Perlindungan enkripsi virus baru. Virus Encrypter Wanna Cry Files - Cara Melindungi Dan Menyimpan Data

Teknologi modern memungkinkan peretas untuk terus meningkatkan metode penipuan dalam kaitannya dengan pengguna biasa. Sebagai aturan, untuk keperluan ini, perangkat lunak virus digunakan, menembus komputer. Mengenkripsi virus sangat berbahaya. Ancamannya adalah bahwa virus menyebar dengan sangat cepat, mengenkripsi file (pengguna tidak dapat membuka satu dokumen). Dan jika cukup sederhana, maka jauh lebih sulit untuk mendekripsi data.

Apa yang harus dilakukan jika virus dienkripsi file di komputer

Masing-masing, bahkan pengguna yang memiliki perangkat lunak antivirus yang kuat diasuransikan dengan menyerang enkripsi. Enkripsi file Troyans diwakili oleh berbagai kode, yang mungkin tidak di bawah antivirus. Peretas bahkan berhasil menyerang perusahaan besar yang tidak mengurus perlindungan informasi mereka yang diperlukan. Jadi, "picing" di encrypter program online, perlu untuk mengambil sejumlah langkah.

Tanda-tanda utama infeksi - karya lambat komputer dan mengubah nama-nama dokumen (Anda dapat melihat di desktop).

  1. Mulai ulang komputer untuk menyela enkripsi. Ketika Anda menyala, jangan konfirmasi peluncuran program yang tidak dikenal.
  2. Jalankan antivirus jika belum diserang enkripsi.
  3. Salinan akan membantu memulihkan informasi dalam beberapa kasus. Untuk menemukannya, buka "properti" dari dokumen terenkripsi. Metode ini bekerja dengan data ekspansi vault terenkripsi, yang merupakan informasi tentang portal.
  4. Unduh utilitas versi terbaru untuk memerangi virus-enkripsi. Penawaran paling efektif Kaspersky Lab.

Enkripsi Virus pada 2016: Contoh

Ketika berhadapan dengan serangan viral, penting untuk memahami bahwa kode ini sangat sering berubah, ditambah dengan perlindungan baru terhadap antivirus. Tentu saja, program perlindungan perlu waktu karena pengembang tidak memperbarui basis. Kami telah memilih virus-enkripsi yang paling berbahaya saat-saat terakhir.

Ishtar ransomware.

Ishtar - Encroctiption memeras uang dari pengguna. Virus ini terlihat pada musim gugur 2016, terinfeksi sejumlah besar pengguna pengguna dari Rusia dan sejumlah negara lain. Ini berlaku dengan bantuan distribusi email, di mana dokumen bersarang datang (installer, dokumen, dll.). Ishtar yang terinfeksi dengan enkripsi diperoleh atas nama konsol "Ishtar". Proses ini menciptakan dokumen tes di mana ia ditunjukkan di mana untuk mencari kata sandi. Para penyerang membutuhkan dari 3.000 hingga 15.000 rubel untuk itu.

Bahaya virus Ishtar adalah hari ini tidak ada dekriptor yang akan membantu pengguna. Perusahaan yang bergerak dalam pembuatan perangkat lunak anti-virus, perlu untuk menguraikan seluruh kode. Sekarang Anda hanya dapat mengisolasi informasi penting (jika mereka sangat penting) ke media terpisah, menunggu output utilitas yang mampu menguraikan dokumen. Disarankan untuk menginstal ulang sistem operasi.

Neitrino.

Neitrino Encrypter muncul di ruang publik pada tahun 2015. Pada prinsip serangan yang mirip dengan virus lain dari kategori ini. Mengubah nama folder dan file dengan menambahkan "neitrino" atau "neutrino". Decifraksi Virus ini dengan kesulitan - tidak semua perwakilan dari perusahaan antivirus diambil untuk ini, mengacu pada kode yang sangat kompleks. Beberapa pengguna dapat membantu memulihkan salinan bayangan. Untuk melakukan ini, klik kanan pada dokumen terenkripsi, buka Properties, tab versi sebelumnya, klik Restore. Itu tidak akan berlebihan untuk menggunakan utilitas gratis dari Kaspersky Lab.

Dompet atau .wallet.

Virus dompet muncul pada akhir 2016. Dalam proses infeksi, mengubah nama data ke "nama..wallet" atau serupa. Seperti kebanyakan virus enkripsi, memasuki sistem melalui lampiran dalam email yang dikirim oleh penyusup. Karena ancaman muncul baru-baru ini, program antivirus tidak memperhatikannya. Setelah enkripsi menciptakan dokumen di mana penipu menunjukkan surat untuk berkomunikasi. Saat ini, pengembang perangkat lunak anti-virus bekerja untuk menguraikan kode virus enkripsi [Dilindungi Email] Serangan pengguna hanya bisa menunggu. Jika data itu penting, disarankan untuk menyimpannya ke drive eksternal, membersihkan sistem.

Enigma.

