Un virus es un tipo de software malintencionado que penetra las áreas de la memoria del sistema, el código de otros programas y los sectores de arranque. Es capaz de eliminar datos importantes de un disco duro, unidad USB o tarjeta de memoria.
La mayoría de los usuarios no saben cómo recuperar archivos después de un ataque de virus. En este artículo queremos contarte cómo hacerlo de una forma rápida y sencilla. Esperamos que esta información te sea de utilidad. Hay dos métodos principales que puede utilizar para eliminar fácilmente el virus y recuperar los datos eliminados después de un ataque de virus.
Elimina el virus usando el símbolo del sistema
1) Haga clic en el botón "Inicio". Ingrese CMD en la barra de búsqueda. Verá el "Símbolo del sistema" en la parte superior de la ventana emergente. Presione Entrar.
2) Ejecute el símbolo del sistema y escriba: "attrib –h –r –s / s / d nombre_controlador \\ *. *"
Después de este paso, Windows comenzará a recuperar el disco duro, la tarjeta de memoria o el USB infectados con virus. El proceso tardará algún tiempo en completarse.
Para iniciar la recuperación de Windows, haga clic en el botón "Inicio". Escribe Restaurar en la barra de búsqueda. En la siguiente ventana, haga clic en "Iniciar restauración del sistema" → "Siguiente" y seleccione el punto de restauración deseado.
Otra variante de la ruta es “Panel de control” → “Sistema” → “Protección del sistema”. Aparecerá una ventana de preparación para la recuperación. Luego, la computadora se reiniciará y aparecerá un mensaje que dice "Restauración del sistema completada correctamente". Si no resolvió su problema, intente retroceder a otro punto de restauración. Eso es todo lo que se puede decir sobre el segundo método.
Magic Partition Recovery: restauración de archivos y carpetas que faltan después de un ataque de virus
Para una recuperación confiable de archivos eliminados por virus, use Magic Partition Recovery. El programa se basa en el acceso directo de bajo nivel al disco. Por lo tanto, evitará el bloqueo de virus y leerá todos sus archivos.
Descargue e instale el programa, luego analice el disco, la unidad flash o la tarjeta de memoria. Después del análisis, el programa muestra la lista de carpetas en el disco seleccionado. Habiendo seleccionado la carpeta necesaria a la izquierda, puede verla en la sección derecha.
Por tanto, el programa ofrece la posibilidad de ver el contenido del disco de la misma forma que con el Explorador de Windows estándar. Además de los archivos existentes, se mostrarán los archivos y carpetas eliminados. Se marcarán con una cruz roja especial, lo que facilitará la recuperación de los archivos eliminados.
Si ha perdido sus archivos después de un ataque de virus, Magic Partition Recovery lo ayudará a restaurar todo sin mucho esfuerzo.
Recientemente, se descubrió un nuevo tipo de virus ransomware en 360 Internet Security Center, dirigido tanto a empresas como a personas en muchos países y regiones. 360 emitió una alerta de emergencia oportuna el 12 de mayo después de la detección para recordar a los usuarios los riesgos futuros. Este ransomware se está propagando a gran velocidad por todo el mundo. Según estadísticas incompletas, pocas horas después de la explosión, se infectaron decenas de miles de dispositivos en 99 países, y este gusano de red todavía está tratando de expandir su influencia.
Normalmente, un virus ransomware es malware con la intención explícita de extorsión. Cifra los archivos de la víctima utilizando un algoritmo criptográfico asimétrico, los hace inaccesibles y exige un rescate por descifrarlos. Si no se paga el rescate, los archivos no se pueden recuperar. Esta nueva especie tiene el nombre en código WanaCrypt0r. Lo que lo hace tan mortal es que usó la herramienta de piratería "EternalBLue" que fue robada de la NSA. Esto también explica por qué WanaCrypt0r es capaz de expandirse rápidamente por todo el mundo e infligir grandes pérdidas en muy poco tiempo. Tras la ruptura del gusano de la red el 12 de mayo, Core Security en el Internet Security Center de 360 \u200b\u200bllevó a cabo una supervisión exhaustiva y un análisis en profundidad. Ahora podemos lanzar un conjunto de soluciones de detección, protección de datos y recuperación contra WanaCrypt0r.
360 Helios Team es un equipo APT (Advanced Persistent Attack) dedicado a la investigación y análisis del departamento de seguridad central, principalmente dedicado a la investigación de ataques APT y la respuesta a incidentes de amenazas. Los investigadores de seguridad han analizado cuidadosamente el motor de virus para encontrar el método más eficiente y preciso para recuperar archivos cifrados. Con este método, 360 puede convertirse en el primer proveedor de seguridad en lanzar una herramienta de recuperación de datos: "360 Ransomware Infected File Recovery" para ayudar a sus clientes a recuperar los archivos infectados de forma rápida y completa. Esperamos que este artículo lo ayude a comprender los trucos de este gusano, así como una discusión más amplia sobre el tema de la recuperación de archivos cifrados.
