Tā turpina savu nomācošo gājienu pa internetu, inficējot datorus un šifrējot svarīgus datus. Kā pasargāt sevi no izspiedējvīrusa, aizsargāt Windows no izspiedējvīrusa — vai ir izdoti ielāpi failu atšifrēšanai un dezinficēšanai?

Jauns ransomware vīruss 2017 Wanna Cry turpina inficēt korporatīvos un privātos datorus. U Vīrusu uzbrukuma radītie zaudējumi ir USD 1 miljards. 2 nedēļu laikā izspiedējvīruss inficējās vismaz 300 tūkstoši datoru, neskatoties uz brīdinājumiem un drošības pasākumiem.

Ransomware vīruss 2017, kas tas ir?- parasti jūs varat “paņemt” šķietami nekaitīgākajās vietnēs, piemēram, banku serveros ar lietotāja piekļuvi. Nokļūstot upura cietajā diskā, izspiedējprogrammatūra “nokārtojas” sistēmas mapē System32. No turienes programma nekavējoties atspējo pretvīrusu un ieiet "Autorun"" Pēc katras atsāknēšanas izspiedējvīrusa programma iekļūst reģistrā, uzsākot savu melno darbu. Izpirkuma programmatūra sāk lejupielādēt līdzīgas tādu programmu kopijas kā Ransom un Trojan. Tā arī bieži notiek ransomware pašreplicēšana. Šis process var būt īslaicīgs vai var ilgt nedēļas, līdz cietušais pamana, ka kaut kas nav kārtībā.

Izpirkuma programmatūra bieži maskējas kā parastie attēli vai teksta faili, bet būtība vienmēr ir viena un tā pati - šis ir izpildāms fails ar paplašinājumu .exe, .drv, .xvd; Dažreiz - bibliotēkas.dll. Visbiežāk failam ir pilnīgi nekaitīgs nosaukums, piemēram, “ dokumentu. doc", vai" attēls.jpg", kur paplašinājums tiek rakstīts manuāli, un patiesais faila tips ir paslēpts.

Kad šifrēšana ir pabeigta, lietotājam pazīstamo failu vietā nosaukumā un iekšpusē tiek parādīta “izlases” rakstzīmju kopa, un paplašinājums tiek mainīts uz iepriekš nezināmu - .NO_MORE_RANSOM, .xdata un citi.

Wanna Cry ransomware virus 2017 – kā pasargāt sevi. Uzreiz gribu atzīmēt, ka Wanna Cry drīzāk ir kolektīvs termins visiem šifrēšanas un izspiedējvīrusiem, jo ​​pēdējā laikā tas visbiežāk ir inficējis datorus. Tātad, mēs runāsim par Aizsargājiet sevi no Ransom Ware izpirkuma programmatūras, kuru ir ļoti daudz: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Kā aizsargāt Windows no izspiedējvīrusa. – EternalBlue, izmantojot SMB porta protokolu.

Windows aizsardzība pret ransomware 2017 — pamatnoteikumi:

• Windows atjaunināšana, savlaicīga pāreja uz licencētu OS (piezīme: XP versija netiek atjaunināta)
• pretvīrusu datubāzu un ugunsmūru atjaunināšana pēc pieprasījuma
• ļoti piesardzīgi, lejupielādējot failus (jaukas "plombiņas" var izraisīt visu datu zudumu)
• dublējums svarīga informācija uz noņemamiem datu nesējiem.

Ransomware vīruss 2017: kā dezinficēt un atšifrēt failus.

Paļaujoties uz pretvīrusu programmatūru, varat kādu laiku aizmirst par atšifrētāju. Laboratorijās Kasperskis, Dr. Tīmeklis, Avast! un citi antivīrusi pagaidām netika atrasts risinājums inficēto failu apstrādei. Ieslēgts Šis brīdis Ir iespējams noņemt vīrusu, izmantojot antivīrusu, taču pagaidām nav algoritmu, kas visu atgrieztu “normālā stāvoklī”.

Daži mēģina izmantot atšifrētājus, piemēram, utilītu RectorDecryptor, bet tas nepalīdzēs: vēl nav sastādīts algoritms jaunu vīrusu atšifrēšanai. Tāpat absolūti nav zināms, kā vīruss uzvedīsies, ja pēc šādu programmu izmantošanas tas netiks noņemts. Bieži vien tas var beigties ar visu failu dzēšanu – kā brīdinājumu tiem, kas nevēlas maksāt uzbrucējiem, vīrusa autoriem.

Šobrīd visefektīvākais veids, kā atgūt zaudētos datus, ir sazināties ar tehnisko atbalstu. piegādātāja atbalsts pretvīrusu programma kuru lietojat. Lai to izdarītu, nosūtiet vēstuli vai izmantojiet veidlapu uz atsauksmes ražotāja vietnē. Noteikti pievienojiet pielikumam šifrēto failu un, ja pieejams, oriģināla kopiju. Tas palīdzēs programmētājiem izveidot algoritmu. Diemžēl daudziem vīrusu uzbrukums nāk kā pilnīgs pārsteigums, un kopijas netiek atrastas, kas situāciju krietni sarežģī.

Sirds metodes Windows ārstēšanai no izspiedējvīrusa. Diemžēl dažreiz jums ir jāizmanto pilnīga cietā diska formatēšana, kas nozīmē pilnīgu OS maiņu. Daudzi domās par sistēmas atjaunošanu, taču tā nav iespēja - pat “atcelšana” atbrīvos no vīrusa, taču faili joprojām paliks šifrēti.

