Quien atrapó el círculo del virus. VIRUS-CRIPTER. Cómo eliminar el virus y restaurar archivos cifrados. Consecuencias generales de penetrar todos los virus de este tipo.

Durante décadas, los ciberdelincuentes utilizaron con éxito deficiencias y vulnerabilidades en la World Wide Web. Sin embargo, en los últimos años, un aumento explícito en el número de ataques, así como el crecimiento de sus atacantes, se vuelven más peligrosos, y los programas maliciosos se distribuyen por tal ritmo que nunca antes se había visto.

Introducción

Será sobre los programas exorbitantes que cometieron un salto impensable en 2017, causando daños a miles de organizaciones de todo el mundo. Por ejemplo, en Australia, ataca a los extorsionistas como Wannacry y NotPetya incluso causó preocupación por el nivel del gobierno.

Sumando el "éxito" de los extorsiones de malicia este año, consideraremos los 10 más peligrosos, lo que causó el mayor daño a las organizaciones. Esperemos que el próximo año hayamos aprendido lecciones y no permita que la penetración en nuestras redes sea un problema de este tipo.

NOTETYA.

El ataque de este extinto comenzó con el programa de informes contables de Ucrania m.e.doc, que reemplaza 1c prohibido en Ucrania. En pocos días, NotPety ha infectado a cientos de miles de computadoras en más de 100 países. Esta malicia es la opción de un extorsionador de Petya más antiguo, se distinguen por el hecho de que en los ataques NOTETYA, se utilizó la misma explotación como en los ataques de Wannacry.

A medida que se extiende, NotPety ha afectado a varias organizaciones en Australia, por ejemplo, Fábrica de Chocolate de Cadbury en Tasmania, quien tuvo que cerrar temporalmente todo el sistema de TI. Además, también fue posible penetrar en el barco de contenedores más grande del mundo que pertenece a Maersk, que, según informes, se perdió a 300 millones de dólares de ingresos.

Quiero llorar.

Este terrible extorsionista prácticamente capturó a todo el mundo. En sus ataques utilizó el infame EternalBlue Exploit, que opera la vulnerabilidad en el protocolo Microsoft Server Message Block (SMB).

Wannacry infectó a las víctimas en 150 países y más de 200,000 autos solo el primer día. Hemos publicado este sensacional malicioso.

Locky

Locky fue el exorbitista más popular en 2016, pero no se detuvo válido y en 2017. Las nuevas opciones para Lockyy, que recibieron los nombres de Diablo y Lukitus, surgieron este año, utilizando el mismo vector de ataque (phishing) para usar las explotaciones.

Era Locky quien estaba detrás del escándalo asociado con el fraude por correo electrónico en el correo de Australia. Según la Comisión Australiana sobre la Competencia y la Protección del Consumidor, los ciudadanos han perdido más de 80,000 dólares debido a esta estafa.

Crisis

Esta instancia se distinguió al taller utilizando el protocolo de escritorio remoto, RDP. RDP es uno de los métodos más populares para la propagación de extorsiones, ya que, por lo tanto, los ciberdelincuentes pueden comprometer las máquinas que controlan a las organizaciones completas.

Las víctimas de Crysis se vieron obligadas a pagar de $ 455 a $ 1022 para restaurar sus archivos.

Nemucod.

Nemucod se aplica con una carta de phishing, que parece una factura para los servicios de transporte. Esta extorsión está cargando archivos maliciosos almacenados en sitios web hackeados.

Sobre el uso de letras de phishing, Nemucod es inferior solo para bloqueo.

Jadear

Jaff es similar al bloqueo y utiliza métodos similares. Este extorsionista no es notable para los métodos originales de distribución o archivos de cifrado, y viceversa - combina las prácticas más exitosas.

Detrás de él, los atacantes exigieron hasta $ 3,700 para acceder a los archivos encriptados.

Spora.

Para distribuir este tipo de programa exorbitable, los ciberdelincuentes agrietan los sitios legítimos, agregando un código JavaScript para ellos. Los usuarios que cayeron a un sitio de este tipo mostrarán una advertencia emergente que ofrece para actualizar el navegador de Chrome para continuar viendo el sitio. Después de descargar el llamado Paquete de Fuentes de Chrome, los usuarios han infectado a Spora.

Cerber

Uno de los numerosos vectores de ataque que utiliza Cerber se llama RAAS (Ransomware-AS-A-Service). Según este esquema, los atacantes se ofrecen para pagar la distribución del Troján, prometiendo el porcentaje del dinero recibido. Gracias a este "servicio", los ciberdelincuentes envían un extorsionista, y luego proporcionan a otros atacantes a distribuir herramientas.

Criptomix.

Este es uno de los pocos extorsionistas que no tienen un cierto portal de pago disponible dentro de Darcweb. Los usuarios afectados deben esperar cuando los ciberdelincuentes les enviarán instrucciones de correo electrónico.

Las víctimas de Cryptomix eran usuarios de 29 países, se vieron obligados a pagar hasta $ 3,000.

Rompecabezas.

Otra cosa maliciosa de la lista, que comenzó sus actividades en 2016. Jigsaw inserta una imagen de payaso de una serie de películas "SAW" en letras electrónicas de spam. Tan pronto como el usuario presione la imagen, el extorsionista no solo cifra, sino que también elimina los archivos si el usuario está demasiado apretado con el pago del rescate, cuyo tamaño es de $ 150.

conclusiones

Como vemos, las amenazas modernas utilizan hazañas cada vez más sofisticadas contra redes bien protegidas. A pesar del hecho de que la conciencia elevada entre los empleados ayuda a hacer frente a las consecuencias de las infecciones, las empresas deben ir más allá de los estándares básicos de la ciberseguridad para protegerse a sí mismos. Para proteger contra las amenazas modernas, se necesitan enfoques proactivos utilizando capacidades de análisis en tiempo real basadas en el mecanismo de aprendizaje, que incluye una comprensión del comportamiento y el contexto de las amenazas.

Continuando con su procesión deprimente sobre la red, infectando computadoras y cifrando datos importantes. ¿Cómo protegerse del círculo, proteja a Windows desde el extorsionador: son parches, los parches se liberan para descifrar y curar archivos?

NUEVO VIRUS-CIRPTER 2017 QUIERE LLORAR Continúa infectando PC corporativo y privada. W. scherb del ataque viral tiene 1 mil millones de dólares.. Durante 2 semanas, el círculo del virus infectado al menos 300 mil computadorasA pesar de las advertencias y medidas de seguridad.

Año de cifrado de virus 2017 que es - Como regla general, puede "recoger", parecería, en los sitios más inofensivos, como servidores bancarios con acceso al usuario. Una vez en el disco duro de la víctima, el cifrado "se establece" en el sistema de carpetas del sistema32. Desde allí, el programa se apaga inmediatamente del antivirus y cae en "autorrun" Después de cada reinicio, el programa de cifrado. corre en el registro, Comenzando su negocio negro. Encrypter comienza a descargar copias similares de programas como RANSOM y TROJAN. También sucede a menudo cifrado de auto-evaporación. Este proceso puede acortarse, y puede ocurrir semanas, hasta que la víctima elimine a los distintos.

El círculo a menudo se enmascara en imágenes ordinarias, archivos de texto, pero la esencia siempre está sola. estos son archivos ejecutables con extension.exe, .drv, .xvd; algunas veces - bibliotecas.dll.. La mayoría de las veces el archivo es bastante inofensivo, por ejemplo " documento. DOC", o " foto.jpg.", Donde la extensión está escrita manualmente, y el verdadero tipo de archivo está oculto..

Después de completar el cifrado, el usuario ve en lugar de archivos familiares un conjunto de caracteres "aleatorios" en el título y dentro, y la expansión cambia a lo más desconocido. .No_More_Ransom, .xdata. otro.

Virus-Encrypter 2017 quiere llorar - Cómo protegerse. Me gustaría señalar de inmediato que quiere llorar es más bien un término colectivo de todos los virus de encriptadores y extorsiones, ya que las computadoras infectadas últimamente más a menudo. Entonces, será sobre S pregunte a Ransom Ware Encrypters, que son un gran conjunto: Breaking.DAD, NO_MORE_RANSOM, XDATA, XTBL, WANNA LLOR.

Cómo proteger Windows desde el cifrado.EternalBlue a través del protocolo Puerto SMB.

Protección de Windows desde el cifrado 2017 - Reglas básicas:

  • actualización de Windows, Transición oportuna al sistema operativo con licencia (Nota: la versión XP no se actualiza)
  • actualización de bases de datos antivirus y firewalls a pedido
  • limite la atención al descargar cualquier archivo (lindos "gatos" puede convertirse en la pérdida de todos los datos)
  • copia de seguridad de información importante sobre el transportista reemplazable.

Virus-Encrypter 2017: Cómo curar y descifrar archivos.

Esperando el software antivirus, puede olvidarse del decodificador por un tiempo. En laboratorios Kaspersky, Dr. Web, Avast! y otros antivirus mientras no hay solución para el tratamiento de archivos infectados.. En este momento, es posible eliminar el virus con la ayuda del antivirus, pero los algoritmos no devuelven todo "a los círculos".

Algunos están tratando de aplicar la utilidad rectorcryptor.Pero no ayudará: algoritmo para descifrar nuevos virus aún no se ha compilado. También es absolutamente desconocido cómo se comporta el virus si no se elimina, después de aplicar dichos programas. A menudo, puede convertirse en borrado de todos los archivos, en la edificación de aquellos que no quieren pagar por los atacantes, los autores del virus.

En este momento, la forma más eficiente de devolver los datos perdidos es una apelación a aquellos. Soporte para el proveedor del programa antivirus que está utilizando. Para hacer esto, envíe una carta o use el formulario para comentarios en el sitio web del fabricante. En el Anexo, asegúrese de agregar un archivo cifrado y, si hay una copia del original. Esto ayudará a programadores en la compilación del algoritmo. Desafortunadamente, para muchos, el ataque viral se convierte en una completa sorpresa, y las copias no son, a veces, complica la situación.

Métodos cardianos de tratamiento de Windows desde el cifrado. Desafortunadamente, a veces tiene que recurrir al formato completo del disco duro, que conlleva el cambio completo del sistema operativo. Muchas personas serán restauradas por el sistema, pero esto no es una salida, incluso si hay una "reversión" se librará del virus, los archivos seguirán siendo cruzados.

La ola de Wannacry rodó alrededor de la Wannacry (otros nombres de Wana Decritpt0r, WANA Decryptor, Wanacrypt0r), que encripta documentos en la computadora y extorsiona 300-600 USD para decodificarlos. ¿Cómo averiguar si la computadora está infectada? ¿Qué hay que hacer para no convertirse en una víctima? ¿Y qué hacer para curar?

Después de instalar actualizaciones, la computadora deberá sobrecargarse.

¿Cómo curar de WANA Decritpt0r círculo del virus?

Cuando la utilidad antivirus detecta el virus, ella lo eliminará de inmediato, o le pedirá que se traten o no? La respuesta es tratar.

¿Cómo restaurar los archivos de descifrado cifrados de WANA?

No podemos decir nada reconfortante en este momento. Mientras se ha creado la herramienta de descifrado de archivos. Si bien sigue siendo solo esperar, cuando se diseñó la descifrado.

Según Brian Krebs, expertos en seguridad informática, en este momento, los delincuentes recibieron solo 26'000 USD, es decir, solo alrededor de 58 personas acordaron pagar la redención de los extorsores. Ya sea que restauren sus documentos al mismo tiempo, nadie lo sabe.

¿Cómo detener la propagación del virus en la red?

En el caso de WANNACRY, la solución al problema puede ser bloquear el puerto 445 en el firewall (firewall) a través del cual está infectado.

Las tecnologías modernas permiten que los piratas informáticos mejoren constantemente los métodos de fraude en relación con los usuarios comunes. Como regla general, para estos fines, se utiliza el software viral, penetrando en la computadora. Los virus cifrados son particularmente peligrosos. La amenaza es que el virus se propaga muy rápidamente, cifrando archivos (el usuario simplemente no puede abrir un documento único). Y si es bastante simple, entonces mucho más difícil descifrar los datos.

Qué hacer si el virus encriptó los archivos en la computadora.

Cada uno, incluso los usuarios que tienen un poderoso software antivirus están asegurados al atacar un cifrado. Los encriptores de archivos de troyanos están representados por varios códigos, que pueden no estar bajo el antivirus. Los hackers incluso logran atacar a una gran compañía que no se encargó de la protección necesaria de su información. Por lo tanto, "Picando" en línea el cifrado del programa, es necesario tomar una serie de medidas.

Los principales signos de infección: el trabajo lento de la computadora y cambiando los nombres de los documentos (puede notar en el escritorio).

  1. Reinicie la computadora para interrumpir el cifrado. Cuando se enciende, no confirme el lanzamiento de programas desconocidos.
  2. Ejecute el antivirus si no ha sido atacado en un círculo.
  3. Las copias ayudarán a restaurar información en algunos casos. Para encontrarlos, abra las "propiedades" del documento cifrado. Este método funciona con datos de expansión de bóveda cifrados, que es información sobre el portal.
  4. Descargue la utilidad de la última versión para combatir los virus-encriptores. Las ofertas más efectivas de Kaspersky Lab.

Virus de cáliz en 2016: Ejemplos

Cuando se trata de un ataque viral, es importante comprender que el código está cambiando muy a menudo, complementado con la nueva protección contra los antivirus. Por supuesto, los programas de protección necesitan algún tiempo, ya que el desarrollador no actualiza la base. Hemos seleccionado los virus más peligrosos: encriptores de los últimos tiempos.

Ishtar ransomware

Ishtar - Encryptionman extorsionando dinero del usuario. El virus se vio en el otoño de 2016, infectado con una gran cantidad de usuarios de usuarios de Rusia y varios otros países. Se aplica con la ayuda de la distribución de correo electrónico, en la que se presentan los documentos anidados (instaladores, documentos, etc.). Ishtar infectado con Encrypperer se obtiene en nombre de la consola "Ishtar". El proceso crea un documento de prueba en el que se indica dónde buscar la contraseña. Los atacantes requieren de 3,000 a 15,000 rublos para ello.

El peligro del virus ishtar es que hoy en día no hay descifertante que ayude a los usuarios. Empresas involucradas en la creación del software antivirus, es necesario descifrar todo el código. Ahora solo puede aislar información importante (si son de particular importancia) a un medio separado, esperando la salida de la utilidad capaz de descifrar los documentos. Se recomienda reinstalar el sistema operativo.

Neitrino.

El círculo de Neitrino apareció en los espacios públicos en 2015. Sobre el principio de ataques similares a otros virus de esta categoría. Cambia los nombres de carpetas y archivos agregando "Neitrino" o "Neutrino". Decifracciones El virus está con dificultad, no todos los representantes de las compañías antivirus se toman para esto, refiriéndose a un código muy complejo. Algunos usuarios pueden ayudar a restaurar la copia de la sombra. Para hacer esto, haga clic con el botón derecho en el documento cifrado, vaya a Propiedades, la pestaña Versión anterior, haga clic en Restaurar. No será superfluo utilizar la utilidad gratuita del Laboratorio de Kaspersky.

Billetera o .wallet.

El virus de la billetera apareció a fines de 2016. En el proceso de infección, cambia el nombre de los datos al "nombre..wallet" o similar. Al igual que la mayoría de los virus del cifrado, ingresa al sistema a través de archivos adjuntos en correos electrónicos que son enviados por intrusos. Dado que la amenaza apareció recientemente, los programas antivirus no lo notan. Después de que el cifrado crea un documento en el que el estafador indica el correo para comunicarse. Actualmente, los desarrolladores de software antivirus están trabajando para descifrar el código de virus del cizcle [Correo electrónico protegido] Los usuarios de ataque solo pueden esperar. Si los datos son importantes, se recomienda guardarlos en una unidad externa, borrar el sistema.

Enigma.

El cifrado de virus enigma comenzó a infectar computadoras de usuarios rusos a fines de abril de 2016. Se utiliza el modelo de cifrado AES-RSA, que se encuentra en la mayoría de los virus exorbitables. El virus ingresa a la computadora con la ayuda de un script que el propio usuario comienza abriendo los archivos de un correo electrónico sospechoso. Todavía no hay una herramienta universal para combatir el cifrado enigma. Los usuarios autorizados con antivirus pueden solicitar ayuda en el sitio web oficial del desarrollador. También encontró una pequeña "laguna" - UAC de Windows. Si el usuario hace clic en "No" en la ventana, que aparece en el proceso de infección con el virus, podrá restaurar la información posteriormente utilizando copias de sombra.

Granit.

El nuevo granito del reglipo de virus apareció en el otoño de 2016. La infección ocurre en el siguiente script: el usuario inicia un instalador que infecta y encripta todos los datos en la PC, así como las unidades conectadas. La lucha con el virus es difícil. Para eliminar, puede usar utilidades especiales de Kaspersky, pero no ha podido descifrar el código. Tal vez ayude a la restauración de versiones anteriores de datos. Además, un especialista que tiene mucha experiencia puede descifrar, pero el servicio es caro.

Tyson.

Recientemente fue visto. Es una extensión del creatipo ya conocido no_more_ransom, que puede conocer nuestro sitio. Entra en las computadoras personales desde el correo electrónico. Mucha PC corporativa ha sido atacada. El virus crea un documento de texto con instrucciones para desbloquear, ofreciendo pagar "rescate". El círculo de Tyson apareció recientemente, por lo que no hay clave para desbloquear aún. La única forma de restaurar la información es devolver las versiones anteriores si no son eliminadas por el virus. Por supuesto, puede, por supuesto, tomar una oportunidad, transferir dinero a la puntuación especificada por los atacantes, pero no hay garantía de que recibirá una contraseña.

Spora.

A principios de 2017, varios usuarios se convirtieron en víctima del nuevo cálculo de Spora. Según el principio de operación, no es muy diferente de su compañero, pero cuenta con un rendimiento más profesional: la instrucción sobre cómo obtener una contraseña está mejor compilada, el sitio web se ve más hermoso. Una pantalla de cifrado de virus Spora en C, utiliza una combinación de RSA y AES para cifrar los datos de la víctima. El ataque era generalmente computadoras en las que se utiliza activamente el programa de contabilidad 1C. El virus, ocultando bajo el disfraz de una cuenta simple en format.pdf, obliga a los empleados de las empresas a ejecutarla. El tratamiento aún no se ha encontrado.

1c.drop.1.

Este cifrado de virus es para 1C apareció en el verano de 2016, violando el trabajo de muchos contables. Diseñado fue diseñado específicamente para computadoras utilizando software 1C. Encontrar a través del archivo en un correo electrónico a la PC, ofrece al propietario para actualizar el programa. Independientemente de lo que el usuario haga clic en el virus, el virus comenzará el cifrado. Los expertos "Dr.Web" trabajan en las herramientas de descifrado, pero aún no se han encontrado. Similar a ese código complejo que puede estar en varias modificaciones. La protección de 1C.Drop.1 es solo la vigilancia de los usuarios y el archivo regular de documentos importantes.

cÓDIGO DA VINCI.

Nuevo cifrado con un nombre inusual. Un virus apareció en la primavera de 2016. Los predecesores se caracterizan por el mejor código y el modo de cifrado resistente. DA_VINGI_CODE infecta una computadora gracias a la solicitud ejecutiva (adjunta, como regla general, a un correo electrónico), que el usuario comienza de manera independiente. CIENTO DE CÓDIGO DE DA VINCI (CÓDIGO DE DA VICIDI) Copia el cuerpo al directorio del sistema y al registro, proporcionando un inicio automático cuando se enciende Windows. Se asigna una identificación única a la computadora de cada víctima (ayuda a obtener una contraseña). Es casi imposible descifrar los datos. Puede pagar dinero a los intrusos, pero nadie garantiza la contraseña.

[Correo electrónico protegido] / [Correo electrónico protegido]

Dos direcciones de correo electrónico, que a menudo estaban acompañadas por virus cifrados en 2016. Son ellos los que sirven para comunicar a la víctima con un atacante. Las direcciones a los tipos más diferentes de virus se adjuntan: da_vinci_code, no_more_ransom y así sucesivamente. Es extremadamente recomendable comunicarse, así como transferir dinero a los estafadores. Los usuarios en la mayoría de los casos permanecen sin contraseñas. Por lo tanto, demostrando que los encriptores de los intrusos trabajan, lo que trae ingresos.

Breaking Bad.

Apareció a principios de 2015, pero se extiende activamente solo en un año. El principio de infección es idéntico a otros encriptadores: instalación de un archivo de un correo electrónico, cifrado de datos. Los antivirus ordinarios, como regla general, no notan el mal virus. Algún código no puede afectar a Windows UAC, por lo que el usuario tiene la oportunidad de restaurar las versiones anteriores de los documentos. El descifrador aún no ha introducido una sola compañía que desarrolla software antivirus.

Xtbl

Encrypedman muy común, que entregó problemas a muchos usuarios. Encontrar en la PC, el virus en cuestión de minutos cambia la extensión de los archivos por NTBL. Se crea un documento en el que el atacante extorsiona el dinero. Algunas variedades del virus de XTBL no pueden destruir los archivos para restaurar el sistema, lo que le permite devolver los documentos importantes. El propio virus puede ser eliminado por muchos programas, pero es muy difícil descifrar los documentos. Si es el propietario de un antivirus con licencia, use el soporte técnico al adjuntar muestras de datos infectados.

Kukaracha.

El círculo de Cacaracha fue visto en diciembre de 2016. El virus con un nombre interesante esconde los archivos de usuario con el algoritmo RSA-2048, que se caracteriza por una alta resistencia. Kaspersky Anti-Virus lo designó como troyan-ransom.win32.scatter.lb. Kukaracha se puede quitar de la computadora para que la infección no esté sujeta a otros documentos. Sin embargo, infectado hoy es casi imposible de descifrar (un algoritmo muy poderoso).

¿Cómo funciona un reglipo de virus?

Hay una gran cantidad de encriptadores, pero todos trabajan de acuerdo con un principio similar.

  1. Ingresando a una computadora personal. Como regla general, gracias al archivo adjunto a un correo electrónico. La instalación incluye el propio usuario abriendo el documento.
  2. Infección de archivos. Commicamente, todos los tipos de tipos de archivos están sujetos a cifrado (dependiendo del virus). Se crea un documento de texto en el que se indican los contactos para comunicarse con los intrusos.
  3. Todo. El usuario no puede acceder a ningún documento.

Medios de lucha de laboratorios populares.

Los titulares de encriptación generalizados que se reconocen como las amenazas más peligrosas para los datos de los usuarios se han convertido en un impulso para muchos laboratorios antivirus. Cada compañía popular proporciona a sus usuarios programas para ayudar a combatir los encriptadores. Además, muchos de ellos ayudan a descifrar documentos de protección de documentos.

Los virus de Kaspersky y encrybers.

Uno de los laboratorios antivirus más famosos de Rusia y el mundo ofrece hoy los medios más efectivos para combatir virus extustratorios. La primera barrera para el virus de cifrado será Kaspersky Endpoint Security 10 con las últimas actualizaciones. El antivirus simplemente no se perderá una amenaza para la computadora (sin embargo, las nuevas versiones pueden no parar). Para descifrar la información, el desarrollador presenta directamente varias utilidades gratuitas: xoristdecryptor, RakhnideCryptor y Ransomware Decryptor. Ayudan a encontrar un virus y recoger la contraseña.

Dr. Web y encriptadores

Este laboratorio recomienda utilizar su programa antivirus, cuya característica principal ha sido reservada. Almacenamiento con copias de documentos, además, protegidas del acceso no autorizado de los atacantes. Propietarios del producto autorizado Dr. La web está disponible para asistencia en soporte técnico. Los profesionales verdaderos y experimentados no siempre pueden resistir este tipo de amenazas.

ESET NUST 32 y encriptadores

Al mismo tiempo, esta compañía no se mantuvo, proporcionando a sus usuarios una buena protección contra la penetración de virus a una computadora. Además, el laboratorio lanzó recientemente una utilidad gratuita con bases de datos relevantes: Eset Crysis Decryptor. Los desarrolladores declaran que ayudará en la lucha, incluso con los encriptadores más nuevos.