Nova atualização do Windows Encrypter Virus. Criptografia de vírus - O que é, do que perigoso

Facebook.

Twitter.

Vk.

Odnoklassniki.

Telegrama.

Ciência natural

Wannacry Virus-Encryption: O que fazer?

A onda de Wannacry revirou o wannacry (outros nomes de Wana Decrypt0r, Wana Decryptor, Wanacrypt0r), que criptografa documentos sobre o computador e extorquir 300-600 USD para decodificá-los. Como descobrir se o computador está infectado? O que precisa ser feito para não se tornar uma vítima? E o que fazer para curar?

O computador está infectado com um descristão de vírus-Encrypter Wana?

De acordo com Jacob Krustek () da Avast, mais de 100 mil computadores já estão infectados. 57% deles caem na Rússia (existe uma seletividade realmente estranha?). Relatórios Registro de mais de 45 mil infecções. Não só os servidores são expostos à infecção, mas também computadores de pessoas comuns em que o Windows XP, o Windows Vista, o Windows 7, o Windows 8 e o Windows 10 e o Windows 10 são instalados. Todos os documentos criptografados em seu título recebem o prefixo WNCRY.

A proteção contra o vírus foi encontrada em março, quando a Microsoft publicou um "patch", mas a julgar pela epidemia expandida, muitos usuários, incluindo administradores do sistema, ignoraram a atualização do sistema de segurança do computador. E aconteceu o que aconteceu - megafon, ferrovias russas, o ministério dos assuntos internos e outras organizações trabalham no tratamento de seus computadores infectados.

Dada a escala global da epidemia, em 12 de maio, a Microsoft publicou uma atualização de segurança e por produtos de longa distância - não mais suportados - Windows XP e Windows Vista.

Verifique se o computador está infectado, você pode usar o utilitário antivírus, por exemplo, Kaspersky ou (também recomendado no Kaspersky Support Forum).

Como não se tornar uma vítima de Wana Decryptor Encrypter?

A primeira coisa que você tem que fazer é fechar o buraco. Baixe para isso

05/15/2017, segunda 13:33, msk , Texto: Paul Pritula

No outro dia na Rússia, um dos maiores e "barulhentos", julgando pela imprensa, Kiberatak: redes de vários departamentos e as maiores organizações, incluindo o ministério dos assuntos internos, ocorreram. O vírus criptografa dados sobre os computadores funcionários e extorquirá uma grande quantidade de dinheiro para continuar seu trabalho. Este é um exemplo visual do fato de que ninguém é segurado contra extorsivos. No entanto, você pode lutar contra essa ameaça - mostraremos várias maneiras que a Microsoft oferece.

O que sabemos sobre os extorsores? Parece que estes são criminosos que exigem dinheiro de você ou coisas sob a ameaça de conseqüências adversas. Nos negócios, de vez em quando acontece, tudo está prestes a aparecer como atuar em tais situações. Mas e se o vírus for liquidado em seus computadores de trabalho, bloquear o acesso aos seus dados e exigirá transferir dinheiro para certas pessoas em troca de código de desbloqueio? Você precisa entrar em contato com especialistas em segurança de informações. E é melhor fazer com antecedência para evitar problemas.

O número de cibercrime nos últimos anos cresceu uma ordem. De acordo com o estudo sentinelone, metade das empresas nos maiores países europeus foi atacada por vírus extorsivos, e mais de 80% deles se tornaram vítimas de três ou mais vezes. Uma imagem semelhante é observada em todo o mundo. O Clearswift especializando-se na segurança da informação Chama uma espécie de países "top" mais afetados por ransomware - programas extorsivos: EUA, Rússia, Alemanha, Japão, Reino Unido e Itália. O interesse especial dos atacantes causam pequenos e médios negócios, porque eles têm mais dinheiro e dados mais sensíveis do que nos indivíduos, e não há serviços de segurança poderosos, como grandes empresas.

O que fazer e, mais importante, como impedir o ataque de extorições? Para começar, vamos estimar a própria ameaça. O ataque pode ser realizado por vários caminhos. Um dos mais comuns - email. Os criminosos são usados \u200b\u200bativamente pelos métodos de engenharia social, cuja eficácia não caiu a partir dos momentos do famoso hacker do século XX Kevin Mitnik. Eles podem chamar o funcionário da empresa da vítima em nome de uma contraparte realmente existente e após a conversa para enviar uma carta com um anexo contendo um arquivo malicioso. Um funcionário, é claro, irá abri-lo, porque ele acabou de falar com o remetente por telefone. Ou um contador pode receber uma carta supostamente do oficial de justiça ou do banco, que serve sua empresa. Ninguém está segurado, e até mesmo o Ministério dos Assuntos Internos não sofre pela primeira vez: há alguns meses, os hackers enviaram uma conta falsa da Rostelecom com um oficial de criptografia de vírus no Departamento de Contabilidade do Kazan Linear Management do Ministério da Administração Interna Romances.