Apmēram pirms nedēļas vai divām internetā parādījās kārtējais mūsdienu vīrusu veidotāju uzlauzums, kas šifrē visus lietotāja failus. Vēlreiz izskatīšu jautājumu par to, kā izārstēt datoru pēc izspiedējvīrusa šifrēts000007 un atgūt šifrētos failus. Šajā gadījumā nekas jauns vai unikāls nav parādījies, tikai iepriekšējās versijas modifikācija.

Garantēta atšifrēšana faili pēc izspiedējvīrusa - dr-shifro.ru. Sīkāka informācija par darbu un mijiedarbības ar klientu shēmu ir manā rakstā vai tīmekļa vietnes sadaļā “Darba procedūra”.

CRYPTED000007 izspiedējvīrusa apraksts

Šifrētājs CRYPTED000007 būtiski neatšķiras no tā priekšgājējiem. Tas darbojas gandrīz tieši tāpat. Bet tomēr ir vairākas nianses, kas to atšķir. Es jums pastāstīšu par visu kārtībā.

Tas, tāpat kā tā analogi, tiek piegādāts pa pastu. Izmantotās metodes sociālā inženierija lai lietotājs noteikti interesētos par vēstuli un to atvērtu. Manā gadījumā vēstulē bija runa par kaut kādu tiesu un svarīgu informāciju par lietu pielikumā. Pēc pielikuma palaišanas lietotājs atver Word dokumentu ar izrakstu no Maskavas šķīrējtiesas.

Paralēli dokumenta atvēršanai sākas failu šifrēšana. Sāk visu laiku parādīties Paziņojums no Windows lietotāja konta kontroles.

Ja jūs piekrītat priekšlikumam, tad dublējumkopijas faili ēnā Windows kopijas tiks dzēsti un informācijas atgūšana būs ļoti sarežģīta. Ir skaidrs, ka jūs nekādā gadījumā nevarat piekrist priekšlikumam. Šajā šifrētājā šie pieprasījumi parādās pastāvīgi, viens pēc otra un neapstājas, liekot lietotājam piekrist un dzēst rezerves kopijas. Šī ir galvenā atšķirība no iepriekšējām šifrētāju modifikācijām. Es nekad neesmu saskāries ar pieprasījumiem dzēst ēnu kopijas bez apstāšanās. Parasti pēc 5-10 piedāvājumiem viņi apstājās.

Nekavējoties sniegšu ieteikumu nākotnei. Ļoti bieži cilvēki atspējo brīdinājumus par lietotāja konta kontroli. Tas nav jādara. Šis mehānisms var patiešām palīdzēt pretoties vīrusiem. Otrs acīmredzamais padoms ir nepārtraukti nedarboties konts datora administrators, ja vien pēc tā nav objektīvas nepieciešamības. Šajā gadījumā vīrusam nebūs iespējas nodarīt lielu ļaunumu. Jums būs lielākas iespējas viņam pretoties.

Bet pat tad, ja jūs vienmēr esat atbildējis negatīvi uz izspiedējvīrusa pieprasījumiem, visi jūsu dati jau ir šifrēti. Kad šifrēšanas process būs pabeigts, darbvirsmā redzēsit attēlu.

Tajā pašā laikā jūsu darbvirsmā būs daudz teksta failu ar tādu pašu saturu.

Jūsu faili ir šifrēti. Lai atšifrētu ux, jums ir jānosūta kods: 329D54752553ED978F94|0 uz e-pasta adresi [aizsargāts ar e-pastu]. Tālāk jūs saņemsit visus nepieciešamos norādījumus. Mēģinājumi pašiem atšifrēt neko citu kā vien neatsaucamu informācijas daudzumu nenovedīs. Ja joprojām vēlaties mēģināt, vispirms izveidojiet failu dublējumkopijas, pretējā gadījumā izmaiņu gadījumā atšifrēšana nekādā gadījumā kļūs neiespējama. Ja 48 stundu laikā neesat saņēmis paziņojumu uz augstāk norādīto adresi (tikai šajā gadījumā!), izmantojiet saziņas formu. To var izdarīt divos veidos: 1) Lejupielādēt un instalēt Tor pārlūks izmantojot saiti: https://www.torproject.org/download/download-easy.html.en Tor pārlūkprogrammas adreses lodziņā ievadiet adresi: http://cryptsen7fo43rr6.onion/ un nospiediet taustiņu Enter. Tiks ielādēta lapa ar saziņas veidlapu. 2) Jebkurā pārlūkprogrammā dodieties uz vienu no adresēm: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Visi svarīgie faili jūsu datorā tika šifrēti. Lai atšifrētu failus, uz e-pasta adresi jānosūta šāds kods: 329D54752553ED978F94|0 [aizsargāts ar e-pastu]. Pēc tam jūs saņemsit visus nepieciešamos norādījumus. Visi mēģinājumi pašam veikt atšifrēšanu radīs tikai neatgriezenisku datu zudumu. Ja joprojām vēlaties mēģināt tos atšifrēt pats, lūdzu, vispirms izveidojiet dublējumu, jo atšifrēšana kļūs neiespējama, ja failos tiks veiktas izmaiņas. Ja atbildi no iepriekš minētā e-pasta nesaņēmāt ilgāk par 48 stundām (un tikai šajā gadījumā!), izmantojiet atsauksmju veidlapu. To var izdarīt divos veidos: 1) Lejupielādējiet Tor pārlūkprogrammu no šejienes: https://www.torproject.org/download/download-easy.html.en Instalējiet to un ierakstiet adreses joslā šādu adresi: http:/ /cryptsen7fo43rr6.onion/ Nospiediet Enter, un pēc tam tiks ielādēta lapa ar atsauksmju veidlapu. 2) Jebkurā pārlūkprogrammā dodieties uz vienu no šīm adresēm: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Pasta adrese var mainīties. Uzgāju arī šādas adreses:

• [aizsargāts ar e-pastu]
• [aizsargāts ar e-pastu]

Adreses tiek pastāvīgi atjauninātas, tāpēc tās var būt pilnīgi atšķirīgas.