Enkripsi virus Enigma mulai menginfeksi komputer pengguna Rusia pada akhir April 2016. Model enkripsi AES-RSA digunakan, yang ditemukan dalam virus yang paling puas. Virus memasuki komputer dengan bantuan skrip bahwa pengguna itu sendiri mulai dengan membuka file dari email yang mencurigakan. Masih belum ada alat universal untuk memerangi enkripsi Enigma. Pengguna yang dilisensikan ke Antivirus dapat meminta bantuan di situs web resmi pengembang. Juga menemukan "celah" kecil - Windows UAC. Jika pengguna mengklik "Tidak" di jendela, yang muncul dalam proses infeksi dengan virus, itu akan dapat secara selanjutnya memulihkan informasi menggunakan salinan bayangan.

Granit.

Granit virus-enkripsi baru muncul pada musim gugur 2016. Infeksi terjadi pada skrip berikut: Pengguna memulai installer yang menginfeksi dan mengenkripsi semua data pada PC, serta drive yang terhubung. Berkelahi dengan virus itu sulit. Untuk menghapus, Anda dapat menggunakan utilitas khusus dari Kaspersky, tetapi belum dapat menguraikan kode. Mungkin itu akan membantu pemulihan versi data sebelumnya. Selain itu, seorang spesialis yang memiliki banyak pengalaman dapat menguraikan, tetapi layanannya mahal.

Tyson.

Baru-baru ini terlihat. Ini adalah perpanjangan dari enkrypter no_more_ransom yang sudah diketahui, yang dapat Anda pelajari tentang situs kami. Memasuki komputer pribadi dari email. Banyak PC perusahaan telah diserang. Virus membuat dokumen teks dengan instruksi untuk membuka kunci, menawarkan untuk membayar "tebusan". Tyson Encrypter muncul baru-baru ini, jadi belum ada kunci untuk dibuka. Satu-satunya cara untuk memulihkan informasi adalah mengembalikan versi sebelumnya jika tidak dihapus oleh virus. Anda dapat, tentu saja, mengambil kesempatan, mentransfer uang ke skor yang ditentukan oleh penyerang, tetapi tidak ada jaminan bahwa Anda akan menerima kata sandi.

Spora.

Pada awal 2017, sejumlah pengguna menjadi korban dari Encrypter Spora yang baru. Menurut prinsip operasi, itu tidak jauh berbeda dari rekannya, tetapi menawarkan kinerja yang lebih profesional: instruksi untuk mendapatkan kata sandi dikompilasi dengan lebih baik, situs web terlihat lebih indah. Layar enkripsi virus spora di C, menggunakan kombinasi RSA dan AES untuk mengenkripsi data korban. Serangan itu biasanya komputer di mana program akuntansi 1C secara aktif digunakan. Virus, bersembunyi dengan kedok akun sederhana dalam format.pdf, memaksa karyawan perusahaan untuk menjalankannya. Pengobatan belum ditemukan.

1c.drop.1.

Enkripsi virus ini untuk 1C muncul pada musim panas 2016, melanggar pekerjaan banyak akuntansi. Dirancang dirancang khusus untuk komputer menggunakan perangkat lunak 1C. Menemukan melalui file dalam email ke PC, menawarkan pemilik untuk memperbarui program. Apa pun yang diklik pengguna, virus akan mulai enkripsi. Para ahli "Dr.Web" bekerja pada alat dekripsi, tetapi belum ditemukan. Mirip dengan kode kompleks yang dapat dalam beberapa modifikasi. Melindungi dari 1c.drop.1 hanya kewaspadaan pengguna dan pengarsipan reguler dokumen-dokumen penting.

da_vinci_code.

Enkripsi baru dengan nama yang tidak biasa. Virus muncul pada musim semi 2016. Pendahulu ditandai dengan kode yang ditingkatkan dan mode enkripsi resisten. DA_VINCI_CODE menginfeksi komputer berkat aplikasi eksekutif (terlampir, sebagai aturan, ke email), yang dimulainya pengguna secara independen. Da Vinci Code Encrypter (DA VINCI CODE) menyalin tubuh ke direktori sistem dan registri, memberikan awal otomatis ketika Windows dihidupkan. ID unik ditugaskan ke komputer setiap korban (membantu mendapatkan kata sandi). Hampir mustahil untuk menguraikan data. Anda dapat membayar uang kepada penyusup, tetapi tidak ada yang menjamin kata sandi.

[Dilindungi Email] / [Dilindungi Email]

Dua alamat email, yang sering disertai dengan mengenkripsi virus pada tahun 2016. Mereka yang berfungsi untuk mengomunikasikan korban dengan seorang penyerang. Alamat untuk jenis virus yang paling berbeda dilampirkan: da_vinci_code, no_more_ransom dan sebagainya. Sangat disarankan untuk berkomunikasi, serta mentransfer uang kepada penipu. Pengguna dalam banyak kasus tetap tanpa kata sandi. Dengan demikian, menunjukkan bahwa enkripsi penyusup bekerja, membawa pendapatan.

Hancur berantakan.

Muncul pada awal 2015, tetapi secara aktif menyebar hanya dalam setahun. Prinsip infeksi identik dengan enkripsi lain: instalasi file dari email, enkripsi data. Antivirus biasa, sebagai suatu peraturan, tidak memperhatikan virus yang buruk. Beberapa kode tidak dapat mem-bypass Windows UAC, sehingga pengguna memiliki kesempatan untuk memulihkan versi dokumen sebelumnya. Dekriptor belum memperkenalkan satu perusahaan yang mengembangkan perangkat lunak antivirus.

