Es setzt seinen bedrückenden Marsch durch das Internet fort, infiziert Computer und verschlüsselt wichtige Daten. Wie schützen Sie sich vor Ransomware und schützen Windows vor Ransomware? Wurden Patches zum Entschlüsseln und Desinfizieren von Dateien veröffentlicht?

Neuer Ransomware-Virus 2017 Wanna Cry infiziert weiterhin Firmen- und Privat-PCs. U Der Schaden durch einen Virenangriff beläuft sich auf insgesamt 1 Milliarde US-Dollar. In 2 Wochen hat der Ransomware-Virus mindestens infiziert 300.000 Computer, trotz Warnungen und Sicherheitsmaßnahmen.

Was ist der Ransomware-Virus 2017?- In der Regel können Sie auf scheinbar harmlosesten Websites „abholen“, beispielsweise auf Bankservern mit Benutzerzugriff. Sobald sich die Ransomware auf der Festplatte des Opfers befindet, „nistet“ sie sich im Systemordner System32 ein. Von dort aus deaktiviert das Programm sofort das Antivirenprogramm und geht in „Autorun“" Nach jedem Neustart Ransomware läuft in die Registry, beginnt seine Drecksarbeit. Die Ransomware beginnt, ähnliche Kopien von Programmen wie Ransom und Trojan herunterzuladen. Es passiert auch oft Ransomware-Selbstreplikation. Dieser Vorgang kann vorübergehend sein oder Wochen dauern, bis das Opfer bemerkt, dass etwas nicht stimmt.

Die Ransomware tarnt sich oft als gewöhnliche Bilder oder Textdateien, aber das Wesentliche ist immer dasselbe - Dies ist eine ausführbare Datei mit der Erweiterung .exe, .drv, .xvd; Manchmal - Bibliotheken.dll. Meistens hat die Datei einen völlig harmlosen Namen, zum Beispiel „ dokumentieren. Dok", oder " Bild.jpg", wobei die Erweiterung manuell geschrieben wird, und Der wahre Dateityp ist ausgeblendet.

Nach Abschluss der Verschlüsselung sieht der Benutzer anstelle der bekannten Dateien eine Reihe „zufälliger“ Zeichen im Namen und im Inneren, und die Erweiterung ändert sich in eine bisher unbekannte - .NO_MORE_RANSOM, .xdata und andere.

Wanna Cry Ransomware-Virus 2017 – wie Sie sich schützen können. Ich möchte sofort darauf hinweisen, dass Wanna Cry eher ein Sammelbegriff für alle Verschlüsselungs- und Ransomware-Viren ist, da er in letzter Zeit am häufigsten Computer infiziert hat. Also, wir werden darüber reden Schützen Sie sich vor der Ransomware Ransom Ware, von der es viele gibt: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

So schützen Sie Windows vor Ransomware. – EternalBlue über SMB-Portprotokoll.

Windows vor Ransomware 2017 schützen – Grundregeln:

• Windows-Update, rechtzeitiger Übergang zu einem lizenzierten Betriebssystem (Hinweis: Die XP-Version wird nicht aktualisiert)
• Aktualisierung von Antiviren-Datenbanken und Firewalls nach Bedarf
• Äußerste Vorsicht beim Herunterladen von Dateien (niedliche „Siegel“ können zum Verlust aller Daten führen)
• Sicherung wichtige Informationen auf Wechselmedien.

Ransomware-Virus 2017: So desinfizieren und entschlüsseln Sie Dateien.

Wenn Sie sich auf eine Antivirensoftware verlassen, können Sie den Entschlüsseler für eine Weile vergessen. In Laboren Kaspersky, Dr. Web, Avast! und andere Antivirenprogramme vorerst Es wurde keine Lösung zur Behandlung infizierter Dateien gefunden. An im Moment Es ist möglich, den Virus mit einem Antivirenprogramm zu entfernen, aber es gibt noch keine Algorithmen, die alles wieder „normal“ machen.

Einige versuchen, Entschlüsselungsprogramme wie das Dienstprogramm RectorDecryptor zu verwenden, aber das wird nicht helfen: Ein Algorithmus zur Entschlüsselung neuer Viren wurde noch nicht kompiliert. Es ist auch völlig unbekannt, wie sich der Virus verhält, wenn er nach der Verwendung solcher Programme nicht entfernt wird. Oftmals kann dies zur Löschung aller Dateien führen – als Warnung an diejenigen, die die Angreifer, die Urheber des Virus, nicht bezahlen wollen.

Derzeit ist die Kontaktaufnahme mit dem technischen Support die effektivste Möglichkeit, verlorene Daten wiederherzustellen. Lieferantenunterstützung Antivirenprogramm die Sie verwenden. Senden Sie dazu einen Brief oder nutzen Sie das Formular an Rückmeldung auf der Website des Herstellers. Fügen Sie dem Anhang unbedingt die verschlüsselte Datei und, falls verfügbar, eine Kopie des Originals hinzu. Dies wird Programmierern beim Verfassen des Algorithmus helfen. Leider für viele Virenbefall kommt völlig überraschend und es werden keine Kopien gefunden, was die Situation erheblich verkompliziert.

Kardiale Methoden zur Behandlung von Windows vor Ransomware. Leider muss man manchmal auf eine komplette Formatierung der Festplatte zurückgreifen, was einen kompletten Wechsel des Betriebssystems nach sich zieht. Viele werden darüber nachdenken, das System wiederherzustellen, aber das ist keine Option – selbst ein „Rollback“ wird den Virus entfernen, aber die Dateien bleiben weiterhin verschlüsselt.

Vor etwa ein oder zwei Wochen tauchte im Internet ein weiterer Hack moderner Virenhersteller auf, der alle Dateien des Benutzers verschlüsselt. Ich werde noch einmal über die Frage nachdenken, wie man einen Computer nach einem Ransomware-Virus heilen kann verschlüsselt000007 und verschlüsselte Dateien wiederherstellen. In diesem Fall ist nichts Neues oder Einzigartiges erschienen, sondern lediglich eine Modifikation der vorherigen Version.

