Un program pentru recuperarea fișierelor criptate cu un virus. Recuperarea datelor criptate folosind virusul ransomware WannaCry: posibilitate și soluție. Recuperați fișierele deteriorate cu previzualizare

Dacă pe computer apare un mesaj text care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea deoarece programul se bazează de obicei pe un utilitar de criptare gratuit inofensiv. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii binecunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa doar cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe un computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky Internet Security și Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computerul dvs., atunci chiar și după efectul unui virus ransomware există șansa de a readuce fișierele la starea lor normală folosind copii umbre ale fișierelor. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc acest lucru din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

1. Deschide Proprietăți computer.
2. Din meniul din stânga, selectați Protecție sistem.
   
3. Selectați unitatea C și faceți clic pe „Configurare”.
4. Alegeți să restabiliți setările și versiunile anterioare ale fișierelor. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția virusului de criptare a fișierelor, atunci după curățarea computerului de codul rău intenționat, veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați într-un folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.

Specialistul companiei franceze Quarkslab, Adrien Guinet, raportează că a găsit o modalitate de a decripta datele deteriorate de un atac ransomware. Din păcate, această metodă funcționează doar pentru sistemul de operare Windows XP și nu în toate cazurile, dar este mai bine decât nimic.

Trebuie să termin procesul complet de decriptare, dar confirm că, în acest caz, cheia privată poate fi recuperată pe un sistem XP #Vreau să plâng!! pic.twitter.com/QiB3Q1NYpS

Guinier a publicat codul sursă pentru un instrument pe care l-a numit WannaKey pe GitHub. Tehnica cercetătorului se bazează, de fapt, pe exploatarea unui bug destul de ciudat și puțin cunoscut în Windows XP, despre care nici autorii senzaționalului malware ransomware nu păreau să știe. Faptul este că, în anumite circumstanțe, este posibilă extragerea cheii necesare pentru „salvarea” fișierelor din memoria unei mașini care rulează XP.

Cercetătorul explică că în timpul funcționării, ransomware-ul folosește API-ul Windows Crypto și generează o pereche de chei - una publică, care este folosită pentru a cripta fișierele, și una privată, care poate fi folosită pentru a decripta fișierele după plata răscumpărării. Pentru a împiedica victimele să ajungă la cheia privată și să decripteze datele din timp, autorii WannaCry criptează cheia în sine, astfel încât să devină disponibilă numai după plată.

După ce cheia a fost criptată, versiunea sa necriptată este ștearsă folosind funcția standard CryptReleaseContext, care, în teorie, ar trebui să o elimine și din memoria mașinii infectate. Cu toate acestea, Guinier a remarcat că acest lucru nu se întâmplă, doar „markerul” care indică cheia este eliminat.

Specialistul scrie că este posibilă extragerea cheii private din memorie. Guinier însuși a efectuat o serie de teste și a decriptat cu succes fișierele pe mai multe computere infectate care rulează Windows XP. Totuși, cercetătorul scrie că pentru un rezultat cu succes al operației, trebuie îndeplinite o serie de condiții. Deoarece cheia este stocată numai în memoria volatilă, trebuie să fiți atenți nu numai la faptul că orice proces ar putea suprascrie accidental datele de deasupra cheii și memoria va fi redistribuită, dar nici nu ar trebui să opriți și să reporniți computerul. după infectare.

„Dacă ai noroc, vei putea accesa aceste zone de memorie și vei putea recupera cheia. Este posibil să fie încă acolo și îl puteți folosi pentru a vă decripta fișierele. Dar acest lucru nu funcționează în toate cazurile”, scrie cercetătorul.

Nu se știe câte computere care rulează Windows XP au fost infectate cu WannaCry și ce procent de utilizatori nu și-au repornit niciodată sau și-au oprit computerul după infectare. Permiteți-mi să vă reamintesc că în total sute de mii de mașini au fost afectate de atacuri ransomware în peste o sută de țări din întreaga lume. Cu toate acestea, Guinier speră că tehnica sa ar putea fi utilă cel puțin unor utilizatori.

Alți experți au confirmat deja că, teoretic, instrumentul Guinier ar trebui să funcționeze. Astfel, celebrul criptograf și profesor la Universitatea Johns Hopkins Matthew Green scrie că metoda ar trebui să funcționeze, deși în circumstanțele actuale totul seamănă mai mult cu o loterie. Un alt specialist cunoscut, un angajat al companiei F-Secure, Mikko Hypponen, pune întrebarea „de ce să folosiți o funcție care nu distruge chei pentru a distruge cheile?”, dar este de acord că bug-ul poate fi folosit pentru a recupera fișierele criptate.

În urmă cu aproximativ o săptămână sau două, a apărut pe Internet un alt hack de la producătorii moderni de viruși, care criptează toate fișierele utilizatorului. Încă o dată voi lua în considerare întrebarea cum să vindec un computer după un virus ransomware criptat000007și recuperați fișierele criptate. În acest caz, nu a apărut nimic nou sau unic, doar o modificare a versiunii anterioare.

Decriptare garantată a fișierelor după un virus ransomware - dr-shifro.ru. Detalii despre lucru și schema de interacțiune cu clientul sunt mai jos în articolul meu sau pe site-ul web în secțiunea „Procedura de lucru”.

Descrierea virusului ransomware CRYPTED000007

Criptorul CRYPTED000007 nu este în mod fundamental diferit de predecesorii săi. Funcționează aproape exact în același mod. Dar totuși există mai multe nuanțe care îl deosebesc. Vă spun totul în ordine.

Sosește, ca și analogii săi, prin poștă. Tehnicile de inginerie socială sunt folosite pentru a se asigura că utilizatorul devine interesat de scrisoare și o deschide. În cazul meu, în scrisoare se vorbea despre un fel de instanță și despre informații importante despre caz din atașament. După lansarea atașării, utilizatorul deschide un document Word cu un extras de la Curtea de Arbitraj din Moscova.

În paralel cu deschiderea documentului, începe criptarea fișierelor. Un mesaj informativ de la sistemul de control al contului de utilizator Windows începe să apară în mod constant.

Dacă sunteți de acord cu propunerea, atunci copiile de rezervă ale fișierelor din copiile umbre ale Windows vor fi șterse și restaurarea informațiilor va fi foarte dificilă. Este evident că nu poți fi de acord cu propunerea în niciun caz. În acest criptator, aceste solicitări apar în mod constant, una după alta și nu se opresc, forțând utilizatorul să fie de acord și să ștergă copiile de rezervă. Aceasta este principala diferență față de modificările anterioare ale criptoarelor. Nu am întâlnit niciodată solicitări de ștergere a copiilor umbre fără să mă opresc. De obicei, după 5-10 oferte s-au oprit.

Voi da imediat o recomandare pentru viitor. Este foarte obișnuit ca oamenii să dezactiveze avertismentele de control al contului de utilizator. Nu este nevoie să faci asta. Acest mecanism poate ajuta cu adevărat la rezistența virușilor. Al doilea sfat evident este să nu lucrați în mod constant sub contul de administrator al computerului decât dacă există o nevoie obiectivă de el. În acest caz, virusul nu va avea ocazia să facă mult rău. Veți avea șanse mai mari să-i rezistați.

