Casa / resumen de ventanas / Actualice windows 7 de un nuevo virus. Cómo protegerse del ransomware en un minuto. Cómo recuperarse del virus de cifrado Wana Decrypt0r

Actualice windows 7 de un nuevo virus. Cómo protegerse del ransomware en un minuto. Cómo recuperarse del virus de cifrado Wana Decrypt0r

23.03.2021 resumen de ventanas

  • ¡Ya se han infectado más de 200.000 ordenadores!
Los principales objetivos del ataque estuvieron dirigidos al sector empresarial, seguido de las empresas de telecomunicaciones de España, Portugal, China e Inglaterra.
  • El mayor golpe lo recibieron los usuarios y las empresas rusas. Incluyendo Megafon, Russian Railways y, según información no confirmada, el Comité de Investigación y el Ministerio del Interior. Sberbank y el Ministerio de Salud también informaron ataques a sus sistemas.
Para descifrar los datos, los atacantes exigen un rescate de 300 a 600 dólares en bitcoins (alrededor de 17 000 a 34 000 rublos).

Romper HDD o unidad SSD a particiones en Windows 10

Mapa interactivo de contagios (CLICK EN EL MAPA)
ventana de rescate
Cifra archivos de las siguientes extensiones

A pesar de que el virus está dirigido a atacar el sector corporativo, el usuario promedio tampoco es inmune a la penetración de WannaCry y la posible pérdida de acceso a los archivos.
  • Instrucciones para proteger su computadora y los datos que contiene contra infecciones:
1. Instale la aplicación Kaspersky System Watcher, que tiene una función integrada para revertir los cambios causados ​​por las acciones de un encriptador que aún logró eludir las herramientas de protección.
2. Se recomienda a los usuarios del programa antivirus de Kaspersky Lab que verifiquen que la función Monitoreo del sistema esté habilitada.
3. Para los usuarios del antivirus ESET NOD32 para Windows 10, se ha introducido una función para buscar nuevas actualizaciones de sistema operativo disponibles. En el caso de que se haya ocupado de antemano y lo haya encendido, entonces todos los nuevos necesarios actualizaciones de windows se instalará y su sistema estará completamente protegido contra este virus WannaCryptor y otros ataques similares.
4. Además, los usuarios de los productos ESET NOD32 tienen una función en el programa como la detección de amenazas aún desconocidas. Este método se basa en el uso de tecnología heurística conductual.

Si un virus se comporta como un virus, lo más probable es que sea un virus.

Desde el 12 de mayo, la tecnología del sistema en la nube ESET LiveGrid ha tenido mucho éxito en repeler todos los ataques de este virus, y todo esto sucedió incluso antes de que llegara la actualización de la base de datos de firmas.
5. Las tecnologías de ESET brindan seguridad, incluidos los dispositivos con sistemas anteriores de Windows XP, Windows 8 y Windows Server 2003 ( recomendamos dejar de usar estos sistemas obsoletos). Debido al altísimo nivel de amenaza que ha surgido para estos sistemas operativos, Microsoft ha decidido lanzar actualizaciones. Descárgalos.
6. Para minimizar la amenaza de daño a su PC, necesita actualizar urgentemente su Versiones de Windows 10: Inicio - Configuración - Actualización y seguridad - Buscar actualizaciones (en otros casos: Inicio - Todos los programas - Actualización de Windows - Buscar actualizaciones - Descargar e instalar).
7. Instale el parche oficial (MS17-010) de Microsoft, que corrige un error en el servidor SMB a través del cual puede penetrar un virus. Este servidor involucrados en este ataque.
8. Verifique que todas las herramientas de seguridad disponibles estén funcionando y funcionando correctamente en su computadora.
9. Realice un análisis de virus de todo el sistema. Cuando un ataque malicioso llamado MEM:Trojan.Win64.EquationDrug.gen, reinicie el sistema.
Y una vez más te recomiendo que compruebes que los parches MS17-010 están instalados.

Actualmente, los especialistas de Kaspersky Lab, ESET NOD32 y otros productos antivirus están trabajando activamente para escribir un programa para descifrar archivos, que ayudará a los usuarios de PC infectadas a restaurar el acceso a los archivos.

El cifrador WannaCry (Wana Decrypt0r) se convirtió en la principal noticia informática del fin de semana. Puede leer sobre esto con suficiente detalle y. Y en esta nota solo habrá información sobre las actualizaciones de Windows que deben instalarse y las medidas de detección requeridas.