Xtbl.

Enkripsi yang sangat umum, yang memberikan masalah kepada banyak pengguna. Menemukan pada PC, virus dalam hitungan menit mengubah ekstensi file oleh NTBL. Dokumen dibuat di mana penyerang memeras uang. Beberapa varietas virus XTBL tidak dapat menghancurkan file untuk memulihkan sistem, yang memungkinkan Anda mengembalikan dokumen penting. Virus itu sendiri dapat dihapus oleh banyak program, tetapi sangat sulit untuk menguraikan dokumen. Jika itu adalah pemilik antivirus berlisensi, gunakan dukungan teknis dengan melampirkan sampel data yang terinfeksi.

Kukaracha.

Cacaracha Encrypter terlihat pada Desember 2016. Virus dengan nama menarik menyembunyikan file pengguna dengan algoritma RSA-2048, yang ditandai dengan resistansi tinggi. Kaspersky Anti-virus menetapkannya sebagai trojan-ransom.win32.scatter.lb. Kukaracha dapat dihapus dari komputer sehingga infeksi tidak tunduk pada dokumen lain. Namun, yang terinfeksi hari ini hampir mustahil untuk menguraikan (algoritma yang sangat kuat).

Bagaimana cara kerja enkripsi virus

Ada sejumlah besar enkripsi, tetapi mereka semua bekerja sesuai dengan prinsip serupa.

  1. Memasuki komputer pribadi. Sebagai aturan, berkat file terlampir ke email. Instalasi termasuk pengguna itu sendiri dengan membuka dokumen.
  2. Infeksi file. Semua jenis jenis file dikenakan enkripsi (tergantung pada virus). Dokumen teks dibuat di mana kontak diindikasikan untuk berkomunikasi dengan penyusup.
  3. Segala sesuatu. Pengguna tidak dapat memperoleh akses ke dokumen apa pun.

Mata Bumi Laboratorium Populer

Pemegang enkripsi yang luas yang diakui sebagai ancaman paling berbahaya bagi data pengguna telah menjadi dorongan bagi banyak laboratorium antivirus. Setiap perusahaan populer menyediakan para penggunanya dengan program untuk membantu melawan enkripsi. Selain itu, banyak dari mereka membantu menguraikan dokumen perlindungan dokumen.

Kaspersky dan enkripsi virus

Salah satu laboratorium anti-virus paling terkenal di Rusia dan dunia menawarkan hari ini cara paling efektif untuk memerangi virus yang diatur. Hambatan pertama untuk virus enkripsi akan menjadi Kaspersky Endpoint Security 10 dengan pembaruan terbaru. Antivirus tidak akan melewatkan ancaman terhadap komputer (meskipun, versi baru mungkin tidak berhenti). Untuk mendekripsi informasi, pengembang langsung menyajikan beberapa utilitas gratis :, XORISTDECRYPTOR, Rakhnidecryptor dan Ransomware Decryptor. Mereka membantu menemukan virus dan mengambil kata sandi.

Dr. Web dan Encrypters.

Laboratorium ini merekomendasikan penggunaan program anti-virus mereka, fitur utama yang telah dipesan file. Penyimpanan dengan salinan dokumen, selain itu, dilindungi dari akses penyerang yang tidak sah. Pemilik produk berlisensi Dr. Web tersedia untuk bantuan dalam dukungan teknis. Benar, profesional berpengalaman tidak selalu tahan terhadap jenis ancaman ini.

ESET mengangguk 32 dan enkripsi

Pada saat yang sama, perusahaan ini tidak tetap, memberikan penggunanya dengan perlindungan yang baik terhadap penetrasi virus ke komputer. Selain itu, laboratorium baru-baru ini merilis utilitas gratis dengan basis data yang relevan - ESET Crysis Decryptor. Pengembang menyatakan bahwa itu akan membantu dalam perjuangan, bahkan dengan enkripsi terbaru.

Gelombang serangan baru dari serangan virus enkripsi menggulung dunia, di antara media Rusia dan perusahaan Ukraina yang terkena dampak. Di Rusia, interfax menderita dari virus, tetapi serangan itu hanya menyentuh bagian dari agensi, karena layanan TI-nya berhasil menonaktifkan bagian dari infrastruktur kritis, kata kelompok perusahaan Rusia-Ib. Mereka menyebut virus badrabbit.

Pada serangan virus yang belum pernah terjadi sebelumnya pada Interfax pada halamannya di Facebook, wakil direktur Yuri Pogorellov diberi tahu. Dua petugas interfax mengkonfirmasi "Vedomosti" untuk menonaktifkan komputer. Menurut salah satu dari mereka, layar yang tersumbat secara visual mirip dengan aksi tindakan virus Petya yang terkenal. Virus yang diserang oleh Interfax memperingatkan bahwa tidak perlu mencoba menguraikan secara mandiri file, dan mengharuskan untuk membayar penebusan 0,05 bitcoine ($ 285 untuk kursus kemarin), yang mengundang Anda ke situs khusus di jaringan TOR. Virus terenkripsi virus yang diberikan kode identifikasi pribadi.

