Un virus este un tip de software rău intenționat care pătrunde în zonele de memorie ale sistemului, codul altor programe și sectoarele de pornire. Este capabil să șteargă date importante de pe un hard disk, unitate USB sau card de memorie.
Majoritatea utilizatorilor nu știu cum să recupereze fișiere după un atac de virus. În acest articol, vrem să vă spunem cum să o faceți într-un mod rapid și ușor. Sperăm că aceste informații vă vor fi utile. Există două metode principale pe care le puteți utiliza pentru a elimina cu ușurință virusul și pentru a recupera datele șterse după un atac de virus.
Ștergeți virusul utilizând promptul de comandă
1) Faceți clic pe butonul „Start”. Introduceți CMD în bara de căutare. Veți vedea „Promptul de comandă” în partea de sus a ferestrei pop-up. Apasa Enter.
2) Rulați promptul de comandă și tastați: „attrib –h –r –s / s / d driver_name \\ *. *”
După acest pas, Windows va începe să recupereze hard disk-ul, cardul de memorie sau USB-ul infectat de virus. Va dura ceva timp până când procesul va fi finalizat.
Pentru a porni recuperarea Windows, faceți clic pe butonul „Start”. Tastați Restaurare în bara de căutare. În fereastra următoare, faceți clic pe „Start System Restore” → „Next” și selectați punctul de restaurare dorit.
O altă variantă a căii este „Panou de control” → „Sistem” → „Protecție sistem”. Va apărea o fereastră de pregătire a recuperării. Apoi computerul va reporni și va apărea un mesaj care va spune „Restaurarea sistemului s-a finalizat cu succes”. Dacă nu v-a rezolvat problema, încercați să reveniți la un alt punct de restaurare. Asta este tot ce trebuie spus despre a doua metodă.
Recuperare partiție magică: restaurarea fișierelor și folderelor lipsă după un atac de viruși
Pentru recuperarea fiabilă a fișierelor șterse de viruși, utilizați Magic Partition Recovery. Programul se bazează pe acces direct la disc la nivel scăzut. Prin urmare, va ocoli blocarea virusului și vă va citi toate fișierele.
Descărcați și instalați programul, apoi analizați discul, unitatea flash sau cardul de memorie. După analiză, programul afișează lista de foldere de pe discul selectat. După ce ați selectat folderul necesar din stânga, îl puteți vizualiza în secțiunea din dreapta.
Astfel, programul oferă posibilitatea de a vizualiza conținutul discului în același mod ca și în Windows Explorer standard. Pe lângă fișierele existente, vor fi afișate fișierele și folderele șterse. Acestea vor fi marcate cu o cruce roșie specială, facilitând recuperarea fișierelor șterse.
Dacă v-ați pierdut fișierele după un atac de virus, Magic Partition Recovery vă va ajuta să restaurați totul fără prea mult efort.
Recent, un nou tip de virus ransomware a fost descoperit la 360 Internet Security Center, vizând atât întreprinderi, cât și persoane fizice din multe țări și regiuni. 360 a emis o alertă de urgență în timp util la 12 mai după detectare pentru a reaminti utilizatorilor riscurile viitoare. Acest ransomware se răspândește cu viteză mare în toată lumea. Conform statisticilor incomplete, în doar câteva ore după explozie, zeci de mii de dispozitive din 99 de țări au fost infectate, iar acest vierme de rețea încearcă să își extindă influența.
De obicei, un virus ransomware este un malware cu intenția explicită de extorcare. Criptează fișierele victimei cu un algoritm criptografic asimetric, le face inaccesibile și cere o răscumpărare pentru decriptarea acestora. Dacă răscumpărarea nu este plătită, fișierele nu pot fi recuperate. Această nouă specie poartă numele de cod WanaCrypt0r. Ceea ce îl face atât de mortal este că a folosit instrumentul de hacking „EternalBLue” care a fost furat de la NSA. Acest lucru explică, de asemenea, de ce WanaCrypt0r este capabil să se răspândească rapid în întreaga lume și să provoace pierderi mari într-un timp foarte scurt. În urma defecțiunii Worm de rețea din 12 mai, Core Security de la Centrul de securitate pe internet 360 a efectuat o monitorizare extinsă și o analiză aprofundată. Acum putem lansa o suită de soluții de detectare, protecție a datelor și recuperare împotriva WanaCrypt0r.
Echipa 360 Helios este o echipă APT (Advanced Persistent Attack) dedicată cercetării și analizei departamentului Core Security, dedicată în principal investigării atacurilor APT și răspunsului la incidentele de amenințare. Cercetătorii în domeniul securității au analizat cu atenție motorul antivirus pentru a găsi cea mai eficientă și precisă metodă de recuperare a fișierelor criptate. Folosind această metodă, 360 poate deveni primul furnizor de securitate care lansează un instrument de recuperare a datelor - „360 Ransomware Infected File Recovery” pentru a-și ajuta clienții să recupereze rapid și complet fișierele infectate. Sperăm că acest articol vă va ajuta să înțelegeți trucurile acestui vierme, precum și o discuție mai amplă asupra problemei recuperării fișierelor criptate.
Capitolul 2 Analiza proceselor de criptare de bază
Acest vierme emite un modul de criptare în memorie și încarcă direct DLL-urile în memorie. DLL exportă apoi funcția TaskStart, care ar trebui utilizată pentru a activa întregul proces de criptare. DLL accesează dinamic sistemul de fișiere și funcțiile API legate de criptare pentru a evita detectarea statică.
