Ky artikull është përgatitur në lidhje me sulm hakeri karakter masiv në shkallë globale, gjë që mund të prekë edhe ju. Pasojat bëhen vërtet serioze. Më poshtë do të gjeni Përshkrim i shkurtër problemet dhe një përshkrim të masave kryesore që duhen marrë për t'u mbrojtur kundër viruseve të familjes WannaCry të ransomware.
Virusi ransomware WannaCry shfrytëzon një cenueshmëri Microsoft Windows MS17-010 për të ekzekutuar kod me qëllim të keq dhe ekzekutoni një program enkriptimi në kompjuterë të cenueshëm, më pas virusi ofron t'i paguajë sulmuesit rreth 300 dollarë për të deshifruar të dhënat. Virusi është përhapur gjerësisht në mbarë botën, duke marrë mbulim aktiv në media - Fontanka.ru, Gazeta.ru, RBC.
Kjo dobësi prek PC-të me Windows OS të instaluar nga XP në Windows 10 dhe Server 2016, informacion zyrtar Ju mund të lexoni për dobësinë nga Microsoft.
Kjo dobësi i përket klasës Ekzekutimi i kodit në distancë, që do të thotë se infeksioni mund të kryhet nga një PC tashmë i infektuar nëpërmjet një rrjeti me nivel i ulët siguri pa segmentim ME - rrjetet lokale, rrjetet publike, rrjetet e mysafirëve, si dhe duke lëshuar malware të marrë me postë ose si lidhje.
Masat e sigurisë
Cilat masa duhet të identifikohen si efektive për të luftuar këtë virus:
- Sigurohuni që të keni instaluar përditësimet aktuale Microsoft Windows, i cili heq cenueshmërinë MS17-010. Mund të gjeni lidhje me përditësimet dhe gjithashtu vini re se për shkak të seriozitetit të paparë të kësaj dobësie, përditësimet për sistemet operative të pambështetura (windowsXP, serveri 2003, serveri 2008) u lëshuan më 13 maj, mund t'i shkarkoni.
- Përdorimi i zgjidhjeve provizionuese siguria e rrjetit Klasa IPS, sigurohuni që të keni instaluar përditësime që përfshijnë zbulimin dhe kompensimin cenueshmëria e rrjetit. Në bazën e njohurive Pika e kontrollit Kjo dobësi është përshkruar, është përfshirë në përditësimin IPS të datës 14 mars 2017, Ekzekutimi i kodit në distancë të Microsoft Windows SMB (MS17-010: CVE-2017-0143). Ne rekomandojmë gjithashtu konfigurimin e skanimit të trafikut të brendshëm në segmentet kryesore të rrjetit duke përdorur IPS, të paktën për një kohë të shkurtër, derisa gjasat e infeksionit të ulen.
- Për shkak të mundësisë së ndryshimit të kodit të virusit, ne rekomandojmë aktivizimin e sistemeve AntiBot&Antivirus dhe imitimin e nisjes së skedarëve që vijnë nga burimet e jashtme me postë ose internet. Nëse jeni përdorues i Check Point Security Gateway, atëherë ky sistem është Threat Emulation. Sidomos për kompanitë që nuk e kanë këtë abonim, ne ofrojmë ta marrin atë shpejt gjatë periudhës së provës prej 30 ditësh. Për të kërkuar një çelës që aktivizon një abonim me funksione të plota për portën tuaj Check Point, shkruani te [email i mbrojtur] Mund të lexoni më shumë rreth sistemeve të emulimit të skedarëve dhe.
Edhe më shumë rekomandime dhe një shembull i një raporti të bllokimit të punës ransomware i kërkuar.
Të dashur kolegë, bazuar në përvojën e punës me sulme masive të mëparshme, si Heart Bleed, cenueshmëria e Microsoft Windows MS17-010 do të shfrytëzohet në mënyrë aktive gjatë 30-40 ditëve të ardhshme, mos vononi kundërmasat! Për çdo rast, kontrolloni funksionimin e sistemit tuaj BackUp.
Rreziku është vërtet i madh!