Capítulo 2 Análisis de los procesos de cifrado básicos
Este gusano emite un módulo de cifrado a la memoria y carga directamente los archivos DLL en la memoria. Luego, la DLL exporta la función TaskStart, que debe usarse para activar todo el proceso de cifrado. La DLL accede dinámicamente al sistema de archivos y a las funciones de la API relacionadas con el cifrado para evitar la detección estática.
1.Etapa inicial
Primero usa "SHGetFolderPathW" para obtener las rutas al escritorio y las carpetas de archivos. Luego, llamará a la función "10004A40" para obtener la ruta a los escritorios y carpetas de archivos de otros usuarios y llamará a la función EncrytFolder para cifrar las carpetas por separado.
Atraviesa todas las unidades dos veces desde el controlador Z al C. El primer escaneo es para iniciar todas las unidades locales (excepto el CD del controlador). El segundo escaneo verifica todas las unidades móviles y llama a la función EncrytFolder para cifrar los archivos.
2.File travesía
La función EncryptFolder es una función recursiva que puede recopilar información sobre archivos siguiendo el procedimiento a continuación:
Elimine rutas o carpetas de archivos durante el proceso cruzado:
Hay una carpeta interesante llamada “Esta carpeta protege contra ransomware. Cambiarlo reducirá la protección ". Cuando haga esto, encontrará que corresponde a la carpeta de protección del software de protección contra ransomware.
Al rastrear archivos, el ransomware recopila información sobre un archivo, como el tamaño del archivo, y luego clasifica los archivos en diferentes tipos según su extensión, siguiendo ciertas reglas:
Lista de tipos de extensión 1:
Lista de tipos de extensión 2:
3.encriptación de prioridad
Para cifrar archivos importantes lo más rápido posible, WanaCrypt0r ha desarrollado una cola de prioridad compleja:
Cola de prioridad:
I. Cifrar archivos de tipo 2 que también coincidan con la lista de extensiones 1. Si el archivo es menor que 0X400, la prioridad de cifrado se reducirá.
II. Cifre los archivos de tipo 3 que también coinciden con la lista de extensiones 2. Si el archivo es menor que 0X400, la prioridad de cifrado se reducirá.
III. Cifre otros archivos (menos de 0x400) y otros archivos.
4 lógica de cifrado
Todo el proceso de cifrado se completa utilizando RSA y AES. Aunque el proceso de cifrado RSA utiliza Microsoft CryptAPI, el código AES se compila estáticamente en una DLL. El proceso de cifrado se muestra en la siguiente figura:
Lista de llaves usadas:
Formato de archivo después del cifrado:
Tenga en cuenta que durante el proceso de cifrado, el ransomware seleccionará aleatoriamente algunos archivos para cifrar utilizando la clave pública RSA incorporada para ofrecer varios archivos que las víctimas pueden descifrar de forma gratuita.
La ruta a los archivos gratuitos se puede encontrar en el archivo "f.wnry".
5 rellenando números aleatorios
Una vez cifrado, WanaCrypt0r completará los archivos que considere importantes con números aleatorios hasta que destruya por completo el archivo, luego moverá los archivos a un directorio de archivos temporal para su eliminación. Al hacer esto, es bastante difícil para las herramientas de recuperación de archivos recuperar archivos y, al mismo tiempo, puede acelerar el proceso de cifrado.
Los archivos completos deben cumplir con los siguientes requisitos:
- En el directorio especificado (escritorio, mi documento, carpeta de usuario)
- Archivo de menos de 200 MB
- La extensión del archivo está en la lista de tipos de extensión 1
Lógica de llenado de archivos:
- Si el archivo tiene menos de 0x400, se cubrirá con números aleatorios de la misma longitud
- Si el archivo es mayor que 0x400, el último 0x400 se cubrirá con números aleatorios
- Mueva el puntero del archivo al encabezado del archivo y configure 0x40000 como el bloque de datos para cubrir el archivo con números aleatorios hasta el final.
6.Eliminar archivos
WanaCrypt0r primero moverá los archivos a una carpeta temporal para crear un archivo temporal y luego lo eliminará de varias formas.
Cuando pasa por las unidades para cifrar archivos, creará un archivo temporal llamado "$ RECYCLE + auto incremento + .WNCYRT" (por ejemplo: "D: \\ $ RECYCLE \\ 1.WNCRYT") en la unidad actual. Especialmente si la unidad actual es la unidad del sistema (como el controlador C), usará el directorio temporal del sistema.
Posteriormente, el proceso inicia taskdl.exe y elimina los archivos temporales en un intervalo fijo.
Capítulo 3 Capacidad de recuperación de datos
Al analizar la lógica de su ejecución, notamos que este Gusano sobrescribirá los archivos que cumplan los requisitos especificados con números aleatorios o 0x55 para destruir estructuras de archivos y evitar su recuperación. Pero esta operación solo se acepta para determinados archivos o archivos con una determinada extensión. Esto significa que todavía hay muchos archivos que no se han sobrescrito, lo que deja espacio para la recuperación de archivos.
Durante el proceso de eliminación, el gusano movió los archivos originales a la carpeta de archivos temporales llamando a la función MoveFileEx. Finalmente, los archivos temporales se eliminan de forma masiva. Durante el proceso anterior, los archivos originales pueden cambiar, pero el software de recuperación de datos actual en el mercado no es consciente de esto, por lo que bastantes archivos no se pueden recuperar con éxito. La necesidad de archivos para recuperar víctimas casi nunca se satisface.
