Este manual não se destina a especialistas técnicos, portanto:

1. as definições de alguns termos são simplificadas;
2. detalhes técnicos não são considerados;
3. métodos de proteção do sistema (instalação de atualizações, configuração de sistemas de segurança, etc.) não são considerados.

A instrução foi escrita por mim para ajudar os administradores de sistema que desejam treinar funcionários da empresa que estão longe da esfera de TI (contabilidade, pessoal, vendedores, etc.), nos fundamentos da higiene cibernética.

Glossário

Programas(doravante - software) - um programa ou conjunto de programas usados ​​para controlar um computador.

Criptografiaé a transformação de dados em um formato ilegível sem uma chave de criptografia.

Chave de encriptação são informações secretas usadas ao criptografar/descriptografar arquivos.

Decodificador- um programa que implementa o algoritmo de descriptografia.

Algoritmo- um conjunto de instruções descrevendo o procedimento para que o performer alcance algum resultado.

anexo de e-mail- um arquivo anexado a um e-mail.

Extensão(extensão do nome do arquivo) é uma sequência de caracteres adicionada ao nome do arquivo e usada para identificar o tipo de arquivo (por exemplo, *.doc, *.jpg). De acordo com o tipo de arquivos, um determinado programa será usado para abri-los. Por exemplo, se a extensão do arquivo for *.doc, o MS Word será iniciado para abri-lo, se for *.jpg, o visualizador de imagens será iniciado etc.

Link(ou mais precisamente, um hiperlink) é uma parte de uma página web de um documento que se refere a outro elemento (comando, texto, título, nota, imagem) no próprio documento ou a outro objeto (arquivo, diretório, aplicativo) localizado em um disco local ou na rede de computadores.

Arquivo de textoé um arquivo de computador contendo dados de texto.

Arquivamento- isso é compressão, ou seja, redução do tamanho do arquivo.

Cópia de segurança— um arquivo ou grupo de arquivos criado como resultado do backup de informações.

Cópia de segurança- o processo de criação de uma cópia de dados em um meio (disco rígido, disquete, etc.) projetado para restaurar os dados ao seu local de armazenamento original ou novo em caso de danos ou destruição.

Domínio(nome de domínio) - um nome que permite acessar sites da Internet e recursos de rede localizados neles (sites, servidores de e-mail, outros serviços) de uma forma conveniente para uma pessoa. Por exemplo, em vez de 172.217.18.131, digite google.com.ua, onde ua, com, google são domínios de diferentes níveis.

O que é um vírus ransomware?

vírus ransomware(doravante referido como ransomware) é um software malicioso que criptografa os arquivos do usuário e exige um resgate para descriptografia. Os tipos de arquivo mais comumente criptografados são documentos e planilhas do MS Office ( docx, xlsx), Imagens ( jpeg, png, tif), arquivos de vídeo ( avi, MPEG, MKV etc.), documentos no formato pdf etc., bem como arquivos de banco de dados - 1C ( 1 CD, dbf), Sotaque ( mdf). Os arquivos e programas do sistema geralmente não são criptografados para manter o Windows em execução e dar ao usuário a oportunidade de entrar em contato com o ransomware. Em casos raros, todo o disco é criptografado; nesse caso, o Windows não pode ser carregado.

Qual é o perigo de tais vírus?

Na grande maioria dos casos, a desencriptação por conta própria é IMPOSSÍVEL, porque. algoritmos de criptografia extremamente complexos são usados. Em casos muito raros, os arquivos podem ser descriptografados se ocorrer uma infecção com um tipo de vírus já conhecido, para o qual os fabricantes de antivírus lançaram um descriptografador, mas mesmo neste caso, a recuperação de informações não é 100% garantida. Às vezes, um vírus tem uma falha em seu código e a descriptografia torna-se impossível em princípio, mesmo pelo autor do malware.

Na grande maioria dos casos, após a codificação, o criptografador exclui os arquivos originais usando algoritmos especiais, o que exclui a possibilidade de recuperação.

Outra característica perigosa dos vírus desse tipo é que muitas vezes eles são “invisíveis” aos antivírus, porque Os algoritmos usados ​​para criptografia também são usados ​​em muitos programas legais (por exemplo, banco-cliente), razão pela qual muitos criptografadores não são percebidos pelos antivírus como malware.

Formas de infecção.