Garantierte Entschlüsselung Dateien nach dem Ransomware-Virus - dr-shifro.ru. Einzelheiten zur Arbeit und zum Schema der Interaktion mit dem Kunden finden Sie weiter unten in meinem Artikel oder auf der Website im Abschnitt „Arbeitsablauf“.

Beschreibung des Ransomware-Virus CRYPTED000007

Der CRYPTED000007-Verschlüsseler unterscheidet sich nicht grundlegend von seinen Vorgängern. Es funktioniert fast genauso. Dennoch gibt es einige Nuancen, die es auszeichnen. Ich erzähle dir alles der Reihe nach.

Es kommt wie seine Gegenstücke per Post an. Verwendete Techniken Social Engineering damit sich der Benutzer sicherlich für den Brief interessiert und ihn öffnet. In meinem Fall ging es in dem Brief um eine Art Gericht und im Anhang um wichtige Informationen zum Fall. Nach dem Starten des Anhangs öffnet der Benutzer ein Word-Dokument mit einem Auszug aus dem Moskauer Schiedsgericht.

Parallel zum Öffnen des Dokuments startet die Dateiverschlüsselung. Es taucht ständig auf Informationsnachricht aus der Windows-Benutzerkontensteuerung.

Wenn Sie mit dem Vorschlag einverstanden sind, dann Backups Dateien im Schatten Kopien von Windows werden gelöscht und die Wiederherstellung der Informationen wird sehr schwierig sein. Es ist offensichtlich, dass Sie dem Vorschlag auf keinen Fall zustimmen können. In diesem Verschlüsselungsprogramm tauchen diese Anfragen ständig nacheinander auf und hören nicht auf, was den Benutzer dazu zwingt, zuzustimmen und die Sicherungskopien zu löschen. Dies ist der Hauptunterschied zu früheren Modifikationen von Verschlüsselungsgeräten. Ich bin noch nie auf Anfragen gestoßen, Schattenkopien ohne Unterbrechung zu löschen. Normalerweise hörten sie nach 5-10 Angeboten auf.

Ich werde sofort eine Empfehlung für die Zukunft aussprechen. Es kommt sehr häufig vor, dass Benutzer die Warnungen der Benutzerkontensteuerung deaktivieren. Es besteht keine Notwendigkeit, dies zu tun. Dieser Mechanismus kann wirklich bei der Abwehr von Viren helfen. Der zweite offensichtliche Ratschlag ist, nicht ständig unter Druck zu arbeiten Konto Computeradministrator, es sei denn, es besteht ein objektiver Bedarf dafür. In diesem Fall hat der Virus keine Möglichkeit, großen Schaden anzurichten. Sie haben eine bessere Chance, ihm zu widerstehen.

Aber selbst wenn Sie auf die Anfragen der Ransomware immer negativ geantwortet haben, sind alle Ihre Daten bereits verschlüsselt. Nachdem der Verschlüsselungsvorgang abgeschlossen ist, wird auf Ihrem Desktop ein Bild angezeigt.

Gleichzeitig befinden sich auf Ihrem Desktop viele Textdateien mit demselben Inhalt.

Ihre Dateien wurden verschlüsselt. Um ux zu entschlüsseln, müssen Sie den Code 329D54752553ED978F94|0 an die E-Mail-Adresse senden [email protected]. Als nächstes erhalten Sie alle notwendigen Anweisungen. Versuche, es selbst zu entschlüsseln, führen zu nichts anderem als einer unwiderruflichen Menge an Informationen. Wenn Sie es dennoch versuchen möchten, erstellen Sie zunächst Sicherungskopien der Dateien, da sonst im Falle einer Änderung die Entschlüsselung auf keinen Fall unmöglich wird. Sollten Sie innerhalb von 48 Stunden (nur in diesem Fall!) keine Benachrichtigung an die oben genannte Adresse erhalten haben, nutzen Sie das Kontaktformular. Dies kann auf zwei Arten erfolgen: 1) Herunterladen und installieren Tor-Browserüber den Link: https://www.torproject.org/download/download-easy.html.en Geben Sie im Adressfeld des Tor-Browsers die Adresse ein: http://cryptsen7fo43rr6.onion/ und drücken Sie die Eingabetaste. Die Seite mit dem Kontaktformular wird geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Alle wichtigen Dateien auf Ihrem Computer wurden verschlüsselt. Um die Dateien zu entschlüsseln, sollten Sie den folgenden Code senden: 329D54752553ED978F94|0 an die E-Mail-Adresse [email protected]. Anschließend erhalten Sie alle notwendigen Anweisungen. Alle Entschlüsselungsversuche durch Sie selbst führen nur zum unwiderruflichen Verlust Ihrer Daten. Wenn Sie dennoch versuchen möchten, sie selbst zu entschlüsseln, erstellen Sie bitte zunächst eine Sicherungskopie, da die Entschlüsselung bei Änderungen in den Dateien unmöglich wird. Wenn Sie die Antwort auf die oben genannte E-Mail länger als 48 Stunden nicht erhalten haben (und nur in diesem Fall!), nutzen Sie das Feedback-Formular. Sie können dies auf zwei Arten tun: 1) Laden Sie den Tor-Browser hier herunter: https://www.torproject.org/download/download-easy.html.en Installieren Sie ihn und geben Sie die folgende Adresse in die Adressleiste ein: http:/ /cryptsen7fo43rr6.onion/ Drücken Sie die Eingabetaste und dann wird die Seite mit dem Feedback-Formular geladen. 2) Gehen Sie in einem beliebigen Browser zu einer der folgenden Adressen: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Postanschrift kann sich ändern. Außerdem bin ich auf folgende Adressen gestoßen:

• [email protected]
• [email protected]

Adressen werden ständig aktualisiert und können daher völlig unterschiedlich sein.