A fonte de infecção pode ser um local de phishing, ao qual o usuário veio sob um elo fraudulento, e "aleatoriamente esquecido" por alguém dos visitantes do escritório Flash Drive. Cada vez mais e com mais frequência, a infecção ocorre através de dispositivos móveis desprotegidos de funcionários com os quais eles têm acesso a recursos corporativos. E o antivírus pode não funcionar: centenas de programas maliciosos, antivírus, são conhecidos, sem mencionar os "ataques do dia zero", operando apenas "buracos" no software.

O que é um "vagão cibernético"?

Um programa conhecido como "extortioner", "Encrypter", o Ransomware bloqueia o acesso do usuário ao sistema operacional e geralmente criptografa todos os dados no disco rígido. Uma mensagem é exibida na tela que o computador está bloqueado e o proprietário é obrigado a transferir o invasor uma grande quantidade de dinheiro se ele quiser retornar o controle dos dados. Na maioria das vezes, a tela ativa a contagem regressiva em 2-3 dias para que o usuário se apresse, caso contrário, o conteúdo do disco será destruído. Dependendo do apetite dos criminosos e do tamanho da empresa, a quantidade de resgate na Rússia varia de várias dezenas a várias centenas de mil rublos.

Tipos de extorsividade

Fonte: Microsoft, 2017

Esses malware são conhecidos por muitos anos, mas nos últimos dois ou três anos estão experimentando um florescimento real. Por quê? Primeiro, porque as pessoas pagam atacantes. De acordo com o Kaspersky Lab, 15% das empresas russas atacadas dessa maneira, preferem pagar a redenção e 2/3 de empresas do mundo que foram atacadas, perderam seus dados corporativos no todo ou em parte.

O segundo - kit de ferramentas cibercriminosos tornou-se mais perfeito e acessível. E a terceira tentativa independente de "pegar a senha" não é boa para a vítima, e a polícia raramente pode encontrar criminosos, especialmente durante a contagem regressiva.

A propósito. Nem todos os hackers gastam seu tempo para informar a senha para a vítima que os listava a quantidade necessária.

Qual é o problema dos negócios?

O principal problema no campo da segurança da informação em pequenas e médias empresas na Rússia é que eles não têm dinheiro para poderosos fundos especializados IB, e sistemas de TI e funcionários com os quais vários incidentes podem ocorrer, mais do que suficiente. Para combater o Ransomwarnew, somente firewall personalizado, antivírus e políticas de segurança. Você precisa usar todas as ferramentas disponíveis, antes de tudo fornecido pelo fornecedor do sistema operacional, porque é barato (ou incluído no custo do sistema operacional) e é 100% compatível com seu próprio software.

A maioria esmagadora de computadores clientes e uma parte significativa dos servidores está executando o Microsoft Windows OS. Todos sabem ferramentas de segurança integradas, como o Windows Defender e o Windows Firewall, que, juntamente com as últimas atualizações do sistema operacional e a restrição de direitos do usuário, fornecem um nível de segurança completamente suficiente na ausência de fundos especializados para um funcionário comum.

Mas a peculiaridade dos relacionamentos comerciais e dos cibercriminosos é que os primeiros muitas vezes não sabem que são atacados pelo segundo. Eles acreditam em si mesmos protegidos e, de fato, o malware já penetrou através do perímetro da rede e silenciosamente faz seu trabalho - afinal, nem todos se comportam tão descaradamente como troyans-extorsioners.

A Microsoft alterou a abordagem de segurança: agora expandiu a linha de produtos IB, e também se concentra não apenas para proteger a empresa de ataques modernos, mas também para permitir a oportunidade de investigar se a infecção ainda acontecer.

Proteção por correio

O sistema postal como o principal canal de penetração da rede corporativa na rede corporativa deve ser protegido adicionalmente. Para isso, a Microsoft desenvolveu um sistema Exchange ATP (Proteção Advanced Tratar), que analisa anexos postais ou links da Internet e responde de maneira oportuna aos ataques identificados. Este é um produto separado, ele é integrado ao Microsoft Exchange e não requer implantação em cada máquina do cliente.

O sistema Exchange ATP é capaz de detectar até mesmo os "ataques do dia zero", porque lança todos os anexos em uma "caixa de areia" especial, sem liberá-las para o sistema operacional e analisa seu comportamento. Se não contiver sinais de ataque, o anexo é considerado seguro e o usuário pode abri-lo. E o arquivo potencialmente malicioso é enviado para quarentena e o administrador é notificado sobre isso.

