Új vírus titkosítási védelem. Vírus titkosítás Wanna Cry Files - Hogyan védi és mentse az adatokat

A modern technológiák lehetővé teszik a hackerek számára, hogy folyamatosan javítsák a csalás módszereit a hétköznapi felhasználókkal kapcsolatban. Általános célokra a vírusos szoftvert használják, behatolva a számítógépbe. A vírusok titkosítása különösen veszélyes. A fenyegetés az, hogy a vírus nagyon gyorsan, titkosítja a fájlokat (a felhasználó egyszerűen nem tudja megnyitni egyetlen dokumentumot). És ha igen egyszerű, akkor sokkal nehezebb dekódolni az adatokat.

Mi a teendő, ha a vírus titkosítja a számítógépen található fájlokat

Minden, még a felhasználók, akik erős antivírus szoftver által biztosított támadó egy titkosítója. Troyans fájl titkosításokat különböző kódok képviselnek, amely nem lehet az Antivirus alatt. A hackerek még egy nagyvállalatot támadnak, amely nem vigyázott az információk szükséges védelméről. Tehát "Picing" online A program titkosítása, szükség van számos intézkedést.

A fertőzés fő jelei - a számítógép lassú munkája és a dokumentumok nevének megváltoztatása (észrevehet az asztalon).

  1. Indítsa újra a számítógépet a titkosítás megszakításához. Ha bekapcsol, ne erősítse meg az ismeretlen programok elindítását.
  2. Futtassa az antivírust, ha nem támadták meg a titkot.
  3. A másolatok bizonyos esetekben segítenek visszaállítani az információkat. Megtalálni őket, nyissa meg a titkosított dokumentum "tulajdonságait". Ez a módszer a titkosított boltozat bővítési adatokkal működik, amely a portálon található információ.
  4. Töltse le a legújabb verzió hasznosságát a vírusok-titkosítók leküzdésére. A leghatékonyabb ajánlatok Kaspersky Lab.

Titkosítja a vírusokat 2016-ban: Példák

Bármely vírusos támadással való foglalkozás esetén fontos megérteni, hogy a kód nagyon gyakran változik, kiegészítve az új vírusvédelem elleni védelmet. Természetesen a védelmi programok szükségük van egy kis időre, mivel a fejlesztő nem frissíti az alapot. A legutóbbi idők legveszélyesebb vírus-titkosítóként választottuk ki.

Ishtar ransomware.

Ishtar - titkosítási pénzt kitevő a felhasználóból. A vírust 2016 őszén látták, amelynek hatalmas számú felhasználója van Oroszországból és számos más országból. Ez vonatkozik az e-mail elosztás segítségével, amelyben a beágyazott dokumentumok jönnek (telepítők, dokumentumok stb.). Az ISHTAR-t fertőzött titkolóművel az "Ishtar" konzol nevében kapják meg. A folyamat létrehoz egy tesztdokumentumot, amelyben azt jelzi, hogy hol kell keresni a jelszót. A támadók 3000-től 15 000 rubelt igényelnek.

Az Ishtar vírus veszélye az, hogy ma nincs dekódoló, aki segítené a felhasználókat. Az anti-vírus szoftver létrehozásában részt vevő vállalatok meg kell szakítani a teljes kódot. Most már csak fontos információkat is elkülöníthet (ha különös jelentőséggel bírnak) egy külön médiumra, várva a dokumentumok kimutatására alkalmas segédprogram kimenetét. Javasoljuk az operációs rendszer újratelepítésére.

Neitrino.

A NEITRINO encripter 2015-ben jelent meg a nyilvános terekben. Az e kategória egyéb vírusaihoz hasonló támadások elvén. A mappák és fájlok nevét a "Neitrino" vagy "Neutrino" hozzáadásával módosítja. DeciFractions A vírus nehézségekbe ütközik - nem minden víruskereső vállalat képviselője erre vonatkozik, egy nagyon összetett kódra hivatkozva. Egyes felhasználók segíthetnek visszaállítani az árnyékmásolatot. Ehhez kattintson jobb gombbal a titkosított dokumentumra, menjen a Tulajdonságok, az Előző verzió lapon, kattintson a Visszaállítás gombra. Nem lesz felesleges, hogy használja a szabad segédprogramot a Kaspersky Lab.

Pénztárca vagy .wallet.

A pénztárca vírusa 2016 végén jelent meg. A fertőzés folyamatában megváltoztatja az adatok nevét a "NAME..WALLET" vagy hasonló. A legtöbb titkosítási vírushoz hasonlóan belép a rendszerbe a behatolók által küldött e-mailek mellékletei révén. Mivel a fenyegetés közelmúltban jelent meg, az AntiVirus programok nem veszik észre. Miután a titkosítás létrehoz egy olyan dokumentumot, amelyben a Fraudster jelzi a levelet, hogy kommunikáljon. Jelenleg az anti-vírus szoftverfejlesztők dolgoznak a titkosítási vírus kód megfejtésével [E-mail védett] A támadás felhasználók csak várhatnak. Ha az adatok fontosak, javasoljuk, hogy mentse őket külső meghajtón, törölje a rendszert.