Sobald Sie feststellen, dass Ihre Dateien verschlüsselt sind, schalten Sie Ihren Computer sofort aus. Dies muss durchgeführt werden, um den Verschlüsselungsprozess wie folgt zu unterbrechen lokalen Computer, und auf Netzlaufwerken. Ein Ransomware-Virus kann alle Informationen verschlüsseln, die er erreichen kann, auch auf Netzlaufwerken. Wenn dort jedoch eine große Menge an Informationen vorhanden ist, wird es viel Zeit in Anspruch nehmen. Manchmal hatte der Kryptograf nicht einmal nach ein paar Stunden Zeit, alles zu verschlüsseln Netzlaufwerk etwa 100 Gigabyte.

Als nächstes müssen Sie sorgfältig darüber nachdenken, wie Sie vorgehen. Wenn Sie um jeden Preis Informationen auf Ihrem Computer benötigen und keine Sicherungskopien haben, wenden Sie sich in diesem Moment besser an Spezialisten. In manchen Unternehmen geht es nicht unbedingt um Geld. Du brauchst einfach jemanden, der gut darin ist Informationssysteme. Es ist notwendig, das Ausmaß der Katastrophe einzuschätzen, den Virus zu entfernen und alle verfügbaren Informationen über die Situation zu sammeln, um zu verstehen, wie weiter vorgegangen werden soll.

Falsche Aktionen auf in diesem Stadium kann den Prozess der Entschlüsselung oder Wiederherstellung von Dateien erheblich erschweren. Im schlimmsten Fall können sie es unmöglich machen. Nehmen Sie sich also Zeit, seien Sie vorsichtig und konsequent.

Wie der Ransomware-Virus CRYPTED000007 Dateien verschlüsselt

Nachdem der Virus gestartet wurde und seine Aktivität beendet hat, werden alle nützlichen Dateien verschlüsselt und umbenannt extension.crypted000007. Darüber hinaus wird nicht nur die Dateierweiterung ersetzt, sondern auch der Dateiname, sodass Sie nicht genau wissen, welche Art von Dateien Sie hatten, wenn Sie sich nicht erinnern. Es wird ungefähr so ​​aussehen.

In einer solchen Situation wird es schwierig sein, das Ausmaß der Tragödie einzuschätzen, da Sie sich nicht mehr vollständig an das erinnern können, was Sie in Ihrem Leben erlebt haben. verschiedene Ordner. Dies geschah speziell, um die Leute zu verwirren und sie zu ermutigen, für die Dateientschlüsselung zu bezahlen.

Und wenn Sie verschlüsselt hätten und Netzwerkordner und nein vollständige Backups, dann kann dies die Arbeit der gesamten Organisation vollständig zum Erliegen bringen. Es wird eine Weile dauern, herauszufinden, was letztendlich verloren gegangen ist, und dann mit der Wiederherstellung beginnen zu können.

So behandeln Sie Ihren Computer und entfernen die CRYPTED000007-Ransomware

Der CRYPTED000007-Virus befindet sich bereits auf Ihrem Computer. Die erste und wichtigste Frage ist, wie man einen Computer desinfiziert und wie man einen Virus von ihm entfernt, um eine weitere Verschlüsselung zu verhindern, wenn sie noch nicht abgeschlossen ist. Ich möchte Sie sofort darauf aufmerksam machen, dass die Chancen auf eine Entschlüsselung der Daten sinken, nachdem Sie selbst einige Aktionen mit Ihrem Computer ausgeführt haben. Wenn Sie Dateien um jeden Preis wiederherstellen müssen, berühren Sie Ihren Computer nicht, sondern wenden Sie sich sofort an einen Fachmann. Im Folgenden werde ich darüber sprechen, einen Link zur Website bereitstellen und beschreiben, wie sie funktionieren.

In der Zwischenzeit werden wir den Computer weiterhin selbstständig behandeln und den Virus entfernen. Traditionell lässt sich Ransomware leicht von einem Computer entfernen, da der Virus nicht die Aufgabe hat, um jeden Preis auf dem Computer zu verbleiben. Nach vollständige Verschlüsselung Dateien, ist es für ihn noch profitabler, sich selbst zu löschen und zu verschwinden, so dass es schwieriger wird, den Vorfall zu untersuchen und die Dateien zu entschlüsseln.

Es ist schwierig, die manuelle Entfernung eines Virus zu beschreiben, obwohl ich das schon einmal versucht habe, aber ich sehe, dass es meistens sinnlos ist. Dateinamen und Virenplatzierungspfade ändern sich ständig. Was ich gesehen habe, ist in ein oder zwei Wochen nicht mehr relevant. Normalerweise werden Viren in Wellen per E-Mail verschickt, und jedes Mal gibt es eine neue Änderung, die von Antivirenprogrammen noch nicht erkannt wird. Universelle Tools, die den Start überprüfen und verdächtige Aktivitäten in Systemordnern erkennen, helfen dabei.

Um den CRYPTED000007-Virus zu entfernen, können Sie die folgenden Programme verwenden:

1. Kaspersky-Virus Entfernungswerkzeug- ein Dienstprogramm von Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - ein ähnliches Produkt von einer anderen Website: http://free.drweb.ru/cureit.
3. Wenn die ersten beiden Dienstprogramme nicht helfen, versuchen Sie es mit MALWAREBYTES 3.0 – https://ru.malwarebytes.com.

Höchstwahrscheinlich wird eines dieser Produkte Ihren Computer von der Ransomware CRYPTED000007 befreien. Wenn es plötzlich passiert, dass sie nicht helfen, versuchen Sie, den Virus manuell zu entfernen. Ich habe ein Beispiel für die Entfernungsmethode gegeben und Sie können es dort sehen. Kurz gesagt, Schritt für Schritt müssen Sie wie folgt vorgehen:

1. Wir schauen uns die Liste der Prozesse an, nachdem wir dem Task-Manager mehrere zusätzliche Spalten hinzugefügt haben.
2. Wir finden den Virenprozess, öffnen den Ordner, in dem er liegt, und löschen ihn.
3. Wir löschen die Erwähnung des Virusprozesses anhand des Dateinamens in der Registrierung.
4. Wir starten neu und stellen sicher, dass der CRYPTED000007-Virus nicht in der Liste der laufenden Prozesse enthalten ist.

