Manual ini tidak ditujukan untuk spesialis teknis, oleh karena itu:

1. definisi beberapa istilah disederhanakan;
2. rincian teknis tidak dipertimbangkan;
3. metode perlindungan sistem (menginstal pembaruan, mengonfigurasi sistem keamanan, dll.) tidak dipertimbangkan.

Instruksi ditulis oleh saya untuk membantu administrator sistem yang ingin melatih karyawan perusahaan yang jauh dari bidang IT (akuntansi, personalia, tenaga penjualan, dll.), dalam dasar-dasar kebersihan dunia maya.

Glosarium

Perangkat lunak(selanjutnya - perangkat lunak) - program atau serangkaian program yang digunakan untuk mengontrol komputer.

Enkripsi adalah transformasi data menjadi bentuk yang tidak dapat dibaca tanpa kunci enkripsi.

Kunci enkripsi adalah informasi rahasia yang digunakan saat mengenkripsi/mendekripsi file.

Dekoder- program yang mengimplementasikan algoritma dekripsi.

algoritma- satu set instruksi yang menjelaskan prosedur bagi pelaku untuk mencapai beberapa hasil.

lampiran surat- file yang dilampirkan ke email.

Perpanjangan(ekstensi nama file) adalah urutan karakter yang ditambahkan ke nama file dan digunakan untuk mengidentifikasi jenis file (misalnya, *.doc, *.jpg). Menurut jenis file, program tertentu akan digunakan untuk membukanya. Misalnya, jika ekstensi file adalah *.doc, maka MS Word akan diluncurkan untuk membukanya, jika *.jpg, maka penampil gambar akan diluncurkan, dll.

Tautan(atau lebih tepatnya, hyperlink) adalah bagian dari halaman web dokumen yang merujuk ke elemen lain (perintah, teks, judul, catatan, gambar) dalam dokumen itu sendiri atau ke objek lain (file, direktori, aplikasi) yang terletak di disk lokal atau di jaringan komputer.

File teks adalah file komputer yang berisi data teks.

Pengarsipan- ini adalah kompresi, yaitu mengurangi ukuran file.

Salinan cadangan— file atau sekelompok file yang dibuat sebagai hasil dari pencadangan informasi.

Cadangan- proses membuat salinan data pada media (hard disk, floppy disk, dll.) yang dirancang untuk mengembalikan data ke lokasi penyimpanan aslinya atau baru jika terjadi kerusakan atau kehancuran.

Domain(nama domain) - nama yang memungkinkan untuk mengakses situs Internet dan sumber daya jaringan yang ada di dalamnya (situs web, server email, layanan lain) dalam bentuk yang nyaman bagi seseorang. Misalnya, alih-alih 172.217.18.131, masukkan google.com.ua, di mana ua, com, google adalah domain dari tingkat yang berbeda.

Apa itu virus ransomware?

virus ransomware(selanjutnya disebut sebagai ransomware) adalah perangkat lunak berbahaya yang mengenkripsi file pengguna dan meminta tebusan untuk dekripsi. Jenis file terenkripsi yang paling umum adalah dokumen dan spreadsheet MS Office ( dok, xlsx), Gambar-gambar ( jpeg, png, tif), file video ( avi, mpeg, mkv dll.), dokumen dalam format pdf dll., serta file database - 1C ( 1 CD, dbf), Aksen ( mdf). File sistem dan program biasanya tidak dienkripsi untuk menjaga Windows tetap berjalan dan memberi pengguna kesempatan untuk menghubungi ransomware. Dalam kasus yang jarang terjadi, seluruh disk dienkripsi; dalam hal ini, Windows tidak dapat dimuat.

Apa bahaya dari virus semacam itu?

Dalam sebagian besar kasus, dekripsi Anda sendiri TIDAK MUNGKIN, karena. algoritma enkripsi yang sangat kompleks digunakan. Dalam kasus yang sangat jarang, file dapat didekripsi jika infeksi dengan jenis virus yang sudah diketahui telah terjadi, di mana produsen antivirus telah merilis dekripsi, tetapi bahkan dalam kasus ini, pemulihan informasi tidak dijamin 100%. Kadang-kadang virus memiliki cacat dalam kodenya, dan dekripsi menjadi tidak mungkin pada prinsipnya, bahkan oleh pembuat malware.

Dalam sebagian besar kasus, setelah penyandian, penyandi menghapus file asli menggunakan algoritme khusus, yang mengecualikan kemungkinan pemulihan.

Fitur berbahaya lain dari virus jenis ini adalah bahwa mereka sering "tidak terlihat" oleh antivirus, karena Algoritme yang digunakan untuk enkripsi juga digunakan di banyak program legal (misalnya, bank klien), itulah sebabnya banyak encryptor tidak dianggap oleh antivirus sebagai malware.

Cara infeksi.