Talány.

Az Enigma vírus titkosítása 2016. április végén megkezdte az orosz felhasználók számítógépeit. Az AES-RSA titkosítási modellt használják, amely a legtöbb extratikus vírusban található. A vírus a számítógép segítségével egy szkript segítségével lép be, amelyet maga a felhasználó megkezdi a fájlokat egy gyanús e-mailből. Még mindig nincs univerzális eszköz az Enigma titkosítás elleni küzdelemhez. A víruskeresőhöz engedélyezett felhasználók segítséget kérhetnek a fejlesztő hivatalos honlapján. Talált egy kis "Koophol" - Windows UAC. Ha a felhasználó az ablakban a "NO" gombra kattint, amely a vírus fertőzésének folyamatában jelenik meg, akkor ezután az árnyékmásolatok segítségével visszaállítja az információkat.

GRANIT.

Az új vírus-titkosítási granit 2016 őszén jelent meg. A fertőzés a következő szkripten következik be: A felhasználó elindítja a telepítőt, amely megfertőzi és titkosítja a számítógép összes adatait, valamint a csatlakoztatott meghajtókat. A vírus elleni küzdelem nehéz. A törléshez a Kaspersky speciális segédprogramokat használhatja, de nem tudta megfejteni a kódot. Talán segít a korábbi adatversiók helyreállításában. Emellett egy szakember, aki sok tapasztalattal rendelkezik, de a szolgáltatás drága.

Tyson.

Nemrég láttam. Ez a már ismert encrypter no_more_ransom kiterjesztése, amelyet megtudhatsz webhelyünkről. Belép a személyi számítógépek e-mailben. Sok vállalati számítógép megtámadták. A vírus létrehoz egy szöveges dokumentumot a felszabadításra vonatkozó utasításokkal, felajánlva a "Ransom" fizetését. A TYSON ENCRYPTER a közelmúltban megjelent, így nincs billentyű a feloldáshoz. Az információ visszaállításának egyetlen módja az előző verziók visszaállítása, ha a vírus nem törli őket. Természetesen esélyt tehetsz, átadhatja a pénzt a támadók által meghatározott pontszámra, de nincs garancia, hogy jelszót kap.

Spora.

2017 elején számos felhasználó lett az új Spora encrypter áldozatává. Szerint a működési elve, hogy nem nagyon különbözik a társait, de a szálloda több szakmai teljesítmény: az oktatás egyre jelszó jobban össze, a honlap még szebb. A vírus titkosítási képernyő Spora in C, az RSA és AES kombinációját használja az áldozat adatok titkosítására. A támadás általában olyan számítógépek voltak, amelyeken az 1C számviteli program aktívan használható. A vírus, amely egy egyszerű fiókban rejtőzködik a formátumban. A kezelés még nem található.

1c.drop.1

Ez a vírus titkosítás az 1C-nek 2016 nyarán jelent meg, megsértette a sok számvitel munkáját. A tervezettek kifejezetten az 1C szoftvert használó számítógépek számára készültek. A fájlban lévő fájlon keresztül a számítógéphez a tulajdonos frissíti a programot. Bármi legyen is a felhasználó rákattintott a vírusra, a vírus megkezdi a titkosítást. A "DR.WEB" szakértők a dekódolási eszközökön dolgoznak, de még nem találták meg. Hasonló az olyan összetett kódhoz, amely több módosításban lehet. Az 1C.DROP.1 védelme csak a felhasználók ébersége és a fontos dokumentumok rendszeres archiválása.

da_vinci_code.

Új titkár szokatlan névvel. A vírus 2016 tavaszán jelent meg. Az elődöket javított kód és rezisztens titkosítási mód jellemzi. DA_VINCI_Code megfertőz egy számítógépet, köszönhetően a végrehajtó alkalmazás (csatolva, mint általában, hogy egy e-mail), amely a felhasználó elindítja függetlenül. Da Vinci-kód titkosítója (Da Vinci-kód) bemásolja a szervezet a rendszer könyvtár és a rendszerleíró adatbázist, hogy automatikusan indul a Windows van kapcsolva. Az egyes áldozatok számítógépére egy egyedi azonosító van hozzárendelve (segíti a jelszót). Szinte lehetetlen megfejteni az adatokat. Pénzt fizethet a behatolóknak, de senki sem garantálja a jelszót.

[E-mail védett] / [E-mail védett]

Két e-mail cím, amelyet gyakran 2016-ban titkosítási vírusok kísérnek. Ők szolgálják az áldozatot egy támadóval. A legkülönbözőbb vírusok címei vannak csatolva: DA_VINCI_CODE, NO_MORE_RANSOM és így tovább. Rendkívül ajánlott kommunikálni, valamint pénzt átadni a csalóknak. A legtöbb esetben a felhasználók jelszavak nélkül maradnak. Így azt mutatja, hogy a behatolók titkosítók működnek, jövedelmet.

Rossz.