UPD. Të enjten, më 18 maj, në orën 10.00 me orën e Moskës, ju ftojmë në një webinar rreth ransomware dhe metodave të mbrojtjes.
Webinari drejtohet nga TS Solution dhe Sergey Nevstruev, Menaxher i Shitjeve për Parandalimin e Kërcënimeve në pikën e kontrollit në Evropën Lindore.
Ne do të trajtojmë pyetjet e mëposhtme:
- Sulmi #WannaCry
- Shtrirja dhe statusi aktual
- Veçoritë
- Faktorët masiv
Si të jesh një hap përpara dhe të flesh i qetë
- IPS+AM
- SandBlast: Emulation Threat dhe Threat Extraction
- Agjenti SandBlast: Anti-Ransomware
- Agjenti SandBlast: Forensics
- SandBlast Agent: Anti-Bot
Ky udhëzim nuk është menduar për specialistë teknikë, Kjo është arsyeja pse:
- përkufizimet e disa termave janë thjeshtuar;
- detajet teknike nuk merren parasysh;
- Metodat e mbrojtjes së sistemit (instalimi i përditësimeve, konfigurimi i sistemeve të sigurisë, etj.) nuk merren parasysh.
Fjalorth
Software(më tej referuar si softuer) është një program ose grup programesh që përdoren për të kontrolluar një kompjuter.Enkriptimiështë shndërrimi i të dhënave në një formë që është e palexueshme pa një çelës enkriptimi.
Çelësi i enkriptimit- Kjo informacion sekret, përdoret kur kriptoni/deshifroni skedarët.
Dekoder— një program që zbaton algoritmin e deshifrimit.
Algoritmi- një grup udhëzimesh që përshkruajnë rendin e veprimeve të interpretuesit për të arritur një rezultat të caktuar.
Shtojca e postës- një skedar i bashkangjitur një emaili.
Zgjerim(zgjatja e emrit të skedarit) - një sekuencë karakteresh të shtuara në emrin e skedarit dhe synon të identifikojë llojin e skedarit (për shembull, *.doc, *.jpg). Sipas llojit të skedarit, do të përdoret program specifik për t'i hapur ato. Për shembull, nëse zgjerimi i skedarit është *.doc, atëherë MS Word do të nisë për ta hapur atë, nëse *.jpg, atëherë do të hapet shikuesi i imazhit, etj.
Lidhje(ose më saktë, një hiperlidhje) është një pjesë e faqes së internetit të një dokumenti që i referohet një elementi tjetër (komandë, tekst, titull, shënim, imazh) në vetë dokumentin ose një objekt tjetër (skedar, drejtori, aplikacion) që ndodhet në disku lokal ose në një rrjet kompjuterik.
Skedar teksti — skedari kompjuterik, që përmban të dhëna teksti.
Arkivimiështë komprimimi, domethënë zvogëlimi i madhësisë së skedarit.
Kopje rezervë- një skedar ose grup skedarësh të krijuar si rezultat Rezervo kopje informacion.
Rezervimi- procesi i krijimit të një kopjeje të të dhënave në një medium (hard drive, floppy disk, etj.) i destinuar për rikthimin e të dhënave në vendndodhjen origjinale ose të re të ruajtjes në rast dëmtimi ose shkatërrimi.
Domeni(emri i domenit) - një emër që bën të mundur aksesin në faqet e internetit dhe ato që ndodhen në to burimet e rrjetit(faqet e internetit, serverët e postës elektronike, shërbime të tjera) në një formë miqësore për njerëzit. Për shembull, në vend të 172.217.18.131 shkruani google.com.ua, ku ua, com, google janë domene të niveleve të ndryshme.
Çfarë është një virus ransomware?
Virus ransomware(në tekstin e mëtejmë referuar si ransomware) është softuer me qëllim të keq që kodon skedarët e përdoruesve dhe kërkon një shpërblim për deshifrimin. Më shpesh i koduar lloje të njohura skedarët - dokumentet dhe tabelat e MS Office ( docx, xlsx), Imazhe ( jpeg, png, tif), skedarë video ( avi, mpeg, mkv etj.), dokumente në format pdf etj., si dhe skedarët e bazës së të dhënave - 1C ( 1 CD, dbf), Theks ( mdf). Skedarët e sistemit dhe programet zakonisht nuk janë të koduara për të ruajtur Performanca e Windows dhe i jepni përdoruesit mundësinë të kontaktojë me ransomware. Në raste të rralla, i gjithë disku është i koduar, Nisja e Windows në këtë rast është e pamundur. Cili është rreziku i viruseve të tilla?