Tiklīdz atklājat, ka jūsu faili ir šifrēti, nekavējoties izslēdziet datoru. Tas jādara, lai pārtrauktu šifrēšanas procesu, kā norādīts lokālais dators, un tīkla diskos. Šifrēšanas vīruss var šifrēt visu informāciju, ko tas var sasniegt, tostarp tīkla diskos. Bet, ja tur ir liels informācijas apjoms, tad tas viņam prasīs ievērojamu laiku. Dažreiz pat pāris stundu laikā kriptogrāfam nebija laika visu šifrēt tīkla disks aptuveni 100 gigabaiti.

Tālāk jums rūpīgi jāpārdomā, kā rīkoties. Ja jums par katru cenu nepieciešama informācija datorā un jums nav rezerves kopiju, tad šajā brīdī labāk vērsties pie speciālistiem. Ne vienmēr par naudu dažiem uzņēmumiem. Jums vienkārši vajag kādu, kas ir labs Informācijas sistēmas. Nepieciešams novērtēt katastrofas apmērus, likvidēt vīrusu un apkopot visu pieejamo informāciju par situāciju, lai saprastu, kā rīkoties.

Nepareizas darbības uz šajā posmā var ievērojami sarežģīt failu atšifrēšanas vai atjaunošanas procesu. Sliktākajā gadījumā viņi to var padarīt neiespējamu. Tāpēc veltiet laiku, esiet uzmanīgi un konsekventi.

Kā CRYPTED000007 izspiedējvīruss šifrē failus

Pēc vīrusa palaišanas un darbības pabeigšanas visi noderīgie faili tiks šifrēti, pārdēvēti no paplašinājums.crypted000007. Turklāt tiks aizstāts ne tikai faila paplašinājums, bet arī faila nosaukums, tāpēc jūs precīzi nezināt, kādi faili jums bija, ja neatceraties. Tas izskatīsies apmēram šādi.

Šādā situācijā būs grūti novērtēt traģēdijas mērogu, jo jūs nevarēsit pilnībā atcerēties to, kas jums bija jūsu dzīvē. dažādas mapes. Tas tika darīts īpaši, lai mulsinātu cilvēkus un mudinātu viņus maksāt par failu atšifrēšanu.

Un, ja jums būtu šifrēts un tīkla mapes un nē pilnas dublējumkopijas, tad tas var pilnībā apturēt visas organizācijas darbu. Jums būs vajadzīgs laiks, lai noskaidrotu, kas galu galā tika zaudēts, lai sāktu restaurāciju.

Kā apstrādāt datoru un noņemt CRYPTED000007 izspiedējvīrusu

CRYPTED000007 vīruss jau ir jūsu datorā. Pirmais un svarīgākais jautājums ir, kā dezinficēt datoru un kā no tā noņemt vīrusu, lai novērstu turpmāku šifrēšanu, ja tā vēl nav pabeigta. Es vēlos nekavējoties vērst jūsu uzmanību uz to, ka pēc tam, kad jūs pats sākat veikt dažas darbības ar datoru, datu atšifrēšanas iespējas samazinās. Ja par katru cenu nepieciešams atgūt failus, nepieskarieties datoram, bet nekavējoties sazinieties ar speciālistiem. Tālāk es runāšu par tiem un sniegšu saiti uz vietni un aprakstīšu, kā tie darbojas.

Tikmēr mēs turpināsim patstāvīgi apstrādāt datoru un noņemt vīrusu. Tradicionāli izspiedējvīrusu var viegli noņemt no datora, jo vīrusam nav uzdevums palikt datorā par katru cenu. Pēc pilnīga šifrēšana failus, viņam vēl izdevīgāk ir izdzēst sevi un pazust, lai būtu grūtāk izmeklēt incidentu un atšifrēt failus.

Grūti aprakstīt, kā manuāli noņemt vīrusu, lai gan esmu mēģinājis to darīt arī iepriekš, bet redzu, ka visbiežāk tas ir bezjēdzīgi. Failu nosaukumi un vīrusu izvietošanas ceļi pastāvīgi mainās. Redzētais pēc nedēļas vai divām vairs nav aktuāls. Parasti vīrusi pa pastu tiek sūtīti viļņveidīgi, un katru reizi parādās kāda jauna modifikācija, kuru antivīrusi vēl neatklāj. Palīdz universāli rīki, kas pārbauda startēšanu un nosaka aizdomīgas darbības sistēmas mapēs.

Lai noņemtu CRYPTED000007 vīrusu, varat izmantot šādas programmas:

1. Kaspersky vīruss Noņemšanas rīks- Kaspersky utilīta http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - līdzīgs produkts no cita tīmekļa http://free.drweb.ru/cureit.
3. Ja pirmās divas utilītas nepalīdz, izmēģiniet MALWAREBYTES 3.0 — https://ru.malwarebytes.com.

Visticamāk, kāds no šiem produktiem notīrīs jūsu datoru no CRYPTED000007 izspiedējvīrusa. Ja pēkšņi tie nepalīdz, mēģiniet manuāli noņemt vīrusu. Es sniedzu noņemšanas metodes piemēru, un jūs to varat redzēt tur. Īsumā, soli pa solim, jums jārīkojas šādi:

1. Mēs skatāmies uz procesu sarakstu pēc vairāku papildu kolonnu pievienošanas uzdevumu pārvaldniekam.
2. Mēs atrodam vīrusa procesu, atveram mapi, kurā tas atrodas, un izdzēšam to.
3. Mēs notīrām vīrusa procesa pieminēšanu pēc faila nosaukuma reģistrā.
4. Mēs pārstartējam un pārliecināmies, ka CRYPTED000007 vīruss nav darbojošos procesu sarakstā.