1. Etapa inițială
Mai întâi folosește „SHGetFolderPathW” pentru a obține căile către folderele desktop și fișiere. Apoi va apela funcția „10004A40” pentru a obține calea către desktopurile și folderele de fișiere ale altor utilizatori și va apela funcția EncrytFolder pentru a cripta folderele separat.
Acesta traversează toate unitățile de două ori de la driverul Z la C. Prima scanare este de a porni toate unitățile locale (cu excepția driverului-CD). A doua scanare verifică toate unitățile mobile și apelează funcția EncrytFolder pentru a cripta fișierele.
2. Traversarea fișierelor
Funcția EncryptFolder este o funcție recursivă care poate colecta informații despre fișiere urmând procedura de mai jos:
Eliminați căile sau folderele de fișiere în timpul procesului încrucișat:
Există un folder interesant numit „Acest folder protejează împotriva ransomware-ului. Schimbarea acestuia va reduce protecția. " Când faceți acest lucru, veți găsi că corespunde folderului de protecție al software-ului de protecție împotriva ransomware-ului.
Când accesează cu crawlere fișiere, ransomware colectează informații despre un fișier, cum ar fi dimensiunea fișierului, apoi clasifică fișierele în diferite tipuri în funcție de extensia lor, urmând anumite reguli:
Lista tipurilor de extensii 1:
Lista tipurilor de extensii 2:
3. Criptare prioritară
Pentru a cripta fișierele importante cât mai repede posibil, WanaCrypt0r a dezvoltat o coadă prioritară complexă:
Coadă prioritară:
I. Criptați fișierele de tip 2 care se potrivesc și cu lista de extensii 1. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
II. Criptați fișierele de tip 3, care se potrivesc și cu lista extensiilor 2. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
III. Criptați alte fișiere (mai puțin de 0x400) și alte fișiere.
4 logică de criptare
Întregul proces de criptare este finalizat utilizând atât RSA, cât și AES. Deși procesul de criptare RSA utilizează Microsoft CryptAPI, codul AES este compilat static într-un DLL. Procesul de criptare este prezentat în figura de mai jos:
Lista tastelor utilizate:
Format fișier după criptare:
Vă rugăm să rețineți că în timpul procesului de criptare, ransomware-ul va selecta în mod aleatoriu unele fișiere pentru a le cripta folosind cheia publică RSA încorporată pentru a oferi mai multe fișiere pe care victimele le pot decripta gratuit.
Calea către fișiere gratuite poate fi găsită în fișierul „f.wnry”.
5 completarea numerelor aleatorii
Odată criptat, WanaCrypt0r va completa fișierele pe care le consideră importante cu numere aleatorii până când distruge complet fișierul, apoi va muta fișierele într-un director de fișiere temporar pentru ștergere. Procedând astfel, este destul de dificil pentru instrumentele de recuperare a fișierelor să recupereze fișiere, în același timp, poate accelera procesul de criptare.
Fișierele completate trebuie să îndeplinească următoarele cerințe:
- În directorul specificat (desktop, documentul meu, folderul utilizator)
- Fișier mai mic de 200 MB
- Extensia de fișier se află în lista tipurilor de extensii 1
Logica de completare a fișierelor:
- Dacă fișierul este mai mic de 0x400, acesta va fi acoperit cu numere aleatoare de aceeași lungime
- Dacă fișierul este mai mare de 0x400, ultimul 0x400 va fi acoperit cu numere aleatorii
- Mutați indicatorul fișierului în antetul fișierului și setați 0x40000 ca bloc de date pentru a acoperi fișierul cu numere aleatoare până la capăt.
6. Ștergerea fișierelor
WanaCrypt0r va muta mai întâi fișierele într-un folder temporar pentru a crea un fișier temporar și apoi îl va șterge în diferite moduri.
Când trece prin unități pentru a cripta fișiere, va crea un fișier temporar numit „$ RECYCLE + auto increment + .WNCYRT” (de exemplu: „D: \\ $ RECYCLE \\ 1.WNCRYT”) pe unitatea curentă. Mai ales dacă unitatea curentă este unitatea de sistem (cum ar fi driverul-C), va utiliza directorul temp al sistemului.
Ulterior, procesul lansează taskdl.exe și șterge fișierele temporare la un interval fix.
Capitolul 3 Capacitatea de recuperare a datelor
Analizând logica execuției sale, am observat că acest vierme va suprascrie fișierele care îndeplinesc cerințele specificate cu numere aleatorii sau 0x55 pentru a distruge structurile de fișiere și a preveni recuperarea acestora. Dar această operațiune este acceptată numai pentru anumite fișiere sau fișiere cu o anumită extensie. Aceasta înseamnă că există încă multe fișiere care nu au fost suprascrise, ceea ce lasă loc pentru recuperarea fișierelor.
În timpul procesului de ștergere, viermele a mutat fișierele originale în dosarul de fișiere temporare apelând funcția MoveFileEx. În cele din urmă, fișierele temporare sunt șterse în bloc. În timpul procesului de mai sus, fișierele originale pot fi modificate, dar software-ul actual de recuperare a datelor de pe piață nu este conștient de acest lucru, deci destul de multe fișiere nu pot fi recuperate cu succes. Nevoia de dosare pentru recuperarea victimelor nu este aproape niciodată satisfăcută.
