Acest manual nu este destinat specialiștilor tehnici, prin urmare:

1. definițiile unor termeni sunt simplificate;
2. detaliile tehnice nu sunt luate în considerare;
3. metodele de protecție a sistemului (instalarea actualizărilor, configurarea sistemelor de securitate etc.) nu sunt luate în considerare.

Instrucțiunea a fost scrisă de mine pentru a ajuta administratorii de sistem care doresc să formeze angajații companiei care sunt departe de sfera IT (contabilitate, personal, vânzători etc.), în elementele de bază ale igienei cibernetice.

Glosar

Software(în continuare - software) - un program sau un set de programe utilizate pentru a controla un computer.

Criptare este transformarea datelor într-o formă care nu poate fi citită fără o cheie de criptare.

Cheie de criptare sunt informații secrete folosite la criptarea/decriptarea fișierelor.

Decodor- un program care implementează algoritmul de decriptare.

Algoritm- un set de instrucțiuni care descriu procedura pentru ca executantul să obțină un anumit rezultat.

atașament la e-mail- un fișier atașat unui e-mail.

Extensie(extensia numelui fișierului) este o secvență de caractere adăugată la numele fișierului și utilizată pentru a identifica tipul de fișier (de exemplu, *.doc, *.jpg). În funcție de tipul de fișiere, un anumit program va fi folosit pentru a le deschide. De exemplu, dacă extensia de fișier este *.doc, atunci MS Word va fi lansat pentru a-l deschide, dacă este *.jpg, atunci va fi lansat vizualizatorul de imagini etc.

Legătură(sau mai precis, un hyperlink) este o parte a paginii web a unui document care se referă la un alt element (comandă, text, titlu, notă, imagine) din documentul propriu-zis sau la un alt obiect (fișier, director, aplicație) situat pe un disc local sau în rețeaua de calculatoare.

Fisier text este un fișier de computer care conține date text.

Arhivare- aceasta este compresia, adică reducerea dimensiunii fișierului.

Copie de rezervă— un fișier sau un grup de fișiere create ca urmare a unei copii de siguranță a informațiilor.

Backup- procesul de creare a unei copii a datelor pe un mediu (hard disk, dischetă etc.) menită să restaureze datele în locația de stocare inițială sau nouă în caz de deteriorare sau distrugere.

Domeniu(nume de domeniu) - un nume care face posibilă accesarea site-urilor Internet și a resurselor de rețea aflate pe acestea (site-uri web, servere de e-mail, alte servicii) într-o formă convenabilă pentru o persoană. De exemplu, în loc de 172.217.18.131, introduceți google.com.ua, unde ua, com, google sunt domenii de diferite niveluri.

Ce este un virus ransomware?

virus ransomware(denumit în continuare ransomware) este un software rău intenționat care criptează fișierele utilizatorului și solicită o răscumpărare pentru decriptare. Cele mai frecvente tipuri de fișiere criptate sunt documentele și foile de calcul MS Office ( docx, xlsx), Imagini ( jpeg, png, tif), fișiere video ( avi, mpeg, mkv etc.), documente în format pdf etc., precum și fișierele bazei de date - 1C ( 1 CD, dbf), Accent ( mdf). Fișierele și programele de sistem nu sunt de obicei criptate pentru a menține Windows în funcțiune și pentru a oferi utilizatorului posibilitatea de a contacta ransomware. În cazuri rare, întregul disc este criptat; în acest caz, Windows nu poate fi încărcat.

Care este pericolul unor astfel de viruși?

În marea majoritate a cazurilor, decriptarea pe cont propriu este IMPOSIBILĂ, deoarece. se folosesc algoritmi de criptare extrem de complexi. În cazuri foarte rare, fișierele pot fi decriptate dacă a apărut o infecție cu un tip de virus deja cunoscut, pentru care producătorii de antivirus au lansat un decriptor, dar nici în acest caz recuperarea informațiilor nu este garantată 100%. Uneori, un virus are un defect în codul său, iar decriptarea devine imposibilă în principiu, chiar și de către autorul malware-ului.

În marea majoritate a cazurilor, după codare, criptatorul șterge fișierele originale folosind algoritmi speciali, ceea ce exclude posibilitatea recuperării.

O altă caracteristică periculoasă a virușilor de acest fel este că destul de des sunt „invizibili” pentru antivirusuri, deoarece Algoritmii folosiți pentru criptare sunt folosiți și în multe programe legale (de exemplu, client-bank), motiv pentru care mulți criptoare nu sunt percepuți de antivirusuri ca malware.