Quanto às referências em letras, elas também são verificadas. O Exchange ATP substitui todas as referências ao intermediário. O usuário clica em um link em uma carta, cai em um link intermediário e, neste momento, o sistema verifica o endereço para segurança. A verificação ocorre tão rapidamente que o usuário não percebe o atraso. Se o link leva a um site ou arquivo infectado, a transição para ele é proibida.

Como funciona o Exchange ATP

Fonte: Microsoft, 2017

Por que a verificação ocorre no momento de clicar e não após o recebimento da carta - afinal, então há mais tempo no estudo e, portanto, precisa de menos poder de computação? Isso é feito especificamente para proteger contra o truque dos atacantes com o conteúdo sob o link. Exemplo típico: A letra na caixa de correio vem à noite, o sistema está checando e não detecta nada, e pela manhã no site para este link já colocado, por exemplo, um arquivo com um trojan que o usuário baixe com segurança.

E a terceira parte do serviço Exchange ATP é um sistema de relatórios embutido. Ele permite investigar incidentes que ocorreram e fornecem dados para responder a perguntas: quando a infecção ocorreu, como e onde aconteceu. Isso permite que você encontre uma fonte, determine o dano e entenda o que foi: um ataque aleatório ou alvo, ataque direcionado contra esta empresa.

Este sistema é útil e para prevenção. Por exemplo, o administrador pode aumentar as estatísticas como as transições nos links marcados como perigosos, e quem o fez dos usuários. Mesmo que não houvesse infecção, ainda precisa ser esclarecido com esses funcionários.

Verdade, há categorias de funcionários que são deveres forçados a visitar uma variedade de locais - como, por exemplo, profissionais de marketing, pesquisa de mercado. Para eles, a Microsoft Technology permite configurar a política para que quaisquer arquivos para download antes de salvar no computador serão verificados na caixa de areia. Além disso, as regras são definidas literalmente em vários cliques.

Proteção de credenciais

Um dos objetivos dos ataques de atacantes é as credenciais do usuário. A tecnologia de roubos dos logins e senhas dos usuários é bastante, e eles devem suportar a proteção durável. Espero que os próprios funcionários não sejam suficientes: eles aparecem com senhas simples, aplicam uma senha para acessar todos os recursos e escrevê-los no adesivo que é colado ao monitor. Isso pode estar lutando com medidas administrativas e definindo os requisitos de software para senhas, mas o efeito garantido ainda não será.

Se a empresa demorar sobre segurança, será delimitada pelos direitos de acesso e, por exemplo, um engenheiro ou gerente de vendas não poderá inserir o servidor de contabilidade. Mas na reserva de hackers há outro truque: eles podem enviar uma carta do relato capturado de um funcionário comum para um especialista em alvo que possui as informações necessárias (dados financeiros ou mistério comercial). Tendo recebido uma carta de "colega", o destinatário irá absolutamente aberto e lançar o investimento. E a criptografia do programa acessará a valiosa da empresa para a empresa, cujo retorno pode pagar muito dinheiro.

Para que a conta capturada não dê aos invasores a penetrar no sistema corporativo, a Microsoft propõe para protegê-la com a autenticação multifator multifator do Azure Multifactor. Ou seja, é necessário inserir não apenas um par de login / senha, mas também um PIN arquivado por SMS, notificação push gerada por um aplicativo móvel ou responder a um robô de chamada telefônica. A autenticação multifactor é particularmente útil ao trabalhar com funcionários remotos que podem entrar no sistema corporativo de diferentes pontos do mundo.

Autenticação do multifator do Azure

Em 12 de abril de 2017, informações sobre a rápida disseminação em todo o mundo do oficial de criptografia de vírus chamado Wannacry, que pode ser traduzido como "Eu quero chorar". Os usuários têm dúvidas sobre o Windows Update do Wannacry Virus.

O vírus na tela do computador é assim:

Wannacry de vírus ruim que todos criptografam

O vírus criptografa todos os arquivos no computador e requer uma redenção na carteira de Bitcoin no valor de US $ 300 ou US $ 600 para supostamente decifrar o computador. Computadores em 150 países do mundo foram infectados com infecção, a mais afetada - a Rússia.

Megafon, Russian Railways, Ministério dos Assuntos Internos, Ministério da Saúde e outras empresas vieram de perto com este vírus. Entre as vítimas existem usuários simples da Internet.

Antes que o vírus seja quase todo igual. A diferença é talvez que em empresas o vírus se aplique em toda a rede local dentro da organização e infeca instantaneamente o número máximo possível de computadores.

O vírus Wannacry criptografa arquivos em computadores usando o Windows. Na Microsoft, em março de 2017, as atualizações do MS17-010 foram lançadas para várias versões do Windows XP, Vista, 7, 8, 10.