Në shumicën dërrmuese të rasteve, deshifrimi më vete E PAMUNDUR, sepse përdoren algoritme jashtëzakonisht komplekse të enkriptimit. Në raste shumë të rralla, skedarët mund të deshifrohen nëse një infeksion ka ndodhur tashmë. lloj i njohur një virus për të cilin prodhuesit e antiviruseve kanë lëshuar një dekriptues, por edhe në këtë rast, rikuperimi 100% i informacionit nuk është i garantuar. Ndonjëherë një virus ka një defekt në kodin e tij dhe deshifrimi bëhet i pamundur në parim, madje edhe nga autori i programit me qëllim të keq.Në shumicën dërrmuese të rasteve, pas kodimit, ransomware fshihet skedarët burimor duke përdorur algoritme speciale, gjë që eliminon mundësinë e rikuperimit.
Nje tjeter tipar i rrezikshëm viruse të këtij lloji - mjaft shpesh ato janë "të padukshme" për antiviruset, sepse Algoritmet e përdorura për kriptim përdoren gjithashtu në shumë programe ligjore (për shembull, klient-bankë), kjo është arsyeja pse shumë ransomware nuk perceptohen nga antiviruset si malware.
Rrugët e infeksionit.
Më shpesh, infeksioni ndodh përmes bashkëngjitjeve të postës elektronike. Përdoruesi merr një letër nëpërmjet e-mail nga një adresues i njohur për të ose i maskuar si ndonjë organizatë (zyrë tatimore, bankë). Letra mund të përmbajë një kërkesë për të kryer një rakordim kontabël, për të konfirmuar pagesën e një faturë, një ofertë për t'u njohur me borxhin e kredisë në bankë ose diçka të ngjashme. Kjo do të thotë, informacioni do të jetë i tillë që me siguri do të interesojë ose frikësojë përdoruesin dhe do ta shtyjë atë të hapë një shtojcë emaili me një virus. Më shpesh do të duket si një arkiv, brenda të cilit ka një skedar me shtesën *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. Pas nisjes së një skedari të tillë, procesi i kriptimit të skedarëve në PC fillon menjëherë ose pas njëfarë kohe. Gjithashtu, një skedar i infektuar mund t'i dërgohet përdoruesit në një nga programet e ndarjes mesazhe të çastit(Skype, Viber, etj.).Më rrallë, infeksioni ndodh pas instalimit të softuerit të hakuar ose pasi klikoni në një lidhje të infektuar në një faqe interneti ose në trupin e një emaili.
Vlen të kihet parasysh se shumë shpesh, pasi ka infektuar një kompjuter në rrjet, virusi mund të përhapet në makina të tjera duke përdorur dobësi në Windows dhe/ose programe të instaluara.
Shenjat e infeksionit.
- Shumë shpesh, pas lëshimit të skedarit të bashkangjitur letrës, ka një aktivitet të lartë hard drive, procesori është i ngarkuar në 100%, d.m.th. Kompjuteri fillon të ngadalësohet shumë.
- Disa kohë pas fillimit të virusit, kompjuteri papritmas rindizet (në shumicën e rasteve).
- Pas rindezjes, hapet një skedar teksti, duke informuar se skedarët e përdoruesit janë të koduar dhe duke treguar kontaktet për komunikim (email). Ndonjëherë, në vend që të hapet skedari, sfondi i desktopit zëvendësohet me tekst shpërblyes.
- Shumica e skedarëve të përdoruesve (dokumentet, fotot, bazat e të dhënave) përfundojnë me një shtesë tjetër (për shembull, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl, etj.) ose janë riemërtuar plotësisht dhe nuk e bëjnë këtë. programin e hapur, edhe nëse ndryshoni shtesën. Ndonjëherë i gjithë hard disku është i koduar. Në atë Rasti i Windows nuk ngarkohet fare dhe mesazhi i shpërblimit shfaqet pothuajse menjëherë pas ndezjes së kompjuterit.