Pentru alte fișiere, viermele a executat pur și simplu comanda „mutați și ștergeți”. Deoarece procesele de ștergere a fișierelor și mutarea fișierelor sunt separate, cele două fire vor concura între ele, ceea ce poate provoca eșecuri de mutare a fișierelor din cauza diferențelor în mediul de sistem al utilizatorului. Ca urmare, fișierul va fi șters direct în locația sa curentă. În acest caz, există o mare probabilitate ca fișierul să poată fi restaurat.
https://360totalsecurity.com/s/ransomrecovery/
Folosind metodele noastre de recuperare, un procent mare de fișiere criptate poate fi recuperat perfect. Acum, a fost dezvoltată o versiune actualizată 360 a instrumentului de recuperare a fișierelor ca răspuns la această nevoie pentru a ajuta zeci de mii de victime să atenueze pierderile și consecințele.
14 mai 360 este primul furnizor de securitate care a lansat un instrument de recuperare a fișierelor care a salvat multe fișiere din ransomware. Această nouă versiune face un alt pas în exploatarea vulnerabilităților logice WanaCrypt0r. Poate elimina virusul pentru a preveni infecția ulterioară. Folosind mai mulți algoritmi, poate găsi conexiuni ascunse între fișiere recuperabile gratuite și fișiere decriptate pentru clienți. Acest serviciu de recuperare unic poate reduce daunele cauzate de un atac ransomware și poate proteja securitatea datelor utilizatorilor.
Capitolul 4 Concluzie
Izbucnirea și răspândirea masivă a viermilor WannaCry prin utilizarea MS17-010, făcându-l capabil de auto-replicare și răspândire activă, pe lângă funcțiile unui ransomware comun. Cu excepția sarcinii utile a atacului, structura tehnică a virusului ransomware joacă cel mai important rol în atacuri. Virusul ransomware criptează cheia AES utilizând algoritmul criptografic asimetric RSA-2048. Apoi, fiecare fișier este criptat folosind un algoritm de criptare simetric AES-128 aleatoriu. Aceasta înseamnă că, bazându-ne pe calculele și metodele existente, este aproape imposibil să decriptați RSA-2048 și AES-128 fără chei publice sau private. Cu toate acestea, autorii lasă câteva erori în procesul de criptare, ceea ce oferă și crește posibilitatea de recuperare. Dacă acțiunile sunt efectuate suficient de rapid, majoritatea datelor pot fi salvate înapoi.
De asemenea, întrucât banii de răscumpărare sunt plătiți în bitcoin anonimi, pentru care oricine poate obține o adresă fără certificare autentică, este imposibil să identificați un atacator după adrese, darămite între diferite conturi ale aceleiași adrese de proprietar. Prin urmare, datorită adoptării unui algoritm de criptare incasabil și a unor bitcoin anonimi, este foarte probabil ca acest tip de focar profitabil de ransomware să continue pentru o lungă perioadă de timp. Toată lumea ar trebui să fie atentă.
Echipa 360 Helios
Echipa 360 Helios este o echipă de cercetare APT (Advanced Persistent Attack) de la Qihoo 360.
Echipa este dedicată investigării atacurilor APT, răspunderii la incidentele de amenințare și cercetării lanțurilor industriale ale economiei subterane.
De la înființarea sa în decembrie 2014, echipa a integrat cu succes o imensă bază de date 360 \u200b\u200bși a creat o inversare rapidă și o rutină de corelare. Până în prezent, au fost identificate și identificate peste 30 de grupuri economice subterane și APT.
360 Helios oferă, de asemenea, soluții de evaluare a amenințărilor și de răspuns la amenințări pentru întreprinderi.
Rapoarte publice
a lua legatura
E-mail Poștă: [e-mail protejat]
Grupul WeChat: Echipa 360 Helios
Vă rugăm să descărcați codul QR de mai jos pentru a ne urmări pe WeChat!
Virusul Petya - Cerere de răscumpărare pentru decriptare
La câteva ore după începerea atacului, DATARC a primit prima cerere și am analizat mai multe servere afectate. Concluzie principală: da probabilitate zero de recuperare a datelor atunci când este atacat de virusul Petya - virusul afectează adesea sistemul de fișiere, dar nu criptează datele.
În acest moment, daunele analizate pot fi împărțite în categorii.
100% recuperare de date posibilă
Virusul conține probabil erori - nu își execută întotdeauna algoritmul, nu are timp să cripteze datele și rupe bootloaderul. Am văzut astfel de opțiuni de daune:
- Datele nu sunt criptate, MBR este deteriorat
- Date necriptate, corupte MBR + NTFS bootloader
- Datele nu sunt criptate, MBR + NTFS bootloader + MFT este deteriorat - discul este detectat ca RAW
Recuperarea datelor este posibilă, pierderea este mai mare de 0%
În cazurile în care apare criptarea, unele fișiere pot rămâne intacte. Am văzut astfel de opțiuni de daune:
- Numai unitatea C: este criptată - restul unităților logice rămân în ordine
- Nu toate fișierele de pe unitatea C sunt criptate:
- Numai înregistrarea MFT este criptată, conținutul fișierului rămân neschimbat.
Decriptarea de la versiunea veche nu funcționează
Versiunea actuală a lui Petya este (probabil) o continuare a atacului din 2016 (vezi https://blog.malwarebytes.com/threat-analysis/2016/04/petya-ransomware/ și https://securelist.com/petya-the-two -in-one-troian / 74609 /). Pentru versiunea veche, a fost creată o tehnică de ghicire a cheii de decriptare (consultați https://github.com/leo-stone/hack-petya). Virusul din 2017 a fost schimbat și vechea tehnică nu funcționează.