2015 elején jelent meg, de aktívan csak egy év alatt terjedt el. A fertőzés elve megegyezik más titkosítókkal: fájl telepítése e-mailből, adat titkosításból. Rendes víruskeresők, mint általában, nem veszi észre a törés rossz vírus. Egyes kód nem tudja megkerülni a Windows UAC-t, így a felhasználónak lehetősége van a dokumentumok korábbi verzióinak helyreállítására. A dekódoló még nem vezette be az antivírus szoftvert fejlesztő egyetlen vállalatot.

Xtbl

Nagyon gyakori titkosítási, amely sok felhasználó számára problémát vetett ki. A PC-n talál, a vírus percek alatt megváltoztatja a fájlok NTBL általi kiterjesztését. Olyan dokumentumot hoz létre, amelyben a támadó pénzt takarít meg. Az XTBL vírus egyes fajtái nem tudják elpusztítani a fájlokat a rendszer helyreállításához, amely lehetővé teszi a fontos dokumentumok visszatérését. Maga a vírus sok programból eltávolítható, de nagyon nehéz megfejteni a dokumentumokat. Ha ez az engedélyezett víruskereső tulajdonosa, technikai támogatást használ a fertőzött adatok mintáinak csatolásával.

Kukaracha.

Cacaracha Encrypter volt 2016 decemberében. A vírus érdekes névvel elrejti a felhasználói fájlokat az RSA-2048 algoritmussal, amelyet nagy ellenállás jellemez. A Kaspersky Anti-Virus a trojan-ransom.win32.catter.lb-nek nevezte meg. Kukaracha eltávolítható a számítógépről úgy, hogy a fertőzés nem más dokumentumok hatálya alá tartozik. Azonban a fertőzött ma szinte lehetetlen megfejteni (nagyon erős algoritmus).

Hogyan működik a vírus encrypter

Van egy hatalmas számú titkosítás, de mindegyik hasonló elv szerint működik.

  1. Személyes számítógép bevitele. Szabályként, köszönhetően a csatolt fájlnak egy e-mailre. A telepítés magában foglalja a felhasználót a dokumentum megnyitásával.
  2. Fájlfertőzés. Ivarosan minden típusú fájltípus titkosításnak van kitéve (a vírustól függően). Egy szöveges dokumentum jön létre, amelyben a Névjegyzék jelzi a behatolókkal való kommunikációt.
  3. Minden. A felhasználó nem férhet hozzá semmilyen dokumentumhoz.

A népi laboratóriumok harci eszközei

A széles körben elterjedt titkosítási tulajdonosok, akik ismerik a legveszélyesebb fenyegetések felhasználói adatok vált lendületet többféle víruskereső laboratóriumok. Minden népszerű vállalat olyan programokkal rendelkezik, amelyek segítenek a titkosítások elleni küzdelemben. Ezenkívül sokan segítenek a dokumentumvédelmi dokumentumok megfejtésére.

Kaspersky és titkosítók vírusok

Oroszország és a világ egyik leghíresebb víruslaboratóriuma ma is kínálja a leghatékonyabb eszközöket a vírusok leküzdésére. A titkosítási vírus első akadálya a Kaspersky Endpoint Security 10 a legújabb frissítésekkel. AntiVirus egyszerűen nem fog hiányozni a fenyegetést a számítógéphez (bár az új verziók nem állnak meg). Az információ dekódolásához a fejlesztő közvetlenül több szabad segédprogramot mutat be: Xoristdecryptor, Rakhnidecryptor és Ransomware dekódoló. Segítenek megtalálni a vírust, és felveszi a jelszót.

Dr. Web és titkosítók

Ez a laboratórium azt javasolja, hogy az anti-vírusprogram, amelynek fő jellemzője fenntartott fájlok. Tárolás a dokumentumok másolatával, továbbá védve a támadók jogosulatlan hozzáférésétől. A licencelt termék tulajdonosai Dr. A web segítséget nyújt a technikai támogatásban. Igaz, tapasztalt szakemberek nem mindig képesek ellenállni az ilyen típusú fenyegetésekkel.

ESET bod2 és titkosítók

Ugyanakkor ez a vállalat nem maradt, és a felhasználóknak jó védelmet nyújtottak a vírusok behatolásával szemben. Ezenkívül a Laboratórium nemrég kiadott egy szabad segédprogramot a releváns adatbázisokkal - ESET Crysis dekódolóval. A fejlesztők kijelentik, hogy ez segít a harcban, még a legújabb titkosítókkal is.

A titkosítási vírus támadások új hulláma a világot az érintett orosz média és az ukrán vállalatok között forgatta a világot. Oroszországban, az Interfax-nak a vírusban szenvedett, de a támadás csak az ügynökség részét érintette, mivel az informatikai szolgáltatásai sikerült letiltaniuk a kritikus infrastruktúra részét, az oroszországi Group-Ib céget mondta. Nevezték a Badrabbit vírust.