Na maioria das vezes, a infecção ocorre por meio de anexos de e-mail. O usuário recebe um e-mail de um destinatário conhecido ou disfarçado de alguma organização (escritório de finanças, banco). A carta pode conter uma solicitação para realizar uma conciliação contábil, confirmar o pagamento de uma fatura, uma oferta para se familiarizar com uma dívida de crédito em um banco ou algo semelhante. Ou seja, as informações serão tais que certamente irão interessar ou assustar o usuário e incentivá-lo a abrir o anexo do e-mail com o vírus. Na maioria das vezes, parecerá um arquivo contendo um arquivo *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. Depois de iniciar esse arquivo, imediatamente ou depois de algum tempo, o processo de criptografia de arquivos no PC começa. Além disso, um arquivo infectado pode ser enviado ao usuário em um dos programas de mensagens instantâneas (Skype, Viber, etc.).

Com menos frequência, a infecção ocorre após a instalação de software hackeado ou após clicar em um link infectado em um site ou no corpo de um e-mail.

Deve-se ter em mente que muitas vezes, após infectar um PC na rede, um vírus pode se espalhar para outras máquinas usando vulnerabilidades no Windows e/ou programas instalados.

Sinais de infecção.

1. Muitas vezes, após o lançamento do arquivo anexado à carta, há uma alta atividade do disco rígido, o processador é carregado até 100%, ou seja, O computador começa a ficar muito lento.
2. Algum tempo após o lançamento do vírus, o PC reinicia repentinamente (na maioria dos casos).
3. Após a reinicialização, abre-se um arquivo de texto, que informa que os arquivos do usuário estão criptografados e indica os contatos para comunicação (e-mail). Às vezes, em vez de abrir o arquivo, o papel de parede da área de trabalho é substituído por um texto de resgate.
4. A maioria dos arquivos do usuário (documentos, fotos, bancos de dados) acabam com uma extensão diferente (por exemplo, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl, etc.) ou são completamente renomeados, e não abra nenhum programa, mesmo que você altere a extensão. Às vezes, todo o disco rígido é criptografado. Nesse caso, o Windows não inicializa e a mensagem de resgate é exibida quase imediatamente após ligar o PC.
5. Às vezes, todos os arquivos do usuário são colocados em um arquivo protegido por senha. Isso acontece se um invasor penetrar no PC e arquivar e excluir arquivos manualmente. Ou seja, quando um arquivo malicioso é iniciado a partir de um anexo de e-mail, os arquivos do usuário não são criptografados automaticamente, mas é instalado um software que permite que um invasor se conecte secretamente a um PC pela Internet.

Exemplo de texto de resgate

O que fazer se a infecção já ocorreu?

1. Se o processo de criptografia começou na sua presença (o PC está muito “lento”; um arquivo de texto com uma mensagem sobre criptografia foi aberto; os arquivos começaram a desaparecer e suas cópias criptografadas começaram a aparecer), você deve IMEDIATAMENTE desligue o computador desconectando o cabo de alimentação ou segurando-o por 5 segundos. botão de energia. Talvez isso salve algumas das informações. NÃO REINICIE O PC! APENAS DESLIGADO!
2. Se a criptografia já ocorreu, em nenhum caso você deve tentar curar a infecção sozinho ou excluir ou renomear arquivos criptografados ou arquivos criados pelo ransomware.

Em ambos os casos, você deve relatar imediatamente o incidente ao administrador do sistema.

IMPORTANTE!!!

Não tente negociar de forma independente com o atacante através dos contatos fornecidos por ele! Na melhor das hipóteses, isso é inútil; na pior das hipóteses, pode aumentar o valor do resgate para descriptografia.

Como prevenir a infecção ou minimizar suas consequências?

1. Não abra e-mails suspeitos, especialmente aqueles com anexos (veja abaixo como reconhecer esses e-mails).
2. Não clique em links suspeitos em sites e e-mails que você recebe.
3. Não baixe ou instale programas de fontes não confiáveis ​​(sites com software hackeado, rastreadores de torrent).
4. Sempre faça backup de arquivos importantes. A melhor opção seria armazenar backups em outra mídia que não esteja conectada ao PC (unidade flash, unidade externa, unidade de DVD) ou na nuvem (por exemplo, Yandex.Disk). Muitas vezes, o vírus também criptografa arquivos compactados (zip, rar, 7z), portanto, armazenar backups no mesmo PC em que os arquivos originais estão armazenados é inútil.

Como reconhecer um email malicioso?