De exemplu, în versiunea veche a virusului, MBR a fost stocat în sectorul 55 și a fost „criptat” cu XOR 0x37. În noua versiune, MBR este stocat în sectorul 34 și „criptat” cu XOR 0x07.
MBR criptat:
MBR decriptat:
Virusul Petya - MBR după decriptare
Ce trebuie să faceți dacă computerul dvs. este infectat
Citiți cum puteți recupera fișierele șterse de un atac de virus utilizând soluții Windows încorporate sau programe terțe. Cum se recuperează fișiere criptate de un virus. Computerul dvs. a fost atacat de un virus? Doriți să recuperați fișierele șterse de malware? În acest articol, vom încerca să vă spunem despre modalitățile standard de corectare a unei situații neprevăzute și despre diferitele opțiuni pentru recuperarea fișierelor șterse.
Conţinut:
Introducere
Odată cu dezvoltarea tehnologiilor electronice și a mijloacelor de comunicare, gama și volumul de informații utilizate de utilizatori în efectuarea diferitelor acțiuni care sunt direct legate atât de activitățile profesionale, cât și de cele industriale și care vizează furnizarea de comunicare, comunicare, jocuri și divertisment ale acestora din urmă s-a extins semnificativ.
Dispozitivele computerizate în diferite modele ajută la controlul complet asupra fluxurilor de date primite și ieșite, la procesarea instantanee a acestora, indiferent de volumul final și la asigurarea stocării sigure.
Calculatoare personale și laptop-uri staționare, inclusiv oricare dintre combinațiile lor variate (ultrabook-uri, netbook-uri, laptop-uri convertibile, nettops), tablete, smartphone-uri și comunicatori etc. satisface pe deplin nevoile tot mai mari ale utilizatorilor atunci când lucrează cu informații și îndeplinește cele mai noi standarde de informare.
Cele mai răspândite, în lista celor mai populare dispozitive electronice printre utilizatori, sunt computerele personale și laptopurile. Conținutul intern bogat al dispozitivelor informatice (procesoare ultra-rapide, plăci de bază extrem de funcționale, memorii progresive, dispozitive de stocare capacitive etc.) și software-ul modern de înaltă performanță, pe bună dreptate, le permite să ocupe o poziție de lider în procesarea și stocarea informațiilor , in lume.
În ceea ce privește amploarea distribuției și numărul de dispozitive utilizate, smartphone-urile și comunicatorii se apropie de ele. Datorită gradului ridicat de mobilitate, dimensiunii miniaturale, funcționalității destul de ridicate și un set extins de aplicații disponibile, smartphone-urile se străduiesc să se potrivească și, dacă este posibil, să înlocuiască computerele și laptopurile atunci când efectuează anumite acțiuni.
Dezvoltarea rețelei internaționale de calculatoare informaționale "Internetul" a accelerat distribuirea și utilizarea unei varietăți de dispozitive informatice de către utilizatori pentru a rezolva orice problemă fără a fi obligatoriu legată de un anumit dispozitiv sau loc de muncă. Utilizarea unei baze de date extinse, utilizarea la distanță și prelucrarea informațiilor au popularizat semnificativ dispozitivele computerizate și au accelerat procesul de tranziție la stocarea informațiilor în modul digital.
Odată cu tranziția pe scară largă la formatul digital al informațiilor, majoritatea tipurilor de date despre utilizatori (personale, sociale, publice și de afaceri) sunt stocate, procesate, transferate și deservite de diferite dispozitive computerizate. În acest sens, cea mai importantă cerință pentru toate dispozitivele este un grad ridicat obligatoriu de securitate a datelor și protecția acestora împotriva acțiunilor neautorizate ale terților.
Unul dintre cele mai frecvente tipuri de impact rău intenționat asupra datelor utilizatorilor este atacurile de viruși de către software rău intenționat.
Gama de acțiune și funcționalitate a acestor programe este neobișnuit de largă și datorită rețelei internaționale de informații "Internetul", nivelul distribuției lor a atins o scară globală.
Infecția dispozitivului computerului unui utilizator cu un virus poate duce la consecințe nedorite, dintre care cea mai frecventă este ștergerea fișierelor utilizatorului. Modul de recuperare a fișierelor după expunerea la programe virale va fi discutat mai târziu în articolul nostru.
Majoritatea utilizatorilor de computere au auzit și mulți au întâlnit direct consecințele impactului negativ al virușilor de computer, efectul lor asupra fișierelor utilizatorilor și performanța generală a unui computer personal în ansamblu. Ștergerea sau deteriorarea intenționată a fișierelor utilizatorului, blocarea accesului la anumite elemente ale sistemului de operare sau computer, criptarea selectivă a fișierelor și schimbarea structurii acestora, ștergerea sau ștergerea tabelului de partiții, transferarea controlului asupra computerului personal către hackeri, folosirea capacităților computerului utilizatorului pentru hacking la distanță sau alte acțiuni rău intenționate, furt de identitate, spam, etc. - doar o parte din toate acțiunile care pot duce la infectarea unui dispozitiv computerizat cu un virus.