- Ndonjëherë të gjithë skedarët e një përdoruesi përfundojnë duke u vendosur në një arkiv të mbrojtur me fjalëkalim. Kjo ndodh nëse një sulmues depërton në një PC dhe arkivon manualisht dhe fshin skedarët. Kjo do të thotë, kur një skedar me qëllim të keq lëshohet nga një bashkëngjitje emaili, skedarët e përdoruesit nuk kodohen automatikisht, por ndodh instalimi software, duke lejuar një sulmues të lidhet fshehurazi me një PC nëpërmjet internetit.
Shembull teksti me një kërkesë për shpërblim |
Çfarë duhet të bëni nëse infeksioni tashmë ka ndodhur?
- Nëse procesi i kriptimit filloi në praninë tuaj (kompjuteri është shumë i ngadalshëm; është hapur një skedar teksti me një mesazh për enkriptimin; skedarët filluan të zhdukeshin dhe kopjet e tyre të koduara filluan të shfaqen në vendin e tyre), ju duhet MENJËHERË Fikni kompjuterin duke shkëputur kordonin elektrik ose duke e mbajtur të shtypur për 5 sekonda. butoni i energjisë. Ndoshta kjo do të kursejë disa nga informacionet. MOS RINISENI kompjuterin tuaj! FIKUES VETËM!
- Nëse enkriptimi ka ndodhur tashmë, në asnjë rrethanë nuk duhet të përpiqeni ta kuroni vetë infeksionin, ose të fshini ose riemërtoni skedarët ose skedarët e enkriptuar të krijuar nga ransomware.
Në të dyja rastet, duhet të raportoni menjëherë incidentin te administratori i sistemit tuaj.
E RËNDËSISHME!!!
Mos u përpiqni të negocioni vetë me sulmuesin përmes kontakteve që ai ofron! NË skenari më i mirë Kjo është e padobishme, në rastin më të keq mund të rrisë shumën e shpërblimit për deshifrim.
Si të parandaloni infeksionin ose të minimizoni pasojat e tij?
- Mos hapni email-e të dyshimta, veçanërisht ato me bashkëngjitje (shihni më poshtë se si t'i dalloni emailet e tilla).
- Mos klikoni në lidhje të dyshimta në faqet e internetit ose në emailet e dërguara.
- Mos shkarkoni ose instaloni programe nga burime të pabesueshme (faqe me softuer të hakuar, gjurmues torrent).
- Bëje gjithmonë kopje rezervë skedarë të rëndësishëm. Opsioni më i mirë do të ruajë kopje rezervë në një medium tjetër që nuk është i lidhur me PC (flash drive, disku i jashtëm, DVD), ose në re (për shembull, Yandex.Disk). Shpesh virusi kodon edhe skedarët e arkivit (zip, rar, 7z), kështu që ruajtja e kopjeve rezervë në të njëjtin PC ku ruhen skedarët origjinalë është e kotë.
Si të dalloni një email me qëllim të keq?
1. Tema dhe përmbajtja e letrës nuk kanë lidhje me tuajën veprimtari profesionale. Për shembull, menaxheri i zyrës mori një letër rreth kontrolli tatimor, faturë ose rezyme.2. Letra përmban informacione që nuk kanë lidhje me vendin, rajonin apo zonën e veprimtarisë së kompanisë sonë. Për shembull, një kërkesë për të shlyer një borxh në një bankë të regjistruar në Federatën Ruse.
3. Shpesh një letër me qëllim të keq kornizohet si një përgjigje e supozuar ndaj ndonjë letre nga ju. Në fillim të temës së një letre të tillë ekziston një kombinim "Re:". Për shembull, "Re: Fatura për pagesë", megjithëse e dini me siguri që nuk keni dërguar letra në këtë adresë.
4. Letra supozohet se ka ardhur nga një kompani e njohur, por adresa e dërguesit përmban sekuenca të pakuptimta shkronjash, fjalësh, numrash, domenesh të huaja që nuk kanë asnjë lidhje me adresat zyrtare kompania e përmendur në tekstin e letrës.