1. O assunto e o conteúdo da carta não estão relacionados às suas atividades profissionais. Por exemplo, um gerente de escritório recebeu uma carta sobre uma auditoria fiscal, uma fatura ou um currículo.

2. A carta contém informações que não estão relacionadas ao nosso país, região ou área de atuação de nossa empresa. Por exemplo, um requisito para pagar uma dívida em um banco registrado na Federação Russa.

3. Muitas vezes, um e-mail malicioso é projetado como uma suposta resposta a alguns de seus e-mails. No início do assunto de tal carta, há uma combinação de "Re:". Por exemplo, "Re: Fatura", embora você saiba com certeza que não enviou cartas para este endereço.

4. A carta supostamente veio de uma empresa conhecida, mas o endereço do remetente da carta contém sequências sem sentido de letras, palavras, números, domínios estranhos que nada têm a ver com os endereços oficiais da empresa mencionada no texto da carta.

5. O campo "Para" contém um nome desconhecido (não sua caixa postal), um conjunto de caracteres incoerentes ou um nome duplicado da caixa postal do remetente.

6. No texto da carta, sob diversos pretextos, solicita-se ao destinatário que forneça ou confirme qualquer informação pessoal ou proprietária, baixe um arquivo ou acesse um link, informando sobre a urgência ou quaisquer sanções em caso de descumprimento instruções especificadas na carta.

7. O arquivo anexado à carta contém arquivos *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Também é muito comum mascarar uma extensão maliciosa. Por exemplo, no nome do arquivo "Contas a receber.doc.js", *.doc é uma extensão falsa que não possui nenhuma funcionalidade e *.js é a extensão real do arquivo de vírus.

8. Se a carta veio de um remetente conhecido, mas o estilo da carta e a alfabetização são muito diferentes, isso também é motivo de cautela. Além de conteúdo não característico - por exemplo, um cliente recebeu uma solicitação para pagar uma conta. Nesse caso, é melhor entrar em contato com o remetente por outro canal de comunicação (telefone, Skype), pois é provável que seu PC tenha sido invadido ou infectado por um vírus.

Um exemplo de e-mail malicioso

O novo malware ransomware WannaCry (também conhecido como WannaCry Decryptor, WannaCrypt, WCry e WanaCrypt0r 2.0) se deu a conhecer ao mundo em 12 de maio de 2017, quando arquivos em computadores em várias instituições de saúde no Reino Unido foram criptografados. Como logo ficou claro, empresas em dezenas de países se encontraram em uma situação semelhante, e Rússia, Ucrânia, Índia e Taiwan sofreram mais. Segundo a Kaspersky Lab, apenas no primeiro dia do ataque, o vírus foi detectado em 74 países.

Por que o WannaCry é perigoso? O vírus criptografa vários tipos de arquivos (dada a extensão .WCRY, os arquivos tornam-se completamente ilegíveis) e, em seguida, exige um resgate de US$ 600 para descriptografia. Para acelerar o procedimento de transferência de dinheiro, o usuário fica intimidado pelo fato de que em três dias o valor do resgate aumentará e após sete dias, os arquivos não poderão ser descriptografados.

A ameaça de infecção pelo vírus ransomware WannaCry afeta computadores baseados em sistemas operacionais Windows. Se você usa versões licenciadas do Windows e atualiza regularmente seu sistema, não precisa se preocupar com a possibilidade de um vírus entrar em seu sistema dessa maneira.

Os usuários de MacOS, ChromeOS e Linux, bem como sistemas operacionais móveis iOS e Android, não devem ter medo dos ataques WannaCry.

O que fazer se você se tornar uma vítima do WannaCry?

A Agência Nacional de Crimes do Reino Unido (NCA) recomenda que as pequenas empresas que são vítimas de ransomware e estão preocupadas com a propagação do vírus online tomem as seguintes medidas:

• Isole seu computador, laptop ou tablet da rede corporativa/interna imediatamente. Desligue o Wi-Fi.
• Troque de motorista.
• Sem se conectar a uma rede Wi-Fi, conecte seu computador diretamente à Internet.
• Atualize seu sistema operacional e todos os outros softwares.
• Atualize e execute seu antivírus.
• Reconecte-se à rede.
• Monitore o tráfego de rede e/ou execute uma verificação de vírus para garantir que o ransomware tenha desaparecido.

Importante!

Os arquivos criptografados pelo vírus WannaCry não podem ser descriptografados por ninguém, exceto por invasores. Portanto, não perca tempo e dinheiro com aqueles “gênios da TI” que prometem te salvar dessa dor de cabeça.