Modalitati de infectare.

Cel mai adesea, infecția are loc prin atașamentele de e-mail. Utilizatorul primește un e-mail de la un destinatar cunoscut de el sau deghizat în vreo organizație (fisc, bancă). Scrisoarea poate conține o solicitare de a efectua o reconciliere contabilă, de a confirma plata unei facturi, o ofertă de familiarizare cu o datorie de credit la o bancă sau ceva similar. Adică, informațiile vor fi de așa natură încât cu siguranță vor interesa sau speria utilizatorul și îl vor încuraja să deschidă atașamentul de e-mail cu virusul. Cel mai adesea, va arăta ca o arhivă care conține un fișier *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. După lansarea unui astfel de fișier, imediat sau după ceva timp, începe procesul de criptare a fișierelor de pe PC. De asemenea, un fișier infectat poate fi trimis utilizatorului într-unul dintre programele de mesagerie instant (Skype, Viber etc.).

Mai rar, infecția are loc după instalarea unui software piratat sau după ce faceți clic pe un link infectat de pe un site web sau în corpul unui e-mail.

Trebuie avut în vedere că de foarte multe ori, după infectarea unui PC din rețea, un virus se poate răspândi la alte mașini folosind vulnerabilități în Windows și/sau programe instalate.

Semne de infecție.

1. Foarte des, după lansarea fișierului atașat la scrisoare, există o activitate ridicată a hard disk-ului, procesorul este încărcat până la 100%, adică. Computerul începe să încetinească mult.
2. La ceva timp după lansarea virusului, computerul repornește brusc (în majoritatea cazurilor).
3. După repornire, se deschide un fișier text, care raportează că fișierele utilizatorului sunt criptate și indică contacte pentru comunicare (e-mail). Uneori, în loc să deschidă fișierul, imaginea de fundal de pe desktop este înlocuită cu text de răscumpărare.
4. Majoritatea fișierelor utilizatorului (documente, fotografii, baze de date) ajung cu o extensie diferită (de exemplu, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl etc.) sau sunt complet redenumite, și nu deschideți niciun program, chiar dacă schimbați extensia. Uneori, întregul hard disk este criptat. În acest caz, Windows nu pornește deloc, iar mesajul de răscumpărare este afișat aproape imediat după pornirea computerului.
5. Uneori, toate fișierele utilizator sunt plasate într-o arhivă protejată prin parolă. Acest lucru se întâmplă dacă un atacator pătrunde în computer și arhivează și șterge fișierele manual. Adică, atunci când un fișier rău intenționat este lansat dintr-un atașament de e-mail, fișierele utilizatorului nu sunt criptate automat, ci este instalat un software care permite unui atacator să se conecteze în secret la un computer prin Internet.

Exemplu de text de răscumpărare

Ce să faci dacă infecția a apărut deja?

1. Dacă procesul de criptare a început în prezența dvs. (PC-ul „încetinește” mult; a fost deschis un fișier text cu un mesaj despre criptare; fișierele au început să dispară, iar copiile lor criptate au început să apară în schimb), ar trebui să IMEDIAT opriți alimentarea computerului prin deconectarea cablului de alimentare sau ținând-l timp de 5 secunde. butonul de pornire. Poate că acest lucru va salva o parte din informații. NU RESTARTEȚI PC-ul! NUMAI OFF!
2. Dacă criptarea a avut loc deja, în niciun caz nu trebuie să încercați să vă vindecați singur infecția sau să ștergeți sau să redenumiți fișierele criptate sau fișierele create de ransomware.

În ambele cazuri, ar trebui să raportați imediat incidentul administratorului de sistem.

IMPORTANT!!!

Nu încercați să negociați independent cu atacatorul prin contactele furnizate de acesta! În cel mai bun caz, acest lucru este inutil; în cel mai rău caz, poate crește valoarea răscumpărării pentru decriptare.

Cum să preveniți infecția sau să minimizați consecințele acesteia?

1. Nu deschideți e-mailuri suspecte, în special cele cu atașamente (vedeți mai jos cum să recunoașteți astfel de e-mailuri).
2. Nu faceți clic pe linkurile suspecte de pe site-uri web și din e-mailurile pe care le primiți.
3. Nu descărcați sau instalați programe din surse nesigure (site-uri web cu software piratat, dispozitive de urmărire a torrentului).
4. Faceți întotdeauna copii de rezervă ale fișierelor importante. Cea mai bună opțiune ar fi să stocați copii de rezervă pe un alt mediu care nu este conectat la computer (unitate flash, unitate externă, unitate DVD) sau în cloud (de exemplu, Yandex.Disk). Adesea, virusul criptează și fișierele de arhivă (zip, rar, 7z), astfel încât stocarea copiilor de rezervă pe același computer pe care sunt stocate fișierele originale este inutilă.