Kur lejupielādēt atšifrētāju CRYPTED000007

Jautājums par vienkāršu un uzticamu atšifrētāju vispirms rodas, kad runa ir par izspiedējvīrusu. Pirmā lieta, ko iesaku, ir izmantot pakalpojumu https://www.nomoreransom.org. Ko darīt, ja jums ir paveicies un viņiem ir atšifrētājs jūsu CRYPTED000007 šifrētāja versijai. Es uzreiz teikšu, ka jums nav daudz iespēju, bet mēģinājums nav spīdzināšana. Ieslēgts mājas lapa noklikšķiniet uz Jā:

Pēc tam lejupielādējiet dažus šifrētus failus un noklikšķiniet uz Go! Noskaidrot:

Rakstīšanas laikā vietnē nebija atšifrētāja.

Varbūt jums veiksies labāk. Varat arī skatīt lejupielādes atšifrētāju sarakstu atsevišķā lapā - https://www.nomoreransom.org/decryption-tools.html. Varbūt tur ir kaut kas noderīgs. Kad vīruss ir pilnīgi svaigs, ir maza iespēja, ka tas notiks, taču laika gaitā kaut kas var parādīties. Ir piemēri, kad dažu šifrētāju modifikāciju atšifrētāji parādījās internetā. Un šie piemēri ir norādītajā lapā.

Es nezinu, kur vēl jūs varat atrast dekodētāju. Maz ticams, ka tas patiešām pastāvēs, ņemot vērā mūsdienu šifrētāju darba īpatnības. Pilnvērtīgs atšifrētājs var būt tikai vīrusa autoriem.

Kā atšifrēt un atgūt failus pēc CRYPTED000007 vīrusa

Ko darīt, ja vīruss CRYPTED000007 ir šifrējis jūsu failus? Šifrēšanas tehniskā realizācija neļauj atšifrēt failus bez atslēgas vai atšifrētāja, kas ir tikai šifrētāja autoram. Varbūt ir kāds cits veids, kā to iegūt, bet man nav tādas informācijas. Mēs varam tikai mēģināt atgūt failus, izmantojot improvizētas metodes. Tie ietver:

• Rīks ēnu kopijas logi.
• Izdzēstas datu atkopšanas programmas

Vispirms pārbaudīsim, vai mums ir iespējotas ēnu kopijas. Šis rīks darbojas pēc noklusējuma operētājsistēmā Windows 7 un jaunākās versijās, ja vien to manuāli neatspējojat. Lai pārbaudītu, atveriet datora rekvizītus un dodieties uz sistēmas aizsardzības sadaļu.

Ja inficēšanās laikā neapstiprinājāt UAC pieprasījumu dzēst failus ēnu kopijās, tad dažiem datiem vajadzētu palikt tur. Sīkāk par šo pieprasījumu runāju stāsta sākumā, kad runāju par vīrusa darbību.

Lai viegli atjaunotu failus no ēnu kopijām, iesaku izmantot bezmaksas programmašim nolūkam - ShadowExplorer. Lejupielādējiet arhīvu, izpakojiet programmu un palaidiet to.

Tiks atvērta jaunākā failu kopija un diska C sakne. Augšējā kreisajā stūrī varat atlasīt rezerves kopiju, ja jums ir vairākas no tām. Pārbaudiet nepieciešamos failu dažādās kopijas. Salīdziniet jaunāko versiju pēc datuma. Tālāk esošajā piemērā es savā darbvirsmā atradu 2 failus no pirms trim mēnešiem, kad tie tika pēdējoreiz rediģēti.

Man izdevās atgūt šos failus. Lai to izdarītu, es tos atlasīju, ar peles labo pogu noklikšķināju, atlasīju Eksportēt un norādīju mapi, kur tās atjaunot.

Varat nekavējoties atjaunot mapes, izmantojot to pašu principu. Ja darbojās ēnu kopijas un tās neizdzēsāt, jums ir labas izredzes atgūt visus vai gandrīz visus vīrusa šifrētos failus. Varbūt daži no tiem būs vairāk vecā versija, nekā mēs vēlētos, bet tomēr tas ir labāk nekā nekas.

Ja kāda iemesla dēļ jums nav failu ēnu kopiju, jūsu vienīgā iespēja iegūt vismaz kaut ko no šifrētajiem failiem ir tos atjaunot, izmantojot atkopšanas rīkus. izdzēstos failus. Lai to izdarītu, iesaku izmantot bezmaksas programmu Photorec.

Palaidiet programmu un atlasiet disku, kurā atjaunosiet failus. Palaižot programmas grafisko versiju, tiek izpildīts fails qphotorec_win.exe. Jāizvēlas mape, kurā tiks ievietoti atrastie faili. Labāk, ja šī mape neatrodas tajā pašā diskā, kurā mēs meklējam. Pievienojiet zibatmiņas disku vai ārējais ciets disks šim nolūkam.

Meklēšanas process prasīs ilgu laiku. Beigās jūs redzēsit statistiku. Tagad varat doties uz iepriekš norādīto mapi un redzēt, kas tur ir atrasts. Visticamāk, failu būs daudz, un lielākā daļa no tiem būs vai nu bojāti, vai arī tie būs kaut kāda sistēma un bezjēdzīgi faili. Tomēr šajā sarakstā var atrast dažus noderīgus failus. Šeit nav nekādu garantiju, tas, ko jūs atradīsiet, ir tas, ko jūs atradīsit. Attēli parasti tiek atjaunoti vislabāk.