5. Fusha "Për" përmban një emër të panjohur (jo tuajin) Kuti postare), një grup karakteresh të shkëputura ose emri i kutisë postare të dërguesit është dublikuar.
6. Në tekstin e letrës, me pretekste të ndryshme, nga marrësi i kërkohet të sigurojë ose të konfirmojë ndonjë personal ose informacion zyrtar, shkarkoni një skedar ose ndiqni një lidhje, duke informuar për urgjencën ose çdo sanksion në rast të mosrespektimit të udhëzimeve të specifikuara në letër.
7. Arkivi i bashkangjitur letrës përmban skedarë me shtesën *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Kamuflazhi përdoret gjithashtu shpesh zgjerim me qëllim të keq. Për shembull, në emrin e skedarit "Accounts receivable.doc.js", *.doc është një shtesë e rreme që nuk ka asnjë funksionalitet dhe *.js është një shtesë e vërtetë skedar virusi.
8. Nëse letra ka ardhur nga një dërgues i njohur, por stili i të shkruarit dhe shkrim-leximi janë shumë të ndryshme, kjo është gjithashtu një arsye për të qenë të kujdesshëm. Si dhe përmbajtje jo karakteristike - për shembull, një klient mori një kërkesë për të paguar një faturë. Në këtë rast, është më mirë të kontaktoni dërguesin përmes një kanali tjetër komunikimi (telefon, Skype), pasi ka shumë të ngjarë që kompjuteri i tij të jetë hakuar ose infektuar me një virus.
 |
| Shembull i një emaili me qëllim të keq |
Për dekada, kriminelët kibernetikë kanë shfrytëzuar me sukses të metat dhe dobësitë në Rrjet i gjere boteror. Megjithatë, në vitet e fundit pati një rritje të qartë të numrit të sulmeve, si dhe një rritje të nivelit të tyre - sulmuesit po bëhen më të rrezikshëm, dhe malware po përhapen me ritme të paparë më parë.
Prezantimi
Po flasim për ransomware, i cili mori një hap të jashtëzakonshëm në 2017, duke shkaktuar dëme në mijëra organizata në mbarë botën. Për shembull, në Australi, sulmet e ransomware si WannaCry dhe NotPetya madje shkaktuan shqetësim në nivel qeveritar.
Duke përmbledhur "sukseset" e malware të ransomware këtë vit, ne do të shohim 10 më të rrezikshmit që kanë shkaktuar dëmi më i madh organizatave. Le të shpresojmë që vitin e ardhshëm do të nxjerrim mësimet tona dhe do të parandalojmë që ky lloj problemi të hyjë në rrjetet tona.
JoPetya
Ky sulm ransomware filloi me Programi ukrainas pasqyrat financiare M.E.Doc, i cili zëvendësoi 1C, i cili ishte i ndaluar në Ukrainë. Në vetëm pak ditë, NotPetya infektoi qindra mijëra kompjuterë në më shumë se 100 vende. Ky malware është një variant i ransomware-it më të vjetër Petya, i vetmi ndryshim është se sulmet NotPetya përdorën të njëjtin shfrytëzim si sulmet WannaCry.
Ndërsa NotPetya u përhap, ajo preku disa organizata në Australi, si fabrika e çokollatës Cadbury në Tasmania, e cila duhej të mbyllte përkohësisht të gjithë sistemin e tyre të IT. Ky ransomware gjithashtu arriti të depërtojë në anijen më të madhe të kontejnerëve në botë, në pronësi të kompanisë Maersk, e cila thuhet se humbi deri në 300 milionë dollarë të ardhura.
WannaCry
Ky ransomware, i tmerrshëm në shkallën e tij, praktikisht ka pushtuar të gjithë botën. Sulmet e tij përdorën shfrytëzimin famëkeq EternalBlue, i cili shfrytëzon një dobësi në protokoll Serveri i Microsoft Blloku i mesazheve (SMB).
WannaCry infektoi viktima në 150 vende dhe më shumë se 200,000 makina vetëm ditën e parë. Ne publikuam këtë malware sensacional.