Programul a fost conceput pentru a recupera date de pe hard disk-uri externe, precum și orice alte dispozitive de stocare. Acesta combină un set de algoritmi progresivi care vă permit să analizați și să căutați informații șterse pentru recuperarea ulterioară, să returnați datele după defecțiuni ale sistemului și diferite erori de sistem, să citiți informații de pe discurile deteriorate, necitite, care nu funcționează sau deteriorate, cu furnizarea ulterioară a accesului la fișiere inaccesibile. acceptă întreaga gamă de sisteme de fișiere utilizate în sistemul de operare „Windows” și remediază orice erori în structura logică a hard diskului pentru a recupera în siguranță conținutul pierdut.
Un avantaj separat al programului este capacitatea de a recupera informațiile deteriorate, corupte sau blocate ca urmare a atacurilor virale. Datorită unui set de algoritmi inovatori, este posibilă recuperarea fișierelor după orice impact viral rău intenționat care duce la distrugerea datelor utilizatorilor sau la lipsa accesului la acestea.
Descărcați fișierul de instalare al programului de pe site-ul oficial al companiei Software Hetman și rulați-l. Un expert pas cu pas de instalare a software-ului, după configurarea parametrilor individuali, cum ar fi specificarea căii de instalare sau crearea unei comenzi rapide pe desktop, vă va permite să instalați rapid și cu succes programul pe computerul personal al utilizatorului pentru o utilizare ulterioară.
După finalizarea instalării, deschideți programul instalat. Instrumentele încorporate ale programului vor efectua o analiză inițială a sistemului și vor afișa toate dispozitivele de stocare a datelor conectate la un computer personal.
Selectați o partiție de hard disk sau o unitate fizică completă făcând dublu clic pe pictograma sa în fereastra programului. Programul activează lansarea expertului de recuperare a fișierelor, care îi va determina pe utilizatori să determine tipul de analiză de sistem necesară la un moment dat. În cazul pierderii fișierelor din cauza unui atac de virus, selectați opțiunea de analiză completă pentru a căuta și restabili toate informațiile posibile de pe discul selectat setând indicatorul (punct) opus celulei corespunzătoare „Analiză completă (căutați toate informațiile posibile)”... După selectarea unei analize, apăsați butonul "Mai departe" și începeți procesul de recuperare.
În funcție de volumul intern al unității, de gradul de deteriorare a informațiilor, de sistemul de fișiere și de o serie de alți parametri suplimentari, procedura de analiză și căutare a fișierelor șterse poate dura o perioadă diferită de timp: de la câteva minute la câteva ore. O bară de progres liniară va notifica utilizatorii cu privire la procentul de finalizare a procesului general de recuperare și, opțional, va afișa timpul total estimat de finalizare.
La sfârșitul procesului de recuperare, întreaga listă de fișiere și foldere detectate va fi prezentată în fereastra programului, a cărei interfață cu utilizatorul este cât mai aproape de aspectul exploratorului de fișiere „Windows” pentru confortul utilizatorilor finali. Făcând clic pe fiecare fișier, utilizatorii pot vizualiza conținutul acestuia, care va fi afișat în fereastra de previzualizare. Selectând fișierele necesare și plasându-le în fereastră Lista de recuperare prin tragere normală, trebuie să apăsați butonul "Restabili", aflat pe panglica meniului principal al programului și prezentat sub forma unei coloane de salvare, pentru salvarea ulterioară a datelor marcate.
Asistentul de recuperare fișiere îi va solicita pe utilizatori să decidă una dintre cele patru modalități posibile de salvare a elementelor selectate: salvarea pe un hard disk sau orice alt suport fix sau detașabil, înregistrarea pe un disc optic, crearea „Imagine ISO” fișierele recuperate sau descărcarea datelor de către „Protocol FTP”... Prin specificarea mai multor parametri necesari suplimentari, de exemplu, calea pentru salvarea fișierelor recuperate, utilizatorii vor putea să-și salveze datele în funcție de condițiile selectate.
Acum puteți deschide folderul cu fișierele recuperate și puteți verifica funcționalitatea completă a acestora.
Astăzi, când dezvoltarea tehnologiei informației este într-un ritm extraordinar, aproape fiecare utilizator de computer știe despre pericolul unei infecții cu virus, importanța eliminării acesteia și menținerea sistemului la un nivel adecvat de securitate. Cu toate acestea, există unele nuanțe atunci când vine vorba de curățarea sistemului de infecții dăunătoare.
Când un virus lovește sistemul, acesta începe să se înmulțească și să dăuneze datelor utilizatorilor și sistemului de operare în ansamblu, afectând negativ performanța acestuia. Prin urmare, cea mai bună soluție ar fi păstrarea virusului în afara sistemului și utilizarea unui program antivirus care are un nivel puternic de protecție împotriva infiltrării rău intenționate a malware-ului.
Cu toate acestea, dacă infecția a apărut deja, atunci dorința naturală de a curăța imediat sistemul de operare de virus poate avea consecințe negative. Programul antivirus, în timp ce elimină virusul, poate șterge și unele fișiere utile de pe computerul utilizatorului, în conformitate cu algoritmul utilizat. Și, ca rezultat, poate duce la deteriorarea suplimentară și ștergerea mai multor fișiere de pe computerul utilizatorului sau la pierderea irecuperabilă a unor date. Prin urmare, cel mai bine este să finalizați complet procesul de recuperare a datelor înainte de a începe procedura de curățare a virusului.