Cum să recunoști un e-mail rău intenționat?

1. Subiectul și conținutul scrisorii nu au legătură cu activitățile dumneavoastră profesionale. De exemplu, un manager de birou a primit o scrisoare despre un audit fiscal, o factură sau un CV.

2. Scrisoarea conține informații care nu au legătură cu țara noastră, regiunea sau zona de activitate a companiei noastre. De exemplu, o cerință de a rambursa o datorie la o bancă înregistrată în Federația Rusă.

3. Adesea, un e-mail rău intenționat este conceput ca un presupus răspuns la unele dintre e-mailurile dvs. La începutul subiectului unei astfel de scrisori, există o combinație de „Re:”. De exemplu, „Re: Factură”, deși știi sigur că nu ai trimis scrisori la această adresă.

4. Scrisoarea ar fi venit de la o firmă cunoscută, dar adresa expeditorului scrisorii conține secvențe fără sens de litere, cuvinte, numere, domenii străine care nu au nicio legătură cu adresele oficiale ale firmei menționate în text. a scrisorii.

5. Câmpul „Către” conține un nume necunoscut (nu cutia dvs. poștală), un set de caractere incoerente sau un nume duplicat al cutiei poștale a expeditorului.

6. În textul scrisorii, sub diferite pretexte, destinatarul este rugat să furnizeze sau să confirme orice informație cu caracter personal sau de proprietate, să descarce un fișier sau să urmeze un link, raportând în același timp urgența sau eventualele sancțiuni în cazul nerespectării instrucțiunile specificate în scrisoare.

7. Arhiva atașată scrisorii conține fișiere *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. De asemenea, este foarte comun să mascați o extensie rău intenționată. De exemplu, în numele fișierului „Accounts receivable.doc.js”, *.doc este o extensie falsă care nu are nicio funcționalitate, iar *.js este extensia reală a fișierului virus.

8. Dacă scrisoarea a venit de la un expeditor binecunoscut, dar stilul scrisorii și alfabetizarea sunt foarte diferite, acesta este și un motiv de precauție. Pe lângă conținutul necaracteristic - de exemplu, un client a primit o solicitare de a plăti o factură. În acest caz, este mai bine să contactați expeditorul printr-un alt canal de comunicare (telefon, Skype), deoarece este probabil ca computerul său să fi fost spart sau infectat cu un virus.

Un exemplu de e-mail rău intenționat

Noul malware ransomware WannaCry (cunoscut și ca WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. După cum a devenit clar, companiile din zeci de țări s-au aflat într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.

De ce este WannaCry periculoasă? Virusul criptează diferite tipuri de fișiere (dată fiind extensia .WCRY, fișierele devin complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile, fișierele nu vor putea fi deloc decriptate.

Amenințarea de infectare cu virusul ransomware WannaCry afectează computerele bazate pe sisteme de operare Windows. Dacă utilizați versiuni licențiate de Windows și actualizați în mod regulat sistemul, atunci nu trebuie să vă faceți griji că un virus va intra în sistemul dumneavoastră în acest fel.

Utilizatorii MacOS, ChromeOS și Linux, precum și sistemele de operare mobile iOS și Android, nu ar trebui să se teamă deloc de atacurile WannaCry.

Ce să faci dacă devii o victimă a lui WannaCry?

Agenția Națională a Crimei din Marea Britanie (NCA) recomandă întreprinderilor mici care sunt victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online să ia următoarele măsuri:

• Izolați imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
• Schimbați driverele.
• Fără a vă conecta la o rețea Wi-Fi, conectați-vă direct computerul la internet.
• Actualizați sistemul de operare și toate celelalte software-uri.
• Actualizați și rulați antivirusul.
• Reconectați-vă la rețea.
• Monitorizați traficul de rețea și/sau executați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.

Important!

Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția intrușilor. Prin urmare, nu pierde timp și bani pe acei „genii IT” care promit să te salveze de această durere de cap.

Merită să plătiți bani atacatorilor?

