog računara preko mreže sa niskim nivoom bezbednosti bez ME segmentacije - lokalne mreže, javne mreže, mreže za goste, kao i pokretanjem malvera primljenog poštom ili kao link.

Sigurnosne mjere

Koje mjere treba identificirati kao efikasne u borbi protiv ovog virusa:

1. Uvjerite se da imate instalirana najnovija ažuriranja za Microsoft Windows kako biste uklonili ranjivost MS17-010. Možete pronaći linkove do ažuriranja, kao i napomenuti da su zbog neviđene ozbiljnosti ove ranjivosti ažuriranja za nepodržane operativne sisteme (windowsXP, 2003 server, 2008 server) objavljena 13. maja, možete ih preuzeti.
2. Kada koristite rješenja za sigurnost mreže IPS klase, uvjerite se da imate instalirana ažuriranja koja uključuju otkrivanje i ublažavanje ranjivosti mreže. Ova ranjivost je opisana u bazi znanja Check Point-a uključena je u ažuriranje IPS-a od 14. marta 2017. godine, Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Također preporučujemo postavljanje skeniranja internog prometa na ključnim segmentima mreže koristeći IPS, barem na kratko, dok se ne smanji vjerovatnoća zaraze.
3. Zbog vjerovatnoće promjene koda virusa, preporučujemo aktiviranje AntiBot&Antivirus sistema i emulaciju pokretanja datoteka koje dolaze iz vanjskih izvora putem pošte ili interneta. Ako ste korisnik Check Point Security Gatewaya, onda je ovaj sistem Threat Emulation. Posebno za kompanije koje nemaju ovu pretplatu, nudimo da je brzo dobiju tokom probnog perioda od 30 dana. Da zatražite ključ koji aktivira pretplatu sa svim funkcijama za vaš Check Point gateway, pišite na [email protected] Možete pročitati više o sistemima za emulaciju datoteka i.

Također blokirajte prijenos arhiva lozinki i aktivirajte IPS potpise sa liste:

Još više preporuka i primjer izvještaja o blokiranju rada ransomwarea Wannacry.

Poštovane kolege, na osnovu iskustva u radu sa prethodnim masovnim napadima, kao što je Heart Bleed, ranjivost Microsoft Windows MS17-010 će se aktivno eksploatisati u narednih 30-40 dana, ne odgađajte kontramere! Za svaki slučaj provjerite rad vašeg BackUp sistema.

Rizik je zaista veliki!

UPD. U četvrtak, 18. maja, u 10.00 po moskovskom vremenu, pozivamo vas na webinar o ransomware-u i metodama zaštite.

Webinar provode TS Solution i Sergey Nevstruev, Check Point Threat Prevention menadžer prodaje za istočnu Evropu.
Pokriti ćemo sljedeća pitanja:

• #WannaCry napad
• Obim i trenutno stanje
• Posebnosti
• Faktori mase

Sigurnosne preporuke

Kako biti korak ispred i mirno spavati

• IPS+AM
• SandBlast: emulacija prijetnje i ekstrakcija prijetnje
• SandBlast Agent: Anti-Ransomware
• SandBlast Agent: Forensics
• SandBlast Agent: Anti-Bot

Možete se prijaviti tako što ćete odgovoriti na ovo pismo ili pratiti link za registraciju

Nastavlja svoj opresivni marš internetom, zarazivši kompjutere i šifrirajući važne podatke. Kako se zaštititi od ransomware-a, zaštititi Windows od ransomware-a - da li su puštene zakrpe za dešifriranje i dezinfekciju datoteka?

Novi ransomware virus 2017 Wanna Cry nastavlja da zarazi korporativne i privatne računare. U Šteta od napada virusa iznosi milijardu dolara. Za 2 sedmice, ransomware virus je zaražen najmanje 300 hiljada kompjutera, uprkos upozorenjima i mjerama sigurnosti.