Para otros archivos, el gusano simplemente ejecutó el comando "mover y eliminar". Dado que los procesos de eliminar archivos y mover archivos son separados, los dos subprocesos competirán entre sí, lo que puede causar fallas en el movimiento de archivos debido a diferencias en el entorno del sistema del usuario. Como resultado, el archivo se eliminará directamente en su ubicación actual. En este caso, existe una alta probabilidad de que se pueda restaurar el archivo.
https://360totalsecurity.com/s/ransomrecovery/
Usando nuestros métodos de recuperación, un gran porcentaje de archivos cifrados se puede recuperar perfectamente. Ahora, se ha desarrollado una versión actualizada 360 de la herramienta de recuperación de archivos en respuesta a esta necesidad de ayudar a decenas de miles de víctimas a mitigar pérdidas y consecuencias.
El 14 de mayo de 360 \u200b\u200bes el primer proveedor de seguridad en lanzar una herramienta de recuperación de archivos que salvó muchos archivos de un virus ransomware. Esta nueva versión da un paso más en la explotación de las vulnerabilidades lógicas de WanaCrypt0r. Puede eliminar el virus para prevenir una mayor infección. Utilizando múltiples algoritmos, puede encontrar conexiones ocultas entre archivos recuperables gratuitos y archivos descifrados para los clientes. Este servicio de recuperación versátil puede reducir el daño de un ataque de ransomware y proteger la seguridad de los datos del usuario.
Capítulo 4 Conclusión
Brote masivo y propagación de gusanos WannaCry mediante el uso de MS17-010, lo que lo hace capaz de autorreplicarse y propagarse de forma activa, además de las funciones de un ransomware común. Excepto por la carga útil del ataque, la estructura técnica del virus ransomware juega el papel más importante en los ataques. El virus ransomware cifra la clave AES utilizando el algoritmo criptográfico asimétrico RSA-2048. Luego, cada archivo se cifra mediante un algoritmo de cifrado simétrico AES-128 aleatorio. Esto significa que, basándose en los cálculos y métodos existentes, es casi imposible descifrar RSA-2048 y AES-128 sin claves públicas o privadas. Sin embargo, los autores dejan algunos errores en el proceso de cifrado, lo que brinda y aumenta la posibilidad de recuperación. Si las acciones se realizan con la suficiente rapidez, la mayoría de los datos se pueden volver a guardar.
Además, dado que el dinero del rescate se paga en bitcoins anónimos, para los cuales cualquiera puede obtener una dirección sin una certificación genuina, es imposible identificar a un atacante por direcciones, y mucho menos entre diferentes cuentas de la misma dirección de propietario. Por lo tanto, debido a la adopción de un algoritmo de cifrado inquebrantable y bitcoins anónimos, es muy probable que este tipo de lucrativo brote de ransomware continúe durante mucho tiempo. Todos deberían tener cuidado.
Equipo 360 Helios
360 Helios Team es un equipo de investigación APT (Advanced Persistent Attack) en Qihoo 360.
El equipo se dedica a investigar ataques APT, responder a incidentes de amenazas e investigar las cadenas industriales de la economía sumergida.
Desde su creación en diciembre de 2014, el equipo ha integrado con éxito una enorme base de datos 360 y ha creado una rutina de correlación y reversión rápida. Hasta la fecha, se han identificado e identificado más de 30 APT y grupos de economía sumergida.
360 Helios también proporciona evaluaciones de amenazas y soluciones de respuesta a amenazas para empresas.
Informes públicos
Contacto
Correo electrónico Oficina postal: [correo electrónico protegido]
Grupo WeChat: Equipo 360 Helios
¡Descargue el código QR a continuación para seguirnos en WeChat!
Petya Virus - Solicitud de rescate por descifrado
Unas horas después del inicio del ataque, DATARC recibió la primera solicitud y analizamos varios servidores afectados. Conclusión principal: si probabilidad de recuperación de datos distinta de cero cuando es atacado por el virus Petya - el virus a menudo daña el sistema de archivos, pero no cifra los datos.
Por el momento, los daños analizados se pueden dividir en categorías.
100% de recuperación de datos posible
El virus probablemente contiene errores: no siempre ejecuta su algoritmo, no tiene tiempo para encriptar datos y rompe el cargador de arranque. Vimos tales opciones de daño:
- Los datos no están encriptados, MBR está dañado
- Datos no cifrados, cargador de arranque MBR + NTFS dañado
- Los datos no están encriptados, MBR + cargador de arranque NTFS + MFT está dañado - el disco se detecta como RAW
La recuperación de datos es posible, la pérdida es superior al 0%
En los casos en que se produce el cifrado, algunos de los archivos pueden permanecer intactos. Vimos tales opciones de daño:
- Solo la unidad C: está cifrada; el resto de las unidades lógicas permanecen en orden
- No todos los archivos de la unidad C están cifrados:
- Solo el registro MFT está encriptado, el contenido del archivo permanece sin cambios.
