Rumah / ikhtisar jendela / Perbarui windows 7 dari virus baru. Bagaimana melindungi diri Anda dari ransomware dalam satu menit. Bagaimana memulihkan dari virus enkripsi Wana Decrypt0r

Perbarui windows 7 dari virus baru. Bagaimana melindungi diri Anda dari ransomware dalam satu menit. Bagaimana memulihkan dari virus enkripsi Wana Decrypt0r

23.03.2021 ikhtisar jendela

  • Lebih dari 200.000 komputer telah terinfeksi!
Sasaran utama serangan ditujukan pada sektor korporasi, diikuti oleh perusahaan telekomunikasi di Spanyol, Portugal, China dan Inggris.
  • Pukulan terbesar diberikan kepada pengguna dan perusahaan Rusia. Termasuk Megafon, Kereta Api Rusia dan, menurut informasi yang belum dikonfirmasi, Komite Investigasi dan Kementerian Dalam Negeri. Sberbank dan Kementerian Kesehatan juga melaporkan serangan terhadap sistem mereka.
Untuk mendekripsi data, penyerang meminta tebusan 300 hingga 600 dolar dalam bentuk bitcoin (sekitar 17.000-34.000 rubel).

Hancurkan HDD atau drive SSD ke partisi di Windows 10

Peta infeksi interaktif (KLIK PETA)
jendela tebusan
Mengenkripsi file dari ekstensi berikut

Meskipun menargetkan virus untuk menyerang sektor korporasi, rata-rata pengguna juga tidak kebal dari penetrasi WannaCry dan kemungkinan hilangnya akses ke file.
  • Petunjuk untuk melindungi komputer Anda dan data di dalamnya dari infeksi:
1. Instal aplikasi Kaspersky System Watcher, yang memiliki fungsi bawaan untuk mengembalikan perubahan yang disebabkan oleh tindakan encryptor yang masih berhasil melewati alat perlindungan.
2. Pengguna program antivirus dari Kaspersky Lab disarankan untuk memeriksa apakah fungsi System Monitoring telah diaktifkan.
3. Untuk pengguna antivirus ESET NOD32 untuk Windows 10, sebuah fungsi telah diperkenalkan untuk memeriksa pembaruan OS baru yang tersedia. Jika Anda berhati-hati terlebih dahulu dan Anda telah menyalakannya, maka semua yang baru diperlukan pembaruan jendela akan diinstal dan sistem Anda akan terlindungi sepenuhnya dari virus WannaCryptor ini dan serangan serupa lainnya.
4. Juga, pengguna produk ESET NOD32 memiliki fungsi seperti dalam program sebagai pendeteksian ancaman yang masih belum diketahui. Metode ini didasarkan pada penggunaan teknologi heuristik perilaku.

Jika virus berperilaku seperti virus, kemungkinan besar itu adalah virus.

Sejak 12 Mei, teknologi sistem cloud ESET LiveGrid telah sangat berhasil dalam menangkis semua serangan serangan virus ini, dan semua ini terjadi bahkan sebelum pembaruan basis data tanda tangan tiba.
5. Teknologi ESET memberikan keamanan, termasuk perangkat dengan sistem Windows XP, Windows 8 dan Windows Server 2003 sebelumnya ( kami sarankan untuk berhenti menggunakan sistem usang ini). Karena sangat level tinggi ancaman, untuk data OS, Microsoft telah memutuskan untuk merilis pembaruan. Unduh mereka.
6. Untuk meminimalkan ancaman bahaya pada PC Anda, Anda harus segera memperbarui Versi Windows 10: Mulai - Pengaturan - Pembaruan dan keamanan - Periksa pembaruan (dalam kasus lain: Mulai - Semua Program - Pembaruan Windows - Cari pembaruan - Unduh dan instal).
7. Instal patch resmi (MS17-010) dari Microsoft, yang memperbaiki bug di server SMB di mana virus dapat menembus. Server ini terlibat dalam serangan ini.
8. Periksa apakah semua alat keamanan yang tersedia berjalan dan berfungsi dengan baik di komputer Anda.
9. Lakukan pemindaian virus terhadap seluruh sistem. Saat serangan jahat bernama MEM:Trojan.Win64.EquationDrug.gen, reboot sistem.
Dan sekali lagi saya sarankan Anda memeriksa apakah patch MS17-010 sudah diinstal.