Ransomware virus 2017, šta je to?- po pravilu možete "pokupiti" na naizgled najbezazlenijim stranicama, na primjer, bankarskim serverima s korisničkim pristupom. Kada se nađe na hard disku žrtve, ransomware se „nastanjuje“ u sistemskoj fascikli System32. Odatle program odmah deaktivira antivirus i ide u "Autorun"" Nakon svakog ponovnog pokretanja, ransomware upada u registar, započinjući svoj prljavi posao. Ransomware počinje da preuzima slične kopije programa kao što su Ransom i Trojan. To se takođe često dešava samoreplikacija ransomwarea. Ovaj proces može biti trenutan ili može potrajati sedmicama dok žrtva ne primijeti da nešto nije u redu.

Ransomware se često maskira u obične slike ili tekstualne datoteke ali suština je uvek ista - ovo je izvršna datoteka sa ekstenzijom .exe, .drv, .xvd; ponekad - libraries.dll. Najčešće, datoteka ima potpuno bezazleno ime, na primjer " dokument. doc", ili " picture.jpg", gdje se ekstenzija piše ručno, i pravi tip datoteke je skriven.

Nakon što je šifriranje završeno, korisnik umjesto poznatih datoteka vidi skup "slučajnih" znakova u nazivu i unutra, a ekstenzija se mijenja u do sada nepoznatu - .NO_MORE_RANSOM, .xdata i drugi.

Wanna Cry ransomware virus 2017 – kako se zaštititi. Želio bih odmah napomenuti da je Wanna Cry prije skupni pojam za sve viruse za šifriranje i ransomware, jer u posljednje vrijeme najčešće inficira računare. Dakle, razgovaraćemo o tome Zaštitite se od Ransom Ware ransomwarea, kojih ima mnogo: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Kako zaštititi Windows od ransomware-a. – EternalBlue preko SMB port protokola.

Zaštita Windowsa od ransomwarea 2017 – osnovna pravila:

• Windows ažuriranje, blagovremeni prelazak na licencirani OS (napomena: XP verzija nije ažurirana)
• ažuriranje antivirusnih baza podataka i zaštitnih zidova na zahtjev
• izuzetna pažnja prilikom preuzimanja bilo kojeg fajla (slatki "pečati" mogu dovesti do gubitka svih podataka)
• Izrada rezervnih kopija važnih informacija na prenosivim medijima.

Ransomware virus 2017: kako dezinficirati i dešifrirati datoteke.

Oslanjajući se na antivirusni softver, možete zaboraviti na dešifriranje na neko vrijeme. U laboratorijama Kaspersky, Dr. Web, Avast! i ostali antivirusi za sada nije pronađeno rješenje za liječenje zaraženih datoteka. Trenutno je moguće ukloniti virus pomoću antivirusa, ali još ne postoje algoritmi koji bi sve vratili "u normalu".

Neki pokušavaju koristiti dekriptore poput uslužnog programa RectorDecryptor, ali ovo neće pomoći: algoritam za dešifriranje novih virusa još nije kompajliran. Također je apsolutno nepoznato kako će se virus ponašati ako se ne ukloni nakon korištenja takvih programa. Često to može rezultirati brisanjem svih datoteka - kao upozorenje onima koji ne žele platiti napadačima, autorima virusa.

Trenutno je najefikasniji način povratka izgubljenih podataka kontaktiranje tehničke podrške. podršku od dobavljača antivirusnog programa koji koristite. Da biste to učinili, trebate poslati pismo ili koristiti obrazac za povratne informacije na web stranici proizvođača. Obavezno dodajte šifriranu datoteku u prilog i, ako je dostupna, kopiju originala. Ovo će pomoći programerima u sastavljanju algoritma. Nažalost, za mnoge je napad virusa potpuno iznenađenje, a kopije nisu pronađene, što uvelike komplikuje situaciju.

Srčane metode liječenja Windowsa od ransomware-a. Nažalost, ponekad morate pribjeći potpunom formatiranju tvrdog diska, što podrazumijeva potpunu promjenu OS-a. Mnogi će pomisliti da obnove sistem, ali to nije opcija - čak i "povratak" će se riješiti virusa, ali datoteke će i dalje ostati šifrirane.