Entonces, la lista de actualizaciones de Windows que cierran la vulnerabilidad, según las versiones del sistema operativo, más enlaces:

Windows 10 versión 1511- KB4013198 (descargar)

Windows 10 versión 1607 y Windows Server 2016- KB4013429 (descargar)

Windows 8.1 y Windows Server 2012 R2- KB4012213 (descarga) o KB4012216 (descarga)

El primer parche es una colección de solo actualizaciones de seguridad, el segundo es paquete completo arreglos mensuales. La vulnerabilidad explotada por WannaCry cierra cualquiera de ellos. Lo mismo se aplica a otras versiones del sistema operativo, donde se indicarán dos parches.

Windows Embedded 8 Estándar y Windows Server 2012- KB4012214 (descarga) o KB4012217 (descarga)

Windows 7, Windows Embedded 7 Standard y Windows Server 2008 R2- KB4012212 (descarga) o KB4012215 (descarga)

Windows XP, Windows Vista, Windows 8, Windows Server 2003, Windows Server 2008, WES09 y POSReady 2009- KB4012598 (descargar)

Como puede ver, Microsoft ha introducido parches para sistemas heredados que ya no son compatibles.

Los antivirus ya están detectando Wana Decrypt0r, pero las perspectivas para descifrar archivos siguen siendo decepcionantes. Cita del sitio web oficial de Kaspersky Lab:

Si sus archivos están encriptados, está terminantemente prohibido utilizar los ofrecidos en Internet o recibidos en correos electrónicos herramientas de descifrado. Los archivos están cifrados con un algoritmo fuerte y no se pueden descifrar, y las utilidades que descarga pueden causar aún más daño tanto a su computadora como a las computadoras de toda la organización, ya que son potencialmente maliciosas y están dirigidas a una nueva ola de la epidemia.

Lo más probable es que el pico de infecciones ya haya pasado, aunque en el futuro probablemente aparecerán un par de ransomware modificados más. Sin embargo, ya no serán tan noticia como WannaCry.