Wo kann man den Entschlüsseler CRYPTED000007 herunterladen?

Wenn es um einen Ransomware-Virus geht, stellt sich zunächst die Frage nach einem einfachen und zuverlässigen Entschlüsseler. Als erstes empfehle ich die Nutzung des Dienstes https://www.nomoreransom.org. Was ist, wenn Sie Glück haben und es einen Entschlüsseler für Ihre Version des CRYPTED000007-Verschlüsselungsprogramms gibt? Ich sage gleich, dass Sie nicht viele Chancen haben, aber es zu versuchen ist keine Folter. An Homepage Klicken Sie auf Ja:

Laden Sie dann ein paar verschlüsselte Dateien herunter und klicken Sie auf Los! Finde es heraus:

Zum Zeitpunkt des Verfassens dieses Artikels gab es auf der Website kein Entschlüsselungsprogramm.

Vielleicht haben Sie mehr Glück. Sie können die Liste der Entschlüsselungsprogramme auch auf einer separaten Seite einsehen – https://www.nomoreransom.org/decryption-tools.html. Vielleicht ist da etwas Nützliches dabei. Wenn das Virus völlig frisch ist, ist die Wahrscheinlichkeit gering, dass dies geschieht, aber im Laufe der Zeit kann etwas auftauchen. Es gibt Beispiele dafür, dass im Internet Entschlüsseler für einige Modifikationen von Verschlüsselern aufgetaucht sind. Und diese Beispiele finden Sie auf der angegebenen Seite.

Ich weiß nicht, wo man sonst noch einen Decoder finden kann. Es ist unwahrscheinlich, dass es tatsächlich existieren wird, wenn man die Besonderheiten der Arbeit moderner Verschlüsselungsgeräte berücksichtigt. Nur die Autoren des Virus können über einen vollwertigen Entschlüsseler verfügen.

So entschlüsseln und stellen Sie Dateien nach dem CRYPTED000007-Virus wieder her

Was tun, wenn der CRYPTED000007-Virus Ihre Dateien verschlüsselt hat? Die technische Implementierung der Verschlüsselung erlaubt keine Entschlüsselung von Dateien ohne Schlüssel oder Entschlüsselungsprogramm, über das nur der Autor des Verschlüsselungsprogramms verfügt. Vielleicht gibt es einen anderen Weg, es zu bekommen, aber ich habe diese Informationen nicht. Wir können nur versuchen, Dateien mit improvisierten Methoden wiederherzustellen. Dazu gehören:

• Werkzeug Schattenkopien Fenster.
• Gelöschte Datenwiederherstellungsprogramme

Überprüfen wir zunächst, ob Schattenkopien aktiviert sind. Dieses Tool funktioniert standardmäßig unter Windows 7 und höher, sofern Sie es nicht manuell deaktivieren. Um dies zu überprüfen, öffnen Sie die Computereigenschaften und gehen Sie zum Abschnitt Systemschutz.

Wenn Sie während der Infektion die UAC-Anfrage zum Löschen von Dateien in Schattenkopien nicht bestätigt haben, sollten einige Daten dort verbleiben. Ich habe zu Beginn der Geschichte ausführlicher über diese Bitte gesprochen, als ich über die Wirkung des Virus sprach.

Um Dateien einfach aus Schattenkopien wiederherzustellen, empfehle ich die Verwendung kostenloses Programm zu diesem Zweck - ShadowExplorer. Laden Sie das Archiv herunter, entpacken Sie das Programm und führen Sie es aus.

Die neueste Kopie der Dateien und das Stammverzeichnis von Laufwerk C werden geöffnet. In der oberen linken Ecke können Sie eine Sicherungskopie auswählen, wenn Sie mehrere davon haben. Überprüfen Sie verschiedene Kopien auf die erforderlichen Dateien. Vergleichen Sie nach Datum, um die aktuellste Version zu erhalten. In meinem Beispiel unten habe ich auf meinem Desktop zwei Dateien gefunden, die vor drei Monaten zum letzten Mal bearbeitet wurden.

Ich konnte diese Dateien wiederherstellen. Dazu habe ich sie ausgewählt, mit der rechten Maustaste geklickt, „Exportieren“ ausgewählt und den Ordner angegeben, in dem sie wiederhergestellt werden sollen.

Nach dem gleichen Prinzip können Sie Ordner sofort wiederherstellen. Wenn Sie Schattenkopien hatten und diese nicht gelöscht haben, haben Sie gute Chancen, alle oder fast alle vom Virus verschlüsselten Dateien wiederherzustellen. Vielleicht werden es einige mehr sein alte Version, als uns lieb ist, aber dennoch ist es besser als nichts.

Wenn Sie aus irgendeinem Grund keine Schattenkopien Ihrer Dateien haben, besteht Ihre einzige Chance, zumindest etwas von den verschlüsselten Dateien zu erhalten, darin, sie mithilfe von Wiederherstellungstools wiederherzustellen gelöschte Dateien. Dazu empfehle ich die Verwendung des kostenlosen Programms Photorec.

Starten Sie das Programm und wählen Sie die Festplatte aus, auf der Sie Dateien wiederherstellen möchten. Durch Starten der grafischen Version des Programms wird die Datei ausgeführt qphotorec_win.exe. Sie müssen einen Ordner auswählen, in dem die gefundenen Dateien abgelegt werden. Es ist besser, wenn sich dieser Ordner nicht auf demselben Laufwerk befindet, auf dem wir suchen. Schließen Sie ein Flash-Laufwerk an oder extern hart Diskette dafür.

Der Suchvorgang wird lange dauern. Am Ende sehen Sie Statistiken. Nun können Sie in den zuvor angegebenen Ordner gehen und sehen, was sich dort befindet. Es werden höchstwahrscheinlich viele Dateien vorhanden sein, und die meisten davon sind entweder beschädigt oder es handelt sich um eine Art System- und nutzlose Dateien. Dennoch sind in dieser Liste einige nützliche Dateien zu finden. Hier gibt es keine Garantien, Sie finden, was Sie finden. Bilder lassen sich in der Regel am besten wiederherstellen.