Saat ini, spesialis dari Kaspersky Lab, ESET NOD32, dan produk antivirus lainnya secara aktif bekerja untuk menulis program untuk mendekripsi file, yang akan membantu pengguna PC yang terinfeksi untuk memulihkan akses ke file.

Enkripsi WannaCry (Wana Decrypt0r) menjadi berita utama TI akhir pekan ini. Anda dapat membacanya dengan cukup detail dan. Dan dalam catatan ini hanya akan ada informasi tentang pembaruan Windows yang perlu diinstal dan langkah-langkah deteksi yang diperlukan.

Jadi, daftar pembaruan Windows yang menutup kerentanan, tergantung pada versi OS, ditambah tautan:

Windows 10 versi 1511- KB4013198 (unduh)

Windows 10 versi 1607 dan Windows Server 2016- KB4013429 (unduh)

Windows 8.1 dan Windows Server 2012 R2- KB4012213 (unduh) atau KB4012216 (unduh)

Patch pertama adalah kumpulan pembaruan keamanan saja, yang kedua adalah paket lengkap perbaikan bulanan. Kerentanan yang dieksploitasi oleh WannaCry menutup salah satu dari mereka. Hal yang sama berlaku untuk versi OS lainnya, di mana dua tambalan akan ditunjukkan.

Windows Embedded 8 Standard dan Windows Server 2012- KB4012214 (unduh) atau KB4012217 (unduh)

Windows 7, Windows Embedded 7 Standard dan Windows Server 2008 R2- KB4012212 (unduh) atau KB4012215 (unduh)

Windows XP, Windows Vista, Windows 8, Windows Server 2003, Windows Server 2008, WES09 dan POSReady 2009- KB4012598 (unduh)

Seperti yang Anda lihat, Microsoft telah memperkenalkan patch untuk sistem lama yang tidak lagi didukung.

Antivirus sudah mendeteksi Wana Decrypt0r, tetapi prospek untuk mendekripsi file masih mengecewakan. Kutipan dari situs resmi Kaspersky Lab:

Jika file Anda dienkripsi, dilarang keras untuk menggunakan yang ditawarkan di Internet atau diterima di email alat dekripsi. File dienkripsi dengan algoritme yang kuat dan tidak dapat didekripsi, dan utilitas yang Anda unduh dapat menyebabkan lebih banyak kerusakan pada komputer Anda dan komputer di seluruh organisasi, karena berpotensi berbahaya dan ditujukan untuk gelombang baru epidemi.

Kemungkinan besar, puncak infeksi sudah berakhir, meskipun di masa depan, beberapa ransomware yang dimodifikasi mungkin akan muncul. Namun, mereka tidak akan lagi menjadi berita seperti WannaCry.