Selain interfax, dua media Rusia lagi menderita virus enkripsi, salah satunya adalah Edisi Petersburg dari Fontanka, tahu Grup IB.

Editor utama Fontanka, Alexander Gorshkov, mengatakan kepada "Vedomosti" bahwa server "Fontanka" diserang oleh penyerang yang tidak diketahui. Tetapi pot meyakinkan bahwa serangan virus enkripsi pada pidato "air mancur" tidak pergi: komputer dari fungsi staf editorial, server diretas, yang bertanggung jawab atas pekerjaan situs.

Divisi Interfax di Inggris, Azerbaijan, Belarus dan Ukraina, serta situs "Interfax-Religion" terus bekerja, mengatakan kepada "Vedomosti" yang tumbuh kembali. Tidak jelas karena alasan apa kerusakan tidak menyentuh unit lain, mungkin ini disebabkan oleh topologi jaringan interfax, dengan di mana server di mana server berada di teritorial, dan dengan sistem operasi yang diinstal pada mereka, katanya.

Interfax Ukraina pada hari hari Selasa melaporkan serangan hacker di Bandara Internasional Odessa. Bandara di halamannya meminta maaf kepada penumpang "untuk peningkatan paksa dalam waktu layanan", tetapi menilai oleh papan skor online-nya, pada hari Selasa ia masih terus mengirim dan menerima pesawat terbang.

Lebih lanjut tentang Kiberatka, Metropolitan Metropolitan Kiev diberitahu di akun Facebook-nya - ada masalah dengan membayar kartu bank. Edisi Berita Depan melaporkan bahwa metro diserang oleh virus-enkripsi.

Grup-IB menyimpulkan epidemi baru. Dalam beberapa bulan terakhir, sudah ada dua gelombang serangan virus enkripsi di dunia: Virus wannacry muncul pada 12 Mei, dan pada 27 Juni - virus Petya (itu adalah NotPetya dan Expretta). Mereka merambah komputer dengan sistem operasi Windows, di mana pembaruan tidak diinstal, dienkripsi isi hard drive dan menuntut $ 300 untuk decoding. Ternyata nanti, Petya tidak berpikir untuk mendekripsi komputer para korban. Serangan pertama menyentuh ratusan ribu komputer di lebih dari 150 negara, yang kedua - 12.500 komputer di 65 negara. Para korban serangan adalah Rusia " Megafon », Evraz. , « Gazprom. "Dan" Rosneft. " Hampir virus menderita pusat medis Invitro, yang tidak menganalisis analisis pada pasien selama beberapa hari.

Petya dapat mengumpulkan hanya $ 18.000 selama hampir satu setengah bulan. Tetapi kerusakan yang disebabkan tidak ada bandingannya. Salah satu korbannya adalah raksasa Logistik Denmark Moller-Maersk menilai pendapatan yang hilang dari Cyberatics pada $ 200-300 juta.

Di antara divisi Moller-Maersk, pukulan utama datang pada jalur Maersk yang bergerak di bidang transportasi laut (pada tahun 2016 Maersk Line menghasilkan total $ 20,7 miliar, 31.900 orang beroperasi di divisi).

Bisnis dengan cepat datang ke indera saya setelah serangan, tetapi perusahaan dan regulator tetap berjaga-jaga. Jadi, pada bulan Agustus, para direktur cabang-cabang mereka diperingatkan oleh para direktur cabang-cabangnya, perusahaan jejaring federal EEC (mengelola jaringan listrik All-Rusia), dan beberapa hari kemudian, bank-bank Rusia menerima peringatan serupa dari FinCert dari FinCert (struktur CBB CBBC).

Serangan baru dari virus enkripsi mencatat "Kaspersky Lab", menurut pengamatan di mana sebagian besar korban serangan berlokasi di Rusia, tetapi ada infeksi dan di Ukraina, di Turki dan Jerman. Semua tanda menunjukkan bahwa ini adalah serangan terfokus pada jaringan perusahaan, kepala studi anti-virus lab Kaspersky yakin, Vyacheslav Zakorzhevsky: Metode yang mirip dengan alat exetr digunakan, tetapi tidak ada koneksi dengan virus ini tidak dilacak.

Dan menurut perusahaan ESET Anti-Virus, enkripsi masih menjadi kerabat Petya. Serangan ini menggunakan program jahat Diskcoder.d - ini adalah modifikasi baru dari encoder.

Penarik melaporkan bahwa Symantec Anti-Virus dipasang pada komputer interfax. Perwakilan Symntec kemarin tidak menanggapi permintaan "Vedomosti".

Pada 12 April 2017, informasi tentang penyebaran cepat di seluruh dunia petugas enkripsi virus bernama Wannacry, yang dapat diterjemahkan sebagai "Aku ingin menangis." Pengguna memiliki pertanyaan tentang pembaruan Windows dari virus wannacry.

Virus pada layar komputer terlihat seperti ini:

Wannacry virus buruk yang semuanya mengenkripsi

Virus mengenkripsi semua file di komputer dan memerlukan penebusan pada dompet Bitcoin dalam jumlah $ 300 atau $ 600 karena diduga menguraikan komputer. Komputer di 150 negara di dunia terinfeksi infeksi, yang paling terkena dampak - Rusia.