El descifrado de la versión anterior no funciona
La versión actual de Petya es (presumiblemente) una continuación del ataque de 2016 (consulte https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ y https://securelist.com/petya-the-two -en-un-troyano / 74609 /). Para la versión anterior, se creó una técnica de adivinación de clave de descifrado (consulte https://github.com/leo-stone/hack-petya). El virus de 2017 se ha cambiado y la técnica anterior no funciona.
Por ejemplo, en la versión anterior del virus, el MBR se guardó en el sector 55 y se “cifró” con XOR 0x37. En la nueva versión, el MBR se almacena en el sector 34 y "encriptado" con XOR 0x07.
MBR cifrado:
MBR descifrado:
Virus Petya - MBR después del descifrado
Qué hacer si su computadora está infectada
Lea cómo recuperar archivos eliminados por un ataque de virus utilizando soluciones integradas de Windows o programas de terceros. Cómo recuperar archivos cifrados por un virus. ¿Su computadora ha sido atacada por un virus? ¿Quieres recuperar archivos borrados por malware? En este artículo, intentaremos informarle sobre las formas estándar de corregir una situación imprevista y varias opciones para recuperar archivos eliminados.
Contenido:
Introducción
Con el desarrollo de las tecnologías electrónicas y los medios de comunicación se ha ampliado significativamente el abanico y volumen de información que utilizan los usuarios cuando realizan diversas acciones que están directamente relacionadas con actividades tanto profesionales como industriales y orientadas a proporcionar comunicación, comunicación, juegos y entretenimiento de estas últimas.
Los dispositivos de computación en varios diseños ayudan a llevar a cabo un control total sobre los flujos de datos entrantes y salientes, para llevar a cabo su procesamiento instantáneo, independientemente del volumen final, y para garantizar un almacenamiento seguro.
Ordenadores personales y portátiles fijos, incluyendo cualquiera de sus variadas combinaciones (ultrabooks, netbooks, portátiles convertibles, nettops), tabletas, teléfonos inteligentes y comunicadores, etc. satisfaga plenamente las crecientes necesidades de los usuarios al trabajar con información y cumpla con los últimos estándares de información.
Los más ampliamente, en la lista de los dispositivos electrónicos más populares entre los usuarios, son las computadoras personales y portátiles. El rico contenido interno de los dispositivos informáticos (procesadores ultrarrápidos, placas base altamente funcionales, tarjetas de memoria progresivas, dispositivos de almacenamiento capacitivo, etc.) y el software moderno de alto rendimiento, legítimamente, les permite ocupar una posición de liderazgo en el procesamiento y almacenamiento de información. , en el mundo.
Por la amplitud de la distribución y la cantidad de dispositivos utilizados, los teléfonos inteligentes y los comunicadores se acercan a ellos. Debido al alto grado de movilidad, el tamaño en miniatura, la funcionalidad suficientemente alta y un amplio conjunto de aplicaciones disponibles, los teléfonos inteligentes se esfuerzan por igualar y, si es posible, reemplazar computadoras y portátiles cuando realizan ciertas acciones.
Desarrollo de la red informática internacional de información "La Internet" aceleró la distribución y el uso de una variedad de dispositivos informáticos por parte de los usuarios para resolver cualquier problema sin necesariamente vincularse a un dispositivo o lugar de trabajo específico. El uso de una amplia base de datos, el uso remoto y el procesamiento de información popularizó significativamente los dispositivos informáticos y aceleró el proceso de transición al almacenamiento de información en modo digital.
Con la transición generalizada al formato digital de la información, la mayoría de los tipos de datos de los usuarios (personales, sociales, públicos y comerciales) se almacenan, procesan, transfieren y sirven a través de varios dispositivos informáticos. En este sentido, el requisito más importante para todos los dispositivos es un alto grado obligatorio de seguridad de los datos y su protección frente a acciones no autorizadas de terceros.
Uno de los tipos más comunes de impacto malicioso en los datos del usuario son los ataques de virus por software malicioso.
El rango de acción y funcionalidad de tales programas es inusualmente amplio, y gracias a la red internacional de información "La Internet", el nivel de su distribución ha alcanzado una escala global.
La infección del dispositivo informático de un usuario con un virus puede tener consecuencias indeseables, la más común de las cuales es la eliminación de los archivos del usuario. Más adelante en nuestro artículo se analizará cómo recuperar archivos después de la exposición a programas de virus.
La mayoría de los usuarios de computadoras han escuchado, y muchos se han encontrado directamente, las consecuencias del impacto negativo de los virus informáticos, su efecto en los archivos del usuario y el rendimiento general de una computadora personal en su conjunto. Eliminar o dañar intencionalmente archivos del usuario, bloquear el acceso a ciertos elementos del sistema operativo o computadora, encriptar archivos selectivamente y cambiar su estructura, sobrescribir o eliminar la tabla de particiones, transferir el control de una computadora personal a piratas informáticos, usar las capacidades de la computadora del usuario para piratería remota u otras acciones maliciosas, robo de identidad, spam, etc. - solo una parte de todas las acciones que pueden provocar la infección de un dispositivo informático con un virus.
