WannaCry: si të mbroheni nga virusi i ransomware. Virusi i enkriptuesit të skedarëve Wanna Cry - si të mbroheni dhe të kurseni të dhëna

Përveç Interfax-it, dy media të tjera ruse vuajtën nga virusi i enkriptimit, njëra prej të cilave është botimi i Shën Petersburgut Fontanka, e di Group-IB.

Kryeredaktori i Fontanka Alexander Gorshkov tha për Vedomosti se serverët e Fontanka u sulmuan nga sulmues të panjohur. Por Gorshkov siguron që nuk bëhet fjalë për një sulm nga një virus ransomware në Fontanka: kompjuterët e redaksive janë duke funksionuar dhe serveri përgjegjës për funksionimin e faqes është hakuar.

Divizionet e Interfax në Mbretërinë e Bashkuar, Azerbajxhan, Bjellorusi dhe Ukrainë, si dhe faqja e internetit Interfax-religion, vazhdojnë të funksionojnë, tha Pogorely për Vedomosti. Nuk është e qartë pse dëmi nuk ka ndikuar në divizionet e tjera, ndoshta kjo është për shkak të topologjisë së rrjetit Interfax, ku serverët janë të vendosur gjeografikisht, dhe sistemit operativ që është i instaluar në to.

Interfax ukrainas raportoi të martën pasdite për një sulm haker në Aeroportin Ndërkombëtar të Odessa. Aeroporti u kërkoi falje pasagjerëve në faqen e tij të internetit "për rritjen e detyruar të kohës së shërbimit", por duke gjykuar nga tabela e tij në internet, ai vazhdoi të dërgonte dhe të merrte aeroplanë të martën.

Metroja e Kievit gjithashtu raportoi për sulmin kibernetik në llogarinë e saj në Facebook - kishte probleme me pagesën e udhëtimit me karta bankare. Front News raportoi se metroja u sulmua nga një virus kriptimi.

Grupi-IB arrin në përfundimin se ka një epidemi të re. Në muajt e fundit, dy valë sulmesh ransomware tashmë kanë përfshirë botën: më 12 maj, u shfaq virusi WannaCry dhe më 27 qershor, virusi Petya (i njohur gjithashtu si NotPetya dhe ExPetr). Ata depërtuan në kompjuterë me sistemin operativ Windows që nuk kishin përditësime të instaluara, koduan përmbajtjen e hard disqeve dhe kërkuan 300 dollarë për deshifrim. Siç doli më vonë, Petya as që mendoi të deshifronte kompjuterët e viktimave. Sulmi i parë preku qindra mijëra kompjuterë në më shumë se 150 vende, i dyti preku 12,500 kompjuterë në 65 vende. Viktima të sulmeve u bënë edhe kompanitë ruse Megafon, Evraz, Gazprom dhe Rosneft. Nga virusi vuajtën edhe qendrat mjekësore Invitro, të cilat prej disa ditësh nuk pranonin analiza nga pacientët.

Petya arriti të mbledhë vetëm 18,000 dollarë në pothuajse një muaj e gjysmë, por dëmi ishte pakrahasueshëm më i madh. Një nga viktimat e tij, gjigandi danez i logjistikës Moller-Maersk, vlerësoi të ardhurat e humbura nga sulmi kibernetik në 200-300 milionë dollarë.

Ndër divizionet e Moller-Maersk, goditja kryesore ra në Maersk Line, e cila është e angazhuar në transportin detar të kontejnerëve (në vitin 2016, Maersk Line fitoi gjithsej 20.7 miliardë dollarë, divizioni punëson 31,900 njerëz).

Bizneset u rikuperuan shpejt nga sulmi, por kompanitë dhe rregullatorët qëndruan të kujdesshëm. Kështu, në gusht, drejtorët e degëve të saj u paralajmëruan për një sulm të mundshëm kibernetik me enkriptim nga Kompania Federale e Rrjetit UES (e cila menaxhon rrjetin elektrik gjithë-rus), dhe disa ditë më vonë bankat ruse morën një paralajmërim të ngjashëm nga FinCERT ( Struktura e Bankës Qendrore që merret me sigurinë kibernetike).

Një sulm i ri virusi ransomware është vërejtur edhe nga Kaspersky Lab, sipas të cilit shumica e viktimave të sulmit janë në Rusi, por ka infeksione në Ukrainë, Turqi dhe Gjermani. Të gjitha shenjat tregojnë se ky është një sulm i synuar në rrjetet e korporatave, thotë Vyacheslav Zakorzhevsky, kreu i departamentit të kërkimit anti-virus në Kaspersky Lab: përdoren metoda të ngjashme me mjetet ExPetr, por asnjë lidhje me këtë virus nuk mund të gjurmohet.

Dhe sipas kompanisë antivirus Eset, kriptori është ende një i afërm i Petya. Sulmi përdori malware Diskcoder.D, një modifikim i ri i enkriptuesit.

Pogorely tha se antivirus Symantec ishte instaluar në kompjuterët Interfax. Përfaqësuesit e Symantec nuk iu përgjigjën kërkesës së Vedomostit dje.

Teknologjitë moderne i lejojnë hakerat të përmirësojnë vazhdimisht metodat e tyre të mashtrimit kundër përdoruesve të zakonshëm. Si rregull, softueri i virusit që depërton në kompjuter përdoret për këto qëllime. Viruset e enkriptimit konsiderohen veçanërisht të rrezikshëm. Kërcënimi është se virusi përhapet shumë shpejt, duke koduar skedarët (përdoruesi thjesht nuk do të jetë në gjendje të hapë një dokument të vetëm). Dhe nëse është mjaft e thjeshtë, atëherë është shumë më e vështirë të deshifrosh të dhënat.