Concluzie
Utilizarea pe scară largă a dispozitivelor computerizate, ușurința lor de utilizare și funcționalitatea largă le oferă o poziție de lider în procesarea și stocarea diverselor informații. Având în vedere popularitatea ridicată a dispozitivelor informatice împreună cu dezvoltarea rețelei de calculatoare informaționale "Internetul" iar conversia obligatorie a majorității tipurilor de date în format digital crește semnificativ riscul de a fi expus efectelor nocive ale programelor rău intenționate care vizează deteriorarea datelor utilizatorilor sau furtul acestora în scopuri frauduloase.
Virușii sunt dezvoltați în fiecare zi, numărul lor crește într-un ritm enorm și provoacă daune semnificative utilizatorilor și datelor lor. Utilizarea unor programe antivirus avansate puternice reduce semnificativ riscul posibil de infectare a dispozitivelor computerizate, dar datorită gamei largi de căutare a vulnerabilităților de sistem utilizate de algoritmii virali, nu oferă o garanție deplină a securității datelor. Ca urmare, informațiile utilizatorilor pot fi deteriorate sau complet pierdute.
Cu toate acestea, sistemul de operare „Windows” are instrumente încorporate pentru backupul și restabilirea performanței sistemului, care, în majoritatea cazurilor, vor ajuta utilizatorii să recupereze datele pierdute.
În unele cazuri, instrumentele de protecție ale sistemului „Windows” insuficient. Prin urmare, este important să aveți la dispoziție un software profesional de recuperare a fișierelor care poate recupera orice informație a utilizatorului pierdută din cauza infecției cu virus și din alte motive.
Astăzi, probabil, doar o persoană care este foarte departe de Internet nu știe despre infecțiile în masă ale computerelor cu troianul ransomware WannaCry („Vreau să plâng”) care a început pe 12 mai 2017. Și aș împărți reacția celor care știu în 2 categorii opuse: indiferență și panică. Ce inseamna asta?
Iar faptul că informațiile fragmentare nu oferă o înțelegere completă a situației, dau naștere la speculații și lasă în urmă mai multe întrebări decât răspunsuri. Pentru a înțelege ce se întâmplă cu adevărat, cui și cum amenință, cum să vă protejați împotriva infecției și cum să decriptați fișierele deteriorate de WannaCry, articolul de astăzi este dedicat.
Este „diavolul” într-adevăr atât de înfricoșător
Nu înțeleg ce fel de agitație în jurVreau să plâng? Există mulți viruși, apar noi în mod constant. Ce este special la asta?
WannaCry (alte nume WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nu este un malware cibernetic obișnuit. Motivul notorietății sale este cantitatea enormă de daune provocate. Potrivit Europol, aceasta a întrerupt munca a peste 200.000 de computere Windows din 150 de țări din întreaga lume, iar pagubele suferite de proprietarii lor s-au ridicat la peste 1.000.000.000 de dolari. Și aceasta este doar în primele 4 zile de distribuție. Majoritatea victimelor se află în Rusia și Ucraina.
Știu că virușii intră pe PC-uri prin site-uri pentru adulți. Nu vizitez astfel de resurse, deci nu sunt în pericol.
Virus? Aceasta este și o problemă pentru mine. Când pornesc viruși pe computerul meu, lansez utilitarul *** și după o jumătate de oră totul este în regulă. Și dacă nu ajută, reinstalez Windows.
Virus la virus - conflict. WannaCry este un troian ransomware, un vierme de rețea capabil să se răspândească prin rețelele locale și Internet de la un computer la altul fără intervenția umană.
Majoritatea programelor rău intenționate, inclusiv ransomware, încep să funcționeze numai după ce utilizatorul „înghite momeala”, adică face clic pe un link, deschide un fișier etc. nu trebuie să faci nimic pentru a te infecta cu WannaCry!
Odată ajuns pe un computer cu Windows, malware-ul criptează cea mai mare parte a fișierelor utilizatorului într-un timp scurt, după care afișează un mesaj prin care cere o răscumpărare în valoare de 300-600 USD, care trebuie transferată în portofelul specificat în termen de 3 zile. În caz de întârziere, el amenință să facă imposibilă decriptarea fișierelor în 7 zile.
În același timp, malware-ul caută lacune pentru a pătrunde pe alte computere și, dacă îl găsește, infectează întreaga rețea locală. Aceasta înseamnă că copii de rezervă ale fișierelor stocate pe mașinile vecine devin, de asemenea, inutilizabile.
Eliminarea unui virus de pe computer nu decriptează fișierele! Reinstalarea sistemului de operare este la fel. Dimpotrivă, dacă este infectat cu ransomware, ambele acțiuni vă pot face imposibilă recuperarea fișierelor, chiar dacă aveți o cheie validă.
Deci da, „naibii” este destul de înfricoșător.
Cum se răspândește WannaCry
Minți. Virusul poate pătrunde în computerul meu numai dacă îl descarc singur. Și sunt alert.
Multe programe rău intenționate pot infecta computerele (și, de altfel, de asemenea) dispozitivele mobile prin vulnerabilități - erori în codul componentelor și programelor sistemului de operare care deschid posibilitatea atacatorilor cibernetici de a utiliza o mașină la distanță în scopuri proprii. WannaCry, în special, se răspândește prin vulnerabilitatea de 0 zile din protocolul SMB (vulnerabilitățile de zi zero sunt erori care nu au fost remediate de malware / spyware în momentul exploatării lor).
Adică, pentru a infecta un computer cu un vierme de criptare, sunt suficiente două condiții:
- Conexiuni la o rețea în care există alte mașini infectate (Internet).
- Prezența lacunei de mai sus în sistem.