Acontece que aqueles que são configurados para atualizar automaticamente o Windows estão fora da zona de risco para o vírus, para que a atualização foi recebida em tempo hábil e poderia evitá-lo. Eu não assumo que realmente é.

FIG. 3. Mensagem ao instalar a atualização KB4012212

Atualizar KB4012212 Após a instalação exigiu a reinicialização do laptop, que eu realmente não gostei, pois é desconhecida do que pode acabar, mas onde ir ao usuário? No entanto, a reinicialização ficou bem. Então vivemos em silêncio até o próximo ataque viral, e que tais ataques serão duvidosos, infelizmente, não precisam.

Em qualquer caso, é importante ter que vir de onde restaurar o sistema operacional e seus arquivos.

Atualização do Windows 8 do Wannacry

Para um laptop com o Windows 8 licenciado, uma atualização foi instalada KB 4012598, para

Continuando sua procissão deprimente pela rede, infectando computadores e criptografando dados importantes. Como se proteger do Encrypter, proteger as janelas a partir do extorcial - são patches, os patches são liberados para decifrar e curar arquivos?

Novo vírus-Encrypter 2017 quer chorar Continua a infectar PC corporativo e privado. C. scherb a partir do ataque viral tem 1 bilhão de dólares. Por 2 semanas, o vírus cripto infectado pelo menos 300 mil computadoresApesar dos avisos e medidas de segurança.

Ano de criptografia de vírus 2017 que é - Como regra, você pode "pegar", parece, nos sites mais inofensivos, como servidores bancários com acesso ao usuário. Uma vez no disco rígido da vítima, o cripter "assenta" na pasta do sistema System32. De lá, o programa imediatamente desliga o antivírus e cai em "autorun" Após cada reinicialização, o programa de criptografia É executado no registro, Começando seu negócio negro. Encrypter começa a baixar cópias semelhantes de programas como Ransom e Trojan. Também acontece muitas vezes cripter de auto-evaporação. Este processo pode ser encurtado e pode ocorrer semanas - até que a vítima remova Nonlade.

O Encrypter é frequentemente mascarado em imagens ordinárias, arquivos de texto, mas a essência é sempre sozinha - estes são um arquivo executável com extension.exe, .drv, .xvd; as vezes - bibliotecas.dll.. Na maioria das vezes o arquivo é bastante inofensivo, por exemplo " documento. Documento", ou " imagem.jpg.", Onde a extensão é escrita manualmente, e o tipo verdadeiro de arquivo está oculto.

Depois de concluir a criptografia, o usuário vê em vez de arquivos familiares um conjunto de caracteres "aleatórios" no título e no interior, e as alterações de expansão no mais desconhecido - .No_more_ransom, .xdata. outro.

Vírus-Encrypter 2017 Quer chorar - Como se proteger. Gostaria de notar imediatamente que quero chorar é um mandato coletivo de todos os vírus de criptografias e extorsores, desde os computadores ultimamente infectados. Então, será sobre s pergunte dos criptografias de Ransom Ware, que são um ótimo conjunto: Breaking.dad, No_More_Ransom, XData, XTBL, Quer chorar.

Como proteger as janelas do Encrypter. – EternalBlue via Protocolo de Port SMB.

Proteção do Windows do Encrypter 2017 - Regras básicas:

atualização do Windows, transição oportuna para o sistema operacional licenciado (Nota: XP não é atualizado)
atualizando bancos de dados antivírus e firewalls sob demanda
limitar o cuidado ao baixar quaisquer arquivos (bonitos "gatos" podem se transformar em perda de todos os dados)
fazendo backup de informações importantes sobre portador substituível.

Vírus-Encrypter 2017: Como curar e descriptografar arquivos.

Esperando por software antivírus, você pode esquecer o decodificador por um tempo. Em laboratórios Kaspersky, Dr. Web, Avast! e outros antivírus enquanto nenhuma solução para o tratamento de arquivos infectados. No momento, é possível remover o vírus com a ajuda de antivírus, mas os algoritmos retornam tudo "em círculos" ainda.

Alguns estão tentando aplicar o utilitário retrodecryptorMas não ajudará: algoritmo para descriptografia Os novos vírus ainda não foram compilados. Também é absolutamente desconhecido como o vírus se comporta se não for excluído, depois de aplicar esses programas. Muitas vezes, pode se transformar em apagamento de todos os arquivos - na edificação daqueles que não querem pagar por invasores, os autores do vírus.

No momento, a maneira mais eficiente de devolver os dados perdidos é um apelo para aqueles. Suporte para o fornecedor do programa antivírus que você está usando. Para fazer isso, envie uma carta ou use o formulário para feedback no site do fabricante. No anexo, certifique-se de adicionar um arquivo criptografado e, se houver uma cópia do original. Isso ajudará os programadores na compilação do algoritmo. Infelizmente, para muitos, o ataque viral se torna uma surpresa completa, e as cópias não são que, às vezes, isso complica a situação.