Çfarë duhet të bëni nëse një virus ka skedarë të koduar në kompjuterin tuaj

Çdokush mund të sulmohet nga ransomware, madje edhe përdoruesit që kanë softuer të fuqishëm antivirus. Trojanët e enkriptimit të skedarëve vijnë në një sërë kodesh që mund të jenë përtej aftësive të një antivirusi. Madje hakerët arrijnë të sulmojnë në mënyrë të ngjashme kompanitë e mëdha që nuk janë kujdesur për mbrojtjen e nevojshme të informacionit të tyre. Pra, pasi të keni zgjedhur një program ransomware në internet, duhet të merrni një sërë masash.

Shenjat kryesore të infeksionit janë funksionimi i ngadaltë i kompjuterit dhe ndryshimet në emrat e dokumenteve (mund të shihen në desktop).

1. Rinisni kompjuterin tuaj për të ndaluar enkriptimin. Kur ndizni, mos konfirmoni nisjen e programeve të panjohura.
2. Drejtoni antivirusin tuaj nëse nuk është sulmuar nga ransomware.
3. Në disa raste, kopjet hije do të ndihmojnë në rivendosjen e informacionit. Për t'i gjetur ato, hapni "Properties" të dokumentit të koduar. Kjo metodë funksionon me të dhëna të koduara nga zgjerimi Vault, për të cilin ka informacion në portal.
4. Shkarkoni versionin më të fundit të mjetit për të luftuar viruset e ransomware. Ato më efektive ofrohen nga Kaspersky Lab.

Viruset ransomware në 2016: shembuj

Kur luftoni çdo sulm virusi, është e rëndësishme të kuptoni se kodi ndryshon shumë shpesh, i plotësuar nga një mbrojtje e re antivirus. Sigurisht, programeve të sigurisë u duhet pak kohë derisa zhvilluesi të përditësojë bazat e të dhënave. Ne kemi zgjedhur viruset më të rrezikshëm të enkriptimit të kohëve të fundit.

Ishtar Ransomware

Ishtar është një ransomware që zhvat para nga përdoruesi. Virusi u vu re në vjeshtën e vitit 2016, duke infektuar një numër të madh kompjuterash të përdoruesve nga Rusia dhe një numër vendesh të tjera. Shpërndarë përmes buletinit të postës elektronike, i cili përmban dokumente të bashkangjitura (instalues, dokumente, etj.). Të dhënave të infektuara nga enkriptuesi Ishtar i jepet prefiksi “ISHTAR” në emër të tij. Procesi krijon një dokument testimi që tregon se ku të shkoni për të marrë fjalëkalimin. Sulmuesit kërkojnë nga 3,000 deri në 15,000 rubla për të.

Rreziku i virusit Ishtar është se sot nuk ka një dekriptues që do t'i ndihmonte përdoruesit. Kompanitë e programeve antivirus kanë nevojë për kohë për të deshifruar të gjithë kodin. Tani mund të izoloni vetëm informacione të rëndësishme (nëse janë të një rëndësie të veçantë) në një medium të veçantë, duke pritur lëshimin e një programi të aftë për të deshifruar dokumentet. Rekomandohet të riinstaloni sistemin operativ.

Neitrino

Kriptori Neitrino u shfaq në internet në vitin 2015. Parimi i sulmit është i ngjashëm me viruset e tjerë të një kategorie të ngjashme. Ndryshon emrat e dosjeve dhe skedarëve duke shtuar "Neitrino" ose "Neutrino". Virusi është i vështirë për t'u deshifruar; jo të gjithë përfaqësuesit e kompanive antivirus e marrin përsipër këtë, duke përmendur një kod shumë kompleks. Disa përdorues mund të përfitojnë nga rivendosja e një kopjeje hije. Për ta bërë këtë, klikoni me të djathtën në dokumentin e koduar, shkoni te skedari "Properties", "Versionet e mëparshme", klikoni "Rivendos". Do të ishte një ide e mirë të përdorni një program falas nga Kaspersky Lab.

Portofoli ose .portofoli.

Virusi i enkriptimit të Portofolit u shfaq në fund të vitit 2016. Gjatë procesit të infektimit, ai ndryshon emrin e të dhënave në "Emri..wallet" ose diçka e ngjashme. Ashtu si shumica e viruseve ransomware, ai hyn në sistem përmes bashkëngjitjeve në emailet e dërguara nga sulmuesit. Meqenëse kërcënimi u shfaq shumë kohët e fundit, programet antivirus nuk e vërejnë atë. Pas kriptimit, ai krijon një dokument në të cilin mashtruesi tregon emailin për komunikim. Aktualisht, zhvilluesit e programeve antivirus po punojnë për të deshifruar kodin e virusit ransomware. [email i mbrojtur]. Përdoruesit që janë sulmuar mund të presin vetëm. Nëse të dhënat janë të rëndësishme, rekomandohet t'i ruani ato në një disk të jashtëm duke pastruar sistemin.

Enigma

Virusi ransomware Enigma filloi të infektonte kompjuterët e përdoruesve rusë në fund të prillit 2016. Përdoret modeli i enkriptimit AES-RSA, i cili gjendet në shumicën e viruseve të ransomware sot. Virusi depërton në kompjuter duke përdorur një skript që përdoruesi drejton duke hapur skedarë nga një email i dyshimtë. Nuk ka ende asnjë mjet universal për të luftuar ransomware Enigma. Përdoruesit me një licencë antivirus mund të kërkojnë ndihmë në faqen zyrtare të zhvilluesit. U gjet gjithashtu një "zbrazëtirë" e vogël - Windows UAC. Nëse përdoruesi klikon "Jo" në dritaren që shfaqet gjatë procesit të infektimit me virus, ai do të jetë në gjendje të rivendosë më pas informacionin duke përdorur kopje hije.