De unde a apărut această infecție? Acestea sunt trucurile hackerilor ruși?
Conform unor rapoarte (nu sunt responsabil pentru acuratețe), Agenția Națională de Securitate a SUA a fost prima care a descoperit defectul protocolului de rețea SMB, care este utilizat pentru accesul legal de la distanță la fișiere și imprimante în Windows. În loc să-l raporteze la Microsoft pentru a remedia problema, NSA a decis să o folosească singură și a dezvoltat un exploit pentru aceasta (un program care exploatează vulnerabilitatea).
Vizualizarea dinamicii de propagare WannaCry pe intel.malwaretech.com Ulterior, acest exploit (denumit în cod EternalBlue), care a servit de ceva timp de către NSA pentru a se infiltra în computere fără știrea proprietarilor, a fost furat de hackeri și a constituit baza pentru crearea ransomware-ului WannaCry. Adică, grație acțiunilor nu în întregime legale și etice ale guvernului SUA, autorii virusului au aflat despre vulnerabilitate.
Am dezactivat instalarea actualizărilorWindows. Nafig este necesar atunci când totul funcționează fără ele.
Motivul unei răspândiri atât de rapide și pe scară largă a epidemiei este absența în acel moment a unui „patch” - o actualizare Windows care ar putea închide lacuna Wanna Cry. La urma urmei, a fost nevoie de timp pentru ao dezvolta.
Astăzi există un astfel de plasture. Utilizatorii care actualizează sistemul l-au primit automat în primele ore după lansare. Și cei care cred că actualizările nu sunt necesare sunt încă în pericol de infectare.
Cine riscă un atac WannaCry și cum să se apere împotriva acestuia
Din câte știu, mai mult de 90% din computerele infectateWannaCry, a fugit sub controlWindows 7. Am un zece, ceea ce înseamnă că nimic nu mă amenință.
Toate sistemele de operare care utilizează protocolul de rețea SMB v1 sunt expuse riscului de infectare WannaCry. Aceasta:
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 8.1
- Windows RT 8.1
- Windows 10 v 1511
- Windows 10 v 1607
- Windows Server 2003
- Windows Server 2008
- Windows Server 2012
- Windows Server 2016
Astăzi, utilizatorii de sisteme care nu îl au instalat riscă să prindă malware prin rețea. actualizare critică de securitate MS17-010 (disponibil pentru descărcare gratuită de pe technet.microsoft.com, care este conectat). Patch-uri pentru Windows XP, Windows Server 2003, Windows 8 și alte sisteme de operare neacceptate pot fi descărcate din această pagină support.microsoft.com ... De asemenea, descrie cum să verificați dacă există o actualizare de salvare.
Dacă nu cunoașteți versiunea sistemului de operare de pe computer, apăsați combinația de taste Win + R și executați comanda winver.
Pentru a consolida protecția, precum și dacă este imposibil să actualizezi sistemul acum, Microsoft oferă instrucțiuni pentru dezactivarea temporară a protocolului SMB versiunea 1. Acestea sunt localizate și. Opțional, dar nu neapărat, puteți închide portul TCP care deservește SMB prin firewall 445.
Am cel mai bun antivirus din lume ***, cu el pot face orice și nu mă tem de nimic.
WannaCry se poate răspândi nu numai prin auto-propagarea descrisă mai sus, ci și în modurile obișnuite - prin rețelele sociale, e-mail, resurse web infectate și phishing etc. Și există astfel de cazuri. Dacă descărcați și rulați manual un program rău intenționat, atunci nici antivirusul, nici patch-urile care închid vulnerabilitățile nu vă vor salva de infecție.
Cum funcționează virusul, ce criptează
Da, lasă-l să cripteze ce vrea. Prietenul meu este programator, el va descifra totul pentru mine. În ultimă instanță, găsim cheia prin forță brută.
Ei bine, va cripta câteva fișiere, deci ce? Nu mă va împiedica să lucrez pe computerul meu.
Din păcate, nu va decripta, deoarece nu există modalități de a sparge algoritmul de criptare RSA-2048 pe care îl folosește Wanna Cry și nu va apărea în viitorul previzibil. Și nu va cripta câteva fișiere, ci aproape totul.
Nu voi oferi o descriere detaliată a activității programului malware, oricine este interesat să se familiarizeze cu analiza acestuia, de exemplu, pe blogul expertului Microsoft Matt Suiche. Voi menționa doar cele mai semnificative momente.
Fișierele cu următoarele extensii sunt criptate: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt ,. xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg ,. djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf ,. ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx , .der.
După cum puteți vedea, există documente, fotografii, audio-video, arhive, poștă și fișiere create în diferite programe ... Programul malware încearcă să ajungă la fiecare director din sistem.
Obiectele criptate au o dublă expansiune cu postscriptul WNCRY, de exemplu, „Document1.doc.WNCRY”.
După criptare, virusul copiază un fișier executabil în fiecare folder @[e-mail protejat] - aparent pentru decriptare după răscumpărare, precum și un document text @[e-mail protejat] cu un mesaj către utilizator.
Apoi, încearcă să șteargă copiile shadow și punctele de restaurare Windows. Dacă sistemul rulează UAC, utilizatorul trebuie să confirme această operațiune. Dacă respingeți solicitarea, va exista șansa de a restabili datele din copii.