Métodos cardiais de tratamento com Windows do Encrypter. Infelizmente, às vezes você tem que recorrer à formatação completa do disco rígido, que implica a mudança completa do sistema operacional. Muitas pessoas serão restauradas pelo sistema, mas isso não é uma saída - até mesmo há uma "reversão" fará livrar-se do vírus, os arquivos ainda permanecerão assentos cruzados.

Cerca de uma semana ou dois atrás, a próxima fonte de vírus moderna apareceu na rede, que criptografa todos os arquivos de usuário. Mais uma vez vou considerar como curar um computador após o vírus Encrypter cRYPED000007.e restaurar arquivos criptografados. Neste caso, nada novo e exclusivo apareceu, apenas modificando a versão anterior.

Decodificação de arquivo garantido após o vírus Encrypter - Dr-Shifro.ru. Os detalhes do trabalho e do esquema de interação com o cliente abaixo eu tenho no artigo ou no site na seção "Operações".

CRYPED000007 Vírus Encriponier Descrição

Cryped000007 Encrypter não difere em princípio de seus antecessores. Atua quase um para um mais. Mas ainda há várias nuances que são distinguidas. Eu vou contar sobre tudo em ordem.

Chega, como seus análogos, pelo correio. Técnicas de engenharia social são usadas, para que o usuário certamente esteja interessado na carta e o abra. No meu caso, uma carta foi discutida sobre algum tipo de corte e sobre informações importantes no caso do investimento. Após o lançamento do anexo, o usuário abre um documento vordial com um extrato do Tribunal de Arbitragem de Moscou.

Em paralelo com a abertura do documento, é lançado a criptografia de arquivos. Começa a aparecer constantemente a mensagem de informações do sistema de controle da conta do Windows.

Se você concordar com a proposta, as cópias de backup de arquivos nas cópias de sombra do Windows serão excluídas e a recuperação de informações será muito difícil. Obviamente, concorda com a proposta em nenhum caso. Neste Encripter, essas solicitações empurram constantemente, uma após uma e não param, forçando o usuário a concordar e excluir cópias de backup. Esta é a principal diferença de modificações anteriores de criptografias. Eu nunca me deparei com qualquer momento que os pedidos para a remoção de cópias de sombra vão sem parar. Geralmente, após 5-10 sugestões, eles pararam.

Recomendarei imediatamente uma recomendação para o futuro. Muitas vezes, as pessoas desativam os avisos do sistema de controle da conta. Não faça isso. Este mecanismo pode realmente ajudar a confrontar vírus. O segundo conselho óbvio não está funcionando constantemente sob a conta do administrador do computador, se não houver necessidade objetiva. Neste caso, o vírus não terá a oportunidade de prejudicar muito. Você terá mais chances de resistir a ele.

Mas mesmo se todos responderam negativamente às solicitações do Encrypter, todos os seus dados já estão criptografados. Depois que o processo de criptografia terminar, você verá uma foto na área de trabalho.

Ao mesmo tempo, haverá muitos arquivos de texto com o mesmo conteúdo na área de trabalho.

Você tem arquivos criptografados. Câmera PACSUFT UX, BAM Desnecessariamente Omnrush Código: 329d54752553ED978f94 | 0 em ADPEX eletrônico [E-mail protegido] . Daltea você precisa fazer todo o Uncmrycsu. Começará a racksuphorrop The Camsome ™. Ne True Nu para Chemy, Kpome é um nomeru inério despretensioso. ECL Você é um curry Xomume de peso, depois desencadear os primeiros kaps, inquisições no caso do UX USMENA, os CManets não podem usar quaisquer condições. Exl Você não tem um Omveme No Bego Dray no Techny 48 Como (U Molko em Emom Shaycha!), Aproveite a forma do Onaim. Este é um dos dois suficientes: 1) skail uy ycmanuate tor browser po link: https://www.torproject.org/download/download-download-asy.html.en b adecite cmpec tor navegador-a usando adpec: http: / / Cryptsen7fo43rr6 .onion / e nazimite enter. 3agpyzmya cumor com formalismo da conexão Occamal. 2) B Qualquer Byziepe Newifim Qualquer UI ADPes: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Todos os arquivos importantes em seu computador foram criptografados. Para descriptografar os arquivos que você deve enviar o seguinte código: 329d54752553ED978f94 | 0 para endereço de e-mail [E-mail protegido] . Então você receberá todas as instruções necessárias. Todas as tentativas de descriptografia por si mesmo resultarão apenas em perda irrevogável de seus dados. Se você ainda quer tentar descriptografá-los por favor, faça um backup em primeiro lugar porque a descriptografia se tornará impossível em caso de alterações dentro dos arquivos. Se você não recebeu a resposta do e-mail antes de mais de 48 horas (e somente neste caso!), Use o formulário de feedback. Você pode fazer isso por duas maneiras: 1) Baixe o navegador Aqui: https://www.torproject.org/download/download-download-asy.html.en Instale e digite o endereço favorecente na barra de endereços: http: / /cryptsen7fo43rr6.onion/ Pressione ENTER e, em seguida, a página com formulário de feedback será carregada. 2) Vá para um dos seguintes endereços em qualquer navegador: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Endereço de correspondência pode variar. Eu conheci mais endereços:

Os endereços são constantemente atualizados, para que possam ser completamente diferentes.

Depois de descobrir que os arquivos são criptografados, desligue o computador imediatamente. Isso precisa ser feito para interromper o processo de criptografia tanto no computador local quanto nas unidades de rede. O vírus de criptografia pode criptografar todas as informações para as quais ela pode alcançar, incluindo as unidades de rede. Mas se houver uma grande quantidade de informações, então isso exigirá tempo considerável para isso. Às vezes, em algumas horas, o Encrypter não teve tempo para criptografar cerca de 100 gigabytes em um disco líquido.

Em seguida, você precisa pensar cuidadosamente como agir. Se você, por qualquer coisa, precisar de informações sobre o computador e não tem backups, então é melhor se referir aos especialistas neste momento. Não necessariamente por dinheiro em algumas empresas. Só precisa de uma pessoa que seja bem versada em sistemas de informação. É necessário avaliar a escala desastre, remover o vírus, coletar todas as informações disponíveis sobre a situação para entender como agir mais.

Ações incorretas neste estágio podem complicar significativamente o processo de descriptografar ou recuperar arquivos. No pior dos casos, eles podem impossibilitar. Então não se apresse, tenha cuidado e consistente.

Como uma extorsão de vírus crypted000007 criptografa arquivos

Depois que o vírus tiver sido lançado e terminou suas atividades, todos os arquivos úteis serão criptografados, renomeados com expansão.Crypted000007.. E não apenas a extensão do arquivo será substituída, mas também o nome do arquivo, para que você não reconheça exatamente quais arquivos você tinha, se não se lembrar. Será sobre essa foto.

Em tal situação, será difícil avaliar a escala da tragédia, já que você não pode lembrar plenamente o que você tinha em pastas diferentes. Isso é feito especificamente para derrubar uma pessoa e encorajar a descriptografia de arquivos.

E se você tiver sido criptografados e pastas de rede e não há backups completos, geralmente pode parar o trabalho de toda a organização. Não vamos entender imediatamente o que é finalmente perdido para iniciar a recuperação.

Como tratar um computador e remover o extorsor cryted000007

O vírus CRYPED000007 já está no seu computador. A primeira e mais importante questão é como curar um computador e como remover o vírus a partir dele para evitar mais criptografia se ainda não tiver sido concluída. Imediatamente chamar sua atenção para o fato de que depois de vocês começarem a produzir quaisquer ações com o seu computador, as chances de descriptografar dados são reduzidas. Se você, por qualquer coisa, você precisará restaurar arquivos, não toque no computador, mas contatar imediatamente os profissionais. Abaixo, vou contar sobre eles e dar um link para o site e descrever o esquema de seu trabalho.

Enquanto isso, continue a tratar o seu computador e excluir o vírus. Tradicionalmente, os criptografos são facilmente removidos do computador, já que o vírus não tem tarefa para qualquer coisa para ficar no computador. Após a criptografia completa, é ainda mais lucrativo para se auto-aliviar e desaparecer para que seja mais difícil investigar a iniciativa e descriptografar arquivos.

Descrever a remoção manual do vírus é difícil, embora eu tenha tentado fazer isso antes, mas vejo que é mais sem sentido. Os nomes dos arquivos e o caminho da colocação do vírus estão constantemente mudando. O que vi não é mais relevante em uma semana ou duas. Normalmente, o envio dos vírus pelo correio é ondas e cada vez que há uma nova modificação que ainda não é detectada por antivírus. Ajude a Universal significa que verifique o Autorun e detecte a atividade suspeita nas pastas do sistema.

Para remover o vírus CRYPED000007, você pode usar os seguintes programas:

Kaspersky Virus Removal Tool - Utilitário de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
Dr.Web Cureit! - Um produto similar do Dr.Veb http://free.drweb.ru/cureit.
Se os dois primeiros utilitários não ajudar, tente Malwarebytes 3.0 - https://ru.maltarybytes.com.