  1. Ini bulan Mei, Temui WannaCry.
  2. Wanna adalah nama virus ransomware yang memulai aktivitasnya pada 12 Mei 2017, menginfeksi komputer pengguna dan perusahaan di 90 negara. Microsoft telah secara resmi merilis patch untuk sistem operasi lama yang tidak lagi didukung dan sudah usang. Daftar lengkap dan semua link akan diberikan di akhir artikel.
    3. Bagaimana Wanna muncul?
  3. Seperti semua virus, ransomware sulit untuk diketahui selama proses enkripsi jika Anda sendiri tidak secara tidak sengaja melihat bahwa file berubah dan menjadi dengan ekstensi yang berbeda. Misalnya, dengan virus ini, file terenkripsi akan terlihat seperti ini: namafile.png.WNCRY
  4. Di bawah ini adalah peta infeksi virus negara-negara pada jam-jam pertama infeksi dan penyebaran, peta dari Sumantec.
  5. Selanjutnya, seperti yang ditunjukkan virus setelah mengenkripsi file, pengguna akan diperlihatkan pesan dan dapat memilih bahasa yang sesuai. Yang melaporkan bahwa file Anda terinfeksi dan pergi ke langkah pembayaran, katakanlah begitu.
  6. Jendela kedua menunjukkan berapa banyak dan bagaimana Anda harus membayar, mentransfer 300 bitcoin. Serta penghitung waktu mundur.
  7. Latar belakang desktop dan gambar latar belakang lainnya menunjukkan pesan:
  8. File terenkripsi memiliki ekstensi ganda, misalnya: namafile.doc.WNCRY. Di bawah ini adalah apa yang terlihat seperti:
  9. Juga di setiap folder ada file yang dapat dieksekusi @ [dilindungi email] untuk dekripsi setelah tebusan (mungkin tetapi hampir tidak), serta Dokumen Teks @[dilindungi email] di mana ada sesuatu untuk dibacakan kepada pengguna (juga mungkin, tetapi hampir tidak).
    10. Virus mengenkripsi file dengan ekstensi berikut:
  10. Saya ingin mencatat bahwa di antara ekstensi yang dienkripsi WannaCry, tidak ada ekstensi 1C yang digunakan di Rusia.
  11. Saya juga meminta Anda untuk memperhatikan hal terpenting dalam memulihkan file Anda setelah infeksi. Dimungkinkan jika Anda mengaktifkan perlindungan sistem, yaitu penyalinan bayangan volume dan sistem kontrol akun pengguna uac berfungsi, dan kemungkinan besar berfungsi jika Anda tidak menonaktifkannya. Kemudian virus akan menawarkan untuk menonaktifkan perlindungan sistem sehingga tidak memungkinkan untuk memulihkan file yang dienkripsi, yaitu yang dihapus setelah enkripsi. Tentu saja, dalam hal ini, tidak ada cara untuk tidak setuju dengan pemutusan. Terlihat seperti ini:
    12. Dompet Bitcoin adalah scammers.
  12. Hal yang paling menarik di sini adalah bagaimana jumlah dompet scammers tumbuh. dompet bitcoin:
  17. perhatikan dengan mengunjungi setidaknya sekali sehari berapa banyak keuntungan scammers telah tumbuh dan Anda akan terkejut, percayalah! Ini adalah layanan Wallet Bitcoin reguler di mana siapa pun dapat mendaftarkan dompet untuk diri mereka sendiri, tidak ada yang perlu dikhawatirkan jika Anda melihat statistik pengisian dompet.
  18. WannaCry 1.0 didistribusikan melalui spam dan situs web. Versi 2.0 identik dengan versi pertama, tetapi worm telah ditambahkan ke dalamnya, yang menyebar dengan sendirinya, masuk ke komputer korban melalui sebuah protokol.
    19. Microsoft dalam perang melawan Wanna:
  19. Microsoft menyarankan untuk menginstal paket layanan untuk pengguna sistem operasi yang lebih lama:
    20. Windows Server 2003 SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Tertanam SP3 x86
    Jendela 8x86
    Jendela 8x64
    Buka blog resmi.technet.microsoft
    Apa kata Kaspersky?
  20. Di blog resmi Kaspersky, prosesnya dijelaskan lebih detail dan ada beberapa tambahan yang bisa Anda pelajari, meskipun dalam bahasa Inggris.
    21. daftar aman
  21. Dilengkapi dengan artikel dukungan kaspersky tertanggal 15 Mei 2017:
    22. .
  22. Anda juga dapat melihat peta interaktif ancaman dunia maya dan mengetahui penyebaran virus secara real time:
    23. Kartu Intel malwaretech virus ingin menangis 2.0:
  23. Peta lain, tetapi khusus untuk virus WannaCry2.0, penyebaran virus secara real time (jika peta tidak berfungsi setelah transisi, segarkan halaman):
    24. Video Comodo Firewall 10 vs WannaCry Ransomware tentang teknologi perlindungan:
    situs resmi.
    596 varian WannaCry
  24. Sebuah laboratorium independen menemukan 596 sampel WannaCrypt. Daftar hash SHA256:
    25. Dari penulis:
  25. Saya akan menambahkan sendiri karena saya menggunakan perlindungan terhadap Comodo adalah 10 dan sebagai tambahan, tetapi antivirus terbaik adalah Anda sendiri. Seperti yang mereka katakan, Tuhan menyelamatkan brankas, dan saya memiliki perlindungan seperti itu karena ketika saya bekerja, saya harus melakukan berbagai tugas di mana ada tempat untuk serangan virus bocor, sebut saja itu.
  26. Nonaktifkan protokol SMB1 untuk sementara hingga Anda menginstal pembaruan keamanan, atau jika Anda tidak membutuhkannya sama sekali menggunakan baris perintah, jalankan cmd sebagai administrator sistem dan nonaktifkan protokol menggunakan dism, perintah:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Serta metode lain untuk mengaktifkan dan menonaktifkan protokol SMBv1,2,3 di situs web resmi Microsoft.
  28. Di antarmuka grafis untuk menonaktifkan protokol, Anda dapat melakukan ini: Panel Kontrol> Tambah atau Hapus Program (Copot pemasangan atau ubah program)> Aktifkan atau nonaktifkan Komponen Windows> lebih banyak gambar di bawah ini.