Paling sering, infeksi terjadi melalui lampiran email. Pengguna menerima email dari penerima yang dikenalnya atau menyamar sebagai beberapa organisasi (kantor pajak, bank). Surat itu mungkin berisi permintaan untuk melakukan rekonsiliasi akuntansi, mengkonfirmasi pembayaran faktur, tawaran untuk membiasakan diri dengan hutang kredit di bank, atau sesuatu yang serupa. Artinya, informasi akan sedemikian rupa sehingga pasti akan menarik atau menakuti pengguna dan mendorong mereka untuk membuka lampiran email yang mengandung virus. Paling sering, itu akan terlihat seperti arsip yang berisi file *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. Setelah meluncurkan file seperti itu, segera atau setelah beberapa waktu, proses enkripsi file di PC dimulai. Juga, file yang terinfeksi dapat dikirim ke pengguna di salah satu program untuk pesan instan (Skype, Viber, dll.).

Lebih jarang, infeksi terjadi setelah menginstal perangkat lunak yang diretas atau setelah mengklik tautan yang terinfeksi di situs web atau di badan email.

Harus diingat bahwa sangat sering, setelah menginfeksi satu PC di jaringan, virus dapat menyebar ke mesin lain menggunakan kerentanan di Windows dan/atau program yang diinstal.

Tanda-tanda infeksi.

1. Sangat sering, setelah meluncurkan file yang dilampirkan pada surat itu, ada aktivitas hard disk yang tinggi, prosesor dimuat hingga 100%, mis. Komputer mulai melambat banyak.
2. Beberapa saat setelah virus diluncurkan, PC tiba-tiba restart (dalam banyak kasus).
3. Setelah reboot, file teks terbuka, yang melaporkan bahwa file pengguna dienkripsi dan menunjukkan kontak untuk komunikasi (e-mail). Terkadang, alih-alih membuka file, wallpaper desktop diganti dengan teks tebusan.
4. Sebagian besar file pengguna (dokumen, foto, database) berakhir dengan ekstensi yang berbeda (misalnya, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl, dll.) atau diubah namanya sepenuhnya, dan jangan buka program apa pun, bahkan jika Anda mengubah ekstensi. Terkadang seluruh hard drive dienkripsi. Dalam hal ini, Windows tidak bisa boot sama sekali, dan pesan tebusan ditampilkan segera setelah menyalakan PC.
5. Terkadang semua file pengguna ditempatkan dalam satu arsip yang dilindungi kata sandi. Ini terjadi jika penyerang menembus PC dan mengarsipkan serta menghapus file secara manual. Artinya, ketika file berbahaya diluncurkan dari lampiran email, file pengguna tidak dienkripsi secara otomatis, tetapi perangkat lunak diinstal yang memungkinkan penyerang untuk secara diam-diam terhubung ke PC melalui Internet.

Contoh teks tebusan

Apa yang harus dilakukan jika infeksi sudah terjadi?

1. Jika proses enkripsi dimulai di hadapan Anda (PC sangat "lambat"; file teks dengan pesan tentang enkripsi dibuka; file mulai menghilang, dan salinan terenkripsinya mulai muncul), Anda harus LANGSUNG matikan daya ke komputer dengan mencabut kabel daya atau menahannya selama 5 detik. tombol power. Mungkin ini akan menghemat beberapa informasi. JANGAN MULAI ULANG PC! OFF HANYA!
2. Jika enkripsi telah terjadi, Anda tidak boleh mencoba menyembuhkan infeksi sendiri, atau menghapus atau mengganti nama file terenkripsi atau file yang dibuat oleh ransomware.

Dalam kedua kasus tersebut, Anda harus segera melaporkan kejadian tersebut ke administrator sistem.

PENTING!!!

Jangan mencoba bernegosiasi secara independen dengan penyerang melalui kontak yang disediakan olehnya! Paling-paling, ini tidak berguna; paling buruk, itu dapat meningkatkan jumlah tebusan untuk dekripsi.

Bagaimana mencegah infeksi atau meminimalkan konsekuensinya?

1. Jangan membuka email yang mencurigakan, terutama yang memiliki lampiran (lihat di bawah untuk mengetahui cara mengenali email tersebut).
2. Jangan mengklik tautan mencurigakan di situs web dan email yang Anda terima.
3. Jangan mengunduh atau menginstal program dari sumber yang tidak tepercaya (situs web dengan perangkat lunak yang diretas, pelacak torrent).
4. Selalu buat cadangan file penting. Pilihan terbaik adalah menyimpan cadangan di media lain yang tidak terhubung ke PC (flash drive, drive eksternal, drive DVD), atau di cloud (misalnya, Yandex.Disk). Seringkali, virus juga mengenkripsi file arsip (zip, rar, 7z), jadi menyimpan cadangan di PC yang sama tempat file asli disimpan tidak ada gunanya.

Bagaimana cara mengenali email berbahaya?

1. Subjek dan isi surat tidak terkait dengan aktivitas profesional Anda. Misalnya, seorang manajer kantor menerima surat tentang pemeriksaan pajak, faktur, atau resume.