Dar chiar dacă ați răspuns întotdeauna negativ la solicitările ransomware-ului, toate datele dvs. sunt deja criptate. După finalizarea procesului de criptare, veți vedea o imagine pe desktop.

În același timp, vor exista multe fișiere text cu același conținut pe desktop.

Fișierele dvs. au fost criptate. Pentru a decripta ux, trebuie să trimiteți codul: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. În continuare veți primi toate instrucțiunile necesare. Încercările de a descifra pe cont propriu nu vor duce la altceva decât la un număr irevocabil de informații. Dacă tot doriți să încercați, atunci faceți mai întâi copii de rezervă ale fișierelor, altfel, în cazul unei modificări, decriptarea va deveni imposibilă în orice circumstanțe. Dacă nu ați primit notificarea la adresa de mai sus în 48 de ore (doar în acest caz!), utilizați formularul de contact. Acest lucru se poate face în două moduri: 1) Descărcați și instalați Tor Browser folosind link-ul: https://www.torproject.org/download/download-easy.html.en În adresa Tor Browser, introduceți adresa: http: //cryptsen7fo43rr6 .onion/ și apăsați Enter. Pagina cu formularul de contact se va încărca. 2) În orice browser, accesați una dintre adresele: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Toate fișierele importante de pe computerul dvs. au fost criptate. Pentru a decripta fișierele ar trebui să trimiteți următorul cod: 329D54752553ED978F94|0 la adresa de e-mail [email protected]. Apoi veți primi toate instrucțiunile necesare. Toate încercările dvs. de decriptare vor avea ca rezultat pierderea irevocabilă a datelor dvs. Dacă tot doriți să încercați să le decriptați singur, vă rugăm să faceți mai întâi o copie de rezervă, deoarece decriptarea va deveni imposibilă în cazul oricăror modificări în interiorul fișierelor. Dacă nu ați primit răspunsul din email-ul menționat mai mult de 48 de ore (și numai în acest caz!), utilizați formularul de feedback. Puteți face acest lucru în două moduri: 1) Descărcați Tor Browser de aici: https://www.torproject.org/download/download-easy.html.en Instalați-l și introduceți următoarea adresă în bara de adrese: http:/ /cryptsen7fo43rr6.onion/ Apăsați Enter și apoi va fi încărcată pagina cu formularul de feedback. 2) Accesați una dintre următoarele adrese în orice browser: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresa poștală se poate modifica. Am dat si peste urmatoarele adrese:

• [email protected]
• [email protected]

Adresele sunt actualizate constant, astfel încât pot fi complet diferite.

De îndată ce descoperiți că fișierele dvs. sunt criptate, opriți imediat computerul. Acest lucru trebuie făcut pentru a întrerupe procesul de criptare atât pe computerul local, cât și pe unitățile de rețea. Un virus de criptare poate cripta toate informațiile pe care le poate ajunge, inclusiv pe unitățile de rețea. Dar dacă există o cantitate mare de informații acolo, atunci îi va lua mult timp. Uneori, chiar și în câteva ore, ransomware-ul nu a avut timp să cripteze totul pe o unitate de rețea cu o capacitate de aproximativ 100 de gigaocteți.

În continuare, trebuie să vă gândiți cu atenție cum să acționați. Dacă aveți nevoie de informații pe computer cu orice preț și nu aveți copii de rezervă, atunci este mai bine în acest moment să apelați la specialiști. Nu neapărat pentru bani pentru unele companii. Ai nevoie doar de o persoană care este bine versată în sistemele informaționale. Este necesar să se evalueze amploarea dezastrului, să se elimine virusul și să se colecteze toate informațiile disponibile despre situație pentru a înțelege cum să procedeze.

Acțiunile incorecte în această etapă pot complica semnificativ procesul de decriptare sau restaurare a fișierelor. În cel mai rău caz, ei pot face imposibil. Așa că fă-ți timp, fii atent și consecvent.

Cum criptează fișierele virusul ransomware CRYPTED000007

După ce virusul a fost lansat și și-a încheiat activitatea, toate fișierele utile vor fi criptate, redenumite din extensie.crypted000007. Mai mult, nu numai extensia fișierului va fi înlocuită, ci și numele fișierului, astfel încât nu veți ști exact ce fel de fișiere ați avut dacă nu vă amintiți. Va arăta cam așa.

Într-o astfel de situație, va fi dificil să evaluați amploarea tragediei, deoarece nu vă veți putea aminti pe deplin ce ați avut în diferite dosare. Acest lucru a fost făcut special pentru a deruta oamenii și pentru a-i încuraja să plătească pentru decriptarea fișierelor.

Și dacă folderele dvs. de rețea au fost criptate și nu există copii de siguranță complete, atunci acest lucru poate opri complet activitatea întregii organizații. Vă va lua ceva timp să vă dați seama ce a fost pierdut în cele din urmă pentru a începe restaurarea.

Cum să vă tratați computerul și să eliminați ransomware-ul CRYPTED000007

Virusul CRYPTED000007 este deja pe computer. Prima și cea mai importantă întrebare este cum să dezinfectați un computer și cum să eliminați un virus din acesta pentru a preveni criptarea ulterioară dacă nu a fost încă finalizată. Aș dori să vă atrag imediat atenția asupra faptului că, după ce voi înșivă începeți să efectuați unele acțiuni cu computerul dvs., șansele de decriptare a datelor scad. Dacă trebuie să recuperați fișiere cu orice preț, nu atingeți computerul, ci contactați imediat profesioniști. Mai jos voi vorbi despre ele și voi oferi un link către site și voi descrie modul în care funcționează.

Între timp, vom continua să tratăm independent computerul și să eliminăm virusul. În mod tradițional, ransomware-ul este ușor de îndepărtat de pe computer, deoarece virusul nu are sarcina de a rămâne pe computer cu orice preț. După criptarea completă a fișierelor, este și mai profitabil pentru el să se ștergă și să dispară, astfel încât este mai dificil să investigheze incidentul și să decripteze fișierele.

Este dificil să descriu cum să eliminați manual un virus, deși am încercat să fac asta înainte, dar văd că de cele mai multe ori este inutil. Numele fișierelor și căile de plasare a virușilor se schimbă constant. Ceea ce am văzut nu mai este relevant într-o săptămână sau două. De obicei, virușii sunt trimiși prin poștă în valuri și de fiecare dată apare o nouă modificare care nu este încă detectată de antivirusuri. Instrumentele universale care verifică pornirea și detectează activități suspecte în folderele de sistem ajută.