Primele întrebări puse de utilizatorii care au întâlnit noul virus ransomware WannaCry sunt: cum să recuperezi fișiere și cum să elimini un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere - să plătească bani extorsionistului sau nu? Întrucât utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu ajutorul banilor.

Dar NCA îndeamnă nuplăti bani. Dacă tot decideți să faceți acest lucru, țineți cont de următoarele:

• În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
• În al doilea rând, computerul dumneavoastră poate fi în continuare infectat cu un virus chiar și după plată.
• În al treilea rând, cel mai probabil îți vei oferi banii infractorilor cibernetici.

Cum să te protejezi de WannaCry?

Ce măsuri trebuie luate pentru a preveni infectarea cu virusul, explică Vyacheslav Belashov, șeful departamentului pentru implementarea sistemelor de securitate a informațiilor la SKB Kontur:

Particularitatea virusului WannaCry este că poate pătrunde în sistem fără intervenția umană, spre deosebire de alți viruși ransomware. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să urmeze un link dubios dintr-un e-mail care nu i-a fost cu adevărat destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, se exploatează o vulnerabilitate care există direct în sistemul de operare însuși. Prin urmare, computerele bazate pe Windows care nu au instalat actualizările din 14 martie 2017 au fost primele expuse riscului. O stație de lucru infectată din rețeaua locală este suficientă pentru ca virusul să se răspândească la celelalte cu vulnerabilitatea existentă.

Utilizatorii afectați de virus au o întrebare principală - cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.

Ce anume se poate și trebuie făcut în acest moment:

1. Instalați cele mai recente actualizări.

Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor de protecție antivirus. Puteți găsi informații despre actualizarea Windows.

2. Faceți copii de rezervă ale informațiilor importante.

3. Aveți grijă când lucrați cu poșta și internetul.

Acordați atenție e-mailurilor primite cu link-uri și atașamente discutabile. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.

Tehnologiile moderne permit hackerilor să îmbunătățească constant modalitățile de fraudă în raport cu utilizatorii obișnuiți. De regulă, software-ul virus care pătrunde într-un computer este utilizat în aceste scopuri. Virușii de criptare sunt considerați deosebit de periculoși. Amenințarea constă în faptul că virusul se răspândește foarte repede, criptând fișierele (utilizatorul pur și simplu nu poate deschide niciun document). Și dacă este destul de simplu, atunci este mult mai dificil să decriptezi datele.

Ce trebuie să faceți dacă un virus are fișiere criptate pe computer

Toată lumea poate fi atacată de un ransomware, chiar și utilizatorii care au un software antivirus puternic nu sunt asigurați. Troienii de criptare a fișierelor sunt reprezentați de coduri diferite, care pot depăși puterea antivirusului. Hackerii reusesc chiar sa atace in acest fel marile companii care nu s-au ocupat de protectia necesara a informatiilor lor. Deci, după ce a „preluat” un program ransomware online, trebuie să luați o serie de măsuri.

Principalele semne de infecție sunt funcționarea lentă a computerului și schimbarea denumirilor documentelor (o puteți vedea pe desktop).

1. Reporniți computerul pentru a opri criptarea. Când este activat, nu confirmați lansarea de programe necunoscute.
2. Rulați antivirusul dacă nu a fost atacat de ransomware.
3. În unele cazuri, copiile umbre vor ajuta la restabilirea informațiilor. Pentru a le găsi, deschideți „Proprietăți” documentului criptat. Această metodă funcționează cu datele criptate ale extensiei Vault, care are informații pe portal.
4. Descărcați cel mai recent utilitar anti-virus anti-cripto. Cele mai eficiente sunt oferite de Kaspersky Lab.

Viruși de criptare în 2016: exemple

Atunci când luptați împotriva oricărui atac de virus, este important să înțelegeți că codul se schimbă foarte des, completat de o nouă protecție antivirus. Desigur, programele de protecție au nevoie de ceva timp până când dezvoltatorul actualizează bazele de date. Am selectat cei mai periculoși viruși de criptare din ultima vreme.

Ishtar ransomware

Ishtar este un ransomware care stoarce bani de la utilizator. Virusul a fost observat în toamna anului 2016, infectând un număr mare de computere ale utilizatorilor din Rusia și din alte țări. Este distribuit folosind distribuția prin e-mail, care conține documente atașate (instalatori, documente etc.). Datele infectate cu ransomware-ul Ishtar primesc prefixul „ISHTAR” în nume. Procesul creează un document de testare care indică unde să mergi pentru a obține parola. Atacatorii cer de la 3.000 la 15.000 de ruble pentru el.