Vale a pena pagar dinheiro aos atacantes?

As primeiras perguntas feitas pelos usuários que encontraram o novo vírus ransomware WannaCry são: como recuperar arquivos e como remover um vírus. Não encontrando soluções gratuitas e eficazes, eles se deparam com uma escolha - pagar ou não ao extorsionário? Como os usuários geralmente têm algo a perder (documentos pessoais e arquivos de fotos são armazenados no computador), surge realmente o desejo de resolver o problema com a ajuda de dinheiro.

Mas o NCA pede nãopagar dinheiro. Se você ainda decidir fazer isso, lembre-se do seguinte:

• Primeiro, não há garantia de que você terá acesso aos seus dados.
• Em segundo lugar, seu computador ainda pode estar infectado com um vírus mesmo após o pagamento.
• Em terceiro lugar, você provavelmente apenas dará seu dinheiro aos cibercriminosos.

Como se proteger do WannaCry?

Que ações tomar para prevenir a infecção pelo vírus, explica Vyacheslav Belashov, chefe do departamento de implementação de sistemas de segurança da informação da SKB Kontur:

A peculiaridade do vírus WannaCry é que ele pode penetrar no sistema sem intervenção humana, ao contrário de outros vírus ransomware. Anteriormente, para que o vírus funcionasse, era necessário que o usuário estivesse desatento - ele seguisse um link duvidoso de um e-mail que não era realmente destinado a ele, ou baixasse um anexo malicioso. No caso do WannaCry, é explorada uma vulnerabilidade que existe diretamente no próprio sistema operacional. Portanto, os computadores baseados no Windows que não instalaram as atualizações de 14 de março de 2017 foram os primeiros em risco. Uma estação de trabalho infectada da rede local é suficiente para que o vírus se espalhe para as demais com a vulnerabilidade existente.

Os usuários afetados pelo vírus têm uma pergunta principal - como descriptografar suas informações? Infelizmente, ainda não há solução garantida, e é improvável que seja prevista. Mesmo depois de pagar o valor especificado, o problema não é resolvido. Além disso, a situação pode ser agravada pelo fato de que uma pessoa, na esperança de recuperar seus dados, corre o risco de usar decodificadores supostamente “gratuitos”, que na realidade também são arquivos maliciosos. Portanto, o principal conselho que pode ser dado é ter cuidado e fazer todo o possível para evitar tal situação.

O que exatamente pode e deve ser feito no momento:

1. Instale as atualizações mais recentes.

Isso se aplica não apenas aos sistemas operacionais, mas também às ferramentas de proteção antivírus. Informações sobre a atualização do Windows podem ser encontradas.

2. Faça cópias de segurança de informações importantes.

3. Tenha cuidado ao trabalhar com correio e Internet.

Preste atenção aos e-mails recebidos com links e anexos questionáveis. Para trabalhar com a Internet, recomenda-se o uso de plugins que permitem livrar-se de publicidade desnecessária e links para fontes potencialmente maliciosas.

As tecnologias modernas permitem que os hackers melhorem constantemente as formas de fraude em relação aos usuários comuns. Como regra, o software de vírus que penetra em um computador é usado para esses fins. Os vírus de criptografia são considerados especialmente perigosos. A ameaça está no fato de o vírus se espalhar muito rapidamente, criptografando arquivos (o usuário simplesmente não consegue abrir nenhum documento). E se for bastante simples, é muito mais difícil descriptografar os dados.

O que fazer se um vírus tiver arquivos criptografados em seu computador

Todos podem ser atacados por um ransomware, mesmo os usuários que possuem um poderoso software antivírus não estão segurados. Os trojans de criptografia de arquivos são representados por códigos diferentes, que podem estar além do poder do antivírus. Os hackers chegam a atacar dessa forma grandes empresas que não cuidaram da proteção necessária de suas informações. Então, tendo “pegado” um programa de ransomware online, você precisa tomar uma série de medidas.

Os principais sinais de infecção são o funcionamento lento do computador e a mudança nos nomes dos documentos (você pode ver na área de trabalho).

1. Reinicie o computador para interromper a criptografia. Quando ativado, não confirma o lançamento de programas desconhecidos.
2. Execute o antivírus se ele não tiver sido atacado por ransomware.
3. Em alguns casos, as cópias de sombra ajudarão a restaurar as informações. Para encontrá-los, abra as "Propriedades" do documento criptografado. Este método trabalha com os dados criptografados da extensão Vault, que possui informações no portal.
4. Baixe o utilitário antivírus mais recente. Os mais eficazes são oferecidos pela Kaspersky Lab.