WannaCry, Petya, Mischa i drugi ransomware virusi neće vas ugroziti ako slijedite jednostavne preporuke za sprječavanje zaraze PC-a!

Prošle sedmice cijeli internet je potresla vijest o novom virusu za šifriranje. Izazvao je mnogo veću epidemiju u mnogim zemljama širom svijeta od zloglasnog WannaCryja, čiji se talas dogodio u maju ove godine. Novi virus ima mnogo imena: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, međutim, najčešće se pojavljuje jednostavno kao Petya.

Napadi se nastavljaju ove sedmice. Čak je i naša kancelarija dobila pismo lukavo prerušeno u neku mitsku nadogradnju softvera! Srećom, nikome nije palo na pamet bez mene otvoriti poslanu arhivu :) Stoga bih današnji članak želio posvetiti pitanju kako zaštititi svoje računalo od ransomware virusa i ne postati žrtva Petya ili nekog drugog enkriptora.

Šta rade ransomware virusi?

Prvi ransomware virusi pojavili su se oko ranih 2000-ih. Mnogi koji su koristili internet tokom godina vjerovatno se sjećaju Trojan.WinLock. Blokirao je pokretanje računara i, da bi dobio kod za otključavanje, zahtijevao je da se određeni iznos prenese na WebMoney novčanik ili račun mobilnog telefona:

Prvi Windows blokeri bili su prilično bezopasni. Njihov prozor sa tekstom o potrebi za transferom sredstava u početku mogao bi se jednostavno „zakucati“ preko Task Managera. Zatim su se pojavile složenije verzije Trojanca, koje su unosile promjene na nivou registra, pa čak i MBR-a. Ali i ovo bi se moglo "izliječiti" ako biste znali šta da radite.

Moderni ransomware virusi postali su vrlo opasne stvari. Oni ne samo da blokiraju rad sistema, već i šifruju sadržaj čvrstog diska (uključujući MBR glavni zapis za pokretanje). Za otključavanje sistema i dešifrovanje datoteka, napadači sada naplaćuju naknadu u bitcoinima, u iznosu od 200 do 1000 američkih dolara. Štaviše, čak i ako ugovorena sredstva prenesete na navedeni novčanik, to uopće ne garantuje da će hakeri! poslati ti ključ za otključavanje.

Važna stvar je da danas praktički ne postoje funkcionalni načini da se riješite virusa i vratite svoje datoteke. Stoga je, po mom mišljenju, bolje u početku ne nasjedati na sve vrste trikova i manje-više pouzdano zaštititi svoje računalo od potencijalnih napada.

Kako izbjeći da postanete žrtva virusa

Ransomware virusi se obično šire na dva načina. Prvi eksploatiše razne Tehničke ranjivosti Windows-a. Na primjer, WannaCry je koristio EternalBlue exploit, koji je omogućio pristup računaru preko SMB protokola. A novi Petya enkriptor može prodrijeti u sistem preko otvorenih TCP portova 1024-1035, 135 i 445. Češći način zaraze je phishing. Jednostavno, korisnici sami zaraze svoj računar otvaranjem zlonamernih fajlova poslatih poštom!

Tehnička zaštita od ransomware virusa

Iako direktne infekcije virusima nisu tako česte, ipak se javljaju. Stoga je bolje proaktivno rješavati već poznate potencijalne sigurnosne rupe. Prvo morate ažurirati antivirus ili ga instalirati (na primjer, besplatni 360 Total Security dobro prepoznaje viruse ransomware). Drugo, obavezno instalirajte najnovija ažuriranja za Windows.

Dakle, da bi eliminisao potencijalno opasnu grešku u SMB protokolu, Microsoft je objavio izvanredne ispravke za sve sisteme, počevši od Windows XP-a. Možete ih preuzeti za svoju verziju OS-a.