Pericolul virusului Ishtar este că astăzi nu există un decriptor care să ajute utilizatorii. Companiile de software antivirus au nevoie de timp pentru a descifra tot codul. Acum puteți izola informațiile importante (dacă sunt de o importanță deosebită) doar pe un mediu separat, așteptând lansarea unui utilitar capabil să decripteze documentele. Se recomandă reinstalarea sistemului de operare.

Neitrino

Ransomware-ul Neitrino a apărut pe internet în 2015. Prin principiul atacului, este similar cu alți viruși din această categorie. Schimbă numele folderelor și fișierelor adăugând „Neitrino” sau „Neutrino”. Virusul este greu de descifrat - departe de toți reprezentanții companiilor antivirus să se angajeze în acest lucru, referindu-se la un cod foarte complex. Restaurarea unei copii umbră poate ajuta unii utilizatori. Pentru a face acest lucru, faceți clic dreapta pe documentul criptat, accesați „Proprietăți”, fila „Versiuni anterioare”, faceți clic pe „Restaurare”. Nu va fi de prisos să folosiți utilitarul gratuit de la Kaspersky Lab.

Portofel sau .portofel.

Virusul de criptare Wallet a apărut la sfârșitul anului 2016. În timpul procesului de infecție, schimbă numele datelor în „Nume..portofel” sau similar. La fel ca majoritatea virușilor ransomware, acesta intră în sistem prin atașamentele de e-mail trimise de hackeri. Deoarece amenințarea a apărut destul de recent, programele antivirus nu o observă. După criptare, creează un document în care fraudatorul specifică e-mailul pentru comunicare. În prezent, dezvoltatorii de software antivirus lucrează la decriptarea codului virusului ransomware. [email protected] Utilizatorii atacați nu pot decât să aștepte. Dacă datele sunt importante, se recomandă să le salvați pe o unitate externă prin curățarea sistemului.

Enigmă

Virusul de criptare Enigma a început să infecteze computerele utilizatorilor ruși la sfârșitul lunii aprilie 2016. Utilizează modelul de criptare AES-RSA, care se găsește în majoritatea ransomware-urilor de astăzi. Virusul pătrunde în computer folosind un script pe care utilizatorul însuși îl rulează prin deschiderea fișierelor dintr-un e-mail suspect. Nu există încă un remediu universal pentru a face față cifrului Enigma. Utilizatorii care au licență pentru un antivirus pot cere ajutor pe site-ul oficial al dezvoltatorului. A fost găsită și o mică „lacună” - Windows UAC. Dacă utilizatorul face clic pe „Nu” în fereastra care apare în timpul infecției cu virusul, acesta poate restaura ulterior informațiile folosind copii umbre.

Granit

Noul virus ransomware Granit a apărut pe web în toamna anului 2016. Infecția are loc conform următorului scenariu: utilizatorul lansează un program de instalare care infectează și criptează toate datele de pe PC și de unitățile conectate. Combaterea virusului este dificilă. Pentru a-l elimina, puteți folosi utilitare speciale de la Kaspersky, dar codul nu a fost încă decriptat. Restaurarea versiunilor anterioare ale datelor poate ajuta. În plus, un specialist cu experiență vastă poate decripta, dar serviciul este costisitor.

Tyson

A fost vazut recent. Este o extensie a binecunoscutului ransomware no_more_ransom, despre care puteți afla pe site-ul nostru. Ajunge la computerele personale din e-mail. Multe PC-uri corporative au fost atacate. Virusul creează un document text cu instrucțiuni de deblocat, oferindu-se să plătească o „răscumpărare”. Ransomware-ul Tyson a apărut recent, așa că nu există încă o cheie de deblocare. Singura modalitate de a restabili informațiile este să returnați versiunile anterioare dacă acestea nu au fost șterse de un virus. Puteți, desigur, să vă asumați un risc transferând bani în contul indicat de atacatori, dar nu există nicio garanție că veți primi parola.

Spora

La începutul lui 2017, un număr de utilizatori au căzut victime ale noului ransomware Spora. Conform principiului de funcționare, nu diferă mult de omologii săi, dar se mândrește cu o performanță mai profesională: instrucțiunile pentru obținerea unei parole sunt mai bine scrise, site-ul arată mai frumos. Am creat Spora ransomware în limbajul C, folosește o combinație de RSA și AES pentru a cripta datele victimelor. De regulă, computerele pe care este utilizat activ programul de contabilitate 1C au fost atacate. Virusul, ascunzându-se sub pretextul unei simple facturi în format .pdf, obligă angajații companiei să o lanseze. Nu s-a găsit încă un leac.