Megafon, Rusia Railways, Kementerian Dalam Negeri, Kementerian Kesehatan dan perusahaan lain sangat dekat dengan virus ini. Di antara para korban ada pengguna internet sederhana.

Sebelum virus hampir sama. Perbedaannya mungkin bahwa pada perusahaan virus berlaku di seluruh jaringan lokal di dalam organisasi dan langsung menginfeksi jumlah maksimum komputer.

Warnacry Virus mengenkripsi file pada komputer menggunakan Windows. Di Microsoft, pada Maret 2017, pembaruan MS17-010 dirilis untuk berbagai versi Windows XP, Vista, 7, 8, 10.

Ternyata mereka yang dikonfigurasi untuk memperbarui Windows secara otomatis berada di luar zona risiko untuk virus, untuk pembaruan diterima tepat waktu dan dapat menghindarinya. Saya tidak berasumsi bahwa itu benar-benar.

Ara. 3. Pesan saat menginstal pembaruan KB4012212

Perbarui KB4012212 Setelah instalasi diperlukan restart laptop, yang saya tidak terlalu menyukainya, karena itu tidak diketahui daripada yang dapat diakhiri, tetapi ke mana harus pergi ke pengguna? Namun, reboot berjalan baik-baik saja. Jadi kita hidup dengan tenang sampai serangan viral berikutnya, dan bahwa serangan seperti itu akan diragukan, sayangnya, tidak harus.


Bagaimanapun, penting untuk datang dari tempat memulihkan sistem operasi dan file-nya.

Pembaruan Windows 8 dari wannacry

Untuk laptop dengan Windows 8 berlisensi, pembaruan diinstal KB 4012598, untuk

Wannacry, Petya, Mischa dan virus pemerasan lainnya tidak akan mengancam Anda jika Anda mematuhi rekomendasi sederhana untuk mencegah infeksi PC!

Pekan lalu, seluruh internet terpotong kabar tentang enkripsi virus baru. Dia memprovokasi epidemi skala yang jauh lebih besar di banyak negara di dunia daripada Wannacry yang terkenal, yang ombaknya jatuh pada Mei tahun ini. Nama memiliki virus baru: petya.a, extr, nenpetety, goldeneye, trojan.ransom.petya, Petrwrap, Diskcoder.c, bagaimanapun, paling sering dia tampak seperti Petya.

Minggu ini serangan terus berlanjut. Bahkan di kantor kami, sebuah surat datang, licik disamarkan untuk beberapa jenis pembaruan perangkat lunak mitos! Untungnya, tidak ada yang berpikir untuk membuka arsip yang diajukan :) Oleh karena itu, saya ingin mencurahkan hari ini untuk pertanyaan tentang cara melindungi komputer saya dari virus pemerasan dan tidak menjadi korban dari Petya atau lebih banyak enkripsi.

Apa yang dilakukan virus pemerasan?

Virus pemerasan pertama muncul sekitar awal 2000-an. Banyak yang pada tahun-tahun ini menikmati internet, mungkin ingat Trojan.Winlock. Itu memblokir boot komputer dan untuk mendapatkan kode buka kunci yang diminta untuk membuat daftar jumlah tertentu pada WebMoney Wallet atau pada ponsel:

Pemblokir Windows pertama sangat tidak berbahaya. Jendela mereka dengan teks tentang kebutuhan untuk mendaftar dana pada awalnya hanya bisa "paku" melalui Task Manager. Lalu ada versi Trojan yang lebih kompleks, yang membuat edit di tingkat registri dan bahkan MBR. Tapi itu mungkin untuk "menyembuhkan", jika Anda tahu harus berbuat apa.

Virus ekstorsional modern menjadi sangat berbahaya. Mereka tidak hanya memblokir pengoperasian sistem, tetapi juga mengenkripsi konten hard disk (termasuk catatan boot utama MBR). Untuk membuka kunci sistem dan mendekripsi file, penyerang sekarang dibebankan dalam bitcoin "Ah, jumlah yang setara dari 200 hingga 1000 dolar AS! Dan bahkan jika Anda mencantumkan dana yang disepakati pada dompet yang ditentukan, maka ini tidak akan memberikan garansi bahwa peretas akan mengirim Anda kunci buka kunci.

Poin penting adalah bahwa hari ini praktis tidak ada cara kerja untuk menyingkirkan virus dan mendapatkan kembali file mereka. Oleh karena itu, menurut saya, lebih baik tidak awalnya untuk menemukan segala macam trik dan lebih atau kurang dapat melindungi komputer Anda dari serangan potensial.

Bagaimana tidak menjadi korban virus

Virus enkipher biasanya berlaku untuk dua cara. Eksploitasi pertama beragam kerentanan teknis Windows. Misalnya, wannacry menggunakan EternalBlue Exploit, yang memungkinkan akses ke komputer menggunakan protokol SMB. Enkripsi Petya baru dapat menembus sistem melalui port TCP terbuka 1024-1035, 135 dan 445. Cara infeksi yang lebih umum adalah pengelabuan. Sederhananya, pengguna itu sendiri menginfeksi PC, membuka file jahat yang dikirim melalui surat!