Locky
Locky ishte ransomware më i popullarizuar në 2016, por vazhdoi të funksiononte në 2017. Variantet e reja të Locky, të quajtura Diablo dhe Lukitus, u shfaqën këtë vit duke përdorur të njëjtin vektor sulmi (phishing) për të nisur shfrytëzimet.
Ishte Locky ai që qëndronte pas skandalit të mashtrimit me email në Australia Post. Sipas Komisionit Australian të Konkurrencës dhe Konsumatorit, qytetarët kanë humbur më shumë se 80,000 dollarë për shkak të këtij mashtrimi.
CrySis
Ky shembull u dallua nga përdorimi mjeshtëror i Protokollit të Desktopit në distancë (RDP). RDP është një nga më mënyra popullore shpërndarja e ransomware, pasi në këtë mënyrë kriminelët kibernetikë mund të komprometojnë makinat që kontrollojnë organizata të tëra.
Viktimat e CrySis u detyruan të paguanin midis 455 dhe 1022 dollarë për të rikuperuar skedarët e tyre.
Nemucod
Nemucod shpërndahet duke përdorur një email phishing që duket si një faturë për shërbimet e transportit. Ky ransomware shkarkohet skedarë me qëllim të keq, të ruajtura në faqet e internetit të hakuara.
Për sa i përket përdorimit të postave elektronike phishing, Nemucod është i dyti vetëm pas Locky.
Jaff
Jaff është i ngjashëm me Locky dhe përdor teknika të ngjashme. Ky ransomware nuk shquhet për metodat e tij origjinale të përhapjes ose enkriptimit të skedarëve, por përkundrazi, ai kombinon praktikat më të suksesshme.
Sulmuesit pas tij kërkuan deri në 3,700 dollarë për akses në skedarët e koduar.
Spora
Për të përhapur këtë lloj ransomware, kriminelët kibernetikë hakojnë faqet e internetit legjitime duke shtuar Kodi JavaScript. Përdoruesit që zbarkojnë në një sajt të tillë do të shohin një paralajmërim kërcyes që i kërkon të përditësojnë. Shfletuesi Chrome për të vazhduar shfletimin e sajtit. Pas shkarkimit të të ashtuquajturës Chrome Font Pack, përdoruesit u infektuan me Spora.
Cerber
Një nga vektorët e shumtë të sulmit që përdor Cerber quhet RaaS (Ransomware-as-a-service). Sipas kësaj skeme, sulmuesit ofrojnë të paguajnë për shpërndarjen e Trojanit, duke premtuar një përqindje të parave të marra. Falë këtij "shërbimi", kriminelët kibernetikë dërgojnë ransomware dhe më pas u ofrojnë sulmuesve të tjerë mjetet për ta shpërndarë atë.
Cryptomix
Ky është një nga të paktët ransomware që nuk ka lloj i caktuar portali i pagesave i disponueshëm në ueb-in e errët. Përdoruesit e prekur duhet të presin që kriminelët kibernetikë t'u dërgojnë me email udhëzimet.
Përdoruesit nga 29 vende ishin viktima të Cryptomix, ata u detyruan të paguanin deri në 3,000 dollarë.
Jigsaw
Një tjetër malware nga lista që filloi aktivitetin e tij në 2016. Jigsaw fut një imazh të një kllouni nga seria e filmave Saw emailet e padëshiruara. Sapo përdoruesi klikon mbi imazhin, ransomware jo vetëm që kodon, por edhe fshin skedarët nëse përdoruesi është shumë vonë në pagesën e shpërblimit prej 150 dollarësh.
konkluzionet
Siç e shohim, kërcënimet moderne po përdorin shfrytëzime gjithnjë e më të sofistikuara kundër rrjeteve të mbrojtura mirë. Ndërsa rritja e ndërgjegjësimit midis punonjësve mund të ndihmojë në menaxhimin e ndikimit të infeksioneve, bizneset duhet të shkojnë përtej standardeve bazë të sigurisë kibernetike për të mbrojtur veten. Mbrojtja kundër kërcënimeve të sotme kërkon qasje proaktive që shfrytëzojnë analitikën në kohë reale të mundësuar nga një motor mësimi që përfshin të kuptuarit e sjelljes dhe kontekstit të kërcënimit.