Wenn Sie mit dem Ergebnis nicht zufrieden sind, gibt es auch Programme zum Wiederherstellen gelöschter Dateien. Nachfolgend finden Sie eine Liste der Programme, die ich normalerweise verwende, wenn ich die maximale Anzahl an Dateien wiederherstellen muss:

• R.sparer
• Starus Dateiwiederherstellung
• JPEG-Wiederherstellung Pro
• Aktiver Dateiwiederherstellungsprofi

Diese Programme sind nicht kostenlos, daher werde ich keine Links bereitstellen. Wenn Sie wirklich wollen, können Sie sie selbst im Internet finden.

Der gesamte Dateiwiederherstellungsprozess wird im Video ganz am Ende des Artikels ausführlich gezeigt.

Kaspersky, eset nod32 und andere im Kampf gegen den Filecoder.ED-Verschlüsselungsdienst

Gängige Antivirenprogramme erkennen die Ransomware CRYPTED000007 als Filecoder.ED und dann könnte es noch eine andere Bezeichnung geben. Ich habe die wichtigsten Antiviren-Foren durchgesehen und dort nichts Nützliches gefunden. Leider erwies sich Antivirensoftware wie üblich als unvorbereitet für die Invasion einer neuen Ransomware-Welle. Hier ist ein Beitrag aus dem Kaspersky-Forum.

Antivirenprogramme übersehen traditionell neue Modifikationen von Ransomware-Trojanern. Dennoch empfehle ich die Verwendung. Wenn Sie Glück haben und nicht in der ersten Infektionswelle, sondern etwas später eine Ransomware-E-Mail erhalten, besteht die Möglichkeit, dass Ihnen das Antivirenprogramm hilft. Sie alle agieren einen Schritt hinter den Angreifern. Es stellt sich heraus neue Version Ransomware, Antivirenprogramme reagieren nicht darauf. Sobald sich eine gewisse Menge an Material für die Erforschung eines neuen Virus ansammelt, veröffentlicht die Antivirensoftware ein Update und beginnt darauf zu reagieren.

Ich verstehe nicht, was Antivirenprogramme daran hindert, sofort auf Verschlüsselungsvorgänge im System zu reagieren. Möglicherweise gibt es bei diesem Thema eine technische Nuance, die es uns nicht ermöglicht, angemessen zu reagieren und die Verschlüsselung von Benutzerdateien zu verhindern. Meiner Meinung nach wäre es möglich, zumindest eine Warnung anzuzeigen, dass jemand Ihre Dateien verschlüsselt, und anzubieten, den Vorgang zu stoppen.

Wohin für eine garantierte Entschlüsselung?

Ich traf zufällig ein Unternehmen, das tatsächlich Daten entschlüsselt, nachdem verschiedene Verschlüsselungsviren, darunter CRYPTED000007, eingesetzt wurden. Ihre Adresse ist http://www.dr-shifro.ru. Zahlung erst nach vollständiger Entschlüsselung und Ihrer Verifizierung. Hier ist ein ungefähres Arbeitsschema:

1. Ein Unternehmensspezialist kommt zu Ihnen ins Büro oder nach Hause und unterzeichnet mit Ihnen einen Vertrag, in dem die Kosten für die Arbeiten festgelegt sind.
2. Startet den Entschlüsseler und entschlüsselt alle Dateien.
3. Sie stellen sicher, dass alle Dateien geöffnet sind und unterzeichnen die Liefer-/Abnahmebescheinigung für abgeschlossene Arbeiten.
4. Die Zahlung erfolgt ausschließlich bei erfolgreichem Entschlüsselungsergebnis.

Ich bin ehrlich, ich weiß nicht, wie sie das machen, aber man riskiert nichts. Bezahlung erst nach Demonstration der Funktionsfähigkeit des Decoders. Bitte schreiben Sie eine Bewertung über Ihre Erfahrungen mit diesem Unternehmen.

Methoden zum Schutz vor dem CRYPTED000007-Virus

Wie schützt man sich vor Ransomware und vermeidet materiellen und moralischen Schaden? Es gibt einige einfache und effektive Tipps:

1. Sicherung! Sicherung aller wichtigen Daten. Und nicht nur ein Backup, sondern ein Backup, zu dem es keins gibt dauerhafter Zugang. Andernfalls kann der Virus sowohl Ihre Dokumente als auch Sicherungskopien infizieren.
2. Lizenziertes Antivirenprogramm. Sie bieten zwar keine hundertprozentige Garantie, erhöhen aber die Chancen, eine Verschlüsselung zu umgehen. Meistens sind sie nicht bereit für neue Versionen des Verschlüsselungsprogramms, aber nach 3-4 Tagen beginnen sie zu reagieren. Dies erhöht Ihre Chancen, eine Infektion zu vermeiden, wenn Sie nicht in die erste Verbreitungswelle einer neuen Modifikation der Ransomware einbezogen wurden.
3. Öffnen Sie keine verdächtigen Anhänge in E-Mails. Hier gibt es nichts zu kommentieren. Sämtliche mir bekannte Ransomware erreichte die Nutzer per E-Mail. Darüber hinaus werden jedes Mal neue Tricks erfunden, um das Opfer zu täuschen.
4. Öffnen Sie nicht gedankenlos Links, die Ihnen von Ihren Freunden über gesendet wurden soziale Medien oder Boten. Auf diese Weise verbreiten sich manchmal auch Viren.
5. Einschalten Windows-Anzeige Dateierweiterungen. Wie das geht, ist im Internet leicht zu finden. Dadurch können Sie die Dateierweiterung des Virus erkennen. Meistens wird es so sein .exe, .vbs, .src. Bei Ihrer täglichen Arbeit mit Dokumenten werden Sie wahrscheinlich nicht auf solche Dateierweiterungen stoßen.