El programa fue diseñado para recuperar datos de discos duros y externos, así como cualquier otro dispositivo de almacenamiento. Combina un conjunto de algoritmos progresivos que le permiten analizar y buscar información eliminada para su posterior recuperación, devolver datos luego de fallas del sistema y varios errores del sistema, leer información de discos dañados, ilegibles, que no funcionan o dañados con la posterior provisión de acceso a perdidos o archivos inaccesibles. admite la gama completa de sistemas de archivos utilizados en el sistema operativo "Windows" y corrige cualquier error en la estructura lógica del disco duro para recuperar de forma segura el contenido perdido.
Una ventaja separada del programa es la capacidad de recuperar información dañada, corrompida o bloqueada como resultado de ataques de virus. Gracias a un conjunto de algoritmos innovadores, es posible recuperar archivos tras cualquier impacto viral malicioso que provoque la destrucción de los datos del usuario o la falta de acceso a los mismos.
Descarga el archivo de instalación del programa desde el sitio web oficial de la empresa Software de Hetman y ejecutarlo. Un asistente de instalación de software paso a paso, después de configurar parámetros individuales, como especificar la ruta de instalación o crear un acceso directo en el escritorio, le permitirá instalar rápida y exitosamente el programa en la computadora personal del usuario para su uso posterior.
Una vez completada la instalación, abra el programa instalado. Las herramientas integradas del programa realizarán un análisis inicial del sistema y mostrarán todos los dispositivos de almacenamiento de datos conectados a una computadora personal.
Seleccione una partición del disco duro o una unidad física completa haciendo doble clic en su icono en la ventana del programa. El programa activa el inicio del Asistente de recuperación de archivos, que pedirá a los usuarios que determinen el tipo de análisis del sistema requerido en un momento determinado. En caso de pérdida de archivos debido a un ataque de virus, seleccione la opción de análisis completo para buscar y restaurar toda la información posible en el disco seleccionado configurando el indicador (punto) frente a la celda correspondiente "Análisis completo (búsqueda de toda la información posible)"... Después de seleccionar el análisis, presione el botón "Más lejos" e iniciar el proceso de recuperación.
Dependiendo del volumen interno de la unidad, el grado de daño a la información, el sistema de archivos y una serie de otros parámetros adicionales, el procedimiento para analizar y buscar archivos eliminados puede llevar una cantidad de tiempo diferente: de varios minutos a varias horas. Una barra de progreso lineal notificará a los usuarios el porcentaje de finalización del proceso de recuperación general y, opcionalmente, mostrará el tiempo de finalización total estimado.
Al final del proceso de recuperación, la lista completa de archivos y carpetas detectados se presentará en la ventana del programa, cuya interfaz de usuario es lo más cercana posible a la apariencia del explorador de archivos. "Windows" para la comodidad de los usuarios finales. Al hacer clic en cada archivo, los usuarios pueden ver su contenido, que se mostrará en la ventana de vista previa. Seleccionando los archivos necesarios y colocándolos en la ventana "Lista de recuperación" por arrastre normal, debe presionar el botón "Restablecer", ubicado en la cinta del menú principal del programa y presentado en forma de aro salvavidas, para luego guardar los datos marcados.
El Asistente de recuperación de archivos pedirá a los usuarios que decidan una de las cuatro formas posibles de guardar los elementos seleccionados: guardar en un disco duro o cualquier otro medio estacionario o extraíble, grabar en un disco óptico, crear "Imagen ISO" archivos recuperados o descargar datos por "Protocolo FTP"... Al especificar varios parámetros adicionales necesarios, por ejemplo, la ruta para guardar los archivos recuperados, los usuarios podrán guardar sus datos de acuerdo con las condiciones seleccionadas.
Ahora puede abrir la carpeta con los archivos recuperados y verificar su funcionalidad completa.
Hoy en día, cuando el desarrollo de la tecnología de la información está a un ritmo tremendo, casi todos los usuarios de computadoras conocen el peligro de una infección de virus, la importancia de eliminarla y mantener el sistema en el nivel adecuado de seguridad. Sin embargo, hay algunos matices cuando se trata de limpiar el sistema de una infección maliciosa.
Cuando un virus llega al sistema, comienza a multiplicarse y daña los datos del usuario y el sistema operativo en su conjunto, afectando negativamente su rendimiento. Por lo tanto, la mejor solución sería evitar que el virus ingrese al sistema y utilizar un programa antivirus que tenga un poderoso nivel de protección contra la penetración maliciosa de malware.
Sin embargo, si la infección ya ha ocurrido, entonces el deseo natural de limpiar inmediatamente el sistema operativo del virus puede tener consecuencias negativas. El programa antivirus, mientras elimina el virus, también puede eliminar algunos archivos útiles de la computadora del usuario, de acuerdo con el algoritmo utilizado. Y como resultado, puede provocar daños adicionales y la eliminación de más archivos de la computadora del usuario o la pérdida irrecuperable de algunos datos. Por lo tanto, es mejor completar completamente el proceso de recuperación de datos antes de iniciar el procedimiento de limpieza de virus.