  1. Es mayo, conoce a WannaCry.
  2. Wanna es el nombre de un virus ransomware que inició su actividad el 12 de mayo de 2017, infectando equipos de usuarios y empresas en 90 países. Microsoft ha lanzado oficialmente parches para sistemas operativos más antiguos que ya no son compatibles y están obsoletos. Lista llena y todos los enlaces se darán al final del artículo.
    3. ¿Cómo aparece Wanna?
  3. Como todos los virus, el ransomware es difícil de notar durante el proceso de cifrado si usted mismo no vio accidentalmente que los archivos cambian y se vuelven con una extensión diferente. Por ejemplo, con este virus, los archivos encriptados se verán así: filename.png.WNCRY
  4. A continuación se muestra un mapa de infección por virus de los países en las primeras horas de infección y propagación, un mapa de Sumantec.
  5. Además, como muestra el virus después de cifrar los archivos, al usuario se le mostrará un mensaje y podrá seleccionar el idioma apropiado. Que informe que tus archivos están infectados y vaya a los pasos de pago, digamos que sí.
  6. La segunda ventana muestra cuánto y cómo tienes que pagar, transfiere 300 bitcoins. Así como un temporizador de cuenta regresiva.
  7. El fondo del escritorio y otras imágenes de fondo muestran el mensaje:
  8. Los archivos cifrados tienen una extensión doble, por ejemplo: filename.doc.WNCRY. A continuación se muestra lo que parece:
  9. También en cada carpeta hay un archivo ejecutable @ [correo electrónico protegido] para el descifrado después del rescate (posiblemente pero difícilmente), así como Documento de texto @[correo electrónico protegido] en el que hay algo que leer al usuario (también es posible, pero difícilmente).
    10. El virus encripta archivos con las siguientes extensiones:
  10. Quiero señalar que entre las extensiones que cifra WannaCry, no hay ninguna extensión 1C que se use en Rusia.
  11. También le pido que preste atención a lo más importante en la restauración de sus archivos después de la infección. Es posible si tiene habilitada la protección del sistema, es decir, la instantánea de volumen y el sistema de control de cuentas de usuario de uac está funcionando, y lo más probable es que funcione si no lo deshabilitó. Luego, el virus ofrecerá desactivar la protección del sistema para que no sea posible restaurar los archivos cifrados, es decir, los eliminados después del cifrado. Por supuesto, en este caso, no hay forma de estar en desacuerdo con la desconexión. Se ve como esto:
    12. Las billeteras de Bitcoin son estafadores.
  12. Lo más interesante aquí es cómo crece la cantidad en la billetera de los estafadores. billetera bitcoin:
  17. observe visitando al menos una vez al día cuánto ha crecido la ganancia de los estafadores y se sorprenderá, ¡créame! Este es un servicio regular de Wallet Bitcoin en el que cualquiera puede registrar una billetera para sí mismo, no hay nada de qué preocuparse si observa las estadísticas de reposición de la billetera.
  18. WannaCry 1.0 se distribuyó a través de spam y sitios web. La versión 2.0 es idéntica a la primera, pero se le agregó un gusano que se propagó solo, ingresando a las computadoras de las víctimas a través de un protocolo.
    19. Microsoft en la lucha contra Wanna:
  19. Microsoft sugiere instalar service packs para usuarios de sistemas operativos más antiguos:
    20. Windows Server 2003 SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Embedded SP3 x86
    Windows 8 x86
    Windows 8 x64
    Vaya a blogs.technet.microsoft oficiales
    ¿Qué dice Kaspersky?
  20. En el blog oficial de Kaspersky, el proceso se describe con más detalle y hay varias adiciones que puedes aprender, aunque en inglés.
    21. lista segura.
  21. Complementado con el artículo de soporte de Kaspersky del 15 de mayo de 2017:
    22. .
  22. También puede ver un mapa interactivo de amenazas cibernéticas y conocer la propagación del virus en tiempo real:
    23. Tarjeta Intel malwaretech para el virus WannaCry 2.0:
  23. Otro mapa, pero específicamente para el virus WannaCry2.0, la propagación del virus en tiempo real (si el mapa no funcionó después de la transición, actualice la página):
    24. Video de Comodo Firewall 10 vs WannaCry Ransomware sobre tecnología de protección:
    sitio oficial.
    596 variantes de WannaCry
  24. Un laboratorio independiente descubrió 596 muestras de WannaCrypt. Lista de hashes SHA256:
    25. Del autor:
  25. Agregaré por mi cuenta ya que uso protección contra Comodo es 10 y además, pero el mejor antivirus eres tú mismo. Como dicen, Dios salva la caja fuerte, y yo tengo esa protección porque mientras trabajo, tengo que realizar varias tareas en las que hay un lugar para que se filtren los ataques de virus, llamémoslos así.
  26. Deshabilite el protocolo SMB1 por un tiempo hasta que instale las actualizaciones de seguridad, o si no lo necesita en absoluto usando la línea de comando, ejecute cmd como administrador del sistema y deshabilite el protocolo usando dism, comando:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Así como otros métodos para habilitar y deshabilitar el protocolo SMBv1,2,3 en el sitio web oficial de Microsoft.
  28. En la interfaz gráfica para deshabilitar el protocolo, puede hacer esto: Panel de control> Agregar o quitar programas (Desinstalar o cambiar un programa)> Habilitar o deshabilitar Componentes de Windows> más imagen a continuación.

Buenas tardes queridos lectores e invitados del blog, como recordarán, en mayo de 2017 se produjo una ola de infección a gran escala de equipos con funcionamiento sistema de ventanas, un nuevo virus ransomware llamado WannaCry, gracias al cual fue capaz de infectar y cifrar datos en más de 500.000 equipos, solo piense en esta cifra. Lo peor es esta variedad virus, prácticamente no es detectado por las soluciones antivirus modernas, lo que lo hace aún más amenazante, a continuación le diré un método sobre cómo proteger sus datos de su influencia y cómo protegerse del ransomware por un minuto, creo que te interesará.

¿Qué es un virus codificador?

Un virus de cifrado es un tipo de programa troyano cuya tarea es infectar la estación de trabajo de un usuario, identificar archivos del formato requerido (por ejemplo, fotos, grabaciones de audio, archivos de video) y luego cifrarlos con un cambio en el tipo de archivo, como por lo que el usuario ya no podrá abrirlos, sin programa especial descifrador. Se parece a esto.