Egy példátlan vírusos támadás az oldalán a Facebookon, Yuri Pogorellov helyettes igazgatója tájékoztatást kapott. Két interxtisztviselő megerősítette a "Vedomosti" -t a számítógépek letiltásához. Az egyik szerintük egy vizuálisan blokkolt képernyő hasonló a híres Petya vírus cselekedeteinek eredményéhez. Az Internax által támadó vírus figyelmezteti, hogy nem szükséges a fájlok önálló megfejtésére, és megköveteli, hogy 0,05 bitcoine (285 dollárért) meg lehessen fizetni, amely egy speciális webhelyre meghívja Önt a Tor hálózaton. A vírus titkosította a vírust személyes azonosító kódhoz.

Az Interfax mellett két orosz média szenvedett a titkosítási vírusból, amelyek közül az egyik a Petersburgi kiadása a Fontanka, ismeri az Ib csoportot.

A főszerkesztő a Fontanka, Alexander Gorshkov, azt mondta: „Vedomosti”, hogy a „Fontanka” szerverek támadták meg ismeretlen támadók. De az edények biztosítják, hogy a "szökőkút" beszédvírusának támadása nem megy: a szerkesztőségű személyzet számítógépe, a szerver csapkodott, ami felelős a webhely munkájáért.

Interfax megosztottság az Egyesült Királyságban, Azerbajdzsán, Fehéroroszország és Ukrajna, valamint a helyszínen „Interfax-vallás” folytatja a munkát, azt mondta: „Vedomosti” regrowling. Nem világos, hogy milyen okból kár nem érintette más egységek, talán ez annak köszönhető, hogy az Interfax hálózati topológiát, amelyben a szervert, ahol a szerverek területileg, és az operációs rendszer van telepítve rájuk, mondja.

Ukrán Interfax a nap folyamán kedden jelentett egy hacker támadást Odessa nemzetközi repülőtéren. A repülőtér az oldalon bocsánatot kért az utasok "a kényszerített növekedés a szolgálati idő", de az online eredménytábla alapján ítélve, kedden még mindig továbbra is küldött és elfogadta a repülőgépeket.

További információ Kiberatka, a Metropolitan Metropolitan of Kijev azt mondta a Facebook-fiókjában - voltak problémák a bankkártyák kifizetésével. Az Front News Edition arról számolt be, hogy a metrót vírus-encrypter támadta meg.

Az IB csoport új járványt köt. Az elmúlt hónapokban már vannak két hullám támadások encrypters vírusok a világon: az Wannacry vírus jelent meg május 12-én, és június 27-én - a Petya vírus (ez notpetya és expetr). A Windows operációs rendszerrel behatoltak a számítógépekhez, ahol a frissítések nincsenek telepítve, titkosítva a merevlemez tartalmát, és 300 dollárt igényelt a dekódoláshoz. Mint később kiderült, Petya nem gondolta, hogy visszafejtse az áldozatok számítógépeit. Az első támadás több mint 150 országban több százezer számítógépet érintett, a második - 12500 számú 65 országban. A támadások áldozatai voltak az orosz " Megafon », Evraz. , « Gazprom "És" Rosneft " Majdnem a vírus szenvedett Invitro Orvosi központokat, amelyek több napig nem vettek elemzéseket.

Petya csaknem egy hónap alatt csak 18 000 dollárt tudott összegyűjteni, de az összehasonlíthatatlan károkat. Az egyik áldozata a dán logisztikai óriás Moller-Maersk értékelte az eltűnt bevételeket a Cyberatics 200-300 millió dollár.

A Moller-Maersk divíziói közül a Maersk-vonal a konténerek tengeri szállításában részt vevő fő csapás (2016-ban a Maersk Line összesen 20,7 milliárd dollárt szerzett, 31,900 ember működik az osztályban).

Az üzlet gyorsan eljött az érzékeimhez a támadás után, de a vállalat és a szabályozók őrültek. Tehát augusztusban a fióktelepeik igazgatóit figyelmeztette ágai igazgatói, az EGK Szövetségi Hálózati Társaságának (kezeli az All-orosz elektromos hálózatot), és néhány nappal később az orosz bankok hasonló figyelmeztetést kaptak a fincertről (a CBB CBBC szerkezete).

Az új támadás az encryptionist vírus megjegyezte, a „Kaspersky Lab” szerint a megfigyelések, amelyek a legtöbb támadás az áldozatok Oroszországban található, de vannak fertőzés és Ukrajnában, Törökországban és Németországban. Minden jel arra mutat, hogy ez egy koncentrált támadást a vállalati hálózatok, a fejét a Kaspersky Lab antivírus vizsgálat bízik, Vjacseszlav Zakorzhevsky: Methods hasonló Expetr eszközöket használnak, de nem kapcsolódnak ilyen vírus nem vezethető.

És szerint Eset antivírus cég, a kódoló még egy rokona Petya. A támadás rosszindulatú programlemez-programot használ - ez a kódoló új módosítása.

A húzás arról számolt be, hogy a Symantec anti-vírus az interaktív számítógépeken telepítették. A Symntec Tegnap képviselői nem válaszoltak a "Vedomosti" kérésére.

2017. április 12-én a WANNACRY nevű vírus titkosítási tisztviselő világának gyors elterjedése, amely "sírni akarok". A felhasználóknak kérdése van a WANACRY vírus Windows frissítésével kapcsolatban.