Perlindungan teknis terhadap virus enkripsi

Meskipun infeksi langsung virus dan tidak begitu sering, tetapi mereka terjadi. Oleh karena itu, lebih baik menghilangkan potensi bar keamanan yang sudah diketahui. Pertama, Anda perlu memperbarui antivirus atau menginstalnya (misalnya, ia mengatasi dengan baik dengan pengakuan virus enkripsi gratis 360 total keamanan). Kedua, Anda harus menginstal pembaruan Windows terbaru.

Jadi untuk menghilangkan bug yang berpotensi berbahaya dalam protokol Microsoft SMB merilis pembaruan luar biasa untuk semua sistem, dimulai dengan Windows XP. Anda dapat mengunduhnya untuk versi OS Anda.

Untuk melindungi dari Petya, disarankan untuk menutup port pada port di komputer. Untuk melakukan ini, cara termudah untuk menggunakan reguler firewall.. Buka di panel kontrol dan pilih bagian di bilah sisi "Opsi tambahan". Jendela Manajemen Aturan Penyaringan terbuka. Memilih "Aturan untuk koneksi yang masuk" dan di sebelah kanan klik "Buat Aturan". Master khusus di mana Anda perlu membuat aturan "Untuk port", lalu pilih opsi "Didefiniskan port lokal" dan meresepkan yang berikut: 1024-1035, 135, 445 :

Setelah menambahkan daftar port, instal opsi pada layar berikutnya. "Blokir koneksi" Untuk semua profil dan atur nama (deskripsi opsional) untuk aturan baru. Jika Anda percaya rekomendasi di Internet, itu tidak akan memberikan virus untuk mengunduh file yang Anda butuhkan bahkan jika itu masuk ke komputer Anda.

Selain itu, jika Anda berasal dari Ukraina dan menggunakan akuntansi pada Me.doc, Anda dapat menginstal pembaruan yang berisi backdor. Backdor ini digunakan untuk komputer skala besar dengan petya.a virus. Dari yang dianalisis hari ini, Anda tahu setidaknya tiga pembaruan dengan kerentanan keamanan:

  • 01/10 / 175-10.01.176 dari 14 April;
  • 01/10 / 180-101.181 dari 15 Mei;
  • 01/10 / 188-101.189 dari 22 Juni.

Jika Anda menginstal pembaruan ini, maka Anda berada dalam kelompok risiko!

Perlindungan dari phishing.

Seperti yang telah disebutkan, di sebagian besar infeksi bersalah, bagaimanapun, faktor manusia. Peretas dan spammer meluncurkan kampanye phishing skala besar di seluruh dunia. Dalam kerangka kerja, email email dikirim keluar dari organisasi resmi dengan berbagai investasi, yang dikeluarkan untuk akun, pembaruan untuk data "penting" lainnya. Itu sudah cukup untuk membuka file jahat yang disamarkan, karena memasang virus di komputer, yang mengenkripsi semua data!

Cara membedakan surat phishing dari nyata. Ini sangat mudah jika Anda mengikuti akal sehat dan rekomendasi berikut:

  1. Dari siapa surat itu? Pertama-tama, perhatikan pengirim. Peretas dapat menandatangani surat, setidaknya nama nenek Anda! Namun, ada poin penting. Kirimkan email "Nenek" yang perlu Anda ketahui, dan alamat pengirim surat phishing, sebagai aturan, akan menjadi serangkaian karakter yang tidak terdefinisi. Sesuatu seperti: " [Dilindungi Email]". Dan nuance adalah: nama pengirim dan alamatnya, jika surat resmi ini, biasanya berkorelasi di antara mereka sendiri. Misalnya, email dari perusahaan tertentu" Pupkin dan CO "mungkin terlihat seperti" [Dilindungi Email]", Tapi tidak mungkin memiliki jenis" [Dilindungi Email]" :)
  2. Apa suratnya? Sebagai aturan, surat phishing berisi panggilan untuk bertindak atau mengisyaratkannya. Pada saat yang sama, dalam tubuh surat itu, biasanya tidak ada yang tertulis atau tidak ada yang tertulis, atau beberapa motivasi tambahan diberikan kepada pembukaan file bersarang. Kata-kata "mendesak!", "Skor untuk layanan" atau "pembaruan kritis" dalam surat-surat dari pengirim yang tidak dikenal dapat menjadi contoh cerdas untuk mencoba meretas Anda. Pikirkan secara logis! Jika Anda belum meminta akun, pembaruan, atau dokumen lain dari perusahaan tertentu, maka ini adalah probabilitas 99% - phishing ...
  3. Apa dalam surat itu? Elemen utama dari surat phishing adalah investasinya. Jenis lampiran yang paling jelas dapat berupa file exe dengan "pembaruan" atau "program" palsu. Investasi semacam itu adalah wajah yang agak kasar, tetapi ditemukan.