Selamat siang, para pembaca dan tamu blog yang terhormat, seperti yang Anda ingat, pada Mei 2017, gelombang besar infeksi komputer dengan operasi Sistem Windows, virus ransomware baru bernama WannaCry, yang dapat menginfeksi dan mengenkripsi data di lebih dari 500.000 komputer, pikirkan saja angka ini. Hal terburuk adalah varietas ini virus, praktis tidak tertangkap oleh solusi antivirus modern, yang membuatnya semakin mengancam, di bawah ini saya akan memberi tahu Anda metode tentang cara melindungi data Anda dari pengaruhnya dan bagaimana melindungi diri Anda dari ransomware sebentar, saya pikir Anda akan tertarik.

Apa itu virus encoder?

Virus encryptor adalah jenis program Trojan yang tugasnya menginfeksi workstation pengguna, mengidentifikasi file dengan format yang diperlukan di dalamnya (misalnya, foto, rekaman audio, file video), kemudian mengenkripsinya dengan perubahan jenis file, seperti akibatnya pengguna tidak akan dapat membukanya lagi, tanpa program khusus dekoder. Ini terlihat seperti ini.

Format file terenkripsi

Format file yang paling umum setelah enkripsi adalah:

  • no_more_ransom
  • kubah

Konsekuensi dari virus ransomware

Saya akan menjelaskan kasus paling umum di mana virus encoder terlibat. Bayangkan pengguna biasa di organisasi abstrak mana pun, dalam 90 persen kasus, pengguna memiliki Internet di belakang tempat kerjanya, karena dengan bantuan itu ia membawa keuntungan bagi perusahaan, ia menjelajahi ruang Internet. Seseorang bukan robot dan dapat dialihkan perhatiannya dari pekerjaan dengan menjelajahi situs-situs yang menarik baginya, atau situs-situs yang disarankan oleh temannya. Sebagai hasil dari aktivitas ini, dia dapat menginfeksi komputernya dengan file encryptor tanpa mengetahuinya dan mengetahuinya ketika sudah terlambat. virus telah melakukan tugasnya.

Virus pada saat bekerja mencoba memproses semua file yang dapat diaksesnya, dan di sini dimulai bahwa dokumen penting di folder departemen, yang dapat diakses pengguna, tiba-tiba berubah menjadi sampah digital, file lokal, dan banyak lagi. . Jelas bahwa harus ada cadangan file bola, tetapi bagaimana dengan file lokal yang dapat membuat semua pekerjaan seseorang, sebagai akibatnya, perusahaan kehilangan uang untuk pekerjaan sederhana, dan administrator sistem keluar dari zona nyamannya dan menghabiskan waktunya untuk mendekripsi file.