2. Surat tersebut berisi informasi yang tidak terkait dengan negara kita, wilayah atau wilayah kegiatan perusahaan kita. Misalnya, persyaratan untuk membayar hutang di bank yang terdaftar di Federasi Rusia.

3. Seringkali email berbahaya dirancang sebagai tanggapan yang diduga untuk beberapa email Anda. Di awal subjek surat semacam itu, ada kombinasi "Re:". Misalnya, "Re: Faktur", meskipun Anda tahu pasti bahwa Anda tidak mengirim surat ke alamat ini.

4. Surat tersebut diduga berasal dari perusahaan terkenal, tetapi alamat pengirim surat berisi urutan huruf, kata, angka, domain asing yang tidak ada hubungannya dengan alamat resmi perusahaan yang disebutkan dalam teks. dari surat itu.

5. Kolom "Kepada" berisi nama yang tidak dikenal (bukan kotak surat Anda), sekumpulan karakter yang tidak jelas, atau nama duplikat dari kotak surat pengirim.

6. Dalam teks surat, dengan berbagai dalih, penerima diminta untuk memberikan atau mengkonfirmasi informasi pribadi atau hak milik, mengunduh file atau mengikuti tautan, sambil melaporkan urgensi atau sanksi apa pun jika gagal mengikuti petunjuk yang ditentukan dalam surat.

7. Arsip yang dilampirkan pada surat tersebut berisi file *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Juga sangat umum untuk menutupi ekstensi berbahaya. Misalnya, dalam nama file "Accounts receivable.doc.js", *.doc adalah ekstensi palsu yang tidak membawa fungsionalitas apa pun, dan *.js adalah ekstensi sebenarnya dari file virus.

8. Jika surat itu berasal dari pengirim yang terkenal, tetapi gaya surat dan literasinya sangat berbeda, ini juga menjadi alasan untuk waspada. Selain konten yang tidak seperti biasanya - misalnya, klien menerima permintaan untuk membayar tagihan. Dalam hal ini, lebih baik menghubungi pengirim melalui saluran komunikasi lain (telepon, Skype), karena kemungkinan PC-nya diretas atau terinfeksi virus.

Contoh email berbahaya

Malware ransomware baru WannaCry (juga dikenal sebagai WannaCry Decryptor, WannaCrypt, WCry dan WanaCrypt0r 2.0) membuat dirinya dikenal dunia pada 12 Mei 2017, ketika file di komputer di beberapa institusi kesehatan di Inggris dienkripsi. Segera menjadi jelas, perusahaan di lusinan negara menemukan diri mereka dalam situasi yang sama, dan Rusia, Ukraina, India, dan Taiwan paling menderita. Menurut Kaspersky Lab, pada hari pertama serangan saja, virus terdeteksi di 74 negara.

Mengapa WannaCry berbahaya? Virus mengenkripsi berbagai jenis file (dengan ekstensi .WCRY, file menjadi tidak terbaca sama sekali) dan kemudian meminta tebusan sebesar $600 untuk dekripsi. Untuk mempercepat prosedur pengiriman uang, pengguna diintimidasi oleh fakta bahwa dalam tiga hari jumlah uang tebusan akan meningkat, dan setelah tujuh hari, file tidak akan dapat didekripsi sama sekali.

Ancaman infeksi virus ransomware WannaCry mempengaruhi komputer berbasis sistem operasi Windows. Jika Anda menggunakan versi Windows berlisensi dan memperbarui sistem Anda secara teratur, maka Anda tidak perlu khawatir virus akan memasuki sistem Anda dengan cara ini.

Pengguna MacOS, ChromeOS dan Linux, serta sistem operasi seluler iOS dan Android, tidak perlu takut sama sekali terhadap serangan WannaCry.

Apa yang harus dilakukan jika Anda menjadi korban WannaCry?

Badan Kejahatan Nasional Inggris (NCA) merekomendasikan agar usaha kecil yang menjadi korban ransomware dan khawatir tentang penyebaran virus secara online mengambil tindakan berikut:

• Segera pisahkan komputer, laptop, atau tablet Anda dari jaringan perusahaan/internal. Matikan Wi-Fi.
• Ganti driver.
• Tanpa menghubungkan ke jaringan Wi-Fi, langsung sambungkan komputer Anda ke Internet.
• Perbarui sistem operasi Anda dan semua perangkat lunak lainnya.
• Perbarui dan jalankan antivirus Anda.
• Sambungkan kembali ke jaringan.
• Pantau lalu lintas jaringan dan/atau jalankan pemindaian virus untuk memastikan ransomware hilang.

Penting!

File yang dienkripsi oleh virus WannaCry tidak dapat didekripsi oleh siapa pun kecuali penyusup. Karena itu, jangan buang waktu dan uang untuk "para genius TI" yang berjanji akan menyelamatkan Anda dari sakit kepala ini.

Apakah layak membayar uang kepada penyerang?