WannaCry transmite cheile de criptare ale sistemului afectat către centrele de comandă situate în rețeaua Tor, apoi le șterge de pe computer. Pentru a găsi alte mașini vulnerabile, scanează rețeaua locală și intervalele IP arbitrare de pe Internet și, odată găsit, pătrunde în tot ceea ce poate ajunge.
Astăzi, analiștii cunosc mai multe modificări ale WannaCry cu diferite mecanisme de distribuție și, în viitorul apropiat, ar trebui să ne așteptăm să apară altele noi.
Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul
Văd că fișierele modifică extensiile. Ce se întâmplă? Cum oprești asta?
Criptarea nu este un proces într-un singur pas, deși nu prea lung. Dacă ați reușit să observați acest lucru înainte ca mesajul ransomware să apară pe ecran, puteți salva unele fișiere oprind imediat alimentarea computerului. Nu închiderea sistemului, dar prin scoaterea ștecherului!
Când porniți Windows în modul normal, criptarea va continua, deci este important să o preveniți. Următorul pornire a computerului trebuie să aibă loc fie în modul sigur, în care virușii nu sunt activi, fie de pe un alt suport de boot.
Fișierele mele sunt criptate! Virusul cere o răscumpărare pentru ei! Ce să faci, cum să decriptezi?
Decriptarea fișierelor după WannaCry este posibilă numai dacă există o cheie secretă, pe care atacatorii promit să o furnizeze imediat ce victima le transferă suma de răscumpărare. Cu toate acestea, astfel de promisiuni nu sunt aproape niciodată îndeplinite: de ce ar trebui să se deranjeze distribuitorii de programe malware când au obținut deja ceea ce doreau?
În unele cazuri, problema poate fi rezolvată fără răscumpărare. Până în prezent, au fost dezvoltate 2 decodoare WannaCry: WannaKey(de Adrien Guinet) și WanaKiwi(de Benjamin Delpy). Primul funcționează numai în Windows XP, iar al doilea, creat pe baza primului, - în Windows XP, Vista și 7 x86, precum și în sistemele nordice 2003, 2008 și 2008R2 x86.
Algoritmul de funcționare al ambilor decriptori se bazează pe căutarea cheilor secrete în memoria procesului de criptare. Aceasta înseamnă că numai cei care nu au avut timp să repornească computerul au șansa de a decripta. Și dacă nu a trecut prea mult timp după criptare (memoria nu a fost suprascrisă de un alt proces).
Deci, dacă sunteți un utilizator Windows XP-7 x86, primul lucru de făcut după ce apare mesajul de răscumpărare este să deconectați computerul de la rețeaua locală și de la Internet și să rulați decriptorul WanaKiwi descărcat pe un alt dispozitiv. Nu efectuați alte acțiuni pe computer înainte de a scoate cheia!
Puteți citi descrierea lucrării decriptorului WanaKiwi într-un alt blog de Matt Suiche.
După decriptarea fișierelor, rulați un antivirus pentru a elimina malware-ul și instalați un patch care închide căile de distribuție.
Astăzi, WannaCry recunoaște aproape toate programele antivirus, cu excepția celor care nu sunt actualizate, așa că aproape orice va funcționa.
Cum să trăiești această viață mai departe
Epidemia autopropulsată a luat lumea prin surprindere. Pentru toate tipurile de servicii de securitate, sa dovedit a fi la fel de neașteptat ca debutul iernii de la 1 decembrie pentru serviciile publice. Motivul este neglijența și poate. Consecințe - pierderi ireparabile de date și pierderi. Și pentru creatorii de programe malware - un stimulent pentru a continua în același spirit.Potrivit analiștilor, WanaCry a plătit distribuitorilor dividende foarte bune, ceea ce înseamnă că astfel de atacuri se vor repeta. Iar cei care sunt luați acum nu vor fi neapărat duși mai târziu. Desigur, dacă nu vă faceți griji în prealabil.
Deci, astfel încât să nu trebuie să plângeți vreodată despre fișierele criptate:
- Nu refuzați să instalați actualizări la sistemul de operare și aplicații. Acest lucru vă va proteja de 99% din amenințările care se răspândesc prin vulnerabilități neperfectate.
- Continua.
- Creați copii de rezervă ale fișierelor importante și păstrați-le pe un alt suport fizic, sau mai bine - pe mai multe. În rețelele corporative, este optim să utilizați baze de date de stocare distribuită; utilizatorii casnici pot adopta servicii cloud gratuite precum Yandex Drive, Google Drive, OneDrive, MEGASynk etc. Nu păstrați aceste aplicații în funcțiune când nu le utilizați.
- Alegeți sisteme de operare fiabile. Windows XP nu este.
- Instalați un antivirus cuprinzător din clasa Internet Security și protecție suplimentară împotriva ransomware-ului, de exemplu, Kaspersky Endpoint Security. Sau analogi ai altor dezvoltatori.
- Creșteți-vă nivelul de alfabetizare în combaterea troienilor de criptare. De exemplu, furnizorul de antivirus Dr.Web a pregătit cursuri de instruire pentru utilizatorii și administratorii diferitelor sisteme. O mulțime de informații utile și, important, fiabile sunt conținute în blogurile altor dezvoltatori de A / V.
Și cel mai important: chiar dacă ați suferit, nu transferați bani infractorilor cibernetici pentru decriptare. Probabilitatea de a fi înșelat este de 99%. Mai mult, dacă nimeni nu plătește, afacerea cu extorcarea va deveni lipsită de sens. În caz contrar, răspândirea unei astfel de infecții va crește.