1C.Scădere.1

Acest virus de criptare pentru 1C a apărut în vara anului 2016, perturbând activitatea multor departamente de contabilitate. A fost dezvoltat special pentru computere care utilizează software 1C. Trecând printr-un fișier într-un e-mail către un computer, acesta solicită proprietarului să actualizeze programul. Indiferent de butonul pe care îl apasă utilizatorul, virusul va începe să cripteze fișierele. Specialiștii Dr.Web lucrează la instrumente de decriptare, dar până acum nu a fost găsită o soluție. Acest lucru se datorează codului complex, care poate fi sub mai multe modificări. Singura protecție împotriva 1C.Drop.1 este vigilența utilizatorilor și arhivarea regulată a documentelor importante.

da_vinci_code

Un nou ransomware cu un nume neobișnuit. Virusul a apărut în primăvara anului 2016. Se deosebește de predecesorii săi prin codul îmbunătățit și modul de criptare puternic. da_vinci_code infectează un computer datorită unei aplicații executabile (de obicei atașată unui e-mail), pe care utilizatorul o lansează independent. Codificatorul da Vinci (codul da vinci) copiază corpul în directorul de sistem și în registru, asigurându-se că pornește automat când Windows este pornit. Fiecărei computere victimei i se atribuie un ID unic (ajută la obținerea parolei). Este aproape imposibil să decriptați datele. Puteți plăti bani atacatorilor, dar nimeni nu vă garantează că veți primi parola.

[email protected] / [email protected]

Două adrese de e-mail care au însoțit adesea ransomware-ul în 2016. Acestea servesc la conectarea victimei cu atacatorul. Adresele au fost atașate la o varietate de tipuri de viruși: da_vinci_code, no_more_ransom și așa mai departe. Nu este foarte recomandat să contactați, precum și să transferați bani către escroci. În majoritatea cazurilor, utilizatorii rămân fără parole. Astfel, arătând că ransomware-ul atacatorilor funcționează, generând venituri.

Breaking Bad

A apărut la începutul anului 2015, dar s-a răspândit activ abia un an mai târziu. Principiul infecției este identic cu al altor ransomware: instalarea unui fișier dintr-un e-mail, criptarea datelor. Antivirusurile convenționale de obicei nu observă virusul Breaking Bad. Unele coduri nu pot ocoli Windows UAC, astfel încât utilizatorul poate încă să restaureze versiunile anterioare ale documentelor. Decodorul nu a fost încă prezentat de nicio companie care dezvoltă software antivirus.

XTBL

Un ransomware foarte comun care a cauzat probleme multor utilizatori. Odată ajuns pe un computer, virusul schimbă extensia fișierului în .xtbl în câteva minute. Este creat un document în care atacatorul stoarce bani. Unele tulpini ale virusului XTBL nu pot distruge fișierele de restaurare a sistemului, permițând recuperarea documentelor importante. Virusul în sine poate fi eliminat de multe programe, dar este foarte dificil să decriptați documentele. Dacă dețineți un antivirus licențiat, utilizați asistența tehnică atașând mostre de date infectate.

Kukaracha

Cifrul Kukaracha a fost depistat în decembrie 2016. Un virus cu un nume interesant ascunde fișierele utilizatorului folosind algoritmul RSA-2048, care este foarte rezistent. Kaspersky Anti-Virus l-a identificat drept Trojan-Ransom.Win32.Scatter.lb. Kukaracha poate fi eliminat de pe computer, astfel încât alte documente să nu fie infectate. Cu toate acestea, cei infectați sunt aproape imposibil de decriptat astăzi (un algoritm foarte puternic).

Cum funcționează ransomware-ul

Există un număr mare de ransomware, dar toate funcționează pe un principiu similar.

1. Acces la un computer personal. De regulă, datorită fișierului atașat la e-mail. Instalarea este inițiată de utilizator însuși prin deschiderea documentului.
2. Infecția fișierului. Aproape toate tipurile de fișiere sunt criptate (în funcție de virus). Este creat un document text care conține contacte pentru comunicarea cu intrușii.
3. Toate. Utilizatorul nu poate accesa niciun document.