Pertanyaan pertama yang diajukan oleh pengguna yang menemukan virus ransomware WannaCry baru adalah: cara memulihkan file dan cara menghapus virus. Tidak menemukan solusi gratis dan efektif, mereka dihadapkan pada pilihan - membayar uang kepada pemeras atau tidak? Karena pengguna sering kehilangan sesuatu (dokumen pribadi dan arsip foto disimpan di komputer), keinginan untuk menyelesaikan masalah dengan bantuan uang benar-benar muncul.

Tapi NCA mendesak bukanmembayar uang. Jika Anda masih memutuskan untuk melakukan ini, ingatlah hal-hal berikut:

• Pertama, tidak ada jaminan bahwa Anda akan mendapatkan akses ke data Anda.
• Kedua, komputer Anda mungkin masih terinfeksi virus bahkan setelah pembayaran.
• Ketiga, kemungkinan besar Anda hanya akan memberikan uang Anda kepada penjahat dunia maya.

Bagaimana cara melindungi diri Anda dari WannaCry?

Tindakan apa yang harus diambil untuk mencegah infeksi virus, jelas Vyacheslav Belashov, kepala departemen penerapan sistem keamanan informasi di SKB Kontur:

Keunikan virus WannaCry adalah dapat menembus sistem tanpa campur tangan manusia, tidak seperti virus ransomware lainnya. Sebelumnya, agar virus berfungsi, pengguna harus lalai - ia mengikuti tautan yang meragukan dari email yang sebenarnya tidak ditujukan untuknya, atau mengunduh lampiran berbahaya. Dalam kasus WannaCry, kerentanan dieksploitasi yang ada langsung di sistem operasi itu sendiri. Oleh karena itu, komputer berbasis Windows yang tidak menginstal pembaruan 14 Maret 2017 adalah yang pertama berisiko. Satu workstation yang terinfeksi dari jaringan lokal sudah cukup bagi virus untuk menyebar ke yang lain dengan kerentanan yang ada.

Pengguna yang terkena virus memiliki satu pertanyaan utama - bagaimana cara mendekripsi informasi mereka? Sayangnya, belum ada solusi yang dijamin, dan itu tidak mungkin diramalkan. Bahkan setelah membayar jumlah yang ditentukan, masalahnya tidak terpecahkan. Selain itu, situasinya dapat diperburuk oleh fakta bahwa seseorang, dengan harapan memulihkan datanya, berisiko menggunakan dekripsi yang dianggap "gratis", yang pada kenyataannya juga merupakan file berbahaya. Oleh karena itu, saran utama yang dapat diberikan adalah berhati-hati dan melakukan segala kemungkinan untuk menghindari situasi seperti itu.

Apa yang sebenarnya bisa dan harus dilakukan saat ini:

1. Instal pembaruan terbaru.

Ini tidak hanya berlaku untuk sistem operasi, tetapi juga untuk alat perlindungan anti-virus. Informasi tentang memperbarui Windows dapat ditemukan.

2. Buat salinan cadangan informasi penting.

3. Berhati-hatilah saat bekerja dengan surat dan Internet.

Perhatikan email masuk dengan tautan dan lampiran yang meragukan. Untuk bekerja dengan Internet, disarankan untuk menggunakan plugin yang memungkinkan Anda untuk menyingkirkan iklan yang tidak perlu dan tautan ke sumber yang berpotensi berbahaya.

Teknologi modern memungkinkan peretas untuk terus meningkatkan cara penipuan dalam kaitannya dengan pengguna biasa. Sebagai aturan, perangkat lunak virus yang menembus komputer digunakan untuk tujuan ini. Virus enkripsi dianggap sangat berbahaya. Ancamannya terletak pada kenyataan bahwa virus menyebar sangat cepat, mengenkripsi file (pengguna tidak dapat membuka dokumen apa pun). Dan jika cukup sederhana, maka jauh lebih sulit untuk mendekripsi data.

Apa yang harus dilakukan jika virus memiliki file terenkripsi di komputer Anda?

Setiap orang dapat diserang oleh ransomware, bahkan pengguna yang memiliki perangkat lunak antivirus yang kuat tidak diasuransikan. File trojan encryptor diwakili oleh kode yang berbeda, yang mungkin berada di luar kekuatan antivirus. Peretas bahkan berhasil menyerang dengan cara ini perusahaan besar yang tidak menjaga perlindungan yang diperlukan atas informasi mereka. Jadi, setelah "mengambil" program ransomware online, Anda perlu mengambil sejumlah tindakan.

Tanda-tanda utama infeksi adalah pengoperasian komputer yang lambat dan perubahan nama dokumen (Anda dapat melihatnya di desktop).

1. Restart komputer Anda untuk menghentikan enkripsi. Saat diaktifkan, jangan konfirmasi peluncuran program yang tidak dikenal.
2. Jalankan antivirus jika belum diserang ransomware.
3. Dalam beberapa kasus, salinan bayangan akan membantu memulihkan informasi. Untuk menemukannya, buka "Properties" dari dokumen terenkripsi. Metode ini berfungsi dengan data terenkripsi dari ekstensi Vault, yang memiliki informasi di portal.
4. Unduh utilitas anti-crypto virus terbaru. Yang paling efektif ditawarkan oleh Kaspersky Lab.