Granit

Një virus i ri ransomware, Granit, u shfaq në internet në vjeshtën e vitit 2016. Infeksioni ndodh sipas skenarit të mëposhtëm: përdoruesi lëshon instaluesin, i cili infekton dhe kodon të gjitha të dhënat në PC, si dhe disqet e lidhur. Luftimi i virusit është i vështirë. Për ta hequr atë, mund të përdorni shërbime speciale nga Kaspersky, por ne ende nuk kemi qenë në gjendje të deshifrojmë kodin. Ndoshta rivendosja e versioneve të mëparshme të të dhënave do të ndihmojë. Për më tepër, një specialist që ka përvojë të gjerë mund të deshifrojë, por shërbimi është i shtrenjtë.

Tyson

Është parë së fundmi. Është një shtesë e ransomware-it tashmë të njohur no_more_ransom, për të cilin mund të mësoni në faqen tonë të internetit. Ai arrin në kompjuterët personalë nga posta elektronike. Shumë PC të korporatave u sulmuan. Virusi krijon një dokument teksti me udhëzime zhbllokuese, duke ofruar të paguajë një "shpërblim". ransomware Tyson u shfaq kohët e fundit, kështu që nuk ka ende një çelës zhbllokues. Mënyra e vetme për të rivendosur informacionin është të ktheni versionet e mëparshme nëse ato nuk janë fshirë nga një virus. Sigurisht, mund të rrezikoni duke transferuar para në llogarinë e specifikuar nga sulmuesit, por nuk ka asnjë garanci që do të merrni fjalëkalimin.

Spora

Në fillim të vitit 2017, një numër përdoruesish u bënë viktima të ransomware-it të ri Spora. Për sa i përket parimit të funksionimit, ai nuk është shumë i ndryshëm nga homologët e tij, por krenohet me një dizajn më profesional: udhëzimet për marrjen e një fjalëkalimi janë shkruar më mirë dhe faqja e internetit duket më e bukur. Virusi ransomware Spora u krijua në gjuhën C dhe përdor një kombinim të RSA dhe AES për të enkriptuar të dhënat e viktimës. Si rregull, kompjuterët në të cilët u përdor në mënyrë aktive programi i kontabilitetit 1C u sulmuan. Virusi, i fshehur nën maskën e një faturë të thjeshtë në formatin .pdf, detyron punonjësit e kompanisë ta lëshojnë atë. Nuk është gjetur ende asnjë trajtim.

1C.Rënie.1

Ky virus i enkriptimit 1C u shfaq në verën e vitit 2016, duke ndërprerë punën e shumë departamenteve të kontabilitetit. Është zhvilluar posaçërisht për kompjuterët që përdorin softuerin 1C. Pasi në PC përmes një skedari në një email, ai i kërkon pronarit të përditësojë programin. Çfarëdo butoni që përdoruesi shtyp, virusi do të fillojë të enkriptojë skedarët. Specialistët e Dr.Web po punojnë për mjetet e deshifrimit, por ende nuk është gjetur një zgjidhje. Kjo është për shkak të kodit kompleks, i cili mund të ketë disa modifikime. Mbrojtja e vetme kundër 1C.Drop.1 është vigjilenca e përdoruesit dhe arkivimi i rregullt i dokumenteve të rëndësishme.

kodi_da_vinci

Një ransomware i ri me një emër të pazakontë. Virusi u shfaq në pranverën e vitit 2016. Ai ndryshon nga paraardhësit e tij në kodin e përmirësuar dhe mënyrën e fortë të kriptimit. da_vinci_code infekton kompjuterin falë një aplikacioni ekzekutues (zakonisht i bashkangjitur një email), të cilin përdoruesi e lëshon në mënyrë të pavarur. Mjeti i enkriptimit da Vinci kopjon trupin në drejtorinë dhe regjistrin e sistemit, duke siguruar nisjen automatike kur Windows është i ndezur. Kompjuterit të çdo viktime i caktohet një ID unike (ndihmon për të marrë një fjalëkalim). Deshifrimi i të dhënave është pothuajse i pamundur. Ju mund t'i paguani para sulmuesve, por askush nuk ju garanton se do të merrni fjalëkalimin.

[email i mbrojtur] / [email i mbrojtur]

Dy adresa emaili që shpesh shoqëroheshin nga viruse ransomware në 2016. Ato shërbejnë për të lidhur viktimën me sulmuesin. Bashkangjitur ishin adresat për një sërë llojesh virusesh: da_vinci_code, no_more_ransom, e kështu me radhë. Rekomandohet shumë të mos kontaktoni ose transferoni para te mashtruesit. Përdoruesit në shumicën e rasteve mbeten pa fjalëkalime. Kështu, duke treguar se ransomware-i i sulmuesve funksionon, duke gjeneruar të ardhura.

Breaking Bad

Ajo u shfaq në fillim të vitit 2015, por u përhap në mënyrë aktive vetëm një vit më vonë. Parimi i infeksionit është identik me ransomware të tjerë: instalimi i një skedari nga një email, enkriptimi i të dhënave. Programet konvencionale antivirus, si rregull, nuk e vërejnë virusin Breaking Bad. Disa kode nuk mund të anashkalojnë UAC të Windows, duke i lënë përdoruesit mundësinë për të rivendosur versionet e mëparshme të dokumenteve. Asnjë kompani që zhvillon softuer antivirus nuk ka paraqitur ende një deshifrues.