Remedii din laboratoarele populare

Utilizarea pe scară largă a ransomware, care este recunoscut drept cea mai periculoasă amenințare la adresa datelor utilizatorilor, a devenit un impuls pentru multe laboratoare antivirus. Fiecare companie populară oferă utilizatorilor săi programe care îi ajută să lupte împotriva ransomware-ului. În plus, multe dintre ele ajută la decriptarea documentelor protejate de sistem.

Kaspersky și viruși de criptare

Unul dintre cele mai cunoscute laboratoare antivirus din Rusia și din lume oferă astăzi cele mai eficiente mijloace de combatere a virușilor ransomware. Primul obstacol pentru virusul ransomware va fi Kaspersky Endpoint Security 10 cu cele mai recente actualizări. Antivirusul pur și simplu nu va permite amenințării să intre în computer (cu toate acestea, versiunile noi ar putea să nu fie oprite). Pentru a decripta informațiile, dezvoltatorul prezintă mai multe utilități gratuite simultan: XoristDecryptor, RakhniDecryptor și Ransomware Decryptor. Ele ajută la găsirea virusului și la preluarea parolei.

Dr. Web și ransomware

Acest laborator recomandă utilizarea programului lor antivirus, a cărui caracteristică principală este backupul fișierelor. Depozitarea cu copii ale documentelor este, de asemenea, protejată de accesul neautorizat al intrușilor. Deținătorii produsului licențiat Dr. Web, funcția de a contacta suportul tehnic pentru ajutor este disponibilă. Adevărat, chiar și specialiștii cu experiență nu pot rezista întotdeauna acestui tip de amenințare.

ESET Nod 32 și ransomware

Nici această companie nu a stat deoparte, oferind utilizatorilor săi o bună protecție împotriva pătrunderii virușilor în computer. În plus, laboratorul a lansat recent un utilitar gratuit cu baze de date actualizate - Eset Crysis Decryptor. Dezvoltatorii susțin că va ajuta în lupta chiar și împotriva celui mai nou ransomware.

Își continuă marșul opresiv pe Web, infectând computere și criptând date importante. Cum să te protejezi de ransomware, să protejezi Windows de ransomware - sunt patch-uri eliberate pentru a decripta și a vindeca fișierele?

Virus nou ransomware 2017 Wanna Cry continuă să infecteze computerele corporative și private. La Prejudiciu de un miliard de dolari din cauza atacului de virus. În 2 săptămâni, virusul ransomware a infectat cel puțin 300 de mii de calculatoareîn ciuda avertismentelor și măsurilor de securitate.

Ce este ransomware 2017- de regulă, puteți „prelua”, s-ar părea, pe cele mai inofensive site-uri, de exemplu, serverele bancare cu acces de utilizator. Odată pe hard disk-ul victimei, ransomware-ul „se instalează” în folderul de sistem System32. De acolo, programul dezactivează imediat antivirusul și merge la „Autorun”". După fiecare repornire, programul de criptare începe în registruîncepându-și treaba murdară. Ransomware-ul începe să descarce copii similare ale unor programe precum Ransom și Troian. De asemenea, se întâmplă des auto-replicare ransomware. Acest proces poate fi momentan sau poate dura săptămâni - până când victima observă că ceva nu este în regulă.

Ransomware-ul se deghizează adesea în imagini obișnuite, fișiere text, dar esența este întotdeauna aceeași - acesta este un fișier executabil cu extensia .exe, .drv, .xvd; uneori - biblioteci.dll. Cel mai adesea, fișierul are un nume complet inofensiv, de exemplu " document. doc", sau " imagine.jpg”, unde extensia este scrisă manual, și tipul de fișier adevărat este ascuns.

După ce criptarea este finalizată, utilizatorul vede în loc de fișiere familiare un set de caractere „aleatorie” în nume și în interior, iar extensia se schimbă într-o versiune necunoscută până acum - .NO_MORE_RANSOM, .xdata si altii.

2017 Wanna Cry ransomware virus – cum să te protejezi. Aș dori să observ imediat că Wanna Cry este mai degrabă un termen colectiv pentru toți virușii ransomware și ransomware, deoarece recent a infectat computerele cel mai des. Deci, hai să vorbim despre Protejați-vă de ransomware-ul Ransom Ware, dintre care există o mulțime: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Cum să protejați Windows de ransomware. – EternalBlue prin protocolul portului SMB.

Protecție împotriva ransomware-ului Windows 2017 - reguli de bază:

• Actualizare Windows, tranziție în timp util la un sistem de operare licențiat (Notă: versiunea XP nu este actualizată)
• actualizarea bazelor de date antivirus și a firewall-urilor la cerere
• atenție maximă atunci când descărcați orice fișiere („pisicile” drăguțe pot duce la pierderea tuturor datelor)
• copierea de rezervă a informațiilor importante pe suporturi amovibile.

Virusul ransomware 2017: cum să vindeci și să decriptezi fișierele.

Bazându-vă pe software-ul antivirus, puteți uita de decriptor pentru un timp. În laboratoare Kaspersky, Dr. Web, Avast! si alte antivirusuri nu s-a găsit nicio soluție pentru vindecarea fișierelor infectate. În acest moment, este posibil să eliminați virusul folosind un antivirus, dar încă nu există algoritmi care să revină totul „la normal”.

Unii încearcă să folosească decriptoare precum utilitarul RectorDecryptor dar asta nu va ajuta: algoritmul pentru decriptarea noilor viruși nu a fost încă compilat. De asemenea, este absolut necunoscut cum se va comporta virusul dacă nu este eliminat după utilizarea unor astfel de programe. Adesea, acest lucru poate duce la ștergerea tuturor fișierelor - ca avertisment pentru cei care nu vor să plătească atacatorii, autorii virusului.

În prezent, cea mai eficientă modalitate de a recupera datele pierdute este să îi contactați. suport de la furnizorul programului antivirus pe care îl utilizați. Pentru a face acest lucru, trimiteți o scrisoare sau utilizați formularul de feedback de pe site-ul web al producătorului. Asigurați-vă că adăugați fișierul criptat în atașament și, dacă există, o copie a originalului. Acest lucru îi va ajuta pe programatori să elaboreze algoritmul. Din păcate, pentru mulți, un atac de virus vine ca o surpriză completă, iar copiile nu sunt găsite, ceea ce complică uneori situația.

Metode cardiace de tratare a Windows de la ransomware. Din păcate, uneori trebuie să apelezi la formatarea completă a hard disk-ului, ceea ce presupune o schimbare completă a sistemului de operare. Mulți se vor gândi la restaurarea sistemului, dar aceasta nu este o opțiune - chiar și există o „retroducere” care vă va permite să scăpați de virus, apoi fișierele vor rămâne în continuare criptate.

Pe 12 aprilie 2017, au apărut informații despre răspândirea rapidă a unui virus de criptare numit WannaCry în întreaga lume, care poate fi tradus prin „Vreau să plâng”. Utilizatorii au întrebări despre actualizarea Windows de la virusul WannaCry.

Un virus pe ecranul unui computer arată astfel:

Virusul rău WannaCry care criptează totul

Virusul criptează toate fișierele de pe computer și solicită o răscumpărare de 300 sau 600 USD pentru portofelul Bitcoin pentru a decripta computerul. Calculatoarele din 150 de țări ale lumii au fost infectate, cea mai afectată fiind Rusia.

MegaFon, Căile Ferate Ruse, Ministerul Afacerilor Interne, Ministerul Sănătății și alte companii s-au întâlnit față în față cu acest virus. Printre victime se numără utilizatori obișnuiți de internet.

Aproape toți sunt egali în fața virusului. Diferența, poate, este că în companii virusul se răspândește în rețeaua locală din cadrul organizației și infectează instantaneu numărul maxim posibil de computere.

Virusul WannaCry criptează fișierele de pe computerele care rulează Windows. În martie 2017, Microsoft a lansat actualizările MS17-010 pentru diferite versiuni de Windows XP, Vista, 7, 8, 10.

Se pare că cei care au configurate actualizări automate de Windows sunt în afara zonei de risc pentru virus, deoarece au primit actualizarea în timp util și au reușit să o evite. Nu voi pretinde că acesta este de fapt cazul.

Orez. 3. Mesaj la instalarea actualizării KB4012212

După instalare, actualizarea KB4012212 a necesitat o repornire a laptopului, ceea ce nu mi-a plăcut foarte mult, pentru că nu se știe cum s-ar putea termina, dar unde ar trebui să meargă utilizatorul? Cu toate acestea, repornirea a mers bine. Asta înseamnă că trăim în pace până la următorul atac de virus și, din păcate, nu există nicio îndoială că astfel de atacuri vor avea loc.

În orice caz, este important să aveți un loc din care să restaurați sistemul de operare și fișierele dvs.

Actualizare Windows 8 de la WannaCry

Pentru un laptop cu Windows 8 licențiat, actualizarea KB 4012598 a fost instalată, deoarece