Më 12 prill 2017, u shfaq informacioni për përhapjen e shpejtë në të gjithë botën e një virusi të enkriptimit të quajtur WannaCry, i cili mund të përkthehet si "Dua të qaj". Përdoruesit kanë pyetje rreth Përditësimi i Windows nga virusi WannaCry.
Virusi në ekranin e kompjuterit duket si ky:
Virusi i keq WannaCry që kodon gjithçka
Virusi kodon të gjithë skedarët në kompjuter dhe kërkon një shpërblim për një portofol Bitcoin në shumën prej 300 dollarë ose 600 dollarë për të deshifruar kompjuterin. Kompjuterët në 150 vende të botës u infektuan, ku Rusia ishte më e prekura.
Megafon, Hekurudhat Ruse, Ministria e Punëve të Brendshme, Ministria e Shëndetësisë dhe kompani të tjera janë përballur nga afër me këtë virus. Mes viktimave janë përdoruesit e zakonshëm Internet.
Pothuajse të gjithë janë të barabartë para virusit. Ndryshimi, ndoshta, është se në kompani virusi përhapet kudo rrjet lokal brenda një organizate dhe infekton në çast sa më shumë kompjuterë të jetë e mundur.
Virusi WannaCry kodon skedarët në kompjuterë që përdorin Windows. NË Microsoft përsëri në mars 2017, përditësimet MS17-010 u lëshuan për të versione të ndryshme Windows XP, Vista, 7, 8, 10.
Rezulton se ata që janë të vendosur përditësim automatik Windows nuk është në rrezik për virusin sepse ata e morën përditësimin në kohën e duhur dhe ishin në gjendje ta shmangnin atë. Nuk supozoj të them se ky është në të vërtetë rasti.
Oriz. 3. Mesazh kur instaloni përditësimin KB4012212
Përditësimi KB4012212 kërkoi një rindezje të laptopit pas instalimit, gjë që nuk më pëlqeu vërtet, sepse nuk dihet se si mund të përfundojë kjo, por ku duhet të shkojë përdoruesi? Megjithatë, rindezja shkoi mirë. Kjo do të thotë se ne jetojmë të qetë deri në sulmin e ardhshëm të virusit dhe, mjerisht, nuk ka dyshim se sulme të tilla do të ndodhin.
Disa viruse fitojnë, të tjerët shfaqen përsëri. Kjo luftë padyshim do të jetë e pafund.
Video "Dua të qaj": virusi ransomware infektoi 75 mijë sisteme në 99 vende
Merr artikuj aktual nga Njohuri kompjuterike direkt në kutinë tuaj hyrëse.
Tashmë më shumë 3000 abonentë
Ajo vazhdon marshimin e saj shtypës nëpër internet, duke infektuar kompjuterët dhe duke enkriptuar të dhëna të rëndësishme. Si të mbroheni nga ransomware, të mbroni Windows nga ransomware - a janë lëshuar arna për të deshifruar dhe dezinfektuar skedarët?
Virus i ri ransomware 2017 Dëshiron të qaj vazhdon të infektojë PC-të e korporatave dhe ato private. U dëmi nga sulmi i virusit arrin në 1 miliard dollarë. Në 2 javë, virusi ransomware u infektua të paktën 300 mijë kompjuterë, pavarësisht paralajmërimeve dhe masave të sigurisë.
Ransomware virus 2017, çfarë është?- si rregull, ju mund të "marrni" në faqet në dukje më të padëmshme, për shembull, serverët e bankave me akses përdoruesi. Një herë HDD viktimat, ransomware "vendoset". dosje sistemi Sistemi32. Nga atje programi çaktivizon menjëherë antivirusin dhe shkon në "Autorun"" Pas çdo rindezjeje, ransomware shkon në regjistër, duke filluar punën e tij të pistë. Ransomware fillon të shkarkojë kopje të ngjashme të programeve si Ransom dhe Trojan. Gjithashtu ndodh shpesh Vetë-përsëritja e ransomware. Ky proces mund të jetë momental, ose mund të duhen javë derisa viktima të vërejë se diçka nuk është në rregull.
ransomware shpesh maskohet si fotografi të zakonshme, skedarët e tekstit , por thelbi është gjithmonë i njëjtë - ky është një skedar i ekzekutueshëm me shtesën .exe, .drv, .xvd; Ndonjehere - libraritë.dll. Më shpesh, skedari ka një emër krejtësisht të padëmshëm, për shembull " dokument. dok", ose " foto.jpg", ku zgjerimi është shkruar me dorë, dhe lloji i vërtetë i skedarit është i fshehur.