Ich habe versucht, das zu ergänzen, was ich bereits in jedem Artikel über den Ransomware-Virus geschrieben habe. In der Zwischenzeit verabschiede ich mich. Ich würde mich über nützliche Kommentare zum Artikel und zum CRYPTED000007-Ransomware-Virus im Allgemeinen freuen.

Video über Dateientschlüsselung und -wiederherstellung

Hier ist ein Beispiel einer früheren Modifikation des Virus, aber das Video ist für CRYPTED000007 vollständig relevant.

Dieses Handbuch richtet sich nicht an technische Fachkräfte, daher:

1. die Definitionen einiger Begriffe wurden vereinfacht;
2. technische Details werden nicht berücksichtigt;
3. Systemschutzmaßnahmen (Installation von Updates, Konfiguration von Sicherheitssystemen usw.) werden nicht berücksichtigt.

Glossar

Verschlüsselung ist die Umwandlung von Daten in eine Form, die ohne Verschlüsselungsschlüssel nicht lesbar ist.

Verschlüsselungsschlüssel– Hierbei handelt es sich um geheime Informationen, die beim Verschlüsseln/Entschlüsseln von Dateien verwendet werden.

Decoder— ein Programm, das den Entschlüsselungsalgorithmus implementiert.

Algorithmus- eine Reihe von Anweisungen, die die Reihenfolge der Aktionen des Darstellers beschreiben, um ein bestimmtes Ergebnis zu erzielen.

Mail Anhang- eine an eine E-Mail angehängte Datei.

Verlängerung(Dateinamenerweiterung) – eine Zeichenfolge, die dem Dateinamen hinzugefügt wird und den Dateityp identifizieren soll (z. B. *.doc, *.jpg). Abhängig von der Art der Dateien wird zum Öffnen ein bestimmtes Programm verwendet. Wenn die Dateierweiterung beispielsweise *.doc ist, wird MS Word zum Öffnen gestartet, bei *.jpg wird der Bildbetrachter gestartet usw.

Link(oder genauer gesagt ein Hyperlink) ist ein Teil einer Webseite eines Dokuments, der auf ein anderes Element (Befehl, Text, Überschrift, Notiz, Bild) im Dokument selbst oder auf ein anderes darin befindliches Objekt (Datei, Verzeichnis, Anwendung) verweist lokale Festplatte oder in einem Computernetzwerk.

Textdatei — Computerdatei, enthält Textdaten.

Archivierung ist die Komprimierung, also die Reduzierung der Dateigröße.

Sicherung- eine Datei oder eine Gruppe von Dateien, die als Ergebnis der Datensicherung erstellt wurde.

Sicherung- der Vorgang der Erstellung einer Kopie von Daten auf einem Medium (Festplatte, Diskette usw.), die dazu bestimmt ist, die Daten im Falle einer Beschädigung oder Zerstörung am ursprünglichen oder neuen Speicherort wiederherzustellen.

Domain(Domainname) – ein Name, der den Zugriff auf Internetknoten und darauf befindliche Netzwerkressourcen (Websites, E-Mail-Server, andere Dienste) in einer für Menschen bequemen Form ermöglicht. Geben Sie beispielsweise anstelle von 172.217.18.131 google.com.ua ein, wobei ua, com, google Domänen unterschiedlicher Ebene sind.

Was ist ein Ransomware-Virus?

Was ist die Gefahr solcher Viren?

In den allermeisten Fällen löscht der Verschlüsseler nach der Kodierung die Originaldateien mithilfe spezieller Algorithmen, wodurch eine Wiederherstellung ausgeschlossen ist.

Ein weiteres gefährliches Merkmal solcher Viren besteht darin, dass sie für Antivirenprogramme häufig „unsichtbar“ sind, weil Die zur Verschlüsselung verwendeten Algorithmen werden auch in vielen legalen Programmen (z. B. Client-Bank) verwendet, weshalb viele Ransomware von Antivirenprogrammen nicht als Malware wahrgenommen werden.

Infektionswege.

Seltener kommt es zu einer Infektion nach der Installation gehackter Software oder nach dem Klicken auf einen infizierten Link auf einer Website oder im Text einer E-Mail.

Es ist zu bedenken, dass sich der Virus sehr oft nach der Infektion eines PCs im Netzwerk über Schwachstellen in Windows und/oder installierten Programmen auf andere Computer ausbreiten kann.

Anzeichen einer Infektion.

1. Sehr oft kommt es nach dem Öffnen der dem Brief beigefügten Datei zu einer hohen Aktivität Festplatte, der Prozessor ist zu 100 % ausgelastet, d.h. Der Computer wird stark langsamer.
2. Einige Zeit nach dem Start des Virus startet der PC plötzlich neu (in den meisten Fällen).
3. Nach dem Neustart öffnet es sich Textdatei, das darüber informiert, dass die Dateien des Benutzers verschlüsselt sind und Kontakte für die Kommunikation angibt ( E-Mail). Anstatt die Datei zu öffnen, wird manchmal das Desktop-Hintergrundbild durch einen Lösegeldtext ersetzt.
4. Die meisten Benutzerdateien (Dokumente, Fotos, Datenbanken) haben am Ende eine andere Erweiterung (z. B. *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl usw.) oder werden vollständig umbenannt und tun dies nicht Öffnen Sie das Programm, auch wenn Sie die Erweiterung ändern. Manchmal verschlüsselt Festplatte vollständig. In diesem Fall bootet Windows überhaupt nicht und fast unmittelbar nach dem Einschalten des PCs erscheint eine Lösegeldforderung.
5. Manchmal werden alle Dateien eines Benutzers in einem passwortgeschützten Archiv abgelegt. Dies geschieht, wenn ein Angreifer in einen PC eindringt und Dateien manuell archiviert und löscht. Das heißt, wenn eine schädliche Datei gestartet wird Mail Anhang Benutzerdateien werden nicht automatisch verschlüsselt, die Installation erfolgt jedoch Software, wodurch ein Angreifer heimlich über das Internet eine Verbindung zu einem PC herstellen kann.