Pentru a elimina virusul CRYPTED000007, puteți utiliza următoarele programe:

1. Kaspersky Virus Removal Tool - un utilitar de la Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produs similar de pe alt site http://free.drweb.ru/cureit.
3. Dacă primele două utilitare nu ajută, încercați MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Cel mai probabil, unul dintre aceste produse va șterge computerul de ransomware-ul CRYPTED000007. Dacă se întâmplă brusc că nu ajută, încercați să eliminați virusul manual. Am dat un exemplu de metodă de eliminare și îl puteți vedea acolo. Pe scurt, pas cu pas, trebuie să procedați astfel:

1. Ne uităm la lista de procese, după adăugarea mai multor coloane suplimentare la managerul de activități.
2. Găsim procesul virusului, deschidem folderul în care se află și îl ștergem.
3. Ștergem mențiunea procesului de virus prin numele fișierului din registru.
4. Repornim și ne asigurăm că virusul CRYPTED000007 nu se află în lista proceselor care rulează.

De unde să descărcați decriptorul CRYPTED000007

Întrebarea unui decriptor simplu și de încredere apare pe primul loc când vine vorba de un virus ransomware. Primul lucru pe care îl recomand este să folosești serviciul https://www.nomoreransom.org. Ce se întâmplă dacă ești norocos și au un decriptor pentru versiunea ta a criptorului CRYPTED000007. Îți spun imediat că nu ai multe șanse, dar să încerci nu este tortură. Pe pagina principală faceți clic pe Da:

Apoi descărcați câteva fișiere criptate și faceți clic pe Go! Descoperi:

La momentul scrierii, nu exista niciun decriptor pe site.

Poate vei avea mai mult noroc. De asemenea, puteți vedea lista de decriptare pentru descărcare pe o pagină separată - https://www.nomoreransom.org/decryption-tools.html. Poate e ceva util acolo. Când virusul este complet proaspăt, există puține șanse să se întâmple acest lucru, dar în timp, poate apărea ceva. Există exemple în care decriptoarele pentru unele modificări ale criptoarelor au apărut pe Internet. Și aceste exemple sunt pe pagina specificată.

Nu știu unde mai poți găsi un decodor. Este puțin probabil să existe cu adevărat, ținând cont de particularitățile muncii criptatorilor moderni. Doar autorii virusului pot avea un decriptor cu drepturi depline.

Cum să decriptați și să recuperați fișierele după virusul CRYPTED000007

Ce să faci când virusul CRYPTED000007 a criptat fișierele tale? Implementarea tehnică a criptării nu permite decriptarea fișierelor fără o cheie sau un decriptor, pe care le are doar autorul criptatorului. Poate că există o altă modalitate de a obține, dar nu am aceste informații. Putem încerca doar să recuperăm fișierele folosind metode improvizate. Acestea includ:

• Instrument copii umbră ferestre.
• Programe de recuperare a datelor șterse

În primul rând, să verificăm dacă avem copiile umbră activate. Acest instrument funcționează implicit în Windows 7 și versiuni ulterioare, cu excepția cazului în care îl dezactivați manual. Pentru a verifica, deschideți proprietățile computerului și accesați secțiunea de protecție a sistemului.

Dacă în timpul infecției nu ați confirmat solicitarea UAC de ștergere a fișierelor în copii umbră, atunci unele date ar trebui să rămână acolo. Despre această solicitare am vorbit mai pe larg la începutul poveștii, când am vorbit despre munca virusului.

Pentru a restaura cu ușurință fișierele din copii umbră, vă sugerez să utilizați un program gratuit pentru aceasta - ShadowExplorer. Descărcați arhiva, despachetați programul și rulați-l.

Se va deschide cea mai recentă copie a fișierelor și rădăcina unității C. În colțul din stânga sus, puteți selecta o copie de rezervă dacă aveți mai multe dintre ele. Verificați diferite copii pentru fișierele necesare. Comparați după dată pentru cea mai recentă versiune. În exemplul meu de mai jos, am găsit 2 fișiere pe desktop de acum trei luni, când au fost editate ultima dată.

Am reușit să recuperez aceste fișiere. Pentru a face acest lucru, le-am selectat, am făcut clic dreapta, am selectat Export și am specificat folderul în care să le restabilesc.

Puteți restaura imediat folderele folosind același principiu. Dacă ați avut copii shadow funcționale și nu le-ați șters, aveți șanse mari să recuperați toate, sau aproape toate, fișierele criptate de virus. Poate că unele dintre ele vor fi o versiune mai veche decât ne-am dori, dar cu toate acestea, este mai bine decât nimic.

Dacă dintr-un motiv oarecare nu aveți copii umbră ale fișierelor dvs., singura dvs. șansă de a obține măcar ceva din fișierele criptate este să le restaurați folosind instrumente de recuperare a fișierelor șterse. Pentru a face acest lucru, vă sugerez să utilizați programul gratuit Photorec.

Lansați programul și selectați discul pe care veți restaura fișierele. Lansarea versiunii grafice a programului execută fișierul qphotorec_win.exe. Trebuie să selectați un folder în care vor fi plasate fișierele găsite. Este mai bine dacă acest folder nu se află pe aceeași unitate în care căutăm. Conectați o unitate flash sau un hard disk extern pentru a face acest lucru.

Procesul de căutare va dura mult timp. La final vei vedea statistici. Acum puteți merge la folderul specificat anterior și puteți vedea ce se găsește acolo. Cel mai probabil vor fi o mulțime de fișiere și cele mai multe dintre ele fie vor fi deteriorate, fie vor fi un fel de sistem și fișiere inutile. Dar, cu toate acestea, câteva fișiere utile pot fi găsite în această listă. Nu există garanții aici; ceea ce vei găsi este ceea ce vei găsi. Imaginile sunt de obicei restaurate cel mai bine.

Dacă rezultatul nu vă mulțumește, atunci există și programe pentru recuperarea fișierelor șterse. Mai jos este o listă de programe pe care le folosesc de obicei când trebuie să recuperez numărul maxim de fișiere:

• R.saver
• Recuperare fișier Starus
• JPEG Recovery Pro
• Active File Recovery Professional

Aceste programe nu sunt gratuite, așa că nu voi oferi link-uri. Dacă vrei cu adevărat, le poți găsi chiar tu pe internet.

Întregul proces de recuperare a fișierelor este prezentat în detaliu în videoclipul de la sfârșitul articolului.

Kaspersky, eset nod32 și alții în lupta împotriva criptatorului Filecoder.ED

Antivirusurile populare detectează ransomware-ul CRYPTED000007 ca Filecoder.EDși apoi poate exista o altă denumire. M-am uitat prin principalele forumuri antivirus și nu am văzut nimic util acolo. Din păcate, ca de obicei, software-ul antivirus s-a dovedit a fi nepregătit pentru invazia unui nou val de ransomware. Iată o postare de pe forumul Kaspersky.

În mod tradițional, antivirușii ratează noile modificări ale troienilor ransomware. Cu toate acestea, recomand să le folosiți. Dacă ai noroc și primești un e-mail ransomware nu în primul val de infecții, ci puțin mai târziu, există șansa ca antivirusul să te ajute. Toți lucrează cu un pas în spatele atacatorilor. Este lansată o nouă versiune de ransomware, dar antivirusurile nu răspund la aceasta. De îndată ce se acumulează o anumită cantitate de material pentru cercetarea unui nou virus, software-ul antivirus lansează o actualizare și începe să răspundă la aceasta.