A számítógép képernyőjén található vírus így néz ki:

Rossz vírus Wannacry, hogy minden titkosítja

A vírus titkosítja az összes fájlt a számítógépen, és előírja a megváltás a Bitcoin pénztárcáját az összeg 300 $, vagy 600 $ állítólag megfejtésének a számítógépet. A világ 150 országában lévő számítógépeket fertőzött fertőzött, a leginkább érintett - Oroszországgal.

Megafon, az orosz vasutak, a Belügyminisztérium, az Egészségügyi és más társaságok minisztériuma szorosan jött ezzel a vírussal. Az áldozatok között egyszerű internethasználók vannak.

Mielőtt a vírus szinte mind egyenlő. A különbség talán a vállalatoknál a vírus a szervezeten belül a teljes helyi hálózaton keresztül érvényes, és azonnal megfertőzi a maximális számú számítógépek számát.

A WANNACRY vírus titkosítja a számítógépeken lévő fájlokat a Windows segítségével. A Microsoftban, 2017 márciusában az MS17-010 frissítések megjelentek a Windows XP, Vista, 7, 8, 10 különböző verziói számára.

Kiderül, hogy azok, akik automatikusan frissítik az ablakokat, a vírus kockázati zónáján kívül esnek, mert a frissítés időben érkezett, és elkerülheti azt. Nem feltételezem, hogy valójában az.

Ábra. 3. Üzenet a KB4012212 frissítés telepítésekor

UPDATE KB4012212 A telepítés után a laptop újraindítása szükséges, amelyet nem igazán tetszett, mert ismeretlen, mint ez, de hol kell menni a felhasználóhoz? Az újraindítás azonban jól ment. Így csendben élünk a következő vírusos támadásig, és hogy az ilyen támadások kétségbeesnek, sajnosok, nem kell.


Mindenesetre fontos, hogy az operációs rendszer és a fájljainak helyreállítása.

Windows 8 frissítés a WANNACRY-tól

A licencelt Windows 8 laptop esetében a frissítés teltelepen telepítette a kb 4012598-at

Wannacry, Petya, Mischa és egyéb zsarolás vírusok nem fenyeget, ha betartják az egyszerű ajánlások megelőzésére PC fertőzés!

A múlt héten az egész internet megtagadta a híreket az új vírus-titkterről. A világ számos országában sokkal nagyobb mértékű járványt provokált, mint a hírhedt Wannacry, akinek a hulláma májusra esett. A nevek új vírussal rendelkeznek: Petya.a, expetr, notpety, goldeneye, trojan.ransom.petya, petrwrap, diskcoder.c, azonban leggyakrabban úgy tűnik, mint Peta.

Ezen a héten a támadások folytatódnak. Még az irodánkban is egy levél jött, slyly álcázott valamiféle mitikus frissítés a szoftver! Szerencsére senki sem gondolta, a nyitás a benyújtott archív :) Ezért szeretnék szentelni ma arra a kérdésre, hogy hogyan védik meg a számítógépet a vírusok és zsarolás nem válik áldozatává a Petya vagy még több titkosítója.

Mit csinálnak a zsaroli vírusok?

Az első zaklató vírusok a 2000-es évek elején jelentek meg. Sokan, akik ebben az évben élvezték az internetet, valószínűleg emlékeznek a trojan.winlock-ra. Letiltotta a számítógép indítását, és megkapja a feloldási kódot, hogy felsoroljon egy bizonyos összeget a WebMoney pénztárcán vagy egy mobiltelefonon:

Az első Windows-blokkolók nagyon ártalmatlanok voltak. Az ablakuk a szöveggel, hogy felsoroljuk az alapok elején egyszerűen "köröm" a feladatkezelőn keresztül. Aztán ott voltak bonyolultabb változatai trójai, amely lehetővé tette módosításokat a registry szinten, sőt MBR. De lehetséges volt "gyógyítani", ha tudod, mit kell tennie.

A modern vírusok nagyon veszélyesek lettek. Nemcsak blokkolják a rendszer működését, hanem titkosítják a merevlemez tartalmát is (beleértve az MBR fő indítási rekordját). A rendszer feloldásához és a fájlok visszafedése érdekében a támadók most a Bitcoin-ben kerülnek felszámolásra "Ah, egyenértékű összeget 200 és 1000 dollár között! Sőt, még akkor is, ha felsorolja a meghatározott pénztárcát, akkor ez nem ad garanciát, hogy a hackerek küldenek feloldási kulcs.

Fontos szempont, hogy ma már gyakorlatilag nincs működő módon megszabadulni a vírus, és kap vissza a fájlokat. Ezért véleményem szerint jobb, ha nem először találkoznak mindenféle trükköket és többé-kevésbé megbízhatóan védi a számítógép potenciális támadások.

Hogy ne váljunk a vírus áldozatává váljanak

A vírusok általában kétféleképpen alkalmazhatók. Az első kihasználás különböző windows műszaki sebezhetőségek. Például Wannacry használt EternalBlue kiaknázására, amely lehetővé tette a hozzáférést egy számítógéphez az SMB protokollt. Az új PETYA titkosítás a rendszerbe behatolhat a 1024-1035, 135 és 445 számú TCP-portokon keresztül. A gyakoribb fertőzés gyakoribb módja adathalászat. Egyszerűen tegye, a felhasználók maguk fertőzik a számítógépeket, megnyitják a postai küldött rosszindulatú fájlokat!