Was tun, wenn bereits eine Infektion aufgetreten ist?

1. Wenn der Verschlüsselungsprozess in Ihrer Anwesenheit begonnen hat (der PC ist sehr langsam; eine Textdatei mit einer Meldung zur Verschlüsselung wurde geöffnet; Dateien begannen zu verschwinden und ihre verschlüsselten Kopien begannen an ihrer Stelle zu erscheinen), sollten Sie dies tun SOFORT Schalten Sie den Computer aus, indem Sie das Netzkabel abziehen oder es 5 Sekunden lang gedrückt halten. Power-Taste. Vielleicht werden dadurch einige Informationen gespeichert. STARTEN SIE IHREN PC NICHT NEU! NUR AUSSCHALTEN!
2. Wenn bereits eine Verschlüsselung stattgefunden hat, sollten Sie auf keinen Fall versuchen, die Infektion selbst zu beheben oder verschlüsselte oder von der Ransomware erstellte Dateien zu löschen oder umzubenennen.

In beiden Fällen müssen Sie den Vorfall unverzüglich Ihrem Systemadministrator melden.

WICHTIG!!!

Versuchen Sie nicht, über die von ihm vermittelten Kontakte selbst mit dem Angreifer zu verhandeln! Im besten Fall ist dies nutzlos, im schlimmsten Fall kann es den Lösegeldbetrag für die Entschlüsselung erhöhen.

Wie kann eine Infektion verhindert oder ihre Folgen minimiert werden?

1. Öffnen Sie keine verdächtigen E-Mails, insbesondere solche mit Anhängen (siehe unten, wie Sie solche E-Mails erkennen).
2. Klicken Sie nicht auf verdächtige Links auf Websites oder in gesendeten E-Mails.
3. Laden Sie keine Programme von nicht vertrauenswürdigen Quellen herunter oder installieren Sie sie nicht (Seiten mit gehackter Software, Torrent-Tracker).
4. Sichern Sie immer wichtige Dateien. Die beste Option speichert Sicherungskopien auf einem anderen Medium, das nicht mit dem PC verbunden ist (Flash-Laufwerk, externes Laufwerk, DVD) oder in der Cloud (zum Beispiel Yandex.Disk). Oftmals verschlüsselt der Virus auch Archivdateien (zip, rar, 7z), sodass es keinen Sinn macht, Sicherungskopien auf demselben PC zu speichern, auf dem auch die Originaldateien gespeichert sind.

Wie erkennt man eine bösartige E-Mail?

2. Das Schreiben enthält Informationen, die sich nicht auf unser Land, unsere Region oder den Umfang unseres Unternehmens beziehen. Zum Beispiel eine Verpflichtung zur Rückzahlung einer Schuld bei einer in der Russischen Föderation registrierten Bank.

3. Oft wird ein böswilliger Brief als vermeintliche Antwort auf einen Brief von Ihnen dargestellt. Am Anfang des Betreffs eines solchen Briefes steht die Kombination „Betreff:“. Zum Beispiel „Betreff: Rechnung zur Zahlung“, obwohl Sie sicher wissen, dass Sie keine Briefe an diese Adresse gesendet haben.

4. Der Brief stammt angeblich von einem namhaften Unternehmen, doch die Absenderadresse enthält bedeutungslose Folgen aus Buchstaben, Wörtern, Zahlen und fremden Domains, die nichts mit den offiziellen Adressen des im Brieftext genannten Unternehmens zu tun haben.

5. Das Feld „An“ enthält einen unbekannten Namen (nicht Ihr Postfach), eine Reihe inkohärenter Zeichen oder einen doppelten Namen Briefkasten Absender.

6. Im Text des Briefes wird der Empfänger unter verschiedenen Vorwänden aufgefordert, persönliche oder offizielle Informationen anzugeben oder zu bestätigen, eine Datei herunterzuladen oder einem Link zu folgen und gleichzeitig auf die Dringlichkeit oder etwaige Sanktionen bei Nichtbeachtung hinzuweisen Anweisungen, die im Brief angegeben sind.

7. Das dem Brief beigefügte Archiv enthält Dateien mit der Erweiterung *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Auch die Maskierung bösartiger Erweiterungen wird sehr häufig eingesetzt. Beispielsweise ist im Dateinamen „Debitorenbuchhaltung.doc.js“ *.doc eine falsche Erweiterung, die keinerlei Funktionalität bietet, und *.js die tatsächliche Erweiterung der Virendatei.

8. Wenn der Brief von einem bekannten Absender stammt, der Schreibstil und die Lesekompetenz jedoch sehr unterschiedlich sind, ist dies ebenfalls ein Grund zur Vorsicht. Sowie untypische Inhalte – zum Beispiel erhielt ein Kunde eine Aufforderung zur Zahlung einer Rechnung. In diesem Fall ist es besser, den Absender über einen anderen Kommunikationskanal (Telefon, Skype) zu kontaktieren, da die Wahrscheinlichkeit hoch ist, dass sein PC gehackt oder mit einem Virus infiziert wurde.

Beispiel einer bösartigen E-Mail

Neu Schadsoftware Die Ransomware WannaCry (die auch eine Reihe anderer Namen hat – WannaCry Decryptor, WannaCrypt, WCry und WanaCrypt0r 2.0) machte sich am 12. Mai 2017 weltweit bekannt, als Dateien auf Computern in mehreren Gesundheitseinrichtungen im Vereinigten Königreich verschlüsselt wurden. Wie sich bald herausstellte, befanden sich Unternehmen in Dutzenden Ländern in einer ähnlichen Situation, wobei Russland, die Ukraine, Indien und Taiwan am meisten darunter litten. Nach Angaben von Kaspersky Lab wurde das Virus allein am ersten Tag des Angriffs in 74 Ländern entdeckt.