Ja rezultāts jūs neapmierina, tad ir arī programmas izdzēsto failu atkopšanai. Tālāk ir sniegts to programmu saraksts, kuras es parasti izmantoju, kad jāatkopj maksimālais failu skaits:

• R.saver
• Starus Failu atkopšana
• JPEG Recovery Pro
• Aktīvās failu atkopšanas profesionālis

Šīs programmas nav bezmaksas, tāpēc saites nesniegšu. Ja ļoti vēlaties, varat tos atrast pats internetā.

Viss failu atkopšanas process ir detalizēti parādīts videoklipā raksta beigās.

Kaspersky, eset nod32 un citi cīņā pret Filecoder.ED šifrētāju

Populāri antivīrusi atklāj izspiedējvīrusu CRYPTED000007 kā Filecoder.ED un tad var būt kāds cits apzīmējums. Pārskatīju lielākos antivīrusu forumus un neko noderīgu tur neredzēju. Diemžēl, kā parasti, pretvīrusu programmatūra izrādījās nesagatavota jauna izspiedējvīrusu viļņa iebrukumam. Šeit ir ziņa no Kaspersky foruma.

Antivīrusi tradicionāli palaiž garām jaunas izspiedējvīrusu Trojas zirgu modifikācijas. Tomēr es iesaku tos izmantot. Ja jums paveicas un saņemat ransomware e-pastu nevis pirmajā infekciju vilnī, bet nedaudz vēlāk, pastāv iespēja, ka antivīruss jums palīdzēs. Viņi visi strādā vienu soli aiz uzbrucējiem. Izrādās jauna versija ransomware, antivīrusi uz to nereaģē. Tiklīdz tiek uzkrāts zināms daudzums materiāla izpētei par jaunu vīrusu, pretvīrusu programmatūra izlaiž atjauninājumu un sāk uz to reaģēt.

Es nesaprotu, kas neļauj antivīrusiem nekavējoties reaģēt uz jebkuru sistēmas šifrēšanas procesu. Iespējams, šajā tēmā ir kāda tehniska nianse, kas neļauj mums adekvāti reaģēt un novērst lietotāju failu šifrēšanu. Man šķiet, ka varētu vismaz parādīt brīdinājumu par to, ka kāds šifrē jūsu failus, un piedāvāt procesu apturēt.

Kur meklēt garantētu atšifrēšanu

Man gadījās satikt vienu uzņēmumu, kas faktiski atšifrē datus pēc dažādu šifrēšanas vīrusu, tostarp CRYPTED000007, darba. Viņu adrese ir http://www.dr-shifro.ru. Maksājums tikai pēc pilnīgas atšifrēšanas un jūsu verifikācijas. Šeit ir aptuvenā darba shēma:

1. Uzņēmuma speciālists ierodas jūsu birojā vai mājās un paraksta ar jums līgumu, kurā ir noteiktas darba izmaksas.
2. Palaiž atšifrētāju un atšifrē visus failus.
3. Pārliecinies, ka visi faili ir atvērti, un paraksti izpildīto darbu nodošanas/pieņemšanas aktu.
4. Maksājums tiek veikts tikai pēc veiksmīgiem atšifrēšanas rezultātiem.

Teikšu godīgi, es nezinu, kā viņi to dara, bet tu ne ar ko neriskē. Samaksa tikai pēc dekodera darbības demonstrēšanas. Lūdzu, uzrakstiet atsauksmi par savu pieredzi ar šo uzņēmumu.

Aizsardzības metodes pret CRYPTED000007 vīrusu

Kā pasargāt sevi no izspiedējvīrusa un izvairīties no materiāla un morāla kaitējuma? Ir daži vienkārši un efektīvi padomi:

1. Dublējums! Visu svarīgo datu dublējums. Un ne tikai dublējums, bet rezerves kopija, kurai nav pastāvīga piekļuve. Pretējā gadījumā vīruss var inficēt gan jūsu dokumentus, gan rezerves kopijas.
2. Licencēts antivīruss. Lai gan tie nesniedz 100% garantiju, tie palielina iespēju izvairīties no šifrēšanas. Viņi visbiežāk nav gatavi jaunām šifrētāja versijām, bet pēc 3-4 dienām sāk reaģēt. Tas palielina jūsu izredzes izvairīties no inficēšanās, ja neesat iekļauts izpirkuma programmatūras jaunās modifikācijas pirmajā izplatīšanas vilnī.
3. Neatveriet aizdomīgus pasta pielikumus. Šeit nav ko komentēt. Visas man zināmās izpirkuma programmas sasniedza lietotājus pa e-pastu. Turklāt katru reizi tiek izdomāti jauni triki upura maldināšanai.
4. Neapdomīgi neatveriet saites, kuras jums nosūtījuši jūsu draugi, izmantojot sociālie mēdiji vai ziņneši. Tā dažreiz izplatās arī vīrusi.
5. Ieslēdz logu displejs failu paplašinājumi. Kā to izdarīt, ir viegli atrast internetā. Tas ļaus jums pamanīt vīrusa faila paplašinājumu. Visbiežāk tā būs .exe, .vbs, .src. Ikdienas darbā ar dokumentiem, visticamāk, nesastapsies ar šādiem failu paplašinājumiem.

Iepriekš jau rakstīto mēģināju papildināt katrā rakstā par izspiedējvīrusu. Pa to laiku es atvados. Priecāšos saņemt noderīgus komentārus par rakstu un CRYPTED000007 ransomware vīrusu kopumā.