Muito provavelmente, algo desses produtos limpará o computador da criptografia crypted000007. Se de repente acontecer, eles não ajudarão, tente remover o vírus manualmente. Eu levava a técnicas de remoção sobre o exemplo e, você pode ver lá. Se você seguir brevemente os passos, então você precisa agir assim:

Obserimos a lista de processos adicionando algumas colunas adicionais ao Gerenciador de Tarefas.
Encontramos o processo de vírus, abra a pasta na qual ela se senta e remova-a.
Limpe a menção do processo de vírus por nome do arquivo no registro.
Nós reiniciamos e certemos de que o vírus CRYLED000007 não está na lista de processos em execução.

Onde baixar o decodificador crymed000007

A questão de um descristão simples e confiável se levanta primeiro quando se trata do vírus do cripto. A primeira coisa que vou aconselhar é usar o serviço https://www.nomoreransom.org. E de repente você terá uma descriptografia para sua versão do cripto crypted000007. Eu direi imediatamente que você não tem muitas chances, mas uma tentativa não é tortura. Na página principal, clique em Sim:

Em seguida, carregue um par de arquivos criptografados e clique em ir! Descobrir:

No momento da escrita, o decodificador decodificado no site não era.

Talvez você tenha sorte. Você ainda pode se familiarizar com a lista de decodificadores para download em uma página separada - https://www.nomoreransom.org/decryption-tools.html. Pode haver algo útil lá. Quando um vírus é uma chance completamente fresca disso, mas ao longo do tempo é possível aparecer. Existem exemplos quando os descriptores apareceram na rede para algumas modificações de criptografias. E esses exemplos estão na página especificada.

Onde mais eu posso encontrar o decodificador que eu não sei. É improvável que realmente exista, levando em conta as peculiaridades do trabalho dos criptografias modernos. Um decodificador de pleno direito pode ser apenas dos autores do vírus.

Como descriptografar e restaurar arquivos após o vírus cripted000007

O que fazer quando o vírus cryped000007 criptografou seus arquivos? A implementação técnica da criptografia não permite descriptografar arquivos sem uma chave ou descortptor, que é apenas do autor do cripter. Talvez haja algum tipo de maneira para obtê-lo, mas eu não tenho essas informações. Acabamos de tentar restaurar os arquivos com maneiras apropriadas. Isso se refere a:

Ferramenta cópias de sombra Janelas.
Programas de Restauração de Dados Remotos

Para começar, verifique se nossas cópias de sombra estão incluídas. Esta ferramenta padrão funciona no Windows 7 e superior se você não estiver desligado manualmente. Para verificar, abra as propriedades do computador e vá para a seção Proteção do sistema.

Se você não confirmou a solicitação UAC durante a infecção para excluir arquivos em cópias de sombra, alguns dados devem permanecer lá. Eu disse a mais sobre este pedido no início da história, quando falei sobre o trabalho do vírus.

Para uma recuperação conveniente de arquivos de cópias de sombra, proponho usar o programa gratuito para este - ShadowExplorer. Faça o download do arquivo, descompacte o programa e execute.

A última cópia dos arquivos e a raiz do disco C será aberta. No canto superior esquerdo, você poderá selecionar um backup se tiver vários deles. Verifique as cópias diferentes para a presença dos arquivos necessários. Compare por datas onde a versão mais recente. No meu exemplo abaixo, encontrei 2 arquivos na área de trabalho de três meses atrás, quando a última vez foi editada.

Eu consegui restaurar esses arquivos. Para fazer isso, eu os escolhei, pressioná-los com o botão direito do mouse, escolhi exportar e apontei a pasta onde para restaurá-las.

Você pode restaurar a pasta imediatamente no mesmo princípio. Se você trabalhou com cópias de sombra e não os excluiu, você tem muitas chances de restaurar tudo, ou quase todos os arquivos criptografados com o vírus. Talvez alguns deles sejam uma versão mais antiga do que eu gostaria, mas, no entanto, é melhor que nada.

Se por algum motivo você não tiver cópias de sombra dos arquivos, resta a única chance de obter pelo menos algo a partir dos arquivos criptografados - restaurá-los usando as ferramentas de recuperação de arquivos remotos. Para fazer isso, proponho usar o programa gratuito PhotoRec.

Execute o programa e selecione o disco no qual você restaurará os arquivos. A versão gráfica executada do programa executa o arquivo qphotorec_win.exe.. Você deve selecionar a pasta onde os arquivos encontrados serão colocados. É melhor se esta pasta não estiver localizada no mesmo disco onde pesquisarmos. Conecte a unidade flash USB ou um disco rígido externo para isso.