Vírus de criptografia em 2016: exemplos

Ao combater qualquer ataque de vírus, é importante entender que o código muda com muita frequência, complementado por uma nova proteção antivírus. É claro que os programas de proteção precisam de algum tempo até que o desenvolvedor atualize os bancos de dados. Selecionamos os vírus de criptografia mais perigosos dos últimos tempos.

ransomware Ishtar

Ishtar é um ransomware que extorque dinheiro do usuário. O vírus foi detectado no outono de 2016, infectando um grande número de computadores de usuários da Rússia e de vários outros países. É distribuído por meio de distribuição por e-mail, que contém documentos anexos (instaladores, documentos, etc.). Os dados infectados com o ransomware Ishtar recebem o prefixo "ISHTAR" no nome. O processo cria um documento de teste que indica onde ir para obter a senha. Os atacantes exigem de 3.000 a 15.000 rublos por ele.

O perigo do vírus Ishtar é que hoje não existe um decodificador que ajude os usuários. As empresas de software antivírus precisam de tempo para decifrar todo o código. Agora você só pode isolar informações importantes (se forem de particular importância) em uma mídia separada, aguardando o lançamento de um utilitário capaz de descriptografar documentos. Recomenda-se reinstalar o sistema operacional.

Neitrino

O ransomware Neitrino apareceu na Internet em 2015. Pelo princípio de ataque, é semelhante a outros vírus desta categoria. Altera os nomes de pastas e arquivos adicionando "Neitrino" ou "Neutrino". O vírus é difícil de decifrar - longe de todos os representantes de empresas de antivírus realizarem isso, referindo-se a um código muito complexo. Restaurar uma cópia de sombra pode ajudar alguns usuários. Para fazer isso, clique com o botão direito do mouse no documento criptografado, vá em "Propriedades", aba "Versões anteriores", clique em "Restaurar". Não será supérfluo usar o utilitário gratuito da Kaspersky Lab.

Carteira ou .wallet.

O vírus de criptografia Wallet apareceu no final de 2016. Durante o processo de infecção, ele altera o nome dos dados para "Name..wallet" ou similar. Como a maioria dos vírus de ransomware, ele entra no sistema por meio de anexos de e-mail enviados por hackers. Como a ameaça apareceu recentemente, os programas antivírus não a percebem. Após a criptografia, ele cria um documento no qual o fraudador especifica o e-mail para comunicação. Atualmente, os desenvolvedores de software antivírus estão trabalhando para descriptografar o código do vírus ransomware. [e-mail protegido] Os usuários atacados só podem esperar. Se os dados forem importantes, é recomendável salvá-los em uma unidade externa limpando o sistema.

Enigma

O vírus de criptografia Enigma começou a infectar os computadores de usuários russos no final de abril de 2016. Ele usa o modelo de criptografia AES-RSA, encontrado na maioria dos ransomwares atualmente. O vírus penetra no computador usando um script que o próprio usuário executa abrindo arquivos de um e-mail suspeito. Ainda não existe um remédio universal para lidar com a cifra Enigma. Os usuários que possuem uma licença para um antivírus podem pedir ajuda no site oficial do desenvolvedor. Uma pequena "brecha" também foi encontrada - Windows UAC. Se o usuário clicar em "Não" na janela que aparece durante a infecção pelo vírus, ele poderá restaurar as informações posteriormente usando cópias de sombra.

Granito

O novo vírus ransomware Granit apareceu na Web no outono de 2016. A infecção ocorre de acordo com o seguinte cenário: o usuário inicia um instalador que infecta e criptografa todos os dados do PC e das unidades conectadas. Combater o vírus é difícil. Para removê-lo, você pode usar utilitários especiais da Kaspersky, mas o código ainda não foi descriptografado. Restaurar versões anteriores dos dados pode ajudar. Além disso, um especialista com vasta experiência pode descriptografar, mas o serviço é caro.