Technikai védelem a titkosítási vírusok ellen

Bár a vírusok közvetlen fertőzése, és nem olyan gyakori, de történnek. Ezért jobb, ha megszünteti a már ismert potenciális biztonsági rudakat. Először frissítenie kell a vírusirtót, vagy telepítenie kell (például jól működik a titkosítási vírusok szabad 360 teljes biztonságának felismerésével. Másodszor, telepítenie kell a legújabb Windows-frissítéseket.

Tehát, hogy megszüntesse a potenciálisan veszélyes hibát a Microsoft SMB protokoll kiadott rendkívüli frissítéseket minden rendszer, kezdve a Windows XP. Letöltheti őket az operációs rendszer verziójához.

A PETYA elleni védelem érdekében javasoljuk, hogy bezárja a portok portjait a számítógépen. Ehhez a rendszeres használat legegyszerűbb módja tűzfal. Nyissa meg a kezelőpanelen, és válassza ki az oldalsáv részét "Extra lehetőségek". Megnyílik a szűrési szabályok kezelése. Választ "A bejövő kapcsolatok szabályai" és a jobb oldalon kattintson "Szabály létrehozása". Egy különleges mester, amelyben szabályoznia kell "A kikötő", majd válassza ki az opciót "Meghatározott helyi kikötők" és írja elő a következőket: 1024-1035, 135, 445 :

A portlista hozzáadása után telepítse az opciót a következő képernyőn. "Blokk kapcsolat" Minden profilhoz, és állítsa be a nevet (Leírás Opcionális) az új szabályhoz. Ha úgy gondolja, hogy az ajánlások az interneten, akkor nem adja meg a vírust, hogy töltse le a szükséges fájlokat, ha a számítógéphez jut.

Ezen felül, ha Ukrajna és használt számviteli on me.doc, akkor a frissítések telepítését tartalmazó backdors. Ezeket a reklámokat nagyméretű számítógépekhez használták Petya.a vírussal. Az elemzett ma már legalább három frissítést tudsz biztonsági résekkel:

  • 01/10/175-10.01.176 április 14-én;
  • 01/10/180-10.01.181 május 15-én;
  • 01/10/188-10.01.189 június 22-én.

Ha telepítette ezeket a frissítéseket, akkor a kockázati csoportban van!

Védelem az adathalászatból

Amint már említettük, a legtöbb fertőzésben bűnösnek, mindazonáltal az emberi tényező. A hackerek és a spammerek világszerte nagyméretű adathalász-kampányt indítottak. Ennek keretében az e-mail e-maileket küldtek ki hivatalos szervezetek különféle beruházásokra, amelyeket ki számlákat, frissítéseket vagy más „fontos” adat. Elég volt megnyitni egy álcázott rosszindulatú fájlt, mivel telepítette a vírust a számítógépen, amely titkosítja az összes adatot!

Hogyan lehet megkülönböztetni az adathalász levelet a valóságból. Ez nagyon könnyű, ha követi a józan ész és a következő ajánlásokat:

  1. Kinek a levelet? Először is figyeljen a feladóra. A hackerek írhatnak egy levelet, legalábbis a nagymama nevét! Van azonban egy fontos pont. Küldje el a "nagymama" e-mail címét, és az adathalász levél feladójának címe, mint általában határozatlan karaktersorozat lesz. Valami hasonló: " [E-mail védett]„És az árnyalatot is: a feladó nevének és címe, ha ez a hivatalos levél, általában korrelál egymással. Például E-mail egy bizonyos cég” Pupkin és Co »tűnhet, mintha« [E-mail védett]-, de nem valószínű, hogy a fajta " [E-mail védett]" :)
  2. Mi a levél? Általános szabályként az adathalászok bármilyen hívást tartalmaznak, vagy utalnak rá. Ugyanakkor a levél testében általában semmi sem íródott, vagy semmi sem íródott, vagy semmi további motiváció a beágyazott fájlok megnyitásához. Words „SÜRGŐS!”, „A pontszám szolgáltatások” vagy a „kritikus frissítés” betűkkel ismeretlen feladótól lehet fényes példája próbál csapkod. Gondolj logikusan! Ha nem kért semmilyen fiókot, frissítéseket vagy más dokumentumokat egy adott vállalatból, akkor ez a valószínűsége 99% -a - adathalászat ...
  3. Mi a levélben? Az adathalászat fő eleme a befektetései. A legnyilvánvalóbb típusú melléklet lehet EXE fájl, amely hamis "frissítés" vagy "program". Az ilyen beruházások meglehetősen durva arc, de megtalálhatók.