Hal yang sama dapat terjadi pada orang biasa, tetapi konsekuensinya di sini bersifat lokal dan berhubungan secara pribadi dengan dia dan keluarganya, sangat menyedihkan melihat kasus ketika virus mengenkripsi semua file, termasuk arsip foto keluarga dan orang tidak memiliki salinan cadangan. , yah, tidak biasa bagi pengguna orang biasa untuk melakukannya.

Dengan layanan cloud, semuanya tidak sesederhana itu, jika Anda menyimpan semuanya di sana dan tidak menggunakan klien tebal di sistem operasi Windows Anda, itu satu hal, di sana 99% Anda tidak dalam bahaya, tetapi jika Anda menggunakan, misalnya, "Yandex disk" atau "Mail Cloud" menyinkronkan file dari komputer Anda ke sana, kemudian terinfeksi dan setelah menerima bahwa semua file dienkripsi, program akan mengirimkannya langsung ke cloud dan Anda juga akan kehilangan segalanya.

Akibatnya, Anda melihat gambar yang mirip dengan ini, di mana Anda diberitahu bahwa semua file dienkripsi dan Anda perlu mengirim uang, sekarang ini dilakukan dalam bitcoin agar tidak mengetahui penyerang. Setelah pembayaran, Anda seharusnya dikirimi dekoder dan Anda akan memulihkan semuanya.

Jangan pernah mengirim uang ke scammers

Ingatlah bahwa tidak ada satu pun antivirus modern yang saat ini dapat memberikan perlindungan windows terhadap ransomware, untuk satu alasan sederhana bahwa Trojan ini tidak melakukan apa pun yang mencurigakan dari sudut pandangnya, ia pada dasarnya berperilaku seperti pengguna, ia membaca file, menulis, tidak seperti virus, ia tidak coba ubah file sistem atau tambahkan kunci registri, itulah sebabnya deteksinya sangat sulit, tidak ada garis yang membedakannya dari pengguna

Sumber trojan ransomware

Mari kita coba mengidentifikasi sumber utama penetrasi encoder ke komputer Anda.

  1. E-mail > sangat sering orang menerima email aneh atau palsu dengan tautan atau lampiran yang terinfeksi, dengan mengklik di mana korban mulai mengatur malam tanpa tidur. Saya memberi tahu Anda cara melindungi email, saya menyarankan Anda untuk membacanya.
  2. Melalui perangkat lunak- Anda mengunduh program dari sumber yang tidak dikenal atau situs palsu, program tersebut berisi virus encoder, dan ketika Anda menginstal perangkat lunak, Anda memasukkannya ke dalam sistem operasi.
  3. Melalui flash drive - orang masih sangat sering pergi satu sama lain dan membawa banyak virus melalui flash drive, saya menyarankan Anda untuk membaca "Melindungi flash drive dari virus"
  4. Melalui kamera ip dan perangkat jaringan yang memiliki akses ke Internet - sangat sering karena pengaturan bengkok pada router atau kamera ip yang terhubung ke jaringan lokal, peretas menginfeksi komputer di jaringan yang sama.

Bagaimana melindungi PC Anda dari virus ransomware

Penggunaan komputer yang benar melindungi terhadap ransomware, yaitu:

  • Jangan buka email yang tidak Anda kenal dan jangan ikuti tautan yang tidak dapat dipahami, tidak peduli bagaimana mereka sampai kepada Anda, baik itu surat atau salah satu utusan
  • Instal pembaruan sistem operasi Windows atau Linux secepat mungkin, mereka tidak dirilis sesering, sekitar sebulan sekali. Jika kita berbicara tentang Microsoft, maka ini adalah hari Selasa kedua setiap bulan, tetapi dalam hal penyandi file, pembaruan mungkin tidak normal.
  • Jangan hubungkan flash drive yang tidak dikenal ke komputer Anda, minta teman Anda untuk mengirim tautan yang lebih baik ke cloud.
  • Pastikan bahwa jika komputer Anda tidak perlu tersedia di jaringan lokal untuk komputer lain, lalu matikan aksesnya.
  • Batasi hak akses ke file dan folder
  • Menginstal solusi antivirus
  • Jangan menginstal program yang tidak dapat dipahami yang diretas oleh seseorang yang tidak dikenal

Semuanya jelas dengan tiga poin pertama, tetapi saya akan membahas dua sisanya secara lebih rinci.