Tyson

Foi visto recentemente. É uma extensão do já conhecido ransomware no_more_ransom, que você pode conhecer em nosso site. Chega a computadores pessoais a partir de e-mail. Muitos PCs corporativos foram atacados. O vírus cria um documento de texto com instruções para desbloquear, oferecendo o pagamento de um "resgate". O ransomware Tyson apareceu recentemente, então ainda não há chave de desbloqueio. A única maneira de restaurar as informações é retornar as versões anteriores se elas não tiverem sido excluídas por um vírus. Você pode, é claro, arriscar transferindo dinheiro para a conta indicada pelos invasores, mas não há garantia de que você receberá a senha.

Espora

No início de 2017, vários usuários foram vítimas do novo ransomware Spora. Pelo princípio de operação, não difere muito de suas contrapartes, mas possui um desempenho mais profissional: as instruções para obter uma senha são melhores, o site fica mais bonito. Criado Spora ransomware em linguagem C, usa uma combinação de RSA e AES para criptografar os dados da vítima. Como regra, os computadores nos quais o programa de contabilidade 1C é usado ativamente foram atacados. O vírus, escondido sob o disfarce de uma simples fatura em formato .pdf, obriga os funcionários da empresa a lançá-lo. Nenhuma cura foi encontrada ainda.

1C.Queda.1

Este vírus de criptografia para 1C apareceu no verão de 2016, interrompendo o trabalho de muitos departamentos de contabilidade. Ele foi desenvolvido especificamente para computadores que usam o software 1C. Passando por um arquivo em um e-mail para um PC, ele solicita que o proprietário atualize o programa. Qualquer que seja o botão que o usuário pressionar, o vírus começará a criptografar os arquivos. Os especialistas do Dr.Web estão trabalhando em ferramentas de descriptografia, mas até agora nenhuma solução foi encontrada. Isso se deve ao código complexo, que pode estar em diversas modificações. A única proteção contra 1C.Drop.1 é a vigilância dos usuários e o arquivamento regular de documentos importantes.

Código da Vinci

Um novo ransomware com um nome incomum. O vírus apareceu na primavera de 2016. Ele difere de seus antecessores pelo código aprimorado e pelo modo de criptografia forte. da_vinci_code infecta um computador graças a um aplicativo executável (geralmente anexado a um e-mail), que o usuário inicia independentemente. O codificador da Vinci (código da vinci) copia o corpo para o diretório e registro do sistema, garantindo que ele seja iniciado automaticamente quando o Windows é ligado. O computador de cada vítima recebe um ID exclusivo (ajuda a obter a senha). É quase impossível descriptografar os dados. Você pode pagar dinheiro aos invasores, mas ninguém garante que você receberá a senha.

[e-mail protegido] / [e-mail protegido]

Dois endereços de e-mail que frequentemente acompanhavam o ransomware em 2016. Eles servem para conectar a vítima com o atacante. Os endereços foram anexados a vários tipos de vírus: da_vinci_code, no_more_ransom e assim por diante. Não é altamente recomendável entrar em contato, bem como transferir dinheiro para golpistas. Os usuários na maioria dos casos permanecem sem senhas. Assim, mostrando que o ransomware dos atacantes funciona, gerando renda.

Liberando o mal

Apareceu no início de 2015, mas se espalhou ativamente apenas um ano depois. O princípio da infecção é idêntico ao de outro ransomware: instalação de um arquivo de um email, criptografia de dados. Os antivírus convencionais geralmente não detectam o vírus Breaking Bad. Alguns códigos não podem ignorar o Windows UAC, portanto, o usuário ainda pode restaurar versões anteriores de documentos. O decodificador ainda não foi apresentado por nenhuma empresa que desenvolve software antivírus.

XTBL

Um ransomware muito comum que causou problemas para muitos usuários. Uma vez no PC, o vírus altera a extensão do arquivo para .xtbl em questão de minutos. É criado um documento no qual o invasor extorque dinheiro. Algumas variantes do vírus XTBL não podem destruir os arquivos de restauração do sistema, o que permite devolver documentos importantes. O próprio vírus pode ser removido por muitos programas, mas é muito difícil descriptografar documentos. Se você possui um antivírus licenciado, use o suporte técnico anexando amostras de dados infectados.

Kukaracha

A cifra Kukaracha foi descoberta em dezembro de 2016. Um vírus com um nome interessante oculta os arquivos do usuário usando o algoritmo RSA-2048, que é altamente resistente. O Kaspersky Anti-Virus o identificou como Trojan-Ransom.Win32.Scatter.lb. Kukaracha pode ser removido do computador para que outros documentos não sejam infectados. No entanto, os infectados são quase impossíveis de descriptografar hoje (um algoritmo muito poderoso).

Como funciona o ransomware

Há um grande número de ransomware, mas todos funcionam com um princípio semelhante.

1. Acesso a um computador pessoal. Como regra, graças ao arquivo anexado ao e-mail. A instalação é iniciada pelo próprio usuário abrindo o documento.
2. Infecção de arquivo. Quase todos os tipos de arquivos são criptografados (dependendo do vírus). É criado um documento de texto que contém contatos para comunicação com invasores.
3. Tudo. O usuário não pode acessar nenhum documento.

Remédios de laboratórios populares

O uso generalizado de ransomware, que é reconhecido como a ameaça mais perigosa aos dados do usuário, tornou-se um impulso para muitos laboratórios de antivírus. Todas as empresas populares fornecem aos seus usuários programas que os ajudam a combater o ransomware. Além disso, muitos deles ajudam na descriptografia de documentos protegidos pelo sistema.

Kaspersky e vírus de criptografia

Um dos laboratórios de antivírus mais famosos da Rússia e do mundo hoje oferece os meios mais eficazes para combater vírus de ransomware. O primeiro obstáculo para o vírus ransomware será o Kaspersky Endpoint Security 10 com as atualizações mais recentes. O antivírus simplesmente não permitirá que a ameaça entre no computador (no entanto, novas versões não podem ser interrompidas). Para descriptografar as informações, o desenvolvedor apresenta vários utilitários gratuitos de uma só vez: XoristDecryptor, RakhniDecryptor e Ransomware Decryptor. Eles ajudam a encontrar o vírus e pegar a senha.

Dr. Web e ransomware

Este laboratório recomenda o uso de seu programa antivírus, cuja principal característica é o backup de arquivos. O armazenamento com cópias de documentos também é protegido contra acesso não autorizado por invasores. Os proprietários do produto licenciado Dr. Web, a função de entrar em contato com o suporte técnico para obter ajuda está disponível. É verdade que nem sempre especialistas experientes podem resistir a esse tipo de ameaça.

ESET Nod 32 e ransomware

Esta empresa também não ficou de lado, proporcionando aos seus usuários uma boa proteção contra vírus que entram no computador. Além disso, o laboratório lançou recentemente um utilitário gratuito com bancos de dados atualizados - Eset Crysis Decryptor. Os desenvolvedores afirmam que isso ajudará na luta contra até mesmo o mais novo ransomware.

Ele continua sua marcha opressiva na Web, infectando computadores e criptografando dados importantes. Como se proteger do ransomware, proteger o Windows do ransomware - patches, patches lançados para descriptografar e curar arquivos?

Novo vírus ransomware 2017 Wanna Cry continua a infectar PCs corporativos e privados. No US$ 1 bilhão em danos causados ​​por ataque de vírus. Em 2 semanas, o vírus ransomware infectou pelo menos 300 mil computadores apesar dos avisos e medidas de segurança.

O que é ransomware 2017- como regra, você pode "pegar", ao que parece, nos sites mais inofensivos, por exemplo, servidores bancários com acesso de usuários. Uma vez no disco rígido da vítima, o ransomware "se instala" na pasta do sistema System32. A partir daí, o programa desativa imediatamente o antivírus e vai para "Autorun"". Após cada reinicialização, o programa de criptografia começa no registro começando seu trabalho sujo. O ransomware começa a baixar cópias semelhantes de programas como Ransom e Trojan. Muitas vezes também acontece auto-replicação de ransomware. Esse processo pode ser momentâneo ou pode levar semanas - até que a vítima perceba que algo estava errado.

O ransomware geralmente se disfarça como imagens comuns, arquivos de texto, mas a essência é sempre a mesma - este é um arquivo executável com a extensão .exe, .drv, .xvd; às vezes - bibliotecas.dll. Na maioria das vezes, o arquivo tem um nome completamente inofensivo, por exemplo " documento. doc", ou " imagem.jpg”, onde a extensão é escrita manualmente, e o verdadeiro tipo de arquivo está oculto.

Após a conclusão da criptografia, o usuário vê em vez de arquivos familiares um conjunto de caracteres "aleatórios" no nome e dentro, e a extensão muda para um até então desconhecido - .NO_MORE_RANSOM, .xdata de outros.