Virus enkripsi pada tahun 2016: contoh

Saat melawan serangan virus apa pun, penting untuk dipahami bahwa kode sering berubah, dilengkapi dengan perlindungan antivirus baru. Tentu saja, program perlindungan memerlukan waktu hingga pengembang memperbarui basis data. Kami telah memilih virus enkripsi paling berbahaya belakangan ini.

Ransomware Ishtar

Ishtar adalah ransomware yang memeras uang dari pengguna. Virus ini diketahui pada musim gugur 2016, menginfeksi sejumlah besar komputer pengguna dari Rusia dan sejumlah negara lain. Ini didistribusikan menggunakan distribusi email, yang berisi dokumen terlampir (installer, dokumen, dll). Data yang terinfeksi dengan ransomware Ishtar mendapat awalan "ISHTAR" di namanya. Proses membuat dokumen uji yang menunjukkan ke mana harus pergi untuk mendapatkan kata sandi. Para penyerang menuntut dari 3.000 hingga 15.000 rubel untuk itu.

Bahaya virus Ishtar adalah bahwa hari ini tidak ada decryptor yang akan membantu pengguna. Perusahaan perangkat lunak antivirus membutuhkan waktu untuk menguraikan semua kode. Sekarang Anda hanya dapat mengisolasi informasi penting (jika sangat penting) pada media terpisah, menunggu rilis utilitas yang mampu mendekripsi dokumen. Disarankan untuk menginstal ulang sistem operasi.

Neitrino

Ransomware Neitrino muncul di Internet pada tahun 2015. Dengan prinsip serangan, ini mirip dengan virus lain dari kategori ini. Mengubah nama folder dan file dengan menambahkan "Neitrino" atau "Neutrino". Virus ini sulit diuraikan - jauh dari semua perwakilan perusahaan antivirus melakukan ini, mengacu pada kode yang sangat kompleks. Memulihkan salinan bayangan dapat membantu beberapa pengguna. Untuk melakukan ini, klik kanan pada dokumen terenkripsi, buka "Properties", tab "Versi Sebelumnya", klik "Pulihkan". Tidak akan berlebihan untuk menggunakan utilitas gratis dari Kaspersky Lab.

Dompet atau .dompet.

Virus enkripsi Wallet muncul pada akhir 2016. Selama proses infeksi, itu mengubah nama data menjadi "Name..wallet" atau yang serupa. Seperti kebanyakan virus ransomware, ia memasuki sistem melalui lampiran email yang dikirim oleh peretas. Karena ancaman muncul baru-baru ini, program antivirus tidak menyadarinya. Setelah enkripsi, itu membuat dokumen di mana penipu menentukan surat untuk komunikasi. Saat ini, pengembang perangkat lunak anti-virus sedang bekerja untuk mendekripsi kode virus ransomware. [dilindungi email] Pengguna yang diserang hanya bisa menunggu. Jika data penting, disarankan untuk menyimpannya ke drive eksternal dengan membersihkan sistem.

teka-teki

Virus enkripsi Enigma mulai menginfeksi komputer pengguna Rusia pada akhir April 2016. Ia menggunakan model enkripsi AES-RSA, yang ditemukan di sebagian besar ransomware saat ini. Virus menembus komputer menggunakan skrip yang dijalankan oleh pengguna sendiri dengan membuka file dari email yang mencurigakan. Masih belum ada obat universal untuk menangani sandi Enigma. Pengguna yang memiliki lisensi antivirus dapat meminta bantuan di situs web resmi pengembang. Sebuah "celah" kecil juga ditemukan - Windows UAC. Jika pengguna mengklik "Tidak" di jendela yang muncul selama infeksi virus, mereka kemudian dapat memulihkan informasi menggunakan salinan bayangan.

Granit

Virus ransomware baru Granit muncul di Web pada musim gugur 2016. Infeksi terjadi menurut skenario berikut: pengguna meluncurkan penginstal yang menginfeksi dan mengenkripsi semua data pada PC dan drive yang terhubung. Memerangi virus itu sulit. Untuk menghapusnya, Anda dapat menggunakan utilitas khusus dari Kaspersky, tetapi kodenya belum didekripsi. Memulihkan versi data sebelumnya dapat membantu. Selain itu, seorang spesialis yang memiliki pengalaman luas dapat mendekripsi, tetapi layanannya mahal.

Tyson

Terlihat baru-baru ini. Ini adalah ekstensi dari ransomware no_more_ransom yang sudah terkenal, yang dapat Anda pelajari di situs web kami. Mendapat ke komputer pribadi dari e-mail. Banyak PC perusahaan telah diserang. Virus membuat dokumen teks dengan instruksi untuk membuka, menawarkan untuk membayar "tebusan". Ransomware Tyson baru-baru ini muncul, jadi belum ada kunci pembuka. Satu-satunya cara untuk memulihkan informasi adalah mengembalikan versi sebelumnya jika belum dihapus oleh virus. Anda tentu saja dapat mengambil risiko dengan mentransfer uang ke akun yang ditunjukkan oleh penyerang, tetapi tidak ada jaminan bahwa Anda akan menerima kata sandi.