XTBL

Një ransomware shumë i zakonshëm që ka shkaktuar telashe për shumë përdorues. Pasi të jetë në PC, virusi ndryshon ekstensionin e skedarit në .xtbl brenda pak minutash. Krijohet një dokument në të cilin sulmuesi zhvat para. Disa variante të virusit XTBL nuk mund të shkatërrojnë skedarët për rikuperimin e sistemit, gjë që ju lejon të rikuperoni dokumente të rëndësishme. Vetë virusi mund të hiqet nga shumë programe, por deshifrimi i dokumenteve është shumë i vështirë. Nëse jeni pronar i një antivirusi të licencuar, përdorni mbështetjen teknike duke bashkangjitur mostra të të dhënave të infektuara.

Kukaraça

ransomware Cucaracha u zbulua në dhjetor 2016. Virusi me një emër interesant fsheh skedarët e përdoruesve duke përdorur algoritmin RSA-2048, i cili është shumë rezistent. Antivirusi Kaspersky e etiketoi atë si Trojan-Ransom.Win32.Scatter.lb. Kukaracha mund të hiqet nga kompjuteri në mënyrë që dokumentet e tjera të mos infektohen. Sidoqoftë, të infektuarit aktualisht janë pothuajse të pamundur të deshifrohen (një algoritëm shumë i fuqishëm).

Si funksionon një virus ransomware?

Ka një numër të madh të ransomware, por të gjithë ata punojnë në një parim të ngjashëm.

1. Hyrja në një kompjuter personal. Në mënyrë tipike, falë një skedari të bashkangjitur në një email. Instalimi inicohet nga vetë përdoruesi duke hapur dokumentin.
2. Infeksioni i skedarit. Pothuajse të gjitha llojet e skedarëve janë të koduar (në varësi të virusit). Krijohet një dokument teksti që përmban kontakte për të komunikuar me sulmuesit.
3. Të gjitha. Përdoruesi nuk mund të hyjë në asnjë dokument.

Agjentët e kontrollit nga laboratorët e njohur

Përdorimi i gjerë i ransomware, i cili njihet si kërcënimi më i rrezikshëm për të dhënat e përdoruesve, është bërë një shtysë për shumë laboratorë antivirus. Çdo kompani e njohur u ofron përdoruesve të saj programe që i ndihmojnë ata të luftojnë ransomware. Për më tepër, shumë prej tyre ndihmojnë me deshifrimin e dokumenteve dhe mbrojtjen e sistemit.

Kaspersky dhe viruset ransomware

Një nga laboratorët më të famshëm antivirus në Rusi dhe në botë ofron sot mjetet më efektive për të luftuar viruset e ransomware. Barriera e parë për virusin ransomware do të jetë Kaspersky Endpoint Security 10 me përditësimet më të fundit. Antivirusi thjesht nuk do të lejojë që kërcënimi të hyjë në kompjuterin tuaj (megjithëse mund të mos ndalojë versionet e reja). Për të deshifruar informacionin, zhvilluesi paraqet disa shërbime falas: XoristDecryptor, RakhniDecryptor dhe Ransomware Decryptor. Ato ndihmojnë në gjetjen e virusit dhe zgjedhjen e fjalëkalimit.

Dr. Ueb dhe ransomware

Ky laborator rekomandon përdorimin e programit të tyre antivirus, tipari kryesor i të cilit është kopjimi i skedarëve. Ruajtja me kopje të dokumenteve është gjithashtu e mbrojtur nga aksesi i paautorizuar nga ndërhyrës. Pronarët e produktit të licencuar Dr. Funksioni në ueb është i disponueshëm për të kërkuar ndihmë nga mbështetja teknike. Vërtetë, edhe specialistët me përvojë nuk mund t'i rezistojnë gjithmonë këtij lloji të kërcënimit.

ESET Nod 32 dhe ransomware

As kjo kompani nuk qëndroi mënjanë, duke u siguruar përdoruesve të saj mbrojtje të mirë kundër viruseve që hyjnë në kompjuterin e tyre. Përveç kësaj, laboratori kohët e fundit lëshoi ​​​​një mjet falas me baza të dhënash të përditësuara - Eset Crysis Decryptor. Zhvilluesit thonë se do të ndihmojë në luftën kundër edhe ransomware-it më të ri.

Ky artikull është përgatitur në lidhje me një sulm masiv hakeri në shkallë globale, i cili mund të prekë edhe ju. Pasojat bëhen vërtet serioze. Më poshtë do të gjeni një përshkrim të shkurtër të problemit dhe një përshkrim të masave kryesore që duhen marrë për t'u mbrojtur kundër viruseve të familjes së ransomware-ve WannaCry.

ransomware WannaCry shfrytëzon cenueshmërinë Microsoft Windows MS17-010 për të ekzekutuar kodin me qëllim të keq dhe për të ekzekutuar ransomware në kompjuterë të cenueshëm, atëherë virusi ofron t'i paguajë sulmuesit rreth 300 dollarë për të deshifruar të dhënat. Virusi është përhapur gjerësisht në mbarë botën, duke marrë mbulim aktiv në media - Fontanka.ru, Gazeta.ru, RBC.

Kjo dobësi prek PC-të me Windows OS të instaluar nga XP në Windows 10 dhe Server 2016, ju mund të lexoni informacionin zyrtar rreth dobësisë nga Microsoft dhe.

Kjo dobësi i përket klasës Ekzekutimi i kodit në distancë, që do të thotë se infeksioni mund të kryhet nga një PC tashmë i infektuar përmes një rrjeti me një nivel të ulët sigurie pa segmentim ME - rrjetet lokale, rrjetet publike, rrjetet e mysafirëve, si dhe duke lëshuar malware të marrë me postë ose si lidhje.