    Lebih banyak cara "elegan" untuk menipu pengguna harus menyamarkan skrip yang mengunduh virus, di bawah dokumen Excel atau Word. Masking bisa terdiri dari dua jenis. Pada versi pertama, skrip itu sendiri dikeluarkan untuk dokumen Office dan dimungkinkan untuk mengenalinya dengan ekstensi "ganda" dari nama, misalnya, " .xls.js."Atau" ringkasan .doc.vbs."Dalam kasus kedua, lampiran dapat terdiri dari dua file: dokumen nyata dan file dengan skrip yang disebut sebagai makro dari dokumen kantor kata atau Excel.

    Bagaimanapun, tidak layak membuka dokumen seperti itu, bahkan jika "pengirim" meminta Anda banyak tentang itu! Jika Anda bahkan tiba-tiba di antara pelanggan Anda memiliki orang yang secara teoritis dapat Anda mengirim surat dengan konten seperti itu, lebih baik repot-repot menghubunginya secara langsung dan mengklarifikasi apakah itu mengirim Anda dokumen. Televisi canggih dalam hal ini dapat menghemat Anda dari masalah yang tidak perlu!

Saya pikir, jika Anda menutup semua bar teknis di komputer Anda dan Anda tidak akan menyerah pada provokasi spammer, maka tidak ada virus yang menakutkan bagi Anda!

Cara mengembalikan file setelah infeksi

Dan, bagaimanapun, Anda senang menginfeksi komputer dengan virus-enkripsi ... Jangan mematikan PC setelah munculnya pesan enkripsi !!!

Faktanya adalah bahwa karena sejumlah kesalahan dalam kode virus itu sendiri, sebelum me-reboot komputer, ada kesempatan untuk mengeluarkan kunci dari memori yang Anda butuhkan untuk mendekripsi file! Misalnya, utilitas Wannahiwi akan cocok untuk mendapatkan kunci dekripsi wannacry. Sayangnya, tidak ada solusi untuk memulihkan file setelah serangan Petya, tetapi Anda dapat mencoba untuk mengekstraknya dari salinan bayangan data (jika Anda telah mengaktifkan opsi untuk membuatnya di bagian hard disk) menggunakan miniatur ShadowExplorer program:

Jika Anda telah mem-boot ulang komputer atau tips di atas tidak membantu, dimungkinkan untuk mengembalikan file hanya menggunakan program pemulihan data. Sebagai aturan, virus enkripsi beroperasi sesuai dengan skema berikut: Buat salinan file yang dienkripsi dan lepaskan aslinya tanpa ditimpa. Artinya, hanya label file yang benar-benar dihapus, dan data itu sendiri disimpan dan dapat dipulihkan. Ada dua program di situs kami: itu akan lebih cocok untuk menyusut ulang file media dan foto, dan R.Saver mengatasi dengan baik dengan dokumen dan arsip.

Secara alami, virus itu sendiri perlu dihapus dari sistem. Jika Windows dimuat, maka untuk ini, program Anti-Malware Malwarebytes baik-baik saja. Jika virus telah memblokir pemuatan, maka disk boot LiveCD Dr.Web dengan utilitas yang terbukti untuk memerangi berbagai malware Dr.Web Cureit on board. Dalam kasus terakhir, itu juga harus memulihkan MBR. Karena LiveCD dari Dr.Web berdasarkan Linux, maka saya pikir Anda akan berguna untuk instruksi dari habra pada topik ini.

kesimpulan.

Masalah Windows pada Windows relevan selama bertahun-tahun. Dan setiap tahun kita melihat bahwa virus ini menciptakan bentuk kerusakan yang semakin canggih pada komputer pengguna. Epidemi terakhir dari para virus enkripsi menunjukkan kepada kami bahwa penyerang secara bertahap bergerak menuju pemerasan aktif!

Sayangnya, bahkan jika Anda membayar uang, tidak mungkin untuk mendapatkan jawaban apa pun. Kemungkinan besar, harus mengembalikan datanya sendiri. Oleh karena itu, lebih baik menunjukkan kewaspadaan pada waktunya dan mencegah infeksi daripada berantakan dengan penghapusan konsekuensinya!

P. Hal ini diperbolehkan untuk secara bebas menyalin dan mengutip artikel ini jika Anda menentukan referensi aktif terbuka ke sumber dan mempertahankan kepengarangan pedagang Ruslana.

Program jahat wannacry baru (memiliki sejumlah nama lain - Wannacry Decryptor, Wannacrypt, WCRY dan Wanacrypt0r 2.0), menyatakan dirinya kepada dunia pada 12 Mei 2017, ketika file pada komputer di beberapa fasilitas kesehatan di Inggris dienkripsi. Segera setelah ternyata, dalam situasi seperti itu, perusahaan berada di puluhan negara, dan Rusia, Ukraina, India, Taiwan terluka. Menurut Kaspersky Lab, hanya pada hari pertama serangan virus ditemukan di 74 negara.

Apa wannacry berbahaya? Virus mengenkripsi file berbagai jenis (menerima ekstensi. WCRY, file menjadi benar-benar tidak dapat dibaca) dan kemudian memerlukan penebusan $ 600 per decoding. Untuk mempercepat prosedur untuk mentransfer uang, pengguna diintimidasi oleh fakta bahwa setelah tiga hari jumlah penebusan akan meningkat, dan tujuh hari kemudian, file tidak dapat didekripsi sama sekali..