    Több "elegáns" módja annak, hogy megtévessze a felhasználót, hogy álcázza a szkript letöltését a vírus, a dokumentum excel vagy szó alatt. A maszkolás kétféle lehet. Az első verzióban maga a parancsfájl az Office Dokumentumban kerül kiadásra, és lehet, hogy felismerje a név "kettős" kiterjesztésével, például: " .xls.js."VAGY" ÖSSZEFOGLALÁS .doc.vbs.„A második esetben a kapcsolódási állhat két fájlt: egy igazi dokumentumot, és egy fájlt egy script, hogy hívják, mint a makró Word vagy az Excel irodájában dokumentumot.

    Mindenesetre nem érdemes megnyitni az ilyen dokumentumokat, még akkor is, ha a "feladó" sokat kérdez tőled! Ha hirtelen az ügyfelek között is van egy, aki elméletileg küldhet egy levelet ilyen tartalmakkal, akkor jobb, ha kapcsolatba lépne vele közvetlenül, és tisztázza, hogy küldjön neked bármilyen dokumentumot. A fejlett televízió ebben az esetben megmentheti Önt a felesleges bajból!

Azt hiszem, ha bezárja az összes technikai sávot a számítógépén, és nem adja be a spammerek provokációiba, akkor nem vírusok ijesztőek az Ön számára!

A fájlok visszaállítása a fertőzés után

És mindazonáltal örömmel fertőzte meg a számítógépet víruskapcsolással ... Ne kapcsolja ki a számítógépet a titkosítási üzenet megjelenése után!

A tény az, hogy mivel a hibák számának a kódot a vírus önmagában, az újraindítás előtt a számítógép, van egy esélyt, hogy húzza ki a kulcsot a memória meg kell visszafejteni fájlok! Például a Wannakiwi segédprogram megfelel a Wannacry dekódoló kulcsának megszerzéséhez. Sajnos nincs olyan megoldás, hogy visszaállítsa a fájlokat a PETYA támadása után, de megpróbálhatja kivonni azokat az adatok árnyékmásolatából (ha aktiválta az opciót a merevlemezen történő létrehozásához) az árnyékexplorer miniatűr használatával program:

Ha már újraindította a számítógépet, vagy a fenti tippek nem segítettek, akkor csak az adatok helyreállítási programjainak visszaállítása lehet. Rendszerként a titkosítási vírusok a következő rendszer szerint működnek: hozzon létre egy titkosított példányt a fájlból, és távolítsa el az eredetit anélkül, hogy felülírná. Vagyis csak a fájlkímke valójában törlődik, és maga az adatok mentésre kerülnek, és visszaállíthatók. Honlapunkon két program van: jobban megfelel a médiafájlok és fényképek újraélesztéséhez, és az R.Saver jól illeszkedik a dokumentumokhoz és az archívumokkal.

Természetesen a vírust el kell távolítani a rendszerből. Ha a Windows betöltődik, akkor a malwarebytes anti-Malware program jól működik. Ha a vírus blokkolta a terhelés, akkor a Dr.Web LiveCD boot lemezt egy bizonyított segédprogramot harci különböző rosszindulatú Dr.Web CureIt fedélzetén. Az utóbbi esetben az MBR-t is vissza kell állítani. Mivel a DR.WEB Linuxon alapuló LiveCD, azt hiszem, hasznos lesz a Habra ezen a témában.

következtetések

A Windows ablakok problémája sok éven át releváns. És minden évben látjuk, hogy a vírusok egyre kifinomultabb károsodási formákat találnak a felhasználók számítógépeinek. A titkosítási vírusok utolsó járványai azt mutatják, hogy a támadók fokozatosan mozognak az aktív zsarolás felé!

Sajnos, még akkor is, ha pénzt fizetsz, valószínűleg nem kap semmilyen választ. Valószínűleg vissza kell állítania adatait. Ezért jobb időben megmutatni az éberséget időben, és megakadályozza a fertőzést, mint aztán, hogy elkerülje a következményeinek megszüntetését!

P.S. Ennek a cikknek szabadon másolható és idézheti, ha nyitott aktív hivatkozást ad a forrásra és a Ruslana Trader szerzőjének fenntartására.

Az új Wannacry rosszindulatú program (számos más nevek - Wannacry Decryptor, Wannacrypt, WCry és WanacryPT0R 2,0), kijelentette magát a világnak május 12-én, 2017, amikor a fájlokat a számítógépek több egészségügyi lehetőségek az Egyesült Királyságban titkosítva. Amint kiderült, egy ilyen helyzetben a vállalatok több tucat országban voltak, Oroszország, Ukrajna, India, Tajvan megsérült. A Kaspersky Lab szerint csak a támadás első napján a vírust 74 országban fedezték fel.

Mi a veszélyes WANNACRY? A vírus titkosítja a fájlokat a különböző típusú (fogadó mellék. WCRY, fájlok válnak teljesen olvashatatlan), majd szükség megváltása 600 $ dekódolására. A pénz átvitelének felgyorsítása érdekében a felhasználó megfélemlíti azt a tényt, hogy három nap elteltével a visszaváltás összege növekedni fog, és hét nappal később a fájlok egyáltalán nem lehet visszafejteni..