Spora

Pada awal 2017, sejumlah pengguna menjadi korban ransomware Spora baru. Menurut prinsip operasi, itu tidak jauh berbeda dari rekan-rekannya, tetapi menawarkan kinerja yang lebih profesional: instruksi untuk mendapatkan kata sandi ditulis dengan lebih baik, situs web terlihat lebih cantik. Membuat ransomware Spora dalam bahasa C, menggunakan kombinasi RSA dan AES untuk mengenkripsi data korban. Sebagai aturan, komputer tempat program akuntansi 1C digunakan secara aktif diserang. Virus, bersembunyi di balik kedok faktur sederhana dalam format .pdf, memaksa karyawan perusahaan untuk meluncurkannya. Belum ada obat yang ditemukan.

1C.Jatuhkan.1

Virus enkripsi untuk 1C ini muncul pada musim panas 2016, mengganggu pekerjaan banyak departemen akuntansi. Ini dikembangkan khusus untuk komputer yang menggunakan perangkat lunak 1C. Mendapatkan melalui file dalam email ke PC, itu meminta pemilik untuk memperbarui program. Tombol mana pun yang ditekan pengguna, virus akan mulai mengenkripsi file. Spesialis Dr.Web sedang mengerjakan alat dekripsi, tetapi sejauh ini tidak ada solusi yang ditemukan. Ini karena kode yang kompleks, yang bisa dalam beberapa modifikasi. Satu-satunya perlindungan terhadap 1C.Drop.1 adalah kewaspadaan pengguna dan pengarsipan dokumen penting secara teratur.

da_vinci_code

Ransomware baru dengan nama yang tidak biasa. Virus ini muncul pada musim semi 2016. Ini berbeda dari pendahulunya dengan kode yang ditingkatkan dan mode enkripsi yang kuat. da_vinci_code menginfeksi komputer berkat aplikasi yang dapat dieksekusi (biasanya dilampirkan ke email), yang diluncurkan oleh pengguna secara mandiri. Pembuat kode da Vinci (kode da vinci) menyalin isi ke direktori sistem dan registri, memastikan bahwa itu dimulai secara otomatis ketika Windows dihidupkan. Setiap komputer korban diberi ID unik (membantu mendapatkan kata sandi). Hampir tidak mungkin untuk mendekripsi data. Anda dapat membayar uang kepada penyerang, tetapi tidak ada yang menjamin bahwa Anda akan menerima kata sandi.

[dilindungi email] / [dilindungi email]

Dua alamat email yang sering menyertai ransomware di tahun 2016. Mereka berfungsi untuk menghubungkan korban dengan penyerang. Alamat dilampirkan ke berbagai jenis virus: da_vinci_code, no_more_ransom, dan seterusnya. Sangat tidak disarankan untuk menghubungi, serta mentransfer uang ke scammers. Pengguna dalam banyak kasus tetap tanpa kata sandi. Dengan demikian, menunjukkan bahwa penyerang ransomware bekerja, menghasilkan pendapatan.

Hancur berantakan

Muncul pada awal 2015, tetapi aktif menyebar hanya setahun kemudian. Prinsip infeksi identik dengan ransomware lain: instalasi file dari email, enkripsi data. Antivirus konvensional biasanya tidak memperhatikan virus Breaking Bad. Beberapa kode tidak dapat melewati Windows UAC, sehingga pengguna masih dapat memulihkan versi dokumen sebelumnya. Dekoder belum disajikan oleh perusahaan mana pun yang mengembangkan perangkat lunak anti-virus.

XTBL

Ransomware yang sangat umum yang menyebabkan masalah bagi banyak pengguna. Setelah di PC, virus mengubah ekstensi file menjadi .xtbl dalam hitungan menit. Sebuah dokumen dibuat di mana penyerang memeras uang. Beberapa jenis virus XTBL tidak dapat menghancurkan file pemulihan sistem, sehingga dokumen penting dapat dipulihkan. Virus itu sendiri dapat dihapus oleh banyak program, tetapi sangat sulit untuk mendekripsi dokumen. Jika Anda memiliki antivirus berlisensi, gunakan dukungan teknis dengan melampirkan contoh data yang terinfeksi.

Kukaracha

Sandi Kukaracha terlihat pada Desember 2016. Virus dengan nama yang menarik menyembunyikan file pengguna menggunakan algoritma RSA-2048, yang sangat tahan. Kaspersky Anti-Virus mengidentifikasinya sebagai Trojan-Ransom.Win32.Scatter.lb. Kukaracha dapat dihapus dari komputer sehingga dokumen lain tidak terinfeksi. Namun, yang terinfeksi hampir tidak mungkin untuk didekripsi hari ini (algoritma yang sangat kuat).