Masat e sigurisë

Cilat masa duhet të identifikohen si efektive për të luftuar këtë virus:

1. Sigurohuni që keni të instaluar përditësimet më të fundit të Microsoft Windows për të hequr cenueshmërinë MS17-010. Mund të gjeni lidhje me përditësimet dhe gjithashtu vini re se për shkak të seriozitetit të paparë të kësaj dobësie, përditësimet për sistemet operative të pambështetura (windowsXP, serveri 2003, serveri 2008) u lëshuan më 13 maj, mund t'i shkarkoni.
2. Kur përdorni zgjidhje të sigurisë së rrjetit të klasës IPS, sigurohuni që të keni instaluar përditësime që përfshijnë zbulimin dhe zbutjen e cenueshmërisë së rrjetit. Kjo dobësi përshkruhet në bazën e njohurive të Check Point, ajo përfshihet në përditësimin IPS të datës 14 mars 2017, Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Ne rekomandojmë gjithashtu konfigurimin e skanimit të trafikut të brendshëm në segmentet kryesore të rrjetit duke përdorur IPS, të paktën për një kohë të shkurtër, derisa gjasat e infeksionit të ulen.
3. Për shkak të mundësisë së ndryshimeve në kodin e virusit, ne rekomandojmë aktivizimin e sistemeve AntiBot&Antivirus dhe imitimin e lëshimit të skedarëve që vijnë nga burime të jashtme përmes postës ose Internetit. Nëse jeni përdorues i Check Point Security Gateway, atëherë ky sistem është Threat Emulation. Sidomos për kompanitë që nuk e kanë këtë abonim, ne ofrojmë një abonim të shpejtë gjatë periudhës së provës prej 30 ditësh. Për të kërkuar një çelës që aktivizon një abonim me funksione të plota për portën tuaj Check Point, shkruani te [email i mbrojtur] Mund të lexoni më shumë rreth sistemeve të emulimit të skedarëve dhe.

Gjithashtu bllokoni transferimin e arkivave të fjalëkalimeve dhe aktivizoni nënshkrimet IPS nga lista:

Edhe më shumë rekomandime dhe një shembull i një raporti për bllokimin e punës së ransomware Wannacry.

Të dashur kolegë, bazuar në përvojën e punës me sulme masive të mëparshme, si Heart Bleed, cenueshmëria e Microsoft Windows MS17-010 do të shfrytëzohet në mënyrë aktive gjatë 30-40 ditëve të ardhshme, mos vononi kundërmasat! Për çdo rast, kontrolloni funksionimin e sistemit tuaj BackUp.

Rreziku është vërtet i madh!

UPD. Të enjten, më 18 maj, në orën 10.00 me orën e Moskës, ju ftojmë në një webinar rreth ransomware dhe metodave të mbrojtjes.

Webinari drejtohet nga TS Solution dhe Sergey Nevstruev, Menaxher i Shitjeve për Parandalimin e Kërcënimeve në pikën e kontrollit në Evropën Lindore.
Ne do të trajtojmë pyetjet e mëposhtme:

• Sulmi #WannaCry
• Shtrirja dhe statusi aktual
• Veçoritë
• Faktorët masiv

Rekomandime sigurie

Si të jesh një hap përpara dhe të flesh i qetë

• IPS+AM
• SandBlast: Emulation Threat dhe Threat Extraction
• Agjenti SandBlast: Anti-Ransomware
• Agjenti SandBlast: Forensics
• SandBlast Agent: Anti-Bot

Ju mund të regjistroheni duke iu përgjigjur kësaj letre, ose duke ndjekur lidhjen e regjistrimit

Ajo vazhdon marshimin e saj shtypës nëpër internet, duke infektuar kompjuterët dhe duke enkriptuar të dhëna të rëndësishme. Si të mbroheni nga ransomware, të mbroni Windows nga ransomware - a janë lëshuar arna për të deshifruar dhe dezinfektuar skedarët?

Virusi i ri ransomware 2017 Wanna Cry vazhdon të infektojë PC-të e korporatave dhe ato private. U Dëmi nga sulmi i virusit arrin në 1 miliard dollarë. Në 2 javë, virusi ransomware u infektua të paktën 300 mijë kompjuterë, pavarësisht paralajmërimeve dhe masave të sigurisë.

Ransomware virus 2017, çfarë është?- si rregull, ju mund të "marrni" në faqet në dukje më të padëmshme, për shembull, serverët e bankave me akses përdoruesi. Pasi në hard diskun e viktimës, ransomware "vendoset" në dosjen e sistemit System32. Nga atje programi çaktivizon menjëherë antivirusin dhe shkon në "Autorun"" Pas çdo rindezjeje, ransomware shkon në regjistër, duke filluar punën e tij të pistë. Ransomware fillon të shkarkojë kopje të ngjashme të programeve si Ransom dhe Trojan. Gjithashtu ndodh shpesh Vetë-përsëritja e ransomware. Ky proces mund të jetë momental, ose mund të duhen javë derisa viktima të vërejë se diçka nuk është në rregull.

ransomware shpesh maskohet si fotografi të zakonshme ose skedarë teksti, por thelbi është gjithmonë i njëjtë - ky është një skedar i ekzekutueshëm me shtesën .exe, .drv, .xvd; Ndonjehere - libraritë.dll. Më shpesh, skedari ka një emër krejtësisht të padëmshëm, për shembull " dokument. dok", ose " foto.jpg", ku zgjerimi është shkruar me dorë, dhe lloji i vërtetë i skedarit është i fshehur.

Pas përfundimit të kriptimit, përdoruesi sheh, në vend të skedarëve të njohur, një grup karakteresh "të rastësishëm" në emër dhe brenda, dhe shtesa ndryshon në një të panjohur deri më tani - .NO_MORE_RANSOM, .xdata dhe të tjerët.