Nu înțeleg ce împiedică antivirusurile să răspundă imediat la orice proces de criptare din sistem. Poate că există unele nuanțe tehnice pe acest subiect care nu ne permite să răspundem în mod adecvat și să împiedicăm criptarea fișierelor utilizator. Mi se pare că ar fi posibil să afișați cel puțin un avertisment despre faptul că cineva vă criptează fișierele și să vă oferiți oprirea procesului.

Unde să mergi pentru decriptare garantată

S-a întâmplat să întâlnesc o companie care decriptează de fapt datele după munca diverșilor viruși de criptare, inclusiv CRYPTED000007. Adresa lor este http://www.dr-shifro.ru. Plata numai după decriptarea completă și verificarea dvs. Iată o schemă aproximativă de lucru:

1. Un specialist al companiei vine la birou sau acasă și semnează un acord cu tine, care stabilește costul lucrării.
2. Lansează decriptorul și decriptează toate fișierele.
3. Vă asigurați că toate fișierele sunt deschise și semnați certificatul de livrare/acceptare a lucrării finalizate.
4. Plata se face numai pe baza rezultatelor reușite ale decriptării.

Sincer să fiu, nu știu cum fac, dar nu riști nimic. Plata numai dupa demonstrarea functionarii decodorului. Vă rugăm să scrieți o recenzie despre experiența dumneavoastră cu această companie.

Metode de protecție împotriva virusului CRYPTED000007

Cum să te protejezi de ransomware și să eviți daune materiale și morale? Există câteva sfaturi simple și eficiente:

1. Backup! Copiere de rezervă a tuturor datelor importante. Și nu doar un backup, ci un backup la care nu există acces constant. În caz contrar, virusul vă poate infecta atât documentele, cât și copiile de rezervă.
2. Antivirus licențiat. Deși nu oferă o garanție de 100%, cresc șansele de a evita criptarea. Cel mai adesea nu sunt pregătiți pentru versiuni noi ale criptatorului, dar după 3-4 zile încep să răspundă. Acest lucru vă crește șansele de a evita infecția dacă nu ați fost inclus în primul val de distribuție a unei noi modificări a ransomware-ului.
3. Nu deschideți atașamente suspecte în e-mail. Nu este nimic de comentat aici. Toate ransomware-urile cunoscute de mine au ajuns la utilizatori prin e-mail. Mai mult, de fiecare dată când se inventează noi trucuri pentru a înșela victima.
4. Nu deschideți neatenționat link-uri trimise către dvs. de la prieteni prin rețelele sociale sau mesagerie instantanee. Acesta este, de asemenea, modul în care virușii se răspândesc uneori.
5. Activați Windows pentru a afișa extensiile de fișiere. Cum se face acest lucru este ușor de găsit pe Internet. Acest lucru vă va permite să observați extensia fișierului pe virus. Cel mai adesea va fi .exe, .vbs, .src. În munca de zi cu zi cu documente, este puțin probabil să întâlniți astfel de extensii de fișiere.

Am încercat să completez ceea ce am scris deja înainte în fiecare articol despre virusul ransomware. Între timp, îmi iau rămas bun. Aș fi bucuros să primesc comentarii utile despre articol și despre virusul ransomware CRYPTED000007 în general.

Video despre decriptarea și recuperarea fișierelor

Iată un exemplu de modificare anterioară a virusului, dar videoclipul este complet relevant pentru CRYPTED000007.

Primii troieni ransomware din familia Trojan.Encoder au apărut în 2006-2007. Din ianuarie 2009, numărul soiurilor lor a crescut cu aproximativ 1900%! În prezent, Trojan.Encoder este una dintre cele mai periculoase amenințări pentru utilizatori, având câteva mii de modificări. Din aprilie 2013 până în martie 2015, laboratorul de virus Doctor Web a primit 8.553 de solicitări de decriptare a fișierelor afectate de troienii codificatori.
Virușii de criptare aproape că au câștigat primul loc în cererile către forumurile de securitate a informațiilor. În fiecare zi, în medie, 40 de solicitări de decriptare sunt primite doar de către angajații laboratorului de viruși Doctor Web de la utilizatori infectați cu diferite tipuri de troieni de criptare ( Trojan.Encoder, Trojan-Ransom.Win32.Xorist, Trojan-Ransom.Win32.Rector, Trojan.Locker, Trojan.Matsnu, Trojan-Ransom.Win32.Rannoh, Trojan-Ransom.Win32.GpCode, Digital Safe, Digital Case, lockdir.exe, rectorrsa, Trojan-Ransom.Win32.Rakhn, CTB-Locker, seifși așa mai departe). Principalele semne ale unor astfel de infecții sunt modificarea extensiilor fișierelor utilizator, cum ar fi fișiere muzicale, fișiere imagine, documente etc., atunci când încercați să le deschideți, apare un mesaj de la atacatori care cer plata pentru obținerea unui decriptor. De asemenea, este posibil să schimbați imaginea de fundal a desktopului, aspectul documentelor text și ferestrelor cu mesaje corespunzătoare despre criptare, încălcarea acordurilor de licență etc. Troienii de criptare sunt deosebit de periculoși pentru companiile comerciale, deoarece datele pierdute din bazele de date și documentele de plată pot bloca activitatea companiei pentru o perioadă nedeterminată de timp, ceea ce duce la pierderi de profit.

Troienii din familia Trojan.Encoder folosesc zeci de algoritmi diferiți pentru criptarea fișierelor utilizator. De exemplu, pentru a găsi cheile pentru a decripta fișierele criptate de Trojan.Encoder.741 folosind o metodă de forță brută, veți avea nevoie de:
107902838054224993544152335601 an

Decriptarea fișierelor deteriorate de troian este posibilă în cel mult 10% din cazuri. Aceasta înseamnă că majoritatea datelor utilizatorilor se pierd pentru totdeauna.

Astăzi, ransomware-ul solicită până la 1.500 de bitcoini.

Chiar dacă plătiți o răscumpărare atacatorului, nu vă va oferi nicio garanție de recuperare a datelor.

Este vorba de ciudatenii - a fost înregistrat un caz când, în ciuda răscumpărării plătite, infractorii nu au putut decripta fișierele criptate de Trojan.Encoder pe care l-au creat și au trimis utilizatorul afectat pentru ajutor... la serviciul de suport tehnic al unui antivirus. companie!

Cum apare infecția?

• Prin atașamente la e-mail; Folosind ingineria socială, atacatorii forțează utilizatorul să deschidă fișierul atașat.
• Utilizarea infecțiilor cu Zbot deghizate în atașamente PDF.
• Prin kituri de exploatare situate pe site-uri web piratate care exploatează vulnerabilitățile de pe computer pentru a instala o infecție.
• Prin troieni care oferă descărcarea playerului necesar vizionarii videoclipurilor online. Acest lucru se întâmplă de obicei pe site-urile porno.
• Prin RDP, folosind ghicirea parolelor și vulnerabilitățile din acest protocol.
• Folosind keygen-uri infectate, crack-uri și utilitare de activare.