Cara kerja ransomware

Ada sejumlah besar ransomware, tetapi semuanya bekerja dengan prinsip yang sama.

1. Akses ke komputer pribadi. Sebagai aturan, berkat file terlampir ke email. Instalasi dimulai oleh pengguna sendiri dengan membuka dokumen.
2. Infeksi berkas. Hampir semua jenis file dienkripsi (tergantung virusnya). Sebuah dokumen teks dibuat yang berisi kontak untuk komunikasi dengan penyusup.
3. Semuanya. Pengguna tidak dapat mengakses dokumen apa pun.

Obat dari laboratorium populer

Meluasnya penggunaan ransomware, yang diakui sebagai ancaman paling berbahaya bagi data pengguna, telah menjadi pendorong bagi banyak lab antivirus. Setiap perusahaan populer menyediakan penggunanya dengan program yang membantu mereka melawan ransomware. Selain itu, banyak dari mereka membantu dengan dekripsi dokumen yang dilindungi oleh sistem.

Kaspersky dan virus enkripsi

Salah satu laboratorium anti-virus paling terkenal di Rusia dan dunia saat ini menawarkan cara paling efektif untuk memerangi virus ransomware. Hambatan pertama untuk virus ransomware adalah Kaspersky Endpoint Security 10 dengan pembaruan terbaru. Anti-virus tidak akan membiarkan ancaman masuk ke komputer (namun, versi baru mungkin tidak dihentikan). Untuk mendekripsi informasi, pengembang menghadirkan beberapa utilitas gratis sekaligus: XoristDecryptor, RakhniDecryptor dan Ransomware Decryptor. Mereka membantu menemukan virus dan mengambil kata sandi.

dr. Web dan ransomware

Lab ini merekomendasikan untuk menggunakan program anti-virus mereka, yang fitur utamanya adalah cadangan file. Penyimpanan dengan salinan dokumen juga dilindungi dari akses tidak sah oleh penyusup. Pemilik produk berlisensi Dr. Web, fungsi menghubungi dukungan teknis untuk bantuan tersedia. Benar, bahkan spesialis berpengalaman tidak selalu dapat menahan jenis ancaman ini.

ESET Nod 32 dan ransomware

Perusahaan ini juga tidak berdiri di pinggir, memberikan perlindungan yang baik kepada penggunanya terhadap virus yang masuk ke komputer. Selain itu, laboratorium baru-baru ini merilis utilitas gratis dengan database terbaru - Eset Crysis Decryptor. Pengembang mengklaim bahwa itu akan membantu dalam memerangi bahkan ransomware terbaru.

Ia melanjutkan perjalanannya yang menindas di Web, menginfeksi komputer dan mengenkripsi data penting. Bagaimana cara melindungi diri Anda dari ransomware, melindungi Windows dari ransomware - apakah patch dirilis untuk mendekripsi dan menyembuhkan file?

Virus ransomware baru 2017 Wanna Cry terus menginfeksi PC perusahaan dan pribadi. Pada $1 miliar kerusakan akibat serangan virus. Dalam 2 minggu, virus ransomware setidaknya menginfeksi 300 ribu komputer meskipun ada peringatan dan tindakan keamanan.

Apa itu ransomware 2017- sebagai aturan, Anda dapat "mengambil", tampaknya, di situs yang paling tidak berbahaya, misalnya, server perbankan dengan akses pengguna. Setelah di hard drive korban, ransomware "menetap" di folder sistem System32. Dari sana, program segera menonaktifkan antivirus dan pergi ke "Autorun"". Setelah setiap reboot, program enkripsi dimulai di registri memulai pekerjaan kotornya. Ransomware mulai mengunduh salinan program serupa seperti Ransom dan Trojan. Itu juga sering terjadi replikasi diri ransomware. Proses ini bisa sesaat, atau bisa memakan waktu berminggu-minggu - sampai korban menyadari ada yang tidak beres.

Ransomware sering menyamar sebagai gambar biasa, file teks, tapi intinya selalu sama - ini adalah file yang dapat dieksekusi dengan ekstensi .exe, .drv, .xvd; kadang-kadang - perpustakaan.dll. Paling sering, file tersebut memiliki nama yang sama sekali tidak berbahaya, misalnya " dokumen. dokter", atau " gambar.jpg”, di mana ekstensi ditulis secara manual, dan jenis file yang sebenarnya disembunyikan.

Setelah enkripsi selesai, pengguna melihat alih-alih file yang sudah dikenal, serangkaian karakter "acak" di nama dan di dalamnya, dan ekstensi berubah menjadi yang sampai sekarang tidak diketahui - .NO_MORE_RANSOM, .xdata lainnya.

virus ransomware Wanna Cry 2017 – cara melindungi diri sendiri. Saya ingin segera mencatat bahwa Wanna Cry lebih merupakan istilah kolektif untuk semua virus ransomware dan ransomware, karena virus ini paling sering menginfeksi komputer baru-baru ini. Jadi, mari kita bicara tentang Lindungi diri Anda dari Ransom Ware ransomware, yang jumlahnya sangat banyak: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Bagaimana melindungi Windows dari ransomware. – EternalBlue melalui protokol port SMB.