Wanna Cry virus ransomware 2017 – si të mbroheni. Do të doja të vëreja menjëherë se Wanna Cry është më tepër një term kolektiv për të gjithë viruset e enkriptimit dhe ransomware, pasi kohët e fundit ai ka infektuar kompjuterët më shpesh. Pra, ne do të flasim për Mbroni veten nga ransomware Ransom Ware, nga të cilët ka shumë: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Si të mbroni Windows nga ransomware. – EternalBlue nëpërmjet protokollit të portit SMB.

Mbrojtja e Windows nga ransomware 2017 – rregullat themelore:

• Përditësimi i Windows, kalimi në kohë në një OS të licencuar (shënim: versioni XP nuk është përditësuar)
• përditësimi i bazave të të dhënave antivirus dhe mureve të zjarrit sipas kërkesës
• kujdes ekstrem gjatë shkarkimit të ndonjë skedari ("vulat" e lezetshme mund të rezultojnë në humbjen e të gjitha të dhënave)
• rezervoni informacione të rëndësishme në media të lëvizshme.

Ransomware virus 2017: si të dezinfektoni dhe deshifroni skedarët.

Duke u mbështetur në softuerin antivirus, mund të harroni për një kohë deshifruesin. Në laboratorë Kaspersky, Dr. Ueb, Avast! dhe antivirusë të tjerë tani për tani nuk u gjet asnjë zgjidhje për trajtimin e skedarëve të infektuar. Për momentin, është e mundur të hiqni virusin duke përdorur një antivirus, por ende nuk ka algoritme për të kthyer gjithçka "në normale".

Disa përpiqen të përdorin deshifrues si mjeti RectorDecryptor, por kjo nuk do të ndihmojë: ende nuk është përpiluar një algoritëm për deshifrimin e viruseve të rinj. Është gjithashtu absolutisht e panjohur se si do të sillet virusi nëse nuk hiqet pas përdorimit të programeve të tilla. Shpesh kjo mund të rezultojë në fshirjen e të gjithë skedarëve - si një paralajmërim për ata që nuk duan të paguajnë sulmuesit, autorët e virusit.

Për momentin, mënyra më efektive për të rikuperuar të dhënat e humbura është të kontaktoni mbështetjen teknike. mbështetje nga shitësi i programit antivirus që përdorni. Për ta bërë këtë, duhet të dërgoni një letër ose të përdorni formularin e komenteve në faqen e internetit të prodhuesit. Sigurohuni që të shtoni skedarin e koduar në bashkëngjitje dhe, nëse është i disponueshëm, një kopje të origjinalit. Kjo do të ndihmojë programuesit në hartimin e algoritmit. Fatkeqësisht, për shumë njerëz, një sulm virusi vjen si një surprizë e plotë dhe nuk gjenden kopje, gjë që e ndërlikon shumë situatën.

Metodat kardiake të trajtimit të Windows nga ransomware. Fatkeqësisht, ndonjëherë ju duhet të drejtoheni në formatimin e plotë të diskut, i cili nënkupton një ndryshim të plotë të sistemit operativ. Shumë do të mendojnë të rivendosin sistemin, por ky nuk është një opsion - edhe një "rikthyer" do të shpëtojë nga virusi, por skedarët do të mbeten ende të koduar.

WannaCry, Petya, Mischa dhe viruse të tjera ransomware nuk do t'ju kërcënojnë nëse ndiqni rekomandime të thjeshta për të parandaluar infektimin e PC!

Javën e kaluar, i gjithë Interneti u trondit nga lajmet për një virus të ri të enkriptimit. Ajo provokoi një epidemi shumë më të madhe në shumë vende të botës sesa famëkeqja WannaCry, vala e së cilës ndodhi në maj të këtij viti. Virusi i ri ka shumë emra: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, megjithatë, më shpesh ai shfaqet thjesht si Petya.

Sulmet vazhdojnë edhe këtë javë. Edhe zyra jonë mori një letër të maskuar me dinakëri si një përditësim mitik i softuerit! Për fat të mirë, askush nuk mendoi të hapte arkivin e dërguar pa mua :) Prandaj, do të doja t'i kushtoja artikullin e sotëm pyetjes se si ta mbroni kompjuterin tuaj nga viruset e ransomware dhe të mos bëheni viktimë e Petya ose ndonjë enkriptuesi tjetër.

Çfarë bëjnë viruset ransomware?

Viruset e para ransomware u shfaqën rreth fillimit të viteve 2000. Shumë që kanë përdorur internetin gjatë viteve ndoshta e mbajnë mend Trojan.WinLock. Ai bllokoi kompjuterin nga nisja dhe, për të marrë një kod zhbllokimi, kërkoi një shumë të caktuar për t'u transferuar në një portofol WebMoney ose llogari të telefonit celular:

Bllokuesit e parë të Windows ishin mjaft të padëmshëm. Dritarja e tyre me tekstin për nevojën për të transferuar fonde në fillim thjesht mund të "gozhdohet" përmes Task Manager. Pastaj u shfaqën versione më komplekse të Trojanit, të cilat bënë ndryshime në nivelin e regjistrit dhe madje edhe në MBR. Por edhe kjo mund të "shërohet" nëse do të dinit se çfarë të bënit.

Viruset moderne të ransomware janë bërë gjëra shumë të rrezikshme. Ata jo vetëm që bllokojnë funksionimin e sistemit, por edhe enkriptojnë përmbajtjen e diskut të ngurtë (përfshirë regjistrimin kryesor të nisjes MBR). Për zhbllokimin e sistemit dhe deshifrimin e skedarëve, sulmuesit tani paguajnë një tarifë në BitCoins, e barabartë me një shumë nga 200 deri në 1000 dollarë amerikanë. çelësi i zhbllokimit.