Da biste se zaštitili od Petya, preporučuje se da zatvorite određeni broj portova na vašem računaru. Najlakši način da to učinite je korištenje standarda firewall. Otvorite ga na kontrolnoj tabli i odaberite odjeljak na bočnoj traci "Dodatne opcije". Otvoriće se prozor za upravljanje pravilima filtriranja. Odaberite "Pravila za dolazne veze" i kliknite na desnoj strani "Kreiraj pravilo". Otvorit će se poseban čarobnjak u kojem trebate kreirati pravilo "za luku", a zatim odaberite opciju "Specifične lokalne luke" i napiši sljedeće: 1024-1035, 135, 445 :

Nakon što dodate listu portova, postavite opciju na sljedećem ekranu "Blokiraj vezu" za sve profile i postavite ime (opcijski opis) za novo pravilo. Ako vjerujete preporukama na Internetu, to će spriječiti virus da preuzme potrebne datoteke čak i ako dođe na vaš računar.

Osim toga, ako ste iz Ukrajine i koristite Me.Doc računovodstveni softver, možete instalirati ažuriranja koja sadrže backdoor. Ovi backdoor su korišteni za inficiranje računara u velikim razmjerima virusom Petya.A. Od danas analiziranih, poznata su najmanje tri ažuriranja sa sigurnosnim ranjivostima:

• 10.01.175-10.01.176 od 14. aprila;
• 10.01.180-10.01.181 od 15. maja;
• 10.01.188-10.01.189 od 22. juna.

Ako ste instalirali ova ažuriranja, onda ste u opasnosti!

Zaštita od krađe identiteta

Kao što je već spomenuto, za većinu infekcija još uvijek je kriv ljudski faktor. Hakeri i spameri pokrenuli su opsežnu phishing kampanju širom svijeta. U okviru tog okvira, slani su mejlovi, navodno od zvaničnih organizacija, sa raznim prilozima koji su predstavljeni kao fakture, ažuriranja softvera ili drugi „važni“ podaci. Korisniku je bilo dovoljno da otvori prikriveni zlonamjerni fajl, a on je na kompjuter instalirao virus koji je šifrirao sve podatke!

Kako razlikovati phishing email od pravog. To je prilično lako učiniti ako slijedite zdrav razum i sljedeće preporuke:

1. Od koga je pismo? Prije svega, obraćamo pažnju na pošiljaoca. Hakeri mogu potpisati pismo čak i imenom vaše bake! Međutim, postoji jedna važna stvar. Trebali biste znati "bakinu" e-poštu, a adresa pošiljatelja phishing e-pošte će po pravilu biti nedefinirani skup znakova. Nešto kao: " [email protected]". I još jedna nijansa: ime pošiljaoca i njegova adresa, ako je ovo službeno pismo, obično su međusobno povezani. Na primjer, e-mail od određene kompanije "Pupkin and Co" može izgledati kao " [email protected]", ali malo je vjerovatno da će izgledati " [email protected]" :)
2. O čemu je pismo? Tipično, phishing e-poruke sadrže neku vrstu poziva na akciju ili nagovještaj radnje u naslovu. Istovremeno, u tijelu pisma obično ili nema ništa napisano, ili se daje neka dodatna motivacija za otvaranje priloženih fajlova. Riječi “HITNO!”, “Faktura za usluge” ili “Kritično ažuriranje” u pismima nepoznatih pošiljatelja mogu biti jasan primjer da vas pokušavaju hakirati. Razmišljajte logički! Ako niste tražili nikakve fakture, ažuriranja ili druge dokumente od određene kompanije, onda postoji 99% vjerovatnoća da je ovo phishing...
3. Šta je u pismu? Glavni element phishing e-pošte su njeni prilozi. Najočitija vrsta priloga bila bi EXE datoteka koja sadrži lažno "ažuriranje" ili "program". Takve investicije su prilično grubi falsifikat, ali se dešavaju.