Video par failu atšifrēšanu un atkopšanu

Šeit ir piemērs iepriekšējai vīrusa modifikācijai, bet video ir pilnībā atbilstošs CRYPTED000007.

Šī rokasgrāmata nav paredzēta tehniskajiem speciālistiem, tāpēc:

1. dažu terminu definīcijas ir vienkāršotas;
2. netiek ņemtas vērā tehniskās detaļas;
3. Sistēmas aizsardzības metodes (atjauninājumu instalēšana, drošības sistēmu konfigurēšana utt.) netiek ņemtas vērā.

Glosārijs

Šifrēšana ir datu pārveidošana formā, kas nav nolasāma bez šifrēšanas atslēgas.

Šifrēšanas atslēga— šī ir slepena informācija, ko izmanto failu šifrēšanai/atšifrēšanai.

Dekodētājs— programma, kas realizē atšifrēšanas algoritmu.

Algoritms- instrukciju kopums, kas apraksta izpildītāja darbību secību, lai sasniegtu noteiktu rezultātu.

Pasta pielikums- e-pastam pievienots fails.

Pagarinājums(faila nosaukuma paplašinājums) - rakstzīmju secība, kas pievienota faila nosaukumam un paredzēta faila veida identificēšanai (piemēram, *.doc, *.jpg). Atkarībā no failu veida to atvēršanai tiks izmantota īpaša programma. Piemēram, ja faila paplašinājums ir *.doc, tad tiks palaists MS Word, lai to atvērtu, ja *.jpg, tad tiks palaists attēlu skatītājs utt.

Saite(vai precīzāk, hipersaite) ir dokumenta tīmekļa lapas daļa, kas atsaucas uz citu elementu (komandu, tekstu, virsrakstu, piezīmi, attēlu) pašā dokumentā vai uz citu objektu (failu, direktoriju, lietojumprogrammu), kas atrodas lokālais disks vai datortīklā.

Teksta fails — datora fails, kas satur teksta datus.

Arhivēšana ir saspiešana, tas ir, faila lieluma samazināšana.

Rezerves kopija- fails vai failu grupa, kas izveidota informācijas dublēšanas rezultātā.

Dublējums- datu kopijas izveides process uz datu nesēja (cietais disks, disketes utt.), kas paredzēts datu atjaunošanai sākotnējā vai jaunā uzglabāšanas vietā bojājuma vai iznīcināšanas gadījumā.

Domēns(domēna vārds) - nosaukums, kas ļauj piekļūt interneta mezgliem un tajos esošajiem tīkla resursiem (vietnēm, e-pasta serveriem, citiem pakalpojumiem) cilvēkiem ērtā formā. Piemēram, 172.217.18.131 vietā ievadiet google.com.ua, kur ua, com, google ir dažāda līmeņa domēni.

Kas ir izspiedējvīruss?

Kādas ir šādu vīrusu briesmas?

Lielākajā daļā gadījumu pēc kodēšanas šifrētājs izdzēš sākotnējos failus, izmantojot īpašus algoritmus, kas novērš atkopšanas iespēju.

Vēl viena bīstama šāda veida vīrusu iezīme ir tā, ka diezgan bieži tie ir “neredzami” pretvīrusiem, jo Šifrēšanai izmantotie algoritmi tiek izmantoti arī daudzās legālās programmās (piemēram, klientbankā), tāpēc daudzas izspiedējvīrusu programmas neuztver kā ļaunprātīgu programmatūru.

Infekcijas ceļi.

Retāk inficēšanās notiek pēc uzlauztas programmatūras instalēšanas vai pēc noklikšķināšanas uz inficētas saites vietnē vai e-pasta ziņojumā.

Ir vērts paturēt prātā, ka ļoti bieži, inficējot vienu datoru tīklā, vīruss var izplatīties uz citām iekārtām, izmantojot Windows ievainojamības un/vai instalētās programmas.

Infekcijas pazīmes.

1. Ļoti bieži pēc vēstulei pievienotā faila palaišanas ir liela aktivitāte cietais disks, procesors ir noslogots līdz 100%, t.i. Dators sāk ļoti palēnināties.
2. Kādu laiku pēc vīrusa palaišanas dators pēkšņi tiek restartēts (vairumā gadījumu).
3. Pēc pārstartēšanas tas tiek atvērts teksta fails, kas informē, ka lietotāja faili ir šifrēti un norāda kontaktus saziņai ( E-pasts). Dažreiz tā vietā, lai atvērtu failu, darbvirsmas fonu aizstāj ar izpirkuma tekstu.
4. Lielākajai daļai lietotāju failu (dokumentu, fotoattēlu, datu bāzu) tiek piešķirts cits paplašinājums (piemēram, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl utt.) vai tie tiek pilnībā pārdēvēti un netiek pārdēvēti. atveriet programmu, pat ja maināt paplašinājumu. Dažreiz šifrēts HDD pilnībā. Šajā gadījumā Windows vispār netiek palaists, un gandrīz uzreiz pēc datora ieslēgšanas tiek parādīts izpirkuma ziņojums.
5. Dažreiz visi lietotāja faili tiek ievietoti vienā ar paroli aizsargātā arhīvā. Tas notiek, ja uzbrucējs ielaužas datorā un manuāli arhivē un dzēš failus. Tas ir, kad tiek palaists ļaunprātīgs fails no pasta pielikums lietotāju faili netiek šifrēti automātiski, taču notiek instalēšana programmatūra, ļaujot uzbrucējam slepeni izveidot savienojumu ar datoru, izmantojot internetu.

Ko darīt, ja infekcija jau ir notikusi?