Conclusión
El uso generalizado de dispositivos informáticos, su facilidad de uso y su amplia funcionalidad les otorgan una posición de liderazgo en el procesamiento y almacenamiento de información diversa. Considerando la gran popularidad de los dispositivos informáticos junto con el desarrollo de la red informática de información "La Internet" y la conversión obligatoria de la mayoría de los tipos de datos a formato digital, aumenta significativamente el riesgo de estar expuesto a los efectos nocivos de programas maliciosos destinados a dañar los datos del usuario o robarlos con fines fraudulentos.
Los virus se desarrollan todos los días, su número crece a un ritmo enorme y causa un daño significativo a los usuarios y sus datos. El uso de potentes programas antivirus avanzados reduce significativamente el posible riesgo de infectar dispositivos informáticos, pero debido a la amplia gama de búsqueda de vulnerabilidades del sistema que utilizan los algoritmos de virus, no ofrece una garantía total de seguridad de los datos. Como resultado, la información de los usuarios puede dañarse o perderse por completo.
Sin embargo, el sistema operativo "Windows" tiene herramientas integradas para realizar copias de seguridad y restaurar el rendimiento del sistema, lo que en la mayoría de los casos ayudará a los usuarios a recuperar los datos perdidos.
En algunos casos, las herramientas de protección del sistema "Windows" no es suficiente. Por lo tanto, es importante tener disponible un software de recuperación de archivos profesional que pueda recuperar cualquier información de usuario perdida debido a una infección de virus y otras razones.
Hoy en día, quizás, solo una persona que está muy lejos de Internet no conoce las infecciones masivas de computadoras con el troyano ransomware WannaCry ("Quiero llorar") que comenzó el 12 de mayo de 2017. Y dividiría la reacción de los que saben en 2 categorías opuestas: indiferencia y pánico. ¿Qué significa esto?
Y el hecho de que la información fragmentaria no dé una comprensión completa de la situación, da lugar a especulaciones y deja más preguntas que respuestas. Para comprender qué está sucediendo realmente, a quién y cómo amenaza, cómo protegerse contra infecciones y cómo descifrar los archivos dañados por WannaCry, el artículo de hoy está dedicado.
¿Es el "diablo" realmente tan aterrador
No entiendo qué tipo de alboroto hay¿Quiero llorar? Hay muchos virus, aparecen nuevos constantemente. ¿Qué tiene de especial este?
WannaCry (otros nombres WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) no es un ciber-malware ordinario. La razón de su notoriedad es la enorme cantidad de daño causado. Según Europol, interrumpió el funcionamiento de más de 200.000 ordenadores Windows en 150 países de todo el mundo, y los daños sufridos por sus propietarios ascendieron a más de 1.000.000.000 de dólares, y esto solo en los primeros 4 días de distribución. La mayoría de las víctimas se encuentran en Rusia y Ucrania.
Sé que los virus ingresan a las PC a través de sitios para adultos. No visito esos recursos, por lo que no corro peligro.
¿Virus? Esto también es un problema para mí. Cuando los virus comienzan en mi computadora, ejecuto la utilidad *** y después de media hora todo está bien. Y si no ayuda, reinstalo Windows.
De virus a virus - contienda. WannaCry es un troyano ransomware, un gusano de red capaz de propagarse a través de redes locales e Internet de una computadora a otra sin intervención humana.
La mayoría de los programas maliciosos, incluido el ransomware, comienzan a funcionar solo después de que el usuario "se traga el anzuelo", es decir, hace clic en un enlace, abre un archivo, etc. ¡no tienes que hacer nada para infectarte con WannaCry!
Una vez en una computadora con Windows, el malware encripta la mayor parte de los archivos del usuario en poco tiempo, luego de lo cual muestra un mensaje exigiendo un rescate por un monto de $ 300-600, que debe transferirse a la billetera especificada dentro de los 3 días. En caso de retraso, amenaza con hacer imposible el descifrado de archivos en 7 días.
Al mismo tiempo, el malware busca lagunas para penetrar en otros equipos y, si lo encuentra, infecta toda la red local. Esto significa que las copias de seguridad de los archivos almacenados en máquinas vecinas también se vuelven inutilizables.
¡Eliminar un virus de su computadora no descifra los archivos! Reinstalar el sistema operativo es lo mismo. Por el contrario, si está infectado con ransomware, ambas acciones pueden hacer que sea imposible recuperar archivos incluso si tiene una clave válida.
Así que sí, "maldita sea" da bastante miedo.
Cómo se propaga WannaCry
Estás mintiendo. El virus puede penetrar en mi computadora solo si lo descargo yo mismo. Y estoy alerta.
Muchos programas maliciosos pueden infectar computadoras (y dispositivos móviles, por cierto, también) a través de vulnerabilidades: errores en el código de los componentes y programas del sistema operativo que abren la posibilidad de que los atacantes cibernéticos utilicen una máquina remota para sus propios fines. WannaCry, en particular, se propaga a través de la vulnerabilidad de día 0 en el protocolo SMB (las vulnerabilidades de día cero son errores que no fueron corregidos por malware / spyware en el momento de su explotación).
Es decir, para infectar un ordenador con un gusano de cifrado bastan dos condiciones:
- Conexiones a una red donde hay otras máquinas infectadas (Internet).
- La presencia de la laguna anterior en el sistema.