2017 Wanna Cry ransomware virus – como se proteger. Gostaria de observar imediatamente que Wanna Cry é um termo coletivo para todos os vírus de ransomware e ransomware, pois infectou computadores recentemente com mais frequência. Então, vamos falar sobre Proteja-se do ransomware Ransom Ware, dos quais existem muitos: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Como proteger o Windows contra ransomware. – EternalBlue via protocolo de porta SMB.

Proteção contra ransomware do Windows 2017 - regras básicas:

• Atualização do Windows, transição oportuna para um sistema operacional licenciado (Nota: a versão XP não é atualizada)
• atualização de bancos de dados antivírus e firewalls sob demanda
• máximo cuidado ao baixar qualquer arquivo ("gatos" fofos podem resultar na perda de todos os dados)
• backup de informações importantes em mídia removível.

Vírus Ransomware 2017: como curar e descriptografar arquivos.

Confiando no software antivírus, você pode esquecer o decodificador por um tempo. Em laboratórios Kaspersky, Dr. Web, Avast! e outros antivírus nenhuma solução encontrada para curar arquivos infectados. No momento, é possível remover o vírus usando um antivírus, mas ainda não há algoritmos para retornar tudo “ao normal”.

Alguns tentam usar decodificadores como o utilitário RectorDecryptor mas isso não vai ajudar: algoritmo para desencriptar novos vírus ainda não foi compilado. Também é absolutamente desconhecido como o vírus se comportará se não for removido após o uso de tais programas. Muitas vezes isso pode resultar no apagamento de todos os arquivos - como um aviso para quem não quer pagar aos atacantes, os autores do vírus.

No momento, a maneira mais eficaz de recuperar dados perdidos é contatá-los. suporte do fornecedor do programa antivírus que você está usando. Para fazer isso, envie uma carta ou use o formulário de feedback no site do fabricante. Certifique-se de adicionar o arquivo criptografado ao anexo e, se houver, uma cópia do original. Isso ajudará os programadores na elaboração do algoritmo. Infelizmente, para muitos, um ataque de vírus é uma surpresa completa e as cópias não são encontradas, o que às vezes complica a situação.

Métodos cardíacos de tratamento do Windows a partir de ransomware. Infelizmente, às vezes você precisa recorrer à formatação completa do disco rígido, o que implica uma mudança completa do sistema operacional. Muitos pensarão em restaurar o sistema, mas isso não é uma opção - mesmo que haja uma "reversão" que permitirá que você se livre do vírus, os arquivos ainda permanecerão criptografados.

Em 12 de abril de 2017, surgiram informações sobre a rápida disseminação de um vírus de criptografia chamado WannaCry em todo o mundo, que pode ser traduzido como “quero chorar”. Os usuários têm dúvidas sobre como atualizar o Windows do vírus WannaCry.

Um vírus em uma tela de computador se parece com isso:

O mau vírus WannaCry que criptografa tudo

O vírus criptografa todos os arquivos no computador e exige um resgate de US$ 300 ou US$ 600 para a carteira Bitcoin para supostamente descriptografar o computador. Computadores em 150 países do mundo foram infectados, o mais afetado é a Rússia.

MegaFon, Russian Railways, Ministério de Assuntos Internos, Ministério da Saúde e outras empresas ficaram cara a cara com esse vírus. Entre as vítimas estão usuários comuns da Internet.

Quase todo mundo é igual diante do vírus. A diferença, talvez, seja que nas empresas o vírus se espalha pela rede local dentro da organização e infecta instantaneamente o maior número possível de computadores.

O vírus WannaCry criptografa arquivos em computadores com Windows. Em março de 2017, a Microsoft lançou as atualizações MS17-010 para várias versões do Windows XP, Vista, 7, 8, 10.

Acontece que quem tem as atualizações automáticas do Windows configuradas está fora da zona de risco para o vírus, pois recebeu a atualização em tempo hábil e conseguiu evitá-la. Não vou afirmar que este é realmente o caso.

Arroz. 3. Mensagem ao instalar a atualização KB4012212

Após a instalação, a atualização KB4012212 exigiu uma reinicialização do laptop, o que não gostei muito, pois não se sabe como isso poderia terminar, mas para onde o usuário deve ir? No entanto, a reinicialização correu bem. Isso significa que vivemos em paz até o próximo ataque de vírus e, infelizmente, não há dúvida de que esses ataques ocorrerão.

De qualquer forma, é importante ter um local para restaurar o sistema operacional e seus arquivos.

Atualização do Windows 8 do WannaCry

Para um laptop com Windows 8 licenciado, a atualização KB 4012598 foi instalada, porque