A WANNACRY titkosítási fertőzött fenyegetése a Windows operációs rendszereken alapuló számítógépek vonatkoznak. Ha a Windows licencelt verzióit használja, és rendszeresen frissíti a rendszert, akkor nem is aggódhat, hogy a vírus behatol a rendszerbe, amely így van.

MacOS, Chromeos és Linux felhasználók, valamint mobil operációs rendszerei iOS és Android támadások Wannacry nem félhet.

Mi van, ha a Wannacry áldozatává vált?

A British National vádolás Ügynökség (NCA) azt javasolja a kisvállalkozások vált áldozatává ragadozók és aggódik a vírus terjedését a hálózaton, a következő intézkedéseket:

  • Vizsgálja meg a számítógépet, a laptopot vagy a tablettát a vállalati / belső hálózatból. Húzza ki a Wi-Fi-t.
  • Változtassa meg az illesztőprogramokat.
  • A Wi-Fi hálózathoz való csatlakozás nélkül csatlakoztassa a számítógépet az internethez közvetlenül.
  • Frissítse az operációs rendszert és minden más szoftvert.
  • Frissítse és futtassa az antivírust.
  • Ismételje meg a hálózatot.
  • Monitor a hálózati forgalom és / vagy futtatni a szkennelést a vírusokhoz, hogy megbizonyosodjon arról, hogy az encripter eltűnt.

Fontos!

A Wannacry vírus titkosított fájlokat senkinek nem lehet megfejteni, kivéve a behatolókat. Ezért ne pazarolja az időt és pénzt az "IT Geniuses" -re, ami megígéri, hogy megszabaduljon e fejfájásból.

Érdemes pénzt fizetni a behatolóknak?

Az első kérdéseket, amelyeket a felhasználók megkérdeznek, akik ütköztek az új WANNACRY CIGRIER vírussal - a fájlok visszaállítása és a vírus eltávolítása. Anélkül, hogy szabadon és hatékony megoldást találnánk, úgy döntöttek, hogy megválasztják a választást - fizetnek pénzt az izzadt vagy sem? Gyakran a felhasználóknak van valami elveszíteni (a személyes dokumentumok és a fotó archívumok tárolódnak a számítógépen), a probléma megoldásának vágya a pénz segítségével valóban felmerül.

De az NCA tartósan hívja nemfizess. Ha még mindig úgy dönt, hogy ezt tegye, akkor tartsa szem előtt a következőket:

  • Először is, nincs garancia arra, hogy hozzáférést kap az adatokhoz.
  • Másodszor, a számítógép és a fizetés után továbbra is fertőzött vírus maradhat.
  • Harmadszor, legvalószínűbb, hogy csak adja meg a pénzrögzőket.

Hogyan védjük meg magad a Wannacry-tól?

Milyen intézkedéseket kell tenni a fertőzés megakadályozására a vírussal, magyarázza Vyacheslav Belastov, a Rendszervédelmi Rendszerek végrehajtására szolgáló osztály vezetője SCB Contour:

A Wannacry vírus funkció az, hogy behatolhat a rendszerbe, anélkül, hogy részt vehetne más titkosítási vírusokkal ellentétben. Korábban a vírus cselekedete miatt szükséges volt, hogy a felhasználó figyelmen kívül hagyta, hogy a levélben megkérdőjelezhető linkre költözött, amelyet ténylegesen nem szándékoztak, vagy rosszindulatú befektetéseket töltöttek el. A Wannacry esetében a biztonsági rést közvetlenül az operációs rendszerben működtetik. Ezért először a kockázati csoportba kiderült, hogy a számítógépek Windows alapú, ami nem bizonyította frissítéseket március 14, 2017. Van elég egy fertőzött munkaállomás a helyi hálózatból a vírus, hogy terjessze a többire a rendelkezésre álló sebezhetőséggel.

A felhasználók vírusainak áldozatai természetesen egy fő kérdés - hogyan kell megfejteni az információkat? Sajnos eddig nincs garantált megoldás, és alig előre látható. Még a megadott összeg kifizetése után is a probléma megoldódott. Ezenkívül a helyzetet súlyosbíthatja az a tény, hogy egy olyan személy, aki remélte, hogy visszaállítja adatkockázatát az állítólag "szabad" decenseers segítségével, amelyek valójában rosszindulatú fájlok. Ezért a fő tanács, amely lehet, hogy figyelmes, és mindent megtesz annak érdekében, hogy elkerülje a hasonló helyzetet.

Pontosan mit tud és kell tenni a jelenleg:

1. Telepítse a legújabb frissítéseket.

Ez nem csak az operációs rendszerekre vonatkozik, hanem az anti-vírusvédelemre is. A Windows Update Information megtalálható.

2. A fontos információk biztonsági másolatai.

3. Legyen óvatos, amikor a levél és az interneten dolgozik.

Szükséges figyelmet kell fordítani a számtalan betűkre, kétes referenciákkal és beruházásokkal. Az interneten való együttműködéshez ajánlott olyan pluginokat használni, amelyek lehetővé teszik, hogy megszabaduljon a felesleges reklámoktól és a potenciálisan rosszindulatú forrásokhoz való hivatkozásoktól.