¿De dónde vino esta infección? ¿Son estos los trucos de los hackers rusos?
Según algunos informes (no soy responsable de la precisión), la Agencia de Seguridad Nacional de EE. UU. Fue la primera en descubrir la falla en el protocolo de red SMB, que se utiliza para el acceso remoto legal a archivos e impresoras en Windows. En lugar de informar a Microsoft para corregir el error, la NSA decidió usarlo ellos mismos y desarrolló un exploit para esto (un programa que explota la vulnerabilidad).
Visualización de la dinámica de propagación de WannaCry en intel.malwaretech.com Posteriormente, este exploit (con nombre en código EternalBlue), que sirvió durante algún tiempo por la NSA para infiltrarse en los ordenadores sin el conocimiento de los propietarios, fue robado por piratas informáticos y sentó las bases para la creación del ransomware WannaCry. Es decir, gracias a las acciones no del todo legales y éticas del gobierno de EE. UU., Los creadores del virus se enteraron de la vulnerabilidad.
Desactivé la instalación de actualizacionesWindows. Nafig es necesario cuando todo funciona sin ellos.
La razón de una propagación tan rápida y a gran escala de la epidemia es la ausencia en ese momento de un "parche", una actualización de Windows que podría cerrar la brecha de Wanna Cry. Después de todo, tomó tiempo desarrollarlo.
Hoy existe tal parche. Los usuarios que actualizan el sistema lo reciben automáticamente en las primeras horas después del lanzamiento. Y aquellos que creen que las actualizaciones son innecesarias aún corren el riesgo de infección.
Quién está en riesgo de sufrir un ataque de WannaCry y cómo defenderse de él
Hasta donde yo sé, más del 90% de las computadoras infectadasWannaCry, corrió bajo controlWindows 7. Tengo un diez, lo que significa que nada me amenaza.
Todos los sistemas operativos que utilizan el protocolo de red SMB v1 corren el riesgo de infección por WannaCry. Eso:
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 8.1
- Windows RT 8.1
- Windows 10 v 1511
- Windows 10 v 1607
- Windows Server 2003
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
Hoy en día, los usuarios de sistemas que no lo tienen instalado corren el riesgo de contraer malware en la red. actualización de seguridad crítica MS17-010 (disponible para descarga gratuita desde technet.microsoft.com, que está vinculado). Se pueden descargar parches para Windows XP, Windows Server 2003, Windows 8 y otros sistemas operativos no compatibles desde esta página support.microsoft.com ... También describe cómo buscar una actualización de rescate.
Si no conoce la versión del sistema operativo en su computadora, presione la combinación de teclas Win + R y ejecute el comando winver.
Para fortalecer la protección, así como si es imposible actualizar el sistema ahora, Microsoft proporciona instrucciones para deshabilitar temporalmente el protocolo SMB versión 1. Se encuentran y. Opcionalmente, pero no necesariamente, puede cerrar el puerto TCP que sirve a SMB a través del firewall 445.
Tengo el mejor antivirus del mundo ***, con él puedo hacer cualquier cosa y no le tengo miedo a nada.
WannaCry puede propagarse no solo por la autopropagación descrita anteriormente, sino también de las formas habituales: a través de redes sociales, correo electrónico, recursos web infectados y de phishing, etc. Y existen tales casos. Si descarga y ejecuta un programa malicioso manualmente, ni el antivirus ni los parches que cierren vulnerabilidades lo salvarán de la infección.
¿Cómo funciona el virus, qué cifra?
Sí, déjelo encriptar lo que quiera. Mi amigo es programador, me lo descifrará todo. Como último recurso, encontraremos la clave por fuerza bruta.
Bueno, cifrará un par de archivos, ¿y qué? No me impedirá trabajar en mi computadora.
Desafortunadamente, no se descifrará, porque no hay formas de romper el algoritmo de cifrado RSA-2048 que usa Wanna Cry y no aparecerá en el futuro previsible. Y no cifrará un par de archivos, sino casi todo.
No daré una descripción detallada del trabajo del malware, cualquiera que esté interesado puede familiarizarse con su análisis, por ejemplo, en el blog del experto de Microsoft Matt Suiche. Solo mencionaré los momentos más significativos.
Los archivos con las siguientes extensiones están cifrados: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt ,. xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg ,. djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf ,. ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx , .der.
Como puede ver, hay documentos, fotos, video y audio, archivos, correo y archivos creados en varios programas ... El malware intenta llegar a todos los directorios del sistema.
Los objetos cifrados obtienen una doble expansión con la posdata WNCRY, por ejemplo, "Documento1.doc.WNCRY".
Después del cifrado, el virus copia un archivo ejecutable en cada carpeta. @[correo electrónico protegido] - aparentemente para descifrar después del rescate, así como un documento de texto @[correo electrónico protegido] con un mensaje para el usuario.
A continuación, intenta eliminar las instantáneas y los puntos de restauración de Windows. Si el sistema está ejecutando UAC, el usuario debe confirmar esta operación. Si rechaza la solicitud, existirá la posibilidad de restaurar los datos de las copias.