Pas përfundimit të kriptimit, përdoruesi sheh, në vend të skedarëve të njohur, një grup karakteresh "të rastësishëm" në emër dhe brenda, dhe shtesa ndryshon në një të panjohur deri më tani - .NO_MORE_RANSOM, .xdata dhe të tjerët.
Wanna Cry virus ransomware 2017 – si të mbroheni. Do të doja të vëreja menjëherë se Wanna Cry është më tepër një term kolektiv për të gjithë viruset e enkriptimit dhe ransomware, pasi Kohët e fundit kompjuterët e infektuar më shpesh. Kështu që, do flasim o s Mbroni veten nga ransomware Ransom Ware, nga të cilët ka shumë: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.
Si të mbroni Windows nga ransomware. – EternalBlue nëpërmjet Protokolli SMB portet.
Mbrojtja e Windows nga ransomware 2017 – rregullat themelore:
- Përditësimi i Windows, kalimi në kohë në një OS të licencuar (shënim: versioni XP nuk është përditësuar)
- përditësimi bazat e të dhënave antivirus dhe muret e zjarrit sipas kërkesës
- kujdes ekstrem gjatë shkarkimit të ndonjë skedari ("vulat" e lezetshme mund të rezultojnë në humbjen e të gjitha të dhënave)
- rezervë informacion i rendesishem në media të lëvizshme.
Ransomware virus 2017: si të dezinfektoni dhe deshifroni skedarët.
Duke u mbështetur në softuerin antivirus, mund të harroni për një kohë deshifruesin. Në laboratorë Kaspersky, Dr. Ueb, Avast! dhe antivirusë të tjerë për momentin nuk u gjet asnjë zgjidhje për trajtimin e skedarëve të infektuar. Aktiv ky momentËshtë e mundur të hiqni virusin duke përdorur një antivirus, por ende nuk ka algoritme për të kthyer gjithçka "në normale".
Disa përpiqen të përdorin deshifrues si mjeti RectorDecryptor, por kjo nuk do të ndihmojë: ende nuk është përpiluar një algoritëm për deshifrimin e viruseve të rinj. Nuk dihet gjithashtu se si do të sillet virusi nëse nuk hiqet pas përdorimit të programeve të tilla. Shpesh kjo mund të rezultojë në fshirjen e të gjithë skedarëve - si një paralajmërim për ata që nuk duan të paguajnë sulmuesit, autorët e virusit.
Për momentin më së shumti mënyrë efektive kthimi i të dhënave të humbura do të thotë të kontaktosh mbështetjen teknike. mbështetjen e furnizuesit program antivirus që po përdorni. Për ta bërë këtë, dërgoni një letër ose përdorni formularin për të reagime në faqen e internetit të prodhuesit. Sigurohuni që të shtoni skedarin e koduar në bashkëngjitje dhe, nëse është i disponueshëm, një kopje të origjinalit. Kjo do t'i ndihmojë programuesit në hartimin e algoritmit. Fatkeqësisht, për shumë sulmi i virusit vjen si një surprizë e plotë dhe nuk gjenden kopje, gjë që e ndërlikon shumë situatën.
Metodat kardiake Trajtimi i Windows nga ransomware. Për fat të keq, ndonjëherë ju duhet të drejtoheni formatimin e plotë hard disk, i cili përfshin një ndryshim të plotë të OS. Shumë do të mendojnë të rivendosin sistemin, por ky nuk është një opsion - edhe një "rikthyer" do të shpëtojë nga virusi, por skedarët do të mbeten ende të koduar.