Pika e rëndësishme është se sot nuk ka praktikisht asnjë mënyrë funksionale për të hequr qafe virusin dhe për të rikthyer skedarët tuaj. Prandaj, për mendimin tim, është më mirë që fillimisht të mos bini në të gjitha llojet e mashtrimeve dhe të mbroni pak a shumë me besueshmëri kompjuterin tuaj nga sulmet e mundshme.

Si të mos bëheni viktimë e virusit

Viruset ransomware zakonisht përhapen në dy mënyra. I pari shfrytëzon të ndryshme Dobësitë teknike të Windows. Për shembull, WannaCry përdori shfrytëzimin EternalBlue, i cili lejonte aksesin në një kompjuter nëpërmjet protokollit SMB. Dhe enkriptuesi i ri Petya mund të depërtojë në sistem përmes porteve të hapura TCP 1024-1035, 135 dhe 445. Një metodë më e zakonshme e infeksionit është phishing. E thënë thjesht, vetë përdoruesit infektojnë kompjuterin e tyre duke hapur skedarë me qëllim të keq të dërguar me postë!

Mbrojtje teknike kundër viruseve ransomware

Megjithëse infeksionet direkte me viruse nuk janë aq të shpeshta, ato ndodhin. Prandaj, është më mirë që në mënyrë proaktive të adresohen vrimat e mundshme tashmë të njohura të sigurisë. Së pari, duhet të përditësoni antivirusin tuaj ose ta instaloni atë (për shembull, 360 ​​Total Security falas bën një punë të mirë për të njohur viruset e ransomware). Së dyti, sigurohuni që të instaloni përditësimet më të fundit të Windows.

Pra, për të eliminuar një gabim potencialisht të rrezikshëm në protokollin SMB, Microsoft ka lëshuar përditësime të jashtëzakonshme për të gjitha sistemet, duke filluar me Windows XP. Mund t'i shkarkoni për versionin tuaj të OS.

Për t'u mbrojtur nga Petya, rekomandohet të mbyllni një numër portash në kompjuterin tuaj. Mënyra më e lehtë për ta bërë këtë është të përdorni standardin muri i zjarrit. Hapeni atë në Panelin e Kontrollit dhe zgjidhni seksionin në shiritin anësor "Opsione shtesë". Dritarja e menaxhimit të rregullave të filtrimit do të hapet. Zgjidhni "Rregullat për lidhjet hyrëse" dhe në anën e djathtë klikoni "Krijo rregull". Do të hapet një magjistar i veçantë në të cilin duhet të krijoni një rregull "Për portin", më pas zgjidhni opsionin "Portet specifike lokale" dhe shkruani sa vijon: 1024-1035, 135, 445 :

Pasi të keni shtuar listën e porteve, vendosni opsionin në ekranin tjetër "Blloko lidhjen" për të gjitha profilet dhe vendosni një emër (përshkrim opsional) për rregullin e ri. Nëse u besoni rekomandimeve në internet, kjo do të parandalojë që virusi të shkarkojë skedarët që i nevojiten edhe nëse futet në kompjuterin tuaj.

Përveç kësaj, nëse jeni nga Ukraina dhe përdorni softuerin e kontabilitetit Me.Doc, mund të instaloni përditësime që përmbanin dyer të pasme. Këto dyer të pasme u përdorën për të infektuar kompjuterët në një shkallë të gjerë me virusin Petya.A. Nga ato të analizuara sot, dihen të paktën tre përditësime me dobësi sigurie:

• 10.01.175-10.01.176 nga 14 prilli;
• 10.01.180-10.01.181 nga 15 maj;
• 10.01.188-10.01.189 nga 22 qershor.

Nëse i keni instaluar këto përditësime, atëherë jeni në rrezik!

Mbrojtje nga phishing

Siç u përmend tashmë, faktori njerëzor është ende fajtor për shumicën e infeksioneve. Hakerët dhe spammerët kanë nisur një fushatë phishing në shkallë të gjerë në mbarë botën. Në kuadër të tij dërgoheshin emaile, gjoja nga organizata zyrtare, me bashkëngjitje të ndryshme që paraqiteshin si fatura, përditësime softuerike apo të dhëna të tjera “të rëndësishme”. Mjaftoi që përdoruesi të hapte një skedar të maskuar keqdashës dhe ai instaloi një virus në kompjuter që kodonte të gjitha të dhënat!

Si të dalloni një email phishing nga ai i vërtetë. Kjo është mjaft e lehtë për t'u bërë nëse ndiqni sensin e përbashkët dhe rekomandimet e mëposhtme:

1. Nga kush është letra? Para së gjithash, i kushtojmë vëmendje dërguesit. Hakerët mund të nënshkruajnë një letër edhe me emrin e gjyshes suaj! Megjithatë, ka një pikë të rëndësishme. Ju duhet të dini emailin e "gjyshes" dhe adresa e dërguesit të një emaili phishing, si rregull, do të jetë një grup karakteresh i papërcaktuar. Diçka si: " [email i mbrojtur]". Dhe një nuancë tjetër: emri i dërguesit dhe adresa e tij, nëse kjo është një letër zyrtare, zakonisht lidhen me njëra-tjetrën. Për shembull, një E-mail nga një kompani e caktuar "Pupkin and Co" mund të duket si " [email i mbrojtur]", por nuk ka gjasa të duket si" [email i mbrojtur]" :)
2. Për çfarë flet letra? Në mënyrë tipike, emailet e phishing përmbajnë një lloj thirrjeje për veprim ose aluzion veprimi në rreshtin e subjektit. Në të njëjtën kohë, në trupin e letrës zakonisht ose nuk shkruhet fare, ose jepet ndonjë motivim shtesë për hapjen e skedarëve të bashkangjitur. Fjalët "URGJENT!", "Faturë për shërbime" ose "Përditësim kritik" në letra nga dërgues të panjohur mund të jenë një shembull i qartë se ata po përpiqen t'ju hakojnë. Mendoni logjikisht! Nëse nuk keni kërkuar ndonjë faturë, përditësim apo dokument tjetër nga kjo apo ajo kompani, atëherë kjo ka 99% gjasa të jetë phishing...
3. Çfarë ka në letër? Elementi kryesor i një emaili phishing janë bashkëngjitjet e tij. Lloji më i dukshëm i bashkëngjitjes do të ishte një skedar EXE që përmban një "përditësim" ose "program" të rremë. Investime të tilla janë një falsifikim mjaft i papërpunuar, por ato ndodhin.