   „Elegantniji“ načini zavaravanja korisnika uključuju prikrivanje skripte koja preuzima virus u Excel ili Word dokument. Maskiranje može biti dva tipa. U prvoj opciji, sama skripta je predstavljena kao kancelarijski dokument i može se prepoznati po „dvostrukom” proširenju naziva, na primjer, „Faktura .xls.js" ili "Nastavi .doc.vbs". U drugom slučaju, prilog se može sastojati od dva fajla: pravog dokumenta i datoteke sa skriptom koja se poziva kao makro iz Office Word ili Excel dokumenta.

   U svakom slučaju, ne biste trebali otvarati takve dokumente, čak i ako „pošiljalac“ to snažno traži! Čak i ako se iznenada među vašim klijentima nađe neko ko bi vam teoretski mogao poslati pismo sličnog sadržaja, bolje je da se potrudite da ga direktno kontaktirate i saznate da li vam je poslao neka dokumenta. Dodatni pokreti tijela u ovom slučaju mogu vas spasiti od nepotrebnih gnjavaža!

Mislim da ako zatvorite sve tehničke rupe u svom kompjuteru i ne podlegnete provokacijama spamera, onda se nećete bojati nikakvih virusa!

Kako oporaviti datoteke nakon infekcije

Pa ipak, uspeli ste da zarazite računar virusom za šifrovanje... NIKADA NEMOJTE ISKLJUČITI VAŠ PC NAKON POJAVI SE PORUKA O ŠIFRIRANJU!!!

Činjenica je da zbog brojnih grešaka u kodu samih virusa, prije ponovnog pokretanja računala postoji šansa da se iz memorije ukloni ključ koji je potreban za dešifriranje datoteka! Na primjer, za dobivanje ključa za dešifriranje WannaCry, prikladan je uslužni program wannakiwi. Nažalost, ne postoje takva rješenja za oporavak datoteka nakon Petya napada, ali možete ih pokušati izvući iz sjenčanih kopija podataka (ako ste aktivirali opciju da ih kreirate na particiji tvrdog diska) pomoću minijaturnog programa ShadowExplorer:

Ako ste već ponovo pokrenuli računalo ili gore navedeni savjeti nisu pomogli, tada možete oporaviti datoteke samo pomoću programa za oporavak podataka. U pravilu, virusi za šifriranje rade prema sljedećoj shemi: kreiraju šifriranu kopiju datoteke i brišu original bez prepisivanja. To jest, samo se oznaka datoteke zapravo briše, a sami podaci se pohranjuju i mogu se vratiti. Na našoj web stranici postoje dva programa: pogodniji je za oživljavanje medijskih datoteka i fotografija, dok se R.Saver dobro nosi s dokumentima i arhivama.

Naravno, morate ukloniti sam virus iz sistema. Ako se Windows pokrene, Malwarebytes Anti-Malware je dobar alat za to. Ako je virus blokirao preuzimanje, tada će vam pomoći Dr.Web LiveCD disk za pokretanje s dokazanim uslužnim programom za borbu protiv raznih zlonamjernih programa Dr.Web CureIt. U potonjem slučaju, također ćete morati započeti vraćanje MBR-a. Budući da je LiveCD iz Dr.Web-a baziran na Linuxu, mislim da će vam upute sa Habra o ovoj temi biti korisne.

zaključci

Problem virusa na Windowsima je aktuelan dugi niz godina. I svake godine vidimo da pisci virusa izmišljaju sve sofisticiranije oblike nanošenja štete računarima korisnika. Najnovije epidemije enkripcijskih virusa pokazuju nam da napadači postepeno prelaze na aktivnu iznudu!

Nažalost, čak i ako uplatite novac, malo je vjerovatno da ćete dobiti bilo kakav odgovor. Najvjerovatnije ćete morati sami da vratite svoje podatke. Stoga je bolje biti na oprezu na vrijeme i spriječiti infekciju nego dugo pokušavati otkloniti njene posljedice!

P.S. Daje se dopuštenje za slobodno kopiranje i citiranje ovog članka, pod uvjetom da je naznačena otvorena aktivna veza do izvora i da je sačuvano autorstvo Ruslana Tertyshnyja.