Warum ist WannaCry gefährlich? Der Virus verschlüsselt Dateien verschiedene Arten(Bei Erhalt der Erweiterung .WCRY werden die Dateien völlig unlesbar) und verlangt dann ein Lösegeld von 600 US-Dollar für die Entschlüsselung. Um den Geldtransfervorgang zu beschleunigen, wird der Benutzer dadurch eingeschüchtert, dass sich der Lösegeldbetrag in drei Tagen erhöht, und Nach sieben Tagen sind die Dateien nicht mehr entschlüsselbar.

Bei Computern, die auf Betriebssystemen basieren, besteht die Gefahr, dass sie mit dem WannaCry-Ransomware-Virus infiziert werden. Windows-Systeme. Wenn Sie verwenden lizenzierte Versionen Wenn Sie Windows installieren und Ihr System regelmäßig aktualisieren, müssen Sie sich keine Sorgen machen, dass auf diese Weise ein Virus in Ihr System eindringt.

Benutzer von MacOS, ChromeOS und Linux sowie mobilen Betriebssystemen iOS-Systeme und Android WannaCry-Angriffe Es besteht überhaupt kein Grund, Angst zu haben.

Was tun, wenn Sie Opfer von WannaCry werden?

Die britische National Crime Agency (NCA) empfiehlt kleinen Unternehmen, die Opfer von Ransomware geworden sind und sich Sorgen über die Online-Verbreitung des Virus machen, die folgenden Maßnahmen zu ergreifen:

• Isolieren Sie Ihren Computer, Laptop oder Tablet sofort von Ihrem Unternehmens-/internen Netzwerk. Schalten Sie WLAN aus.
• Fahrer wechseln.
• Ohne Verbindung zu Wi-Fi-Netzwerke, verbinden Sie Ihren Computer direkt mit dem Internet.
• Aktualisieren Sie Ihr Betriebssystem und alle andere Software.
• Aktualisieren Sie Ihre Antivirensoftware und führen Sie sie aus.
• Stellen Sie die Verbindung zum Netzwerk wieder her.
• Monitor Netzwerkverkehr und/oder führen Sie einen Virenscan durch, um sicherzustellen, dass die Ransomware verschwunden ist.

Wichtig!

Mit dem WannaCry-Virus verschlüsselte Dateien können nur von Angreifern entschlüsselt werden. Verschwenden Sie also nicht Ihre Zeit und Ihr Geld mit den „IT-Genies“, die versprechen, Ihnen diese Kopfschmerzen zu ersparen.

Lohnt es sich, Geld an Angreifer zu zahlen?

Die ersten Fragen von Benutzern, die mit dem neuen WannaCry-Ransomware-Virus konfrontiert sind, lauten: wie man Dateien wiederherstellt und wie man einen Virus entfernt. Ich finde keine kostenlosen und effektive Wege Entscheidungen stehen sie vor der Wahl: Dem Erpresser Geld zahlen oder nicht? Da Benutzer oft etwas zu verlieren haben (persönliche Dokumente und Fotoarchive werden auf dem Computer gespeichert), entsteht wirklich der Wunsch, das Problem mit Geld zu lösen.

Aber die NCA drängt dringend darauf NichtGeld bezahlen. Wenn Sie sich dazu entschließen, beachten Sie Folgendes:

• Erstens gibt es keine Garantie dafür, dass Sie Zugriff auf Ihre Daten erhalten.
• Zweitens kann es sein, dass Ihr Computer auch nach der Zahlung noch mit einem Virus infiziert ist.
• Drittens werden Sie Ihr Geld höchstwahrscheinlich einfach an Cyberkriminelle weitergeben.

Wie schützt man sich vor WannaCry?

Vyacheslav Belashov, Leiter der Abteilung für die Implementierung von Informationssicherheitssystemen bei SKB Kontur, erklärt, welche Maßnahmen zu ergreifen sind, um eine Infektion mit dem Virus zu verhindern:

Die Besonderheit des WannaCry-Virus besteht darin, dass er im Gegensatz zu anderen Verschlüsselungsviren ohne menschliches Eingreifen in das System eindringen kann. Bisher war es für die Wirkung des Virus notwendig, dass der Benutzer unaufmerksam war – einem zweifelhaften Link aus einer E-Mail folgte, die eigentlich nicht für ihn bestimmt war, oder einen schädlichen Anhang herunterlud. Im Fall von WannaCry wird eine Schwachstelle ausgenutzt, die direkt im Betriebssystem selbst vorhanden ist. Daher Computer an Windows-basiert, auf dem die Updates vom 14. März 2017 nicht installiert waren. Eine infizierte Workstation von der lokales Netzwerk damit sich der Virus auf andere mit bestehenden Schwachstellen ausbreitet.

Vom Virus betroffene Benutzer haben natürlich vor allem eine Frage: Wie können ihre Informationen entschlüsselt werden? Eine garantierte Lösung gibt es leider noch nicht und ist auch nicht absehbar. Auch nach Zahlung des angegebenen Betrages ist das Problem nicht gelöst. Darüber hinaus kann die Situation dadurch verschärft werden, dass eine Person in der Hoffnung, ihre Daten wiederherzustellen, das Risiko eingeht, vermeintlich „kostenlose“ Entschlüsselungsprogramme zu verwenden, bei denen es sich in Wirklichkeit ebenfalls um schädliche Dateien handelt. Daher ist der wichtigste Rat, der gegeben werden kann, vorsichtig zu sein und alles zu tun, um eine solche Situation zu vermeiden.

Was genau kann und sollte im Moment getan werden:

1. Installieren Sie die neuesten Updates.

Dies gilt nicht nur Betriebssysteme, aber auch Antiviren-Schutztools. Informationen zu Windows-Update herausgefunden werden kann.

2. Erstellen Sie Sicherungskopien wichtiger Informationen.

3. Seien Sie vorsichtig, wenn Sie mit E-Mails und dem Internet arbeiten.

Sie müssen auf eingehende E-Mails mit zweifelhaften Links und Anhängen achten. Um mit dem Internet zu arbeiten, wird empfohlen, Plugins zu verwenden, mit denen Sie unnötige Werbung und Links zu potenziell schädlichen Quellen entfernen können.