Ancaman terhadap infeksi enkripsi wannacry tunduk pada komputer berdasarkan pada sistem operasi Windows. Jika Anda menggunakan versi Windows yang berlisensi dan secara teratur memperbarui sistem, Anda tidak dapat khawatir bahwa virus akan menembus ke sistem Anda yang seperti ini.

Pengguna MACOS, Chromeos dan Linux, serta sistem operasi seluler iOS dan serangan Android wannacry tidak perlu takut.

Bagaimana jika Anda telah menjadi korban wannacry?

Badan Kriminasi Nasional Inggris (NCA) merekomendasikan bisnis kecil yang telah menjadi korban pemeras dan prihatin dengan penyebaran virus pada jaringan, mengambil tindakan berikut:

  • Periksa komputer, laptop atau tablet dari jaringan korporasi / internal segera. Putuskan sambungan Wi-Fi.
  • Ubah driver.
  • Tanpa menghubungkan ke jaringan Wi-Fi, sambungkan komputer ke Internet secara langsung.
  • Perbarui sistem operasi dan yang lainnya dengan perangkat lunak.
  • Perbarui dan jalankan antivirus.
  • Berulang ke jaringan.
  • Pantau lalu lintas jaringan dan / atau jalankan pemindaian ke virus untuk memastikan bahwa enkripsi menghilang.

Penting!

Virus wannacry file terenkripsi tidak dapat diuraikan oleh siapa saja, kecuali untuk penyusup. Karena itu, jangan buang waktu dan uang pada "jenius itu", yang berjanji kepada Anda untuk menyingkirkan sakit kepala ini.

Apakah layak membayar uang kepada penyusup?

Pertanyaan pertama yang diminta pengguna, yang bertabrakan dengan virus wannacry cyigrier baru - cara mengembalikan file dan cara menghapus virus. Tanpa menemukan cara bebas dan efisien untuk dipecahkan, mereka dihadapkan dengan pilihan - membayar uang ke pemeras atau tidak? Seperti yang sering pengguna kehilangan sesuatu (dokumen pribadi dan arsip foto disimpan di komputer), keinginan untuk menyelesaikan masalah dengan bantuan uang yang benar-benar muncul.

Tapi NCA terus-menerus menelepon tidakmembayar uang. Jika Anda masih memutuskan untuk melakukan ini, maka ingatlah yang berikut ini:

  • Pertama, tidak ada jaminan bahwa Anda akan mendapatkan akses ke data Anda.
  • Kedua, komputer Anda dan setelah pembayaran masih dapat tetap menjadi virus yang terinfeksi.
  • Ketiga, kemungkinan besar Anda hanya memberikan uang cybercriminal uang Anda.

Bagaimana cara melindungi diri dari wannacry?

Apa tindakan yang harus diambil untuk mencegah infeksi virus, menjelaskan Vyacheslav Belastov, kepala departemen untuk penerapan sistem perlindungan sistem SCB kontur:

Fitur virus wannacry adalah bahwa ia dapat menembus sistem tanpa partisipasi seseorang tidak seperti virus enkripsi lainnya. Sebelumnya, untuk tindakan virus, perlu bahwa pengguna menunjukkan ketidakmampuan, ia bergerak melalui tautan yang dipertanyakan dari surat itu, yang sebenarnya tidak dimaksudkan, atau mengunduh investasi jahat. Dalam hal wannacry, kerentanan dioperasikan langsung dalam sistem operasi itu sendiri. Oleh karena itu, pertama-tama dalam kelompok risiko ternyata merupakan komputer berdasarkan Windows, yang tidak menetapkan pembaruan 14 Maret 2017. Ada cukup banyak workstation yang terinfeksi dari jaringan lokal ke virus untuk menyebar ke sisanya dengan kerentanan yang tersedia.

Pada korban virus pengguna secara alami satu pertanyaan utama - cara menguraikan informasi Anda? Sayangnya, sejauh ini tidak ada solusi yang dijamin dan hampir tidak diramalkan. Bahkan setelah pembayaran jumlah yang ditentukan, masalahnya tidak terpecahkan. Selain itu, situasinya dapat diperburuk oleh fakta bahwa seseorang berharap untuk memulihkan risiko datanya menggunakan dekiter "bebas", yang sebenarnya adalah file jahat. Oleh karena itu, saran utama yang dapat diberikan adalah menjadi perhatian dan melakukan segala yang mungkin untuk menghindari situasi yang sama.

Apa yang sebenarnya bisa dan harus diambil saat ini:

1. Instal pembaruan terbaru.

Ini berlaku tidak hanya untuk sistem operasi, tetapi juga sarana perlindungan anti-virus. Informasi Pembaruan Windows dapat ditemukan.

2. Buat salinan cadangan informasi penting.

3. Hati-hati saat bekerja dengan surat dan internet.

Perlu memperhatikan surat-surat yang masuk dengan referensi dan investasi yang meragukan. Untuk bekerja dengan Internet, disarankan untuk menggunakan plugin yang memungkinkan Anda untuk menyingkirkan periklanan dan referensi yang tidak perlu untuk sumber-sumber yang berpotensi berbahaya.