WannaCry transmite las claves de cifrado del sistema afectado a los centros de comando ubicados en la red Tor y luego las elimina de la computadora. Para encontrar otras máquinas vulnerables, escanea la red local y rangos de IP arbitrarios en Internet, y una vez que lo encuentra, penetra todo lo que puede encontrar.
Hoy en día, los analistas conocen varias modificaciones de WannaCry con diferentes mecanismos de distribución, y en un futuro cercano, deberíamos esperar que aparezcan nuevas.
Qué hacer si WannaCry ya ha infectado su computadora
Puedo ver que los archivos cambian de extensión. ¿Qué esta pasando? ¿Cómo detienes esto?
El cifrado no es un proceso de un solo paso, aunque no es demasiado largo. Si logró notarlo antes de que el mensaje de ransomware aparezca en la pantalla, puede guardar algunos de los archivos apagando inmediatamente la computadora. No apagando el sistema, pero sacando el enchufe!
Cuando arranca Windows en modo normal, el cifrado continuará, por lo que es importante evitarlo. El siguiente inicio de la computadora debe ocurrir en modo seguro, en el que los virus no están activos, o desde otro medio de inicio.
¡Mis archivos están encriptados! ¡El virus exige un rescate por ellos! ¿Qué hacer, cómo descifrar?
El descifrado de archivos después de WannaCry solo es posible si hay una clave secreta, que los atacantes prometen proporcionar tan pronto como la víctima les transfiera el monto del rescate. Sin embargo, tales promesas casi nunca se cumplen: ¿por qué deberían molestarse los distribuidores de malware si ya obtuvieron lo que querían?
En algunos casos, el problema se puede resolver sin un rescate. Hasta la fecha, se han desarrollado 2 decodificadores WannaCry: WannaKey(por Adrien Guinet) y WanaKiwi(por Benjamin Delpy). El primero funciona solo en Windows XP, y el segundo, creado sobre la base del primero, - en Windows XP, Vista y 7 x86, así como en los sistemas norteños 2003, 2008 y 2008R2 x86.
El algoritmo de funcionamiento de ambos descifradores se basa en la búsqueda de claves secretas en la memoria del proceso de cifrado. Esto significa que solo aquellos que no tuvieron tiempo de reiniciar la computadora tienen la oportunidad de descifrar. Y si no ha pasado demasiado tiempo después del cifrado (la memoria no ha sido sobrescrita por otro proceso).
Entonces, si usted es un usuario de Windows XP-7 x86, lo primero que debe hacer después de que aparezca el mensaje de rescate es desconectar la computadora de la red local e Internet y ejecutar el descifrador WanaKiwi descargado en otro dispositivo. ¡No realice ninguna otra acción en la computadora antes de quitar la llave!
Puedes leer la descripción del trabajo del descifrador WanaKiwi en otro blog de Matt Suiche.
Después de descifrar los archivos, ejecute un antivirus para eliminar el malware e instale un parche que cierre sus rutas de distribución.
Hoy, WannaCry reconoce casi todos los programas antivirus excepto los que no están actualizados, por lo que casi todos funcionarán.
Cómo vivir esta vida más
La epidemia autopropulsada tomó al mundo por sorpresa. Para todo tipo de servicios de seguridad, resultó ser tan inesperado como el inicio del invierno el 1 de diciembre para los servicios públicos. La razón es descuido y quizás. Consecuencias: pérdida irreparable de datos y pérdidas. Y para los creadores de malware, un incentivo para continuar con el mismo espíritu.Según analistas, WanaCry ha pagado a los distribuidores muy buenos dividendos, lo que significa que se repetirán ataques como este. Y los que se dejan llevar ahora no necesariamente se dejarán llevar más tarde. Por supuesto, si no te preocupas de antemano.
Entonces, para que nunca tenga que llorar por archivos cifrados:
- No se niegue a instalar actualizaciones del sistema operativo y las aplicaciones. Esto lo protegerá del 99% de las amenazas que se propagan a través de vulnerabilidades sin parches.
- Continuar.
- Cree copias de seguridad de archivos importantes y guárdelos en otro medio físico, o mejor, en varios. En las redes corporativas, es óptimo utilizar bases de datos de almacenamiento distribuido, los usuarios domésticos pueden adoptar servicios gratuitos en la nube como Yandex Drive, Google Drive, OneDrive, MEGASynk, etc. No mantenga estas aplicaciones ejecutándose cuando no las esté usando.
- Elija sistemas operativos confiables. Windows XP no lo es.
- Instale un antivirus completo de la clase Internet Security y protección adicional contra ransomware, por ejemplo, Kaspersky Endpoint Security. O análogos de otros desarrolladores.
- Mejore su nivel de alfabetización en la lucha contra el troyano-ransomware. Por ejemplo, el proveedor de antivirus Dr.Web ha preparado cursos de formación para usuarios y administradores de varios sistemas. Los blogs de otros desarrolladores de A / V contienen mucha información útil y, lo que es más importante, fiable.
Y lo más importante: incluso si ha sufrido, no transfiera dinero a los ciberdelincuentes para que lo descifren. La probabilidad de que te engañen es del 99%. Además, si nadie paga, el negocio de la extorsión dejará de tener sentido. De lo contrario, la propagación de dicha infección solo aumentará.