1. Ja šifrēšanas process sākās jūsu klātbūtnē (dators ir ļoti lēns; ir atvērts teksta fails ar ziņojumu par šifrēšanu; faili sāka pazust un to vietā sāka parādīties to šifrētās kopijas), jums vajadzētu UZREIZ Izslēdziet datora strāvu, atvienojot strāvas vadu vai turot to nospiestu 5 sekundes. ieslēgšanas poga. Varbūt tas ietaupīs daļu informācijas. NEPRĀTĒJIET Datoru! TIKAI IZSLĒGTS!
2. Ja šifrēšana jau ir notikusi, nekādā gadījumā nevajadzētu mēģināt pats izārstēt infekciju vai dzēst vai pārdēvēt šifrētos failus vai izspiedējvīrusa radītos failus.

Abos gadījumos jums nekavējoties jāziņo par incidentu sistēmas administratoram.

SVARĪGS!!!

Nemēģiniet pats sarunāties ar uzbrucēju, izmantojot viņa sniegtos kontaktus! Labākajā gadījumā tas ir bezjēdzīgi, sliktākajā gadījumā var palielināt atšifrēšanas izpirkuma maksu.

Kā novērst infekciju vai samazināt tās sekas?

1. Neatveriet aizdomīgus e-pasta ziņojumus, īpaši tos, kuriem ir pielikumi (skatiet tālāk, lai uzzinātu, kā atpazīt šādus e-pasta ziņojumus).
2. Neklikšķiniet uz aizdomīgām saitēm vietnēs vai nosūtītajos e-pastos.
3. Nelejupielādējiet un neinstalējiet programmas no neuzticamiem avotiem (vietnēm ar uzlauztu programmatūru, torrentu izsekotājiem).
4. Vienmēr dublējiet svarīgus failus. Labākais variants saglabās rezerves kopijas citā datu nesējā, kas nav savienota ar datoru (zibatmiņas disks, ārējais disks, DVD) vai mākonī (piemēram, Yandex.Disk). Bieži vien vīruss šifrē arī arhīva failus (zip, rar, 7z), tāpēc rezerves kopiju glabāšana tajā pašā datorā, kurā tiek glabāti oriģinālie faili, ir bezjēdzīga.

Kā atpazīt ļaunprātīgu e-pastu?

2. Vēstulē ir informācija, kas nav saistīta ar mūsu valsti, reģionu vai mūsu uzņēmuma darbības jomu. Piemēram, prasība atmaksāt parādu Krievijas Federācijā reģistrētā bankā.

3. Bieži vien ļaunprātīga vēstule tiek ierāmēta kā šķietama atbilde uz kādu vēstuli no jums. Šādas vēstules tēmas sākumā ir kombinācija “Re:”. Piemēram, “Re: Rēķins apmaksai”, lai gan jūs noteikti zināt, ka neesat sūtījis vēstules uz šo adresi.

4. Vēstule it kā nākusi no pazīstama uzņēmuma, taču sūtītāja adresē ir bezjēdzīgas burtu, vārdu, ciparu un svešu domēnu virknes, kurām nav nekā kopīga ar vēstules tekstā minētajām oficiālajām uzņēmuma adresēm.

5. Laukā “Kam” ir norādīts nezināms vārds (nevis jūsu pastkaste), nesakarīgu rakstzīmju kopa vai dublikāts nosaukums. pastkaste sūtītājs.

6. Vēstules tekstā, izmantojot dažādus ieganstus, adresāts tiek lūgts sniegt vai apstiprināt jebkādu personisku vai oficiālu informāciju, lejupielādēt failu vai sekot saitei, vienlaikus informējot par steidzamību vai jebkādām sankcijām, ja netiek ievērota vēstule. vēstulē norādītās instrukcijas.

7. Vēstulei pievienotajā arhīvā ir faili ar paplašinājumu *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. Ļoti bieži tiek izmantota arī ļaunprātīgu paplašinājumu maskēšana. Piemēram, faila nosaukumā “Accounts receivable.doc.js” *.doc ir viltus paplašinājums, kam nav nekādas funkcionalitātes, un *.js ir īstais vīrusa faila paplašinājums.

8. Ja vēstule nāk no zināma sūtītāja, bet rakstīšanas stils un lasītprasme ir ļoti atšķirīga, arī tas ir iemesls uzmanībai. Kā arī neraksturīgs saturs – piemēram, klients saņēmis lūgumu apmaksāt rēķinu. Šajā gadījumā labāk ir sazināties ar sūtītāju, izmantojot citu saziņas kanālu (tālruni, Skype), jo ļoti iespējams, ka viņa dators ir uzlauzts vai inficēts ar vīrusu.

Ļaunprātīga e-pasta piemērs

Jauns ļaunprogrammatūra WannaCry izpirkuma programmatūra (kam ir arī vairāki citi nosaukumi - WannaCry Decryptor, WannaCrypt, WCry un WanaCrypt0r 2.0) pasaulei par sevi kļuva zināma 2017. gada 12. maijā, kad vairākās Lielbritānijas veselības aprūpes iestādēs datoros tika šifrēti faili. Kā drīz vien kļuva skaidrs, līdzīgā situācijā nonāca uzņēmumi desmitiem valstu, un visvairāk cieta Krievija, Ukraina, Indija un Taivāna. Pēc Kaspersky Lab datiem, pirmajā uzbrukuma dienā vien vīruss tika konstatēts 74 valstīs.