Nonaktifkan akses jaringan ke komputer Anda

Ketika orang bertanya kepada saya bagaimana perlindungan terhadap ransomware diatur di windows, hal pertama yang saya sarankan adalah orang-orang mematikan "Layanan Berbagi File dan Printer Jaringan Microsoft", yang memungkinkan komputer lain mengakses sumber daya komputer ini menggunakan jaringan Microsoft. Ini sama relevannya dari yang penasaran administrator sistem yang bekerja dengan ISP Anda.

Nonaktifkan layanan ini dan lindungi diri Anda dari ransomware dalam jaringan lokal atau penyedia, sebagai berikut. Tekan kombinasi tombol WIN + R dan di jendela yang terbuka, jalankan, masukkan perintah ncpa.cpl. Saya akan menunjukkan ini di komputer pengujian saya dengan sistem operasi Windows 10 Creators Update.

Pilihlah yang benar antarmuka jaringan dan klik kanan di atasnya, menu konteks pilih "Properti"

Kami menemukan item "Berbagi file dan printer untuk jaringan Microsoft" dan hapus centang, lalu simpan, semua ini akan membantu melindungi komputer dari virus ransomware di jaringan lokal, workstation Anda tidak akan tersedia.

Pembatasan hak akses

Perlindungan terhadap virus ransomware di windows dapat diimplementasikan dengan cara yang menarik, saya akan memberi tahu Anda bagaimana saya melakukannya sendiri. Jadi masalah utama dalam memerangi ransomware adalah bahwa antivirus tidak dapat melawannya secara real time, yah, mereka tidak dapat melindungi Anda saat ini, jadi mari kita menjadi lebih pintar. Jika virus penyandi tidak memiliki izin menulis, maka ia tidak akan dapat melakukan apa pun dengan data Anda. Sebagai contoh, saya memiliki folder foto, itu disimpan secara lokal di komputer, ditambah ada dua cadangan di tempat yang berbeda hard drive. Saya sendiri komputer lokal Saya membuatnya hanya-baca, untuk itu Akun di mana saya duduk di depan komputer. Jika virus sampai di sana, maka dia tidak akan memiliki cukup hak, seperti yang Anda lihat, semuanya sederhana.

Bagaimana menerapkan semua ini untuk melindungi diri Anda dari penyandi file dan menyimpan semuanya, kami melakukan hal berikut.

  • Pilih folder yang Anda butuhkan. Cobalah untuk menggunakan folder yang tepat, lebih mudah untuk menetapkan hak dengannya. Dan idealnya, buat folder bernama read-only, dan sudah taruh semua file dan folder yang Anda butuhkan di dalamnya. Hebatnya, dengan memberikan hak ke folder teratas, secara otomatis akan diterapkan ke folder lain di dalamnya. Setelah Anda menyalin semuanya file yang dibutuhkan dan folder di dalamnya, buka paragraf berikutnya
  • Klik kanan pada folder dan pilih "Properties" dari menu

  • Buka tab "Keamanan" dan klik tombol "Edit"

  • Kami mencoba menghapus grup akses, jika Anda mendapatkan jendela dengan peringatan bahwa "Tidak mungkin menghapus grup karena objek ini mewarisi izin dari induknya", lalu tutup.

  • Klik tombol "Lanjutan". Di item yang terbuka, klik "nonaktifkan warisan"

  • Ketika ditanya "Apa yang ingin Anda lakukan dengan izin yang diwarisi saat ini" pilih "Hapus semua izin yang diwarisi dari objek ini"

  • Akibatnya, di bidang "Izin", semuanya akan dihapus.

  • Kami menyimpan perubahan. Perhatikan bahwa sekarang hanya pemilik folder yang dapat mengubah izin.

  • Sekarang pada tab Keamanan, klik Edit

  • Selanjutnya, klik "Tambah - Lanjutan"

  • