Wanna Cry file encryptor virus - cum să te protejezi și să salvezi datele. O nouă modalitate de a vă proteja împotriva virușilor ransomware Merită să plătiți bani atacatorilor?

Timp de decenii, infractorii cibernetici au exploatat cu succes defecte și vulnerabilități în World wide web. Cu toate acestea, în ultimii ani s-a înregistrat o creștere clară a numărului de atacuri, precum și o creștere a nivelului acestora - atacatorii devin din ce în ce mai periculoși și malware-ul se răspândește într-un ritm nemaivăzut până acum.

Introducere

Vorbim despre ransomware, care a făcut un salt incredibil în 2017, provocând daune mii de organizații din întreaga lume. De exemplu, în Australia, atacurile ransomware precum WannaCry și NotPetya au provocat chiar îngrijorare la nivel guvernamental.

Rezumând „succesele” malware-ului ransomware din acest an, ne vom uita la cele mai periculoase 10 care au cauzat cele mai mari daune organizațiilor. Să sperăm că anul viitor ne vom învăța lecțiile și vom împiedica acest tip de problemă să intre în rețelele noastre.

Nu Petya

Atacul acestui ransomware a început cu programul de contabilitate ucrainean M.E.Doc, care a înlocuit 1C, care a fost interzis în Ucraina. În doar câteva zile, NotPetya a infectat sute de mii de computere în peste 100 de țări. Acest malware este o variantă a unui program mai vechi Ransomware Petya, singura diferență dintre ele este că atacurile NotPetya au folosit același exploit ca și atacurile WannaCry.

Pe măsură ce NotPetya s-a răspândit, a afectat mai multe organizații din Australia, cum ar fi fabrica de ciocolată Cadbury din Tasmania, care a trebuit să-și închidă temporar întregul sistem IT. De asemenea, ransomware-ul a reușit să se infiltreze în cea mai mare navă container din lume, deținută de Maersk, care ar fi pierdut venituri de până la 300 de milioane de dolari.

Vreau să plâng

Acest ransomware, teribil în amploarea sa, practic a pus stăpânire pe întreaga lume. Atacurile sale au folosit infamul exploit EternalBlue, care exploatează o vulnerabilitate din protocol Microsoft Server Bloc de mesaje (SMB).

WannaCry a infectat victime în 150 de țări și peste 200.000 de mașini doar în prima zi. Am publicat acest malware senzațional.

Locky

Locky a fost cel mai popular ransomware în 2016, dar a continuat să funcționeze în 2017. Noi variante de Locky, numite Diablo și Lukitus, au apărut în acest an folosind același vector de atac (phishing) pentru a lansa exploit-uri.

Locky a fost cel care a fost în spatele scandalului de fraudă prin e-mail la Australia Post. Potrivit Comisiei Australiane pentru Concurență și Consumatori, cetățenii au pierdut peste 80.000 de dolari din cauza acestei înșelătorii.

CrySis

Această instanță s-a remarcat prin utilizarea sa magistrală a Protocolului Remote Desktop (RDP). RDP este una dintre cele mai populare metode de distribuire a ransomware, deoarece permite criminalilor cibernetici să compromită mașinile care controlează organizații întregi.

Victimele CrySis au fost forțate să plătească între 455 și 1.022 USD pentru a-și recupera fișierele.

Nemucod

Nemucod este distribuit folosind un e-mail de phishing care arată ca o factură pentru servicii de transport. Acest ransomware descarcă fișiere rău intenționate stocate pe site-uri web piratate.

În ceea ce privește utilizarea e-mailurilor de tip phishing, Nemucod este al doilea după Locky.

Jaff

Jaff este similar cu Locky și folosește tehnici similare. Acest ransomware nu se remarcă prin metodele sale originale de răspândire sau criptare a fișierelor, ci, dimpotrivă, combină cele mai de succes practici.

Atacatorii din spatele ei au cerut până la 3.700 de dolari pentru acces la fișierele criptate.

Spora

Pentru a răspândi acest tip de ransomware, infractorii cibernetici piratau site-uri web legitime prin adăugare Cod JavaScript. Utilizatorii care ajung pe un astfel de site vor vedea un avertisment pop-up care îi va cere să actualizeze. browser Chrome pentru a continua navigarea pe site. După descărcarea așa-numitului Chrome Font Pack, utilizatorii au fost infectați cu Spora.

Cerber

Unul dintre numeroșii vectori de atac pe care îi folosește Cerber se numește RaaS (Ransomware-as-a-Service). Conform acestei scheme, atacatorii se oferă să plătească pentru distribuirea troianului, promițând un procent din banii primiți. Datorită acestui „serviciu”, infractorii cibernetici trimit ransomware și apoi oferă altor atacatori instrumentele pentru a-l distribui.

Cryptomix

Acesta este unul dintre puținele ransomware care nu are un anumit tip de portal de plată disponibil în dark web. Utilizatorii afectați trebuie să aștepte ca infractorii cibernetici să le trimită e-mail instrucţiuni.

Utilizatorii din 29 de țări au fost victime ale Cryptomix-ului, au fost obligați să plătească până la 3.000 USD.

Jigsaw

Un alt malware din lista care și-a început activitatea în 2016. Jigsaw inserează o imagine a clovnului din seria de filme Saw în e-mailurile spam. De îndată ce utilizatorul face clic pe imagine, ransomware-ul nu numai că criptează, ci și șterge fișierele dacă utilizatorul întârzie prea mult să plătească răscumpărarea de 150 USD.

Concluzii

După cum vedem, amenințările moderne folosesc exploit-uri din ce în ce mai sofisticate împotriva rețelelor bine protejate. În timp ce creșterea gradului de conștientizare în rândul angajaților poate ajuta la gestionarea impactului infecțiilor, companiile trebuie să depășească standardele de bază de securitate cibernetică pentru a se proteja. Apărarea împotriva amenințărilor actuale necesită abordări proactive care să folosească analiza în timp real, alimentată de un motor de învățare care include înțelegerea comportamentului și contextului amenințărilor.

Noul malware ransomware WannaCry (care are și o serie de alte nume - WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. . După cum a devenit clar, companiile din zeci de țări s-au trezit într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.

De ce este WannaCry periculoasă? Virusul criptează fișierele diverse tipuri(primind extensia .WCRY, fișierele devin complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile fișierele nu vor mai fi decriptabile.

Calculatoarele bazate pe operare riscă să fie infectate cu virusul ransomware WannaCry. sisteme Windows. Dacă utilizați versiuni licențiate de Windows și vă actualizați în mod regulat sistemul, nu trebuie să vă faceți griji că un virus va pătrunde în sistemul dumneavoastră în acest fel.

Utilizatori MacOS, ChromeOS și Linux, precum și sisteme de operare mobile sisteme iOSŞi Atacurile Android WannaCry nu este deloc ceva de care să-ți fie frică.

Ce să faci dacă ești victima WannaCry?

Agenția Națională a Crimei (NCA) din Marea Britanie recomandă ca întreprinderile mici care au fost victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online ar trebui să ia următoarele măsuri:

  • Izolați-vă imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
  • Schimbați driverele.
  • Fără să te conectezi la Rețele Wi-Fi, conectați-vă computerul direct la Internet.
  • Actualizare sistem de operareși toate celelalte programe software.
  • Actualizați și rulați software-ul antivirus.
  • Reconectați-vă la rețea.
  • Monitorizați trafic de rețeași/sau rulați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.

Important!

Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția atacatorilor. Așa că nu vă pierdeți timpul și banii cu acei „genii IT” care promit să vă salveze de această durere de cap.

Merită să plătiți bani atacatorilor?

Primele întrebări puse de utilizatorii care se confruntă cu noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere: să plătească bani extortionistului sau nu? Deoarece utilizatorii au adesea ceva de pierdut (computerele stochează documente personaleși arhive foto), chiar apare dorința de a rezolva o problemă cu bani.

Dar NCA îndeamnă cu tărie Nuplăti bani. Dacă decideți să faceți acest lucru, țineți cont de următoarele:

  • În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
  • În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
  • În al treilea rând, cel mai probabil veți da pur și simplu banii infractorilor cibernetici.

Cum să te protejezi de WannaCry?

Vyacheslav Belashov, șeful departamentului de implementare a sistemelor de securitate a informațiilor la SKB Kontur, explică ce acțiuni trebuie întreprinse pentru a preveni infectarea cu virusul:

Particularitatea virusului WannaCry este că poate pătrunde într-un sistem fără intervenția umană, spre deosebire de alți viruși de criptare. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să urmeze un link dubios dintr-un e-mail care nu i-a fost de fapt destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, se exploatează o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, computerele pornite Bazat pe Windows, pe care nu au fost instalate actualizările din 14 martie 2017. O persoană infectată este suficientă statie de lucru din compozitie retea locala astfel încât virusul să se răspândească la alții cu vulnerabilități existente.

Utilizatorii afectați de virus au în mod natural o întrebare principală: cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.

Ce anume se poate și trebuie făcut în acest moment:

1. Instalați cele mai recente actualizări.

Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor protectie antivirus. Informații despre actualizarea Windows pot fi găsite aici.

2. Faceți copii de rezervă ale informațiilor importante.

3. Aveți grijă când lucrați cu poșta și internetul.

Trebuie să fiți atenți la e-mailurile primite cu link-uri și atașamente dubioase. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.

Pe scurt: pentru a proteja datele de virușii ransomware, puteți utiliza un disc criptat bazat pe un container cripto, a cărui copie trebuie păstrată în stocarea în cloud.

  • O analiză a criptolockerilor a arătat că acestea criptează doar documentele, iar containerul de fișiere de pe discul criptat nu prezintă interes pentru criptolockers.
  • Fișierele din interiorul unui astfel de container cripto sunt inaccesibile virusului atunci când discul este deconectat.
  • Și întrucât discul criptat este pornit doar în momentul în care este necesar să se lucreze cu fișiere, există o mare probabilitate ca cryptolocker-ul să nu aibă timp să-l cripteze sau să se dezvăluie înainte de acest moment.
  • Chiar dacă un cryptolocker criptează fișierele de pe un astfel de disc, puteți restaura cu ușurință copie de rezervă container de disc cripto de la stocare în cloud, care este creat automat la fiecare 3 zile sau mai des.
  • Stocarea unei copii a unui container de disc în stocarea în cloud este sigură și ușoară. Datele din container sunt criptate în siguranță, ceea ce înseamnă că Google sau Dropbox nu vor putea privi în interior. Datorită faptului că containerul cripto este un singur fișier, atunci când îl încărcați în cloud, încărcați de fapt toate fișierele și folderele care se află în interiorul acestuia.
  • Un container cripto poate fi protejat nu numai cu o parolă lungă, ci și cu o cheie electronică, cum ar fi rutoken, cu o parolă foarte puternică.

Virușii ransomware precum Locky, TeslaCrypt, CryptoLocker și WannaCry cryptolocker sunt conceputi pentru a stoarce bani de la proprietarii computerelor infectate, motiv pentru care sunt numiți și „ransomware”. După ce infectează un computer, virusul criptează fișierele tuturor programelor cunoscute (doc, pdf, jpg...) și apoi stoarce bani pentru decriptarea lor înapoi. Cel mai probabil, cel vătămat va trebui să plătească câteva sute de dolari pentru a decripta fișierele, deoarece aceasta este singura modalitate de a obține informațiile înapoi.

Dacă informația este foarte scumpă, situația este fără speranță și se complică de faptul că virusul include o numărătoare inversă și este capabil să se autodistrugă fără a-ți oferi posibilitatea de a returna datele dacă stai pe gânduri foarte mult timp.

Avantajele programului Rohos Disk Encryption pentru protejarea informațiilor împotriva virusurilor cripto:

  • Creează un container Crypto pentru protecţie fiabilă fișiere și foldere.
    Se utilizează principiul criptării din mers și un algoritm puternic de criptare AES de 256 biți.
  • Se integrează cu Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.
    Rohos Disk permite acestor servicii să scaneze periodic containerul cripto și să încarce doar modificări ale datelor criptate în cloud, datorită cărora cloud stochează mai multe revizuiri ale discului cripto.
  • Utilitarul Rohos Disk Browser vă permite să lucrați cu un disc cripto, astfel încât alte programe (inclusiv viruși) să nu aibă acces la acest disc.

Container criptografic Rohos Disk

Programul Rohos Disk creează un container cripto și o literă de unitate pentru acesta în sistem. Lucrați cu un astfel de disc ca de obicei, toate datele de pe el sunt criptate automat.

Când discul cripto este dezactivat, acesta este inaccesibil pentru toate programele, inclusiv pentru virușii ransomware.

Integrare cu stocarea cloud

Programul Rohos Disk vă permite să plasați un container cripto în folderul serviciului de stocare în cloud și să rulați periodic procesul de sincronizare al containerului cripto.

Servicii acceptate: Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.

Dacă discul cripto a fost pornit, a apărut o infecție cu virus și virusul a început să cripteze datele de pe discul cripto, aveți posibilitatea de a restabili imaginea containerului cripto din cloud. Pentru informații - Google Drive și Dropbox sunt capabile să urmărească modificările în fișiere (reviziuni), să stocheze doar părți modificate ale fișierului și, prin urmare, vă permit să restaurați una dintre versiunile containerului criptografic din trecutul recent (de obicei 30-60 de zile, în funcție de pe spațiul liber de pe Google Drive) .

Utilitarul Rohos Disk Browser

Rohos Disk Browser vă permite să deschideți un container cripto în modul Explorer fără a face discul disponibil la nivel de driver pentru întregul sistem.

Avantajele acestei abordări:

  • Informațiile despre disc sunt afișate numai în Rohos Disk Browser
  • Nicio altă aplicație nu poate accesa datele de pe disc.
  • Utilizatorul Rohos Disk Browser poate adăuga un fișier sau folder, poate deschide un fișier și poate efectua alte operațiuni.

Protecție completă a datelor împotriva programelor malware:

  • Fișierele nu sunt accesibile altor programe, inclusiv componentelor Windows.

Pe 12 aprilie 2017, au apărut informații despre răspândirea rapidă a unui virus ransomware numit WannaCry în întreaga lume, care poate fi tradus prin „Vreau să plâng”. Utilizatorii au întrebări despre actualizarea Windows împotriva virusului WannaCry.

Virusul de pe ecranul computerului arată astfel:

Virusul rău WannaCry care criptează totul

Virusul criptează toate fișierele de pe computer și solicită o răscumpărare pentru un portofel Bitcoin în valoare de 300 sau 600 de dolari pentru a decripta computerul. Calculatoarele din 150 de țări din întreaga lume au fost infectate, Rusia fiind cea mai afectată.

Megafon, Căile Ferate Ruse, Ministerul Afacerilor Interne, Ministerul Sănătății și alte companii se confruntă îndeaproape cu acest virus. Printre victime se numără utilizatorii obișnuiți de internet.

Aproape toți sunt egali înaintea virusului. Diferența, poate, este că în companii virusul se răspândește în rețeaua locală din cadrul organizației și infectează instantaneu numărul maxim posibil de computere.

Virusul WannaCry criptează fișierele de pe computere care utilizează Windows. ÎN Microsoftîn martie 2017, actualizările MS17-010 au fost lansate pentru diverse versiuni Windows XP, Vista, 7, 8, 10.

Se dovedește că cei care sunt hotărâți actualizare automată Windows nu este expus riscului pentru virus, deoarece au primit actualizarea în timp util și au reușit să o evite. Nu presupun să spun că acesta este de fapt cazul.

Orez. 3. Mesaj la instalarea actualizării KB4012212

Actualizarea KB4012212 a necesitat o repornire a laptopului după instalare, ceea ce nu mi-a plăcut, deoarece nu se știe cum s-ar putea termina, dar unde ar trebui să meargă utilizatorul? Cu toate acestea, repornirea a mers bine. Aceasta înseamnă că trăim în pace până la următorul atac de virus și, din păcate, nu există nicio îndoială că astfel de atacuri vor avea loc.


În orice caz, este important să aveți un loc din care să restaurați sistemul de operare și fișierele dvs.

Actualizare Windows 8 de la WannaCry

Pentru laptop cu Windows cu licență 8 actualizare KB 4012598 a fost instalată, deoarece

Își continuă marșul opresiv pe internet, infectând computerele și criptând datele importante. Cum să vă protejați de ransomware, protejați Windows de ransomware - au fost lansate corecții pentru decriptarea și dezinfectarea fișierelor?

Virus nou ransomware 2017 Wanna Cry continuă să infecteze computerele corporative și private. U Pagubele cauzate de atacul virușilor se ridică la un miliard de dolari. În 2 săptămâni, virusul ransomware a infectat cel puțin 300 de mii de calculatoare, în ciuda avertismentelor și măsurilor de securitate.

Virusul ransomware 2017, ce este?- de regulă, puteți „prelua” de pe site-urile aparent cele mai inofensive, de exemplu, serverele bancare cu acces de utilizator. Odată pe hard disk victime, ransomware-ul „se instalează”. folderul de sistem Sistem32. De acolo programul dezactivează imediat antivirusul și intră în „Autorun”" După fiecare repornire, ransomware intră în registru, începându-și treaba murdară. Ransomware-ul începe să descarce copii similare ale unor programe precum Ransom și Troian. De asemenea, se întâmplă des auto-replicare ransomware. Acest proces poate fi momentan sau poate dura săptămâni până când victima observă că ceva nu este în regulă.

Ransomware-ul se deghizează adesea în imagini obișnuite, fișiere text , dar esența este întotdeauna aceeași - acesta este un fișier executabil cu extensia .exe, .drv, .xvd; Uneori - biblioteci.dll. Cel mai adesea, fișierul are un nume complet inofensiv, de exemplu „ document. doc", sau " imagine.jpg", unde extensia este scrisă manual, și tipul de fișier adevărat este ascuns.

După ce criptarea este completă, utilizatorul vede, în loc de fișiere familiare, un set de caractere „aleatorie” în nume și în interior, iar extensia se schimbă într-una necunoscută până acum - .NO_MORE_RANSOM, .xdata si altele.

Virusul ransomware Wanna Cry 2017 – cum să te protejezi. Aș dori să notez imediat că Wanna Cry este mai degrabă un termen colectiv pentru toți virușii de criptare și ransomware, deoarece în ultima vreme computerele infectate cel mai des. Deci, vom vorbi despre Protejați-vă de ransomware-ul Ransom Ware, dintre care există foarte multe: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Cum să protejați Windows de ransomware.EternalBlue prin protocolul portului SMB.

Protejarea Windows de ransomware 2017 – reguli de bază:

  • Actualizare Windows, tranziție în timp util la un sistem de operare licențiat (notă: versiunea XP nu este actualizată)
  • actualizarea bazelor de date antivirus și a firewall-urilor la cerere
  • atenție extremă atunci când descărcați orice fișiere („sigiliile” drăguțe pot duce la pierderea tuturor datelor)
  • backup informatii importante la medii amovibile.

Virusul ransomware 2017: cum să dezinfectați și să decriptați fișierele.

Bazându-vă pe software-ul antivirus, puteți uita de decriptor pentru o vreme. În laboratoare Kaspersky, Dr. Web, Avast! si alte antivirusuri deocamdata nu a fost găsită nicio soluție pentru tratarea fișierelor infectate. În acest moment, este posibil să eliminați virusul utilizând un antivirus, dar încă nu există algoritmi care să revină totul „la normal”.

Unii încearcă să folosească decriptoare precum utilitarul RectorDecryptor, dar asta nu va ajuta: un algoritm pentru decriptarea noilor viruși nu a fost încă compilat. De asemenea, este absolut necunoscut cum se va comporta virusul dacă nu este eliminat după utilizarea unor astfel de programe. Adesea, acest lucru poate duce la ștergerea tuturor fișierelor - ca un avertisment pentru cei care nu vor să plătească atacatorii, autorii virusului.

Momentan cel mai mult într-un mod eficient recuperarea datelor pierdute înseamnă să contactați asistența tehnică. suport furnizor program antivirus pe care îl folosiți. Pentru a face acest lucru, trimiteți o scrisoare sau utilizați formularul către feedback pe site-ul producătorului. Asigurați-vă că adăugați fișierul criptat în atașament și, dacă este disponibilă, o copie a originalului. Acest lucru îi va ajuta pe programatori să compună algoritmul. Din păcate, pentru mulți atac de virus vine ca o surpriză completă și nu se găsesc copii, ceea ce complică foarte mult situația.

Metode cardiace de tratare a Windows de la ransomware. Din păcate, uneori trebuie să recurgi la formatare completă hard disk, ceea ce presupune o schimbare completă a sistemului de operare. Mulți se vor gândi la restaurarea sistemului, dar aceasta nu este o opțiune - chiar și o „retroducere” va scăpa de virus, dar fișierele vor rămâne în continuare criptate.