Kāpēc WannaCry ir bīstams? Vīruss šifrē failus dažādi veidi(saņemot .WCRY paplašinājumu, faili kļūst pilnīgi nelasāmi) un pēc tam par atšifrēšanu pieprasa izpirkuma maksu 600 USD apmērā. Lai paātrinātu naudas pārskaitīšanas procedūru, lietotāju biedē fakts, ka pēc trim dienām izpirkuma summa pieaugs, un pēc septiņām dienām faili vairs nebūs atšifrējami.

Datori, kuru pamatā ir operētājsistēmas, ir pakļauti riskam inficēties ar WannaCry ransomware vīrusu. Windows sistēmas. Ja jūs lietojat licencētās versijas Windows un regulāri atjauniniet savu sistēmu, jums nav jāuztraucas, ka vīruss šādā veidā iekļūs jūsu sistēmā.

MacOS, ChromeOS un Linux, kā arī mobilo operētājsistēmu lietotāji iOS sistēmas un Android WannaCry uzbrūk Nav jābaidās vispār.

Ko darīt, ja esat WannaCry upuris?

Apvienotās Karalistes Nacionālā noziedzības aģentūra (NCA) iesaka mazajiem uzņēmumiem, kuri ir cietuši no izspiedējvīrusa un ir nobažījušies par vīrusa izplatīšanos tiešsaistē, veikt šādas darbības:

• Nekavējoties izolējiet datoru, klēpjdatoru vai planšetdatoru no uzņēmuma/iekšējā tīkla. Izslēdziet Wi-Fi.
• Mainiet draiverus.
• Bez savienojuma ar Wi-Fi tīkli, tieši savienojiet datoru ar internetu.
• Atjauniniet operētājsistēmu un visu citu programmatūru.
• Atjauniniet un palaidiet pretvīrusu programmatūru.
• Atkārtoti izveidojiet savienojumu ar tīklu.
• Monitors tīkla trafiku un/vai palaidiet vīrusu skenēšanu, lai pārliecinātos, ka izspiedējprogrammatūra ir pazudusi.

Svarīgs!

WannaCry vīrusa šifrētos failus nevar atšifrēt neviens, izņemot uzbrucējus. Tāpēc netērējiet laiku un naudu tiem "IT ģēnijiem", kuri sola jūs paglābt no šīm galvassāpēm.

Vai ir vērts maksāt naudu uzbrucējiem?

Pirmie jautājumi, ko uzdod lietotāji, kas saskaras ar jauno WannaCry ransomware vīrusu, ir: kā atgūt failus un kā noņemt vīrusu. Neatrodot brīvu un efektīvi veidi lēmumus, viņi ir izvēles priekšā: maksāt naudu izspiedējam vai nē? Tā kā lietotājiem bieži ir ko zaudēt (personīgie dokumenti un foto arhīvi tiek glabāti datorā), tad patiešām rodas vēlme problēmu atrisināt ar naudu.

Bet VKI stingri mudina Navmaksā naudu. Ja izlemjat to darīt, ņemiet vērā tālāk minēto.

• Pirmkārt, nav garantijas, ka jūs iegūsit piekļuvi saviem datiem.
• Otrkārt, jūsu dators joprojām var būt inficēts ar vīrusu pat pēc maksājuma veikšanas.
• Treškārt, jūs, visticamāk, vienkārši atdosiet savu naudu kibernoziedzniekiem.

Kā pasargāt sevi no WannaCry?

SKB Kontur informācijas drošības sistēmu ieviešanas nodaļas vadītājs Vjačeslavs Belašovs skaidro, kādas darbības jāveic, lai novērstu inficēšanos ar vīrusu:

WannaCry vīrusa īpatnība ir tā, ka atšķirībā no citiem šifrēšanas vīrusiem tas spēj iekļūt sistēmā bez cilvēka iejaukšanās. Iepriekš, lai vīruss darbotos, bija nepieciešams lietotājam būt neuzmanīgam - sekot šaubīgai saitei no e-pasta, kas patiesībā nebija viņam paredzēta, vai lejupielādēt ļaunprātīgu pielikumu. WannaCry gadījumā tiek izmantota ievainojamība, kas pastāv tieši pašā operētājsistēmā. Tāpēc datori ieslēgti Uz Windows bāzes, kurā netika instalēti 2017. gada 14. marta atjauninājumi. Viena inficēta darbstacija no lokālais tīkls lai vīruss izplatītos citiem ar esošajām ievainojamībām.

Vīrusa skartajiem lietotājiem, protams, ir viens galvenais jautājums: kā atšifrēt viņu informāciju? Diemžēl vēl nav garantēta risinājuma, un to diez vai varēs paredzēt. Pat pēc norādītās summas samaksas problēma netiek atrisināta. Turklāt situāciju var pasliktināt tas, ka cilvēks, cerot atgūt savus datus, riskē izmantot it kā “bezmaksas” atšifrētājus, kas patiesībā arī ir ļaunprātīgi faili. Tāpēc galvenais padoms, ko var sniegt, ir būt uzmanīgiem un darīt visu iespējamo, lai izvairītos no šādas situācijas.

Ko tieši šobrīd var un vajadzētu darīt:

1. Instalējiet jaunākos atjauninājumus.

Tas attiecas ne tikai uz operētājsistēmas, bet arī pretvīrusu aizsardzības rīki. Informācija par Windows atjauninājums var uzzināt.

2. Izveidojiet svarīgas informācijas rezerves kopijas.

3. Esiet piesardzīgs, strādājot ar pastu un internetu.

Jums jāpievērš uzmanība ienākošajiem e-pastiem ar apšaubāmām saitēm un pielikumiem. Lai strādātu ar internetu, ieteicams izmantot spraudņus, kas ļauj atbrīvoties no nevajadzīgas reklāmas un saitēm uz potenciāli ļaunprātīgiem avotiem.