Formatos de archivos cifrados

Los formatos de archivo más comunes después del cifrado son:

  • no_more_ransom
  • bóveda

Consecuencias del virus ransomware

Describiré el caso más común en el que está involucrado el virus del codificador. Imagine a un usuario común en cualquier organización abstracta, en el 90 por ciento de los casos el usuario tiene Internet detrás de su lugar de trabajo, ya que con la ayuda de él genera ganancias para la empresa, navega por el espacio de Internet. Una persona no es un robot y puede distraerse del trabajo navegando en sitios que le interesan o en sitios que su amigo le aconsejó. Como resultado de esta actividad, puede infectar su computadora con un cifrador de archivos sin saberlo y descubrirlo cuando sea demasiado tarde. el virus ha hecho su trabajo.

El virus en el momento de su trabajo intenta procesar todos los archivos a los que tiene acceso, y aquí comienza que los documentos importantes en la carpeta del departamento, a los que tiene acceso el usuario, de repente se convierten en basura digital, archivos locales y mucho más. . Es claro que debe haber copias de seguridad bolas de archivos, pero ¿qué pasa con los archivos locales que pueden compensar todo el trabajo de una persona? Como resultado, la empresa pierde dinero por un trabajo simple y el administrador del sistema sale de su zona de confort y pasa su tiempo descifrando archivos.

Lo mismo le puede pasar a una persona común, pero las consecuencias aquí son locales y se relacionan personalmente con él y su familia, es muy triste ver casos en los que un virus cifró todos los archivos, incluidos los archivos de fotos familiares y las personas no tenían una copia de seguridad. , bueno, no es costumbre que los usuarios comunes lo hagan.

Con los servicios en la nube no todo es tan sencillo, si almacenas todo ahí y no usas un cliente pesado en tu sistema operativo Windows, una cosa es, ahí en un 99% no corres peligro, pero si usas, por ejemplo, "Disco de Yandex" o "nube de correo" sincronizando archivos desde su computadora, luego infectándose y habiendo recibido que todos los archivos están encriptados, el programa los enviará directamente a la nube y también perderá todo.

Como resultado, ve una imagen similar a esta, donde se le dice que todos los archivos están encriptados y que necesita enviar dinero, ahora esto se hace en bitcoins para no descubrir a los atacantes. Después del pago, supuestamente se le debe enviar un decodificador y restaurará todo.

Nunca envíe dinero a los estafadores

Recuerde que ni un solo antivirus moderno actualmente puede brindar protección a Windows contra el ransomware, por una simple razón, este troyano no hace nada sospechoso desde su punto de vista, esencialmente se comporta como un usuario, lee archivos, escribe, a diferencia de los virus, no lo hace. intente cambiar los archivos del sistema o agregar claves de registro, por lo que su detección es tan difícil, no hay una línea que lo distinga del usuario

Fuentes de troyanos ransomware

Intentemos identificar las principales fuentes de penetración del codificador en su computadora.

  1. Correo electrónico > muy a menudo las personas reciben correos electrónicos extraños o falsos con enlaces o archivos adjuntos infectados, al hacer clic en los cuales la víctima comienza a organizar una noche de insomnio. Te dije cómo proteger el correo electrónico, te aconsejo que lo leas.
  2. A través de software- descargó un programa de una fuente desconocida o un sitio falso, contiene un virus codificador, y cuando instala el software, lo ingresa en su Sistema operativo.
  3. A través de unidades flash: las personas aún se encuentran muy a menudo y transportan un montón de virus a través de unidades flash, le aconsejo que lea "Proteger las unidades flash de virus"
  4. A través de cámaras IP y dispositivos de red que tienen acceso a Internet, muy a menudo debido a configuraciones torcidas en un enrutador o cámara IP conectada a una red local, los piratas informáticos infectan computadoras en la misma red.

Cómo proteger su PC de un virus ransomware

El uso adecuado de una computadora protege contra ransomware, a saber:

  • No abras correo que no conoces y no sigas enlaces incomprensibles, sin importar cómo te lleguen, ya sea correo o cualquiera de los mensajeros.
  • Instale las actualizaciones del sistema operativo Windows o Linux lo más rápido posible, no se publican con tanta frecuencia, aproximadamente una vez al mes. Si hablamos de Microsoft, entonces este es el segundo martes de cada mes, pero en el caso de los cifradores de archivos, las actualizaciones pueden ser anormales.
  • No conecte unidades flash desconocidas a su computadora, pídales a sus amigos que envíen un mejor enlace a la nube.
  • Asegúrese de que si su computadora no necesita estar disponible en red local para otras computadoras, luego desactive el acceso a él.
  • Restringir los derechos de acceso a archivos y carpetas
  • Instalación de una solución antivirus
  • No instale programas incomprensibles pirateados por un desconocido

Todo está claro con los tres primeros puntos, pero me detendré en los dos restantes con más detalle.