O processo de pesquisa durará muito. No final, você verá estatísticas. Agora você pode ir para a pasta especificada anteriormente e assistir o que é encontrado lá. Os arquivos provavelmente serão muito e a maioria deles será danificada ou será algum sistema e arquivos inúteis. Mas, no entanto, você pode encontrar parte dos arquivos úteis nesta lista. Não há garantia aqui que você encontrará, você encontrará. Melhor, geralmente, as imagens são restauradas.

Se o resultado não satisfazê-lo, isto é, ainda há programas para restaurar arquivos remotos. Abaixo está uma lista de programas que costumo usar quando você precisa restaurar o número máximo de arquivos:

R. SAVER.
Recuperação de arquivos Starus.
JPEG Recovery PR.
Profissional de recuperação de arquivos ativos

Estes não são livres, então eu não vou dar links. Com um grande desejo, você pode encontrá-los na internet.

Todo o processo de recuperação de arquivos é mostrado em detalhes no vídeo no final do artigo.

Kaspersky, ESet Nod32 e outros na luta contra o Filecoder do Encrypter.

Antivírus populares definem criptografia crypted000007 como FILECODER.ED. E então pode haver alguma outra designação. Eu corri através dos fóruns dos principais antivírus e não vejo nada útil lá. Infelizmente, como de costume, os antivírus não estavam prontos para a invasão da nova onda de criptografias. Aqui está uma mensagem do Fórum Kaspersky.

Os antivírus tradicionalmente sente falta de novas modificações de controladores de trojan. No entanto, recomendo usá-los. Se você tiver sorte, e receberá uma cripipia no correio não na primeira onda de infecção, mas um pouco mais tarde, há uma chance de que o antivírus te ajude. Todos correm um passo atrás dos intrusos. Há uma nova versão do extorccional, os antivírus não reagem a ele. Assim que uma certa massa do material é acumulada para estudar em um novo vírus, os antivírus produzem uma atualização e iniciarem a resposta a ela.

O que impede que os antivírus reagirem imediatamente a qualquer processo de criptografia no sistema, não está claro para mim. Talvez haja algum tipo de nuance técnica neste tópico, o que não permite reagir adequadamente e impedir a criptografia de arquivos de usuário. Parece-me que seria pelo menos um aviso para exibir o fato de que alguém criptografa seus arquivos e sugerir parar o processo.

Onde procurar decodificação garantida

Aconteceu de me familiarizar com uma empresa que realmente descriptografa os dados após o trabalho de vários vírus de criptografia, incluindo cryted000007. Seu endereço é http://www.dr-shifro.ru. Pagamento somente após a descriptografia completa e seu cheque. Aqui está um esquema de trabalho aproximado:

O especialista da empresa se aproxima de você para o escritório ou para a casa, e assina com você um contrato em que o custo do trabalho corrige.
Executa o decodificador e descriptografa todos os arquivos.
Você está convencido de que todos os arquivos se abrem e assinam um ato de aprovação / aceitação do trabalho realizado.
Pagamento exclusivamente no fato do resultado bem-sucedido da descriptografia.

Francamente, eu não sei como eles fazem isso, mas você não está arriscando nada. Pagamento somente depois de demonstrar o trabalho do decodificador. Por favor, escreva uma revisão sobre a experiência de interação com esta empresa.

Cryped000007 métodos de proteção contra vírus

Como se proteger do trabalho do Encrypper e sem danos materiais e morais? Existem vários conselhos simples e eficientes:

Bacup! Backup de todos os dados importantes. E não apenas um backup, mas um backup para o qual não há acesso permanente. Caso contrário, o vírus pode infectar seus documentos e cópias de backup.
Antivírus licenciado. Embora eles não dão 100% de garantia, mas as chances de evitar aumentar a criptografia. Eles geralmente não estão prontos para nova versão do EncryPper, mas depois de 3-4 dias eles começam a reagir. Isso aumenta suas chances de evitar a infecção se você não entrou na primeira onda de enviar uma nova modificação do cripter.
Não abra anexos suspeitos no correio. Não há nada para comentar. Todos os criptografos conhecidos por mim conseguiram aos usuários via correio. Além disso, cada vez que novos truques são inventados para enganar a vítima.
Não abra links impensados \u200b\u200benviados para você de seus conhecidos por meio de redes sociais ou mensageiros. Então, também às vezes espalhar vírus.
Ligue as extensões de arquivo de exibição do Windows. Como fazer isso fácil de encontrar na internet. Isso permitirá que você perceba a expansão do arquivo no vírus. Na maioria das vezes será .Exe, .vbs., .src.. No trabalho documentado com documentos, você dificilmente se depara com essa expansão de arquivos.

Ele tentou adicionar o que já havia escrito anteriormente em todos os artigos sobre o vírus da criptografia. Por enquanto eu digo adeus. Eu ficarei feliz comentários úteis sobre o artigo e a criptografia cryted000007 em geral.