În peste 90% din cazuri, utilizatorii lansează (activează) ransomware pe computerele lor cu propriile mâini.

Când utilizați ghicirea parolei RDP, un atacator el vine singur sub un cont piratat, îl stinge el însuși sau descarcă un produs antivirus și se lansează singur criptare.

Până nu te mai sperie de scrisorile cu titlurile „Datorii”, „Proceduri penale”, etc., atacatorii vor profita de naivitatea ta.

Gândește-te... Învață-te singur și învață-i pe alții cele mai simple elemente de bază ale siguranței!

• Nu deschideți niciodată atașamente de la e-mailurile primite de la destinatari necunoscuți, indiferent cât de înfricoșător ar fi antetul. Dacă atașamentul a sosit ca arhivă, fă-ți probleme să vizualizați pur și simplu conținutul arhivei. Și dacă există un fișier executabil (extensia .exe, .com, .bat, .cmd, .scr), atunci acesta este 99.(9)% o capcană pentru tine.
• Dacă încă ți-e frică de ceva, nu fi leneș să afli adevărata adresă de e-mail a organizației din numele căreia ți-a fost trimisă scrisoarea. Acest lucru nu este atât de greu de aflat în era noastră informațională.
• Chiar dacă adresa expeditorului se dovedește a fi adevărată, nu fi leneș să verifici prin telefon dacă o astfel de scrisoare a fost trimisă. Adresa expeditorului poate fi falsificată cu ușurință folosind servere smtp anonime.
• Dacă expeditorul spune Sberbank sau Russian Post, atunci acest lucru nu înseamnă nimic. În mod ideal, literele normale ar trebui să fie semnate cu o semnătură electronică. Vă rugăm să verificați cu atenție fișierele atașate la astfel de e-mailuri înainte de a le deschide.
• Faceți în mod regulat copii de rezervă ale informațiilor pe medii separate.
• Uitați să folosiți parole simple care sunt ușor de ghicit și intrați în rețeaua locală a organizației folosind datele dvs. Pentru acces RDP, utilizați certificate, acces VPN sau autentificare cu doi factori.
• Nu lucrați niciodată cu drepturi de administrator, acordați atenție mesajelor UAC chiar dacă au "Culoarea albastră" aplicație semnată, nu faceți clic "Da", dacă nu ați executat instalări sau actualizări.
• Instalați în mod regulat actualizări de securitate nu numai pentru sistemul de operare, ci și pentru programele de aplicație.
• Instalare parola pentru setările programului antivirus, diferită de parola contului, activați opțiunea de autoapărare

Ce să faci în caz de infecție?

Să cităm recomandările Dr.Web și Kaspersky Lab:

• opriți imediat computerul pentru a opri troianul, butonul Resetare de pe computer poate salva o parte semnificativă a datelor;
• Site de comentarii: În ciuda faptului că o astfel de recomandare este dată de laboratoare binecunoscute, în unele cazuri implementarea ei va complica decriptarea, deoarece cheia poate fi stocată în RAM și după repornirea sistemului, va fi imposibil să o restabiliți. Pentru a opri criptarea ulterioară, puteți îngheța execuția procesului de ransomware folosind Process Explorer sau pentru recomandări suplimentare.

Spoiler: Notă de subsol

Niciun codificator nu este capabil să cripteze toate datele instantaneu, așa că până la finalizarea criptării, o parte din ele rămâne neatinsă. Și cu cât a trecut mai mult timp de la începutul criptării, cu atât rămân mai puține date neatinse. Deoarece sarcina noastră este să salvăm cât mai multe dintre ele posibil, trebuie să oprim funcționarea codificatorului. Puteți, în principiu, să începeți să analizați lista de procese, să căutați unde se află troianul în ele, să încercați să îl terminați... Dar, credeți-mă, deconectarea cablului de alimentare este mult mai rapidă! Închiderea Windows în mod normal nu este o alternativă rea, dar poate dura ceva timp sau troianul poate interfera cu acesta prin acțiunile sale. Deci alegerea mea este să trag cordonul. Fără îndoială, acest pas are dezavantajele sale: posibilitatea de a deteriora sistemul de fișiere și imposibilitatea de a efectua în continuare un dump RAM. Pentru o persoană nepregătită, un sistem de fișiere deteriorat este o problemă mai serioasă decât un codificator. Cel puțin fișierele rămân după codificator, dar deteriorarea tabelului de partiții va face imposibilă pornirea sistemului de operare. Pe de altă parte, un specialist competent în recuperarea datelor va repara fără probleme aceeași tabelă de partiții, dar codificatorul poate să nu aibă timp să ajungă la multe fișiere.

Pentru a iniția proceduri penale împotriva atacatorilor, agențiile de aplicare a legii au nevoie de un motiv procedural - declarația dvs. despre infracțiune. Exemplu de aplicație

Fiți pregătit ca computerul să fie confiscat pentru o perioadă de timp pentru examinare.

Dacă refuză să vă accepte cererea, primiți un refuz scris și depuneți o plângere la o autoritate superioară de poliție (șeful de poliție din orașul sau regiunea dvs.).

• Nu încercați în niciun caz să reinstalați sistemul de operare;
• nu ștergeți niciun fișier sau mesaj de e-mail de pe computer;
• nu rulați niciun „curățător” de fișiere temporare și de registru;
• Nu ar trebui să scanați și să vă tratați computerul cu antivirusuri și utilitare antivirus, și mai ales cu LiveCD-uri antivirus; ca ultimă soluție, puteți muta fișierele infectate în carantină antivirus;

Spoiler: Notă de subsol

Pentru decriptare, un fișier discret de 40 de octeți într-un director temporar sau o comandă rapidă de neînțeles pe desktop poate fi de cea mai mare importanță. Probabil că nu știți dacă vor fi importante pentru decriptare sau nu, așa că este mai bine să nu atingeți nimic. Curățarea registrului este, în general, o procedură dubioasă, iar unii codificatori lasă acolo urme de funcționare care sunt importante pentru decodare. Antivirusurile, desigur, pot găsi corpul unui troian codificator. Și chiar o pot șterge o dată pentru totdeauna, dar atunci ce va rămâne pentru analiză? Cum vom înțelege cum și cu ce au fost criptate fișierele? Prin urmare, este mai bine să lăsați animalul pe disc. Un alt punct important: nu cunosc niciun produs de curățare a sistemului care să țină cont de posibilitatea de funcționare a encoderului și să păstreze toate urmele funcționării acestuia. Și, cel mai probabil, astfel de fonduri nu vor apărea. Reinstalarea sistemului va distruge cu siguranță toate urmele troianului, cu excepția fișierelor criptate.

• nu încercați să recuperați fișierele criptate pe cont propriu;

Spoiler: Notă de subsol

Dacă ai câțiva ani de scris programe, înțelegi cu adevărat ce sunt RC4, AES, RSA și care sunt diferențele dintre ele, știi ce este Hiew și ce înseamnă 0xDEADC0DE, poți să încerci. Nu o recomand altora. Să presupunem că ați găsit o metodă miraculoasă pentru decriptarea fișierelor și chiar ați reușit să decriptați un fișier. Aceasta nu este o garanție că tehnica va funcționa pe toate fișierele dvs. Mai mult, aceasta nu este o garanție că folosind această metodă nu veți deteriora și mai mult fișierele. Chiar și în munca noastră există momente neplăcute când se descoperă erori grave în codul de decriptare, dar în mii de cazuri până în acest moment codul a funcționat așa cum ar trebui.

Acum că este clar ce să faci și ce să nu faci, poți începe să descifrezi. În teorie, decriptarea este aproape întotdeauna posibilă. Asta dacă cunoașteți toate datele necesare pentru aceasta sau aveți o sumă nelimitată de bani, timp și nuclee de procesor. În practică, ceva poate fi descifrat aproape imediat. Ceva își va aștepta rândul câteva luni sau chiar ani. În unele cazuri, nici nu trebuie să te ocupi de asta: nimeni nu va închiria gratuit un supercomputer timp de 5 ani. De asemenea, este rău că un caz aparent simplu se dovedește a fi extrem de complex atunci când este examinat în detaliu. Depinde de tine să decizi pe cine să contactezi.

• contactați laboratorul antivirus al unei companii care are un departament de analiști de viruși care se ocupă de această problemă;
• Atașați un fișier criptat cu troian la bilet (și, dacă este posibil, o copie necriptată a acestuia);
• așteptați răspunsul analistului de virus. Din cauza volumului mare de cereri, acest lucru poate dura ceva timp.

Cum se recuperează fișierele?

Adrese cu formulare pentru trimiterea fișierelor criptate:

• Dr.Web (Aplicațiile pentru decriptare gratuită sunt acceptate numai de la utilizatorii antivirusului complet Drweb)
• Kaspersky Lab (Solicitările de decriptare gratuită sunt acceptate numai de la utilizatorii produselor comerciale Kaspersky Lab)
• ESET, LLC ( Aplicațiile pentru decriptare gratuită sunt acceptate numai de la utilizatorii produselor comerciale ESET)
• Proiectul No More Ransom (selecție de defractori de coduri)
• Encryptori - extortioniști (selectarea descifratorilor)
• ID Ransomware (selectarea decriptoarelor)

Noi Nu recomandăm absolut restaurați singur fișierele, deoarece dacă o faceți incorect, puteți pierde toate informațiile fără a restaura nimic!!! În plus, recuperarea fișierelor criptate de anumite tipuri de troieni pur si simplu este imposibil datorită puterii mecanismului de criptare.

Utilitare de recuperare a fișierelor șterse:
Unele tipuri de troieni de criptare creează o copie a fișierului criptat, o criptează și șterg fișierul original.În acest caz, puteți utiliza unul dintre utilitarele de recuperare a fișierelor (este recomandabil să folosiți versiuni portabile ale programelor, descărcate și înregistrate). pe o unitate flash pe alt computer):

• R.saver
• Recuva
• JPEG Ripper - utilitar pentru recuperarea imaginilor deteriorate
• descriere JPGscan)
• PhotoRec - un utilitar pentru restaurarea imaginilor deteriorate (descriere)

Metoda de rezolvare a problemelor cu unele versiuni Lockdir

Folderele criptate cu unele versiuni de Lockdir pot fi deschise folosind un arhivator 7-fermoar

După recuperarea cu succes a datelor, trebuie să verificați sistemul pentru malware; pentru a face acest lucru, ar trebui să rulați și să creați un subiect care descrie problema în secțiune

Recuperarea fișierelor criptate folosind sistemul de operare.

Pentru a restaura fișierele folosind sistemul de operare, trebuie să activați protecția sistemului înainte ca troianul ransomware să ajungă pe computer. Majoritatea troienilor ransomware vor încerca să șteargă orice copii shadow de pe computer, dar uneori acest lucru nu va eșua (dacă nu aveți privilegii de administrare și sunt instalate actualizări Windows) și veți putea folosi copii shadow pentru a restaura fișierele deteriorate.

Vă rugăm să rețineți că comanda pentru ștergerea copiilor umbre:

Cod:

Vssadmin șterge umbrele

funcționează numai cu drepturi de administrator, așa că, după activarea protecției, trebuie să lucrați doar ca utilizator cu drepturi limitate și să acordați atenție tuturor avertismentelor UAC cu privire la o încercare de a escalada drepturile.

Spoiler: Cum se activează protecția sistemului?

Cum să restabiliți versiunile anterioare ale fișierelor după ce acestea sunt deteriorate?

Notă:

Este disponibilă restaurarea din proprietățile unui fișier sau folder folosind fila „Versiuni anterioare”. numai în edițiile de Windows 7 nu mai mici decât „Professional”. Edițiile de acasă ale Windows 7 și toate edițiile de sisteme de operare Windows mai noi au o soluție (sub spoiler).

Spoiler

A doua cale - aceasta este utilizarea utilitarului ShadowExplorer(puteți descărca atât programul de instalare, cât și versiunea portabilă a utilitarului).

Rulați programul
Selectați unitatea și data pentru care doriți să recuperați fișierele

Selectați fișierul sau folderul de recuperat și faceți clic dreapta pe el
Selectați elementul de meniu Exportși specificați calea către folderul în care doriți să restaurați fișierele din copia umbră.

Modalități de a vă proteja de troienii ransomware

Din păcate, metodele de protecție împotriva troienilor ransomware pentru utilizatorii obișnuiți sunt destul de complicate, deoarece necesită politici de securitate sau setări HIPS care permit accesul la fișiere doar pentru anumite aplicații și nu oferă protecție 100% în cazurile în care un troian este încorporat în spațiul de adrese. a unei aplicații de încredere. Prin urmare, singura metodă disponibilă de protecție este să faceți copii de rezervă ale fișierelor utilizatorului pe un suport amovibil. Mai mult, dacă un astfel de suport este un hard disk extern sau o unitate flash, aceste medii ar trebui să fie conectate la computer doar pe durata copiei de rezervă și să fie deconectate în restul timpului. Pentru o mai mare securitate, backup-urile pot fi efectuate pornind de la LiveCD. Backup-urile pot fi efectuate și pe așa-numitul „ Stocare in cloud" furnizate de unele companii.

Configurarea programelor antivirus pentru a reduce probabilitatea de infectare cu troieni ransomware.

Se aplică tuturor produselor:

Este necesar să activați modulul de autoapărare și să setați o parolă complexă pentru setările antivirus!!!

Astăzi, probabil, doar oamenii foarte departe de Internet nu cunosc infecțiile în masă ale computerelor cu troianul de criptare WannaCry („Vreau să plâng”), care a început pe 12 mai 2017. Și aș împărți reacția celor care știu în 2 categorii opuse: indiferența și panica. Ce înseamnă acest lucru?

Iar faptul că informațiile fragmentare nu oferă o înțelegere completă a situației dă naștere la speculații și lasă în urmă mai multe întrebări decât răspunsuri. Pentru a înțelege ce se întâmplă cu adevărat, cui și ce amenință, cum să vă protejați de infecție și cum să decriptați fișierele deteriorate de WannaCry, articolul de astăzi îi este dedicat.