Deshabilite el acceso de red a su computadora

Cuando la gente me pregunta cómo se organiza la protección contra el ransomware en Windows, lo primero que recomiendo es que apaguen el "Servicio de uso compartido de archivos e impresoras de Microsoft Networks", que permite que otras computadoras accedan a los recursos. este computador utilizando las redes de Microsoft. Es igual de relevante para los curiosos administradores del sistema que funcionan con su ISP.

Desactive este servicio y protégete del ransomware en una red local o de proveedores, de la siguiente manera. Presione la combinación de teclas WIN + R y en la ventana que se abre, ejecute, ingrese el comando ncpa.cpl. Mostraré esto en mi computadora de prueba con el sistema operativo Windows 10 Creators Update.

Elige el correcto interfaz de red y haz clic derecho sobre él, Menú de contexto seleccione "Propiedades"

Encontramos el elemento "Compartir archivos e impresoras para redes Microsoft" y lo desmarcamos, luego lo guardamos, todo esto ayudará a proteger la computadora del virus ransomware en la red local, su estación de trabajo simplemente no estará disponible.

Restricción de los derechos de acceso

La protección contra el virus ransomware en Windows se puede implementar de una manera tan interesante, les diré cómo lo hice yo mismo. Entonces, el principal problema en la lucha contra el ransomware es que los antivirus simplemente no pueden combatirlos en tiempo real, bueno, no pueden protegerlo en este momento, así que seamos más inteligentes. Si el virus del cifrador no tiene permisos de escritura, no podrá hacer nada con sus datos. Para dar un ejemplo, tengo una carpeta de fotos, está almacenada localmente en la computadora, además hay dos copias de seguridad en diferentes discos duros. En mi computadora local, le hice derechos de solo lectura, por eso cuenta bajo el cual me siento en la computadora. Si el virus llegó allí, simplemente no tendría suficientes derechos, como puede ver, todo es simple.

Cómo implementar todo esto para protegerse de los encriptadores de archivos y guardar todo, hacemos lo siguiente.

  • Seleccione las carpetas que necesita. Trate de usar carpetas exactamente, es más fácil asignar derechos con ellas. E idealmente, crea una carpeta llamada de solo lectura, y ya coloca todos los archivos y carpetas que necesitas en ella. Lo que es bueno, al asignar derechos a la carpeta superior, se aplicarán automáticamente a otras carpetas en ella. Una vez que copias todo archivos requeridos y carpetas en él, vaya al siguiente párrafo
  • Haga clic derecho en la carpeta y seleccione "Propiedades" en el menú

  • Vaya a la pestaña "Seguridad" y haga clic en el botón "Editar"

  • Estamos tratando de eliminar grupos de acceso, si aparece una ventana con una advertencia que dice "Es imposible eliminar un grupo porque este objeto hereda los permisos de su padre", ciérrelo.

  • Haga clic en el botón "Avanzado". En el elemento que se abre, haga clic en "deshabilitar herencia"

  • Cuando se le pregunte "¿Qué desea hacer con los permisos heredados actuales", seleccione "Eliminar todos los permisos heredados de este objeto"

  • Como resultado, en el campo "Permisos", todo se eliminará.

  • Guardamos los cambios. Tenga en cuenta que ahora solo el propietario de la carpeta puede cambiar los permisos.

  • Ahora en la pestaña Seguridad, haga clic en Editar

  • A continuación, haga clic en "Agregar - Avanzado"

  • Necesitamos agregar el grupo "Todos", para hacer esto, haga clic en "Buscar" y seleccione el grupo deseado.

  • Para proteger Windows del ransomware, debe tener permisos establecidos para el grupo "Todos", como se muestra en la imagen.

  • Eso es todo, ningún virus codificador lo amenaza por sus archivos en este directorio.

Espero que Microsoft y otras soluciones antivirus puedan mejorar sus productos y proteger las computadoras del ransomware a su trabajo malicioso, pero hasta que esto suceda, siga las reglas que le describí y siempre haga una copia de seguridad de los datos importantes.

© Derechos de autor 2022, Noticias. Juegos. Instrucciones. Internet. Oficina