   Mënyrat më "elegante" për të mashtruar përdoruesin përfshijnë maskimin e skriptit që shkarkon virusin si një dokument Excel ose Word. Maskimi mund të jetë i dy llojeve. Në opsionin e parë, vetë skripti paraqitet si një dokument zyre dhe mund të njihet nga zgjerimi i emrit "të dyfishtë", për shembull, "Faturë .xls.js" ose "Rifilloni .doc.vbs". Në rastin e dytë, bashkëngjitja mund të përbëhet nga dy skedarë: një dokument real dhe një skedar me një skript që quhet si makro nga një dokument Office Word ose Excel.

   Në çdo rast, nuk duhet të hapni dokumente të tilla, edhe nëse "dërguesi" ju kërkon me forcë! Edhe nëse befas midis klientëve tuaj ka dikush që teorikisht mund t'ju dërgojë një letër me përmbajtje të ngjashme, është më mirë të merrni mundimin të kontaktoni drejtpërdrejt me të dhe të zbuloni nëse ai ju ka dërguar ndonjë dokument. Lëvizjet shtesë të trupit në këtë rast mund t'ju shpëtojnë nga telashet e panevojshme!

Unë mendoj se nëse mbyllni të gjitha boshllëqet teknike në kompjuterin tuaj dhe nuk i nënshtroheni provokimeve të spammers, atëherë nuk do të keni frikë nga asnjë virus!

Si të rikuperoni skedarët pas infektimit

E megjithatë, keni arritur të infektoni kompjuterin tuaj me një virus enkriptues... ASNJËHERË MOS E FIK KOMPJONIN PAS SHFAQJE TË MESAZHIT TË KRIPIMIT!!!

Fakti është se për shkak të një numri gabimesh në kodin e vetë viruseve, përpara se të rindizni kompjuterin, ekziston një shans për të hequr nga memorja çelësin që nevojitet për të deshifruar skedarët! Për shembull, për të marrë çelësin e deshifrimit WannaCry, mjeti wannakiwi është i përshtatshëm. Mjerisht, nuk ka zgjidhje të tilla për rikuperimin e skedarëve pas një sulmi Petya, por mund të përpiqeni t'i nxjerrni ato nga kopjet hije të të dhënave (nëse keni aktivizuar opsionin për t'i krijuar ato në një ndarje të diskut të ngurtë) duke përdorur programin miniaturë ShadowExplorer:

Nëse tashmë e keni rifilluar kompjuterin ose këshillat e mësipërme nuk ju ndihmuan, atëherë mund të rikuperoni skedarët vetëm duke përdorur programe të rikuperimit të të dhënave. Si rregull, viruset e kriptimit funksionojnë sipas skemës së mëposhtme: ata krijojnë një kopje të koduar të një skedari dhe fshijnë origjinalin pa e mbishkruar atë. Kjo do të thotë, vetëm etiketa e skedarit fshihet në të vërtetë, dhe vetë të dhënat ruhen dhe mund të rikthehen. Ka dy programe në faqen tonë të internetit: është më i përshtatshëm për ringjalljen e skedarëve dhe fotove mediatike, ndërsa R.Saver përballet mirë me dokumentet dhe arkivat.

Natyrisht, ju duhet të hiqni vetë virusin nga sistemi. Nëse Windows fillon, atëherë Malwarebytes Anti-Malware është një mjet i mirë për këtë. Nëse një virus ka bllokuar shkarkimin, atëherë disku i nisjes Dr.Web LiveCD me një mjet të provuar për të luftuar malware të ndryshëm Dr.Web CureIt në bord do t'ju ndihmojë. Në rastin e fundit, do t'ju duhet gjithashtu të filloni të rivendosni MBR. Meqenëse LiveCD nga Dr.Web bazohet në Linux, mendoj se do t'i gjeni të dobishme udhëzimet nga Habr për këtë temë.

konkluzionet

Problemi i viruseve në Windows ka qenë i rëndësishëm për shumë vite. Dhe çdo vit shohim që shkrues të viruseve po shpikin forma gjithnjë e më të sofistikuara për të shkaktuar dëme në kompjuterët e përdoruesve. Epidemitë më të fundit të viruseve të enkriptimit na tregojnë se sulmuesit po shkojnë gradualisht drejt zhvatjes aktive!

Fatkeqësisht, edhe nëse paguani para, nuk ka gjasa të merrni ndonjë përgjigje. Me shumë mundësi, do t'ju duhet të rivendosni vetë të dhënat tuaja. Prandaj, është më mirë të jeni vigjilentë në kohë dhe të parandaloni infeksionin sesa të kaloni një kohë të gjatë duke u përpjekur të eliminoni pasojat e tij!

P.S. Leja jepet për të kopjuar dhe cituar lirisht këtë artikull, me kusht që të tregohet një lidhje e hapur aktive me burimin dhe të ruhet autorësia e Ruslan Tertyshny.