Este „diavolul” chiar atât de înfricoșător?

Nu înțeleg despre ce este toată agitațiaVreau să plâng? Există mulți viruși, alții noi apar în mod constant. Ce e special la acesta?

WannaCry (alte denumiri WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nu este un malware cibernetic obișnuit. Motivul notorietății sale îl reprezintă pagubele gigantice cauzate. Potrivit Europol, acesta a perturbat funcționarea a peste 200.000 de computere care rulează Windows în 150 de țări, iar pagubele suferite de proprietarii acestora s-au ridicat la peste 1.000.000.000 de dolari, iar asta doar în primele 4 zile de distribuție. Majoritatea victimelor se află în Rusia și Ucraina.

Știu că virușii intră în computere prin site-uri pentru adulți. Nu vizitez astfel de resurse, așa că nu sunt în pericol.

Virus? Am si eu o problema. Când apar viruși pe computer, rulez utilitarul *** și după o jumătate de oră totul este bine. Și dacă nu ajută, reinstalez Windows.

Virusul este diferit de virus. WannaCry este un troian ransomware, un vierme de rețea care se poate răspândi prin rețelele locale și pe internet de la un computer la altul fără intervenția umană.

Majoritatea programelor malware, inclusiv ransomware-ul, începe să funcționeze numai după ce utilizatorul „înghite momeala”, adică face clic pe un link, deschide un fișier etc. Pentru a vă infecta cu WannaCry, nu trebuie să faceți absolut nimic!

Odată ajuns pe un computer Windows, malware-ul criptează cea mai mare parte a fișierelor utilizatorului într-un timp scurt, după care afișează un mesaj care cere o răscumpărare de 300-600 USD, care trebuie transferat în portofelul specificat în termen de 3 zile. În caz de întârziere, el amenință că va face imposibilă decriptarea fișierelor în 7 zile.

În același timp, malware-ul caută lacune pentru a pătrunde în alte computere, iar dacă îl găsește, infectează întreaga rețea locală. Aceasta înseamnă că copiile de rezervă ale fișierelor stocate pe mașinile învecinate devin și ele inutilizabile.

Eliminarea unui virus de pe un computer nu decriptează fișierele! Reinstalarea si sistemul de operare. Dimpotrivă, dacă sunt infectate cu ransomware, ambele aceste acțiuni vă pot lipsi de capacitatea de a recupera fișiere chiar dacă aveți o cheie validă.

Deci da, „la naiba” este destul de înfricoșător.

Cum se răspândește WannaCry

Minți. Un virus poate intra pe computerul meu doar dacă îl descarc eu. Și sunt vigilent.

Multe programe malware sunt capabile să infecteze computerele (și dispozitivele mobile, de altfel, de asemenea) prin vulnerabilități - erori în codul componentelor sistemului de operare și al programelor care deschid oportunitatea atacatorilor cibernetici de a folosi o mașină de la distanță în propriile scopuri. WannaCry, în special, se răspândește printr-o vulnerabilitate de 0 zile în protocolul SMB (vulnerabilitățile zero-day sunt erori care nu au fost remediate în momentul în care au fost exploatate de malware/spyware).

Adică, pentru a infecta un computer cu un vierme ransomware, sunt suficiente două condiții:

• Conexiuni la o rețea în care există alte mașini infectate (Internet).
• Prezența lacunei descrise mai sus în sistem.

De unde a apărut această infecție? Este aceasta opera hackerilor ruși?

Potrivit unor rapoarte (nu sunt responsabil pentru autenticitate), Agenția Națională de Securitate din SUA a fost prima care a descoperit o defecțiune în protocolul de rețea SMB, care este folosit pentru accesul legal de la distanță la fișiere și imprimante în Windows. În loc să o raporteze la Microsoft, astfel încât să poată remedia eroarea, NSA a decis să o folosească ea însăși și a dezvoltat un exploit pentru aceasta (un program care exploatează vulnerabilitatea).

Vizualizarea dinamicii distribuției WannaCry pe site-ul intel.malwaretech.com

Ulterior, această exploatare (cu nume de cod EternalBlue), care a servit de ceva timp NSA să pătrundă în computere fără știrea proprietarilor, a fost furată de hackeri și a stat la baza creării ransomware-ului WannaCry. Adică, datorită acțiunilor nu în întregime legale și etice ale agenției guvernamentale americane, scriitorii de virusi au aflat despre vulnerabilitate.

Am dezactivat instalarea actualizărilorWindows. Pentru ce este necesar când totul funcționează fără ele.

Motivul pentru o răspândire atât de rapidă și pe scară largă a epidemiei a fost absența la acel moment a unui „patch” - o actualizare Windows care ar putea închide lacuna Wanna Cry. La urma urmei, a fost nevoie de timp pentru a-l dezvolta.

Astăzi există un astfel de patch. Utilizatorii care actualizează sistemul l-au primit automat în primele ore de la lansare. Iar cei care cred că actualizările nu sunt necesare sunt încă expuși riscului de infecție.

Cine este expus riscului de atacul WannaCry și cum să vă protejați împotriva acestuia

Din câte știu eu, mai mult de 90% dintre computere sunt infectateWannaCry, operat deWindows 7. Am „zece”, ceea ce înseamnă că nu sunt în pericol.

Toate sistemele de operare care utilizează protocolul de rețea SMB v1 sunt susceptibile la infecția cu WannaCry. Acest:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v1607
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

Astăzi, utilizatorii sistemelor care nu au actualizare critică de securitate MS17-010(disponibil pentru descărcare gratuită de pe technet.microsoft.com, legat de). Patch-uri pentru Windows XP, Windows Server 2003, Windows 8 și alte sisteme de operare neacceptate pot fi descărcate de pe această pagină support.microsoft.com. De asemenea, descrie modalități de a verifica prezența unei actualizări salvatoare.

Dacă nu cunoașteți versiunea sistemului de operare de pe computer, apăsați combinația de taste Win+R și rulați comanda winver.

Pentru a spori securitatea și dacă nu este posibilă actualizarea sistemului acum, Microsoft oferă instrucțiuni pentru dezactivarea temporară a protocolului SMB versiunea 1. Acestea sunt localizate și. În plus, dar nu neapărat, puteți închide portul TCP 445, care servește SMB, prin firewall.

Am cel mai bun antivirus din lume ***, cu el pot face orice și nu mi-e frică de nimic.

Răspândirea WannaCry poate avea loc nu numai prin metoda autopropulsată descrisă mai sus, ci și în modurile obișnuite - prin rețele sociale, e-mail, resurse web infectate și de phishing etc. Și există astfel de cazuri. Dacă descărcați și rulați manual un program rău intenționat, nici un antivirus, nici patch-urile care închid vulnerabilitățile nu vă vor salva de infecție.

Cum funcționează virusul, ce criptează

Da, lasă-l să cripteze ce vrea. Am un prieten care este programator, el va descifra totul pentru mine. Ca ultimă soluție, vom găsi cheia folosind forța brută.

Ei bine, criptează câteva fișiere, deci ce? Acest lucru nu mă va împiedica să lucrez la computer.

Din păcate, nu va decripta, deoarece nu există modalități de a sparge algoritmul de criptare RSA-2048 pe care Wanna Cry îl folosește și nu va apărea în viitorul apropiat. Și va cripta nu doar câteva fișiere, ci aproape totul.

Nu voi oferi o descriere detaliată a modului în care funcționează malware-ul; oricine este interesat poate citi analiza acestuia, de exemplu, pe blogul expertului Microsoft Matt Suiche. Voi nota doar momentele cele mai semnificative.

Fișierele cu următoarele extensii sunt criptate: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

După cum puteți vedea, există documente, fotografii, video-audio, arhive, e-mail și fișiere create în diferite programe... Malware-ul încearcă să ajungă la fiecare director din sistem.

Obiectele criptate primesc extensie dublă cu postscriptura WNCRY, de exemplu, „Document1.doc.WNCRY”.

După criptare, virusul copiază un fișier executabil în fiecare folder @[email protected] – se presupune că pentru decriptare după răscumpărare, precum și un document text @[email protected] cu un mesaj pentru utilizator.

Apoi, încearcă să distrugă copiile umbre și punctele de restaurare Windows. Dacă sistemul rulează UAC, utilizatorul trebuie să confirme această operație. Dacă respingeți solicitarea, există în continuare șansa de a restaura datele din copii.

WannaCry transmite cheile de criptare ale sistemului afectat către centrele de comandă situate în rețeaua Tor, după care le șterge de pe computer. Pentru a căuta alte mașini vulnerabile, scanează rețeaua locală și intervalele IP arbitrare de pe Internet și, odată găsite, pătrunde în tot ceea ce poate ajunge.

Astăzi, analiștii cunosc mai multe modificări ale WannaCry cu mecanisme de distribuție diferite și ar trebui să ne așteptăm să apară altele noi în viitorul apropiat.

Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul

Văd fișierele schimbând extensiile. Ce se întâmplă? Cum să oprești asta?

Criptarea nu este un proces unic, deși nu durează prea mult. Dacă ați reușit să observați înainte ca mesajul ransomware să apară pe ecran, puteți salva unele dintre fișiere oprind imediat alimentarea computerului. Nu prin oprirea sistemului, dar prin scoaterea ștecherului din priză!

Când Windows pornește în modul normal, criptarea va continua, așa că este important să o preveniți. Următoarea pornire a computerului trebuie să aibă loc fie în modul sigur, în care virușii nu sunt activi, fie de pe un alt mediu de pornire.

Fișierele mele sunt criptate! Virusul cere o răscumpărare pentru ei! Ce să faci, cum să decriptezi?

Decriptarea fișierelor după WannaCry este posibilă numai dacă aveți o cheie secretă, pe care atacatorii promit să o furnizeze de îndată ce victima le transferă suma de răscumpărare. Cu toate acestea, astfel de promisiuni nu sunt aproape niciodată îndeplinite: de ce ar trebui să se deranjeze distribuitorii de programe malware dacă au obținut deja ceea ce și-au dorit?

În unele cazuri, problema poate fi rezolvată fără răscumpărare. Până în prezent, au fost dezvoltate 2 decriptoare WannaCry: WannaKey(de Adrien Guinet) și WanaKiwi(de Benjamin Delpy) Primul funcționează doar în Windows XP, iar al doilea, creat pe baza primului, funcționează în Windows XP, Vista și 7 x86, precum și în sistemele nordice 2003, 2008 și 2008R2 x86.

Algoritmul de operare al ambelor decriptoare se bazează pe căutarea cheilor secrete în memoria procesului de criptare. Aceasta înseamnă că doar cei care nu au avut timp să repornească computerul au șanse de decriptare. Și dacă nu a trecut prea mult timp de la criptare (memoria nu a fost suprascrisă de un alt proces).

Deci, dacă sunteți un utilizator de Windows XP-7 x86, primul lucru pe care ar trebui să-l faceți după ce apare mesajul de răscumpărare este să vă deconectați computerul de la rețeaua locală și de la Internet și să rulați decriptorul WanaKiwi descărcat pe alt dispozitiv. Înainte de a scoate cheia, nu efectuați alte acțiuni pe computer!

Puteți citi o descriere a activității decriptorului WanaKiwi într-un alt blog de Matt Suiche.

După decriptarea fișierelor, rulați un antivirus pentru a elimina malware-ul și instalați un patch care îi închide căile de distribuție.

Astăzi, WannaCry este recunoscut de aproape toate programele antivirus, cu excepția celor care nu sunt actualizate, așa că aproape orice va face.

Cum să trăiești această viață mai departe

Această epidemie autopropulsată a luat lumea prin surprindere. Pentru tot felul de servicii de securitate, s-a dovedit a fi la fel de neașteptat ca și debutul iernii de la 1 decembrie pentru lucrătorii de utilități. Motivul este nepăsarea și întâmplărea. Consecințele sunt pierderi ireparabile de date și daune. Și pentru creatorii malware-ului, acesta este un stimulent pentru a continua în același spirit.

Potrivit analiștilor, WanaCry a adus dividende foarte bune distribuitorilor, ceea ce înseamnă că astfel de atacuri se vor repeta. Iar cei care sunt duși acum nu vor fi neapărat duși mai târziu. Desigur, dacă nu vă faceți griji în avans.

Deci, pentru a nu fi nevoit să plângi niciodată pentru fișierele criptate:

• Nu refuzați să instalați actualizări de sistem de operare și aplicații. Acest lucru vă va proteja de 99% dintre amenințările care se răspândesc prin vulnerabilități nepatificate.
• Continuă.
• Creați copii de rezervă ale fișierelor importante și stocați-le pe un alt mediu fizic sau, mai bine, pe mai multe. În rețelele corporative, este optim să folosiți baze de date distribuite de stocare a datelor, utilizatorii casnici pot folosi servicii cloud gratuite precum Yandex Disk, Google Drive, OneDrive, MEGASynk etc. Nu lăsați aceste aplicații să ruleze atunci când nu le utilizați.
• Alege sisteme de operare fiabile. Windows XP nu este așa.
• Instalați un antivirus complet din clasa Internet Security și protecție suplimentară împotriva ransomware-ului, de exemplu, Kaspersky Endpoint Security. Sau analogi de la alți dezvoltatori.
• Creșteți-vă nivelul de alfabetizare în combaterea troienilor ransomware. De exemplu, furnizorul de antivirus Dr.Web a pregătit cursuri de instruire pentru utilizatorii și administratorii diferitelor sisteme. O mulțime de informații utile și, cel mai important, de încredere sunt conținute în blogurile altor dezvoltatori A/V.

Și cel mai important: chiar dacă ați suferit, nu transferați bani către atacatori pentru decriptare. Probabilitatea să fiți înșelat este de 99%. Mai mult, dacă nimeni nu plătește, afacerea de extorcare va deveni lipsită de sens. În caz contrar, răspândirea unei astfel de infecții va crește.