Perlindungan ransomware Windows 2017 - aturan dasar:

• Pembaruan Windows, transisi tepat waktu ke OS berlisensi (Catatan: versi XP tidak diperbarui)
• memperbarui basis data anti-virus dan firewall sesuai permintaan
• sangat hati-hati saat mengunduh file apa pun ("kucing" lucu dapat menyebabkan hilangnya semua data)
• mencadangkan informasi penting ke media yang dapat dipindahkan.

Virus Ransomware 2017: cara menyembuhkan dan mendekripsi file.

Mengandalkan perangkat lunak anti-virus, Anda dapat melupakan decryptor untuk sementara waktu. Di laboratorium Kaspersky, Dr. Web, Avast! dan antivirus lainnya tidak ada solusi yang ditemukan untuk menyembuhkan file yang terinfeksi. Saat ini, dimungkinkan untuk menghapus virus menggunakan antivirus, tetapi belum ada algoritme untuk mengembalikan semuanya "ke normal".

Beberapa mencoba menggunakan decryptors seperti utilitas RectorDecryptor tetapi ini tidak akan membantu: algoritma untuk mendekripsi virus baru belum dikompilasi. Juga sama sekali tidak diketahui bagaimana virus akan berperilaku jika tidak dihapus setelah penggunaan program tersebut. Seringkali ini dapat mengakibatkan penghapusan semua file - sebagai peringatan bagi mereka yang tidak ingin membayar penyerang, pembuat virus.

Saat ini, cara paling efektif untuk memulihkan data yang hilang adalah dengan menghubungi mereka. dukungan dari vendor program antivirus yang Anda gunakan. Untuk melakukan ini, kirim surat, atau gunakan formulir umpan balik di situs web produsen. Pastikan untuk menambahkan file terenkripsi ke lampiran dan, jika ada, salinan aslinya. Ini akan membantu programmer dalam menyusun algoritma. Sayangnya, bagi banyak orang, serangan virus benar-benar mengejutkan, dan salinan tidak ditemukan, yang terkadang memperumit situasi.

Metode jantung mengobati Windows dari ransomware. Sayangnya, terkadang Anda harus menggunakan format penuh hard drive, yang memerlukan perubahan total pada OS. Banyak yang akan berpikir untuk memulihkan sistem, tetapi ini bukan pilihan - bahkan jika ada "kembalikan" yang akan menghilangkan virus, file akan tetap dienkripsi.

Pada 12 April 2017, muncul informasi tentang penyebaran cepat virus enkripsi yang disebut WannaCry di seluruh dunia, yang dapat diterjemahkan sebagai "Saya ingin menangis." Pengguna memiliki pertanyaan tentang memperbarui Windows dari virus WannaCry.

Sebuah virus di layar komputer terlihat seperti ini:

Virus WannaCry jahat yang mengenkripsi semuanya

Virus mengenkripsi semua file di komputer dan meminta tebusan $300 atau $600 ke dompet Bitcoin untuk mendekripsi komputer. Komputer di 150 negara di dunia terinfeksi, yang paling terpengaruh adalah Rusia.

MegaFon, Kereta Api Rusia, Kementerian Dalam Negeri, Kementerian Kesehatan, dan perusahaan lain berhadapan langsung dengan virus ini. Di antara para korban adalah pengguna internet biasa.

Hampir semua orang sama di depan virus. Perbedaannya, mungkin, adalah bahwa di perusahaan virus menyebar ke seluruh jaringan lokal di dalam organisasi dan langsung menginfeksi komputer sebanyak mungkin.

Virus WannaCry mengenkripsi file di komputer yang menjalankan Windows. Kembali pada bulan Maret 2017, Microsoft merilis pembaruan MS17-010 untuk berbagai versi Windows XP, Vista, 7, 8, 10.

Ternyata mereka yang mengonfigurasi pembaruan Windows otomatis berada di luar zona risiko virus, karena mereka menerima pembaruan tepat waktu dan dapat menghindarinya. Saya tidak akan mengklaim bahwa ini benar-benar terjadi.

Beras. 3. Pesan saat menginstal pembaruan KB4012212

Setelah instalasi, pembaruan KB4012212 membutuhkan restart laptop, yang tidak saya sukai, karena tidak diketahui bagaimana ini bisa berakhir, tetapi kemana pengguna harus pergi? Namun, reboot berjalan dengan baik. Ini berarti bahwa kita hidup dalam damai sampai serangan virus berikutnya, dan, sayangnya, tidak ada keraguan bahwa serangan seperti itu akan terjadi.

Bagaimanapun, penting untuk memiliki tempat untuk memulihkan sistem operasi dan file Anda.

Pembaruan Windows 8 dari WannaCry

Untuk laptop dengan lisensi Windows 8, pembaruan KB 4012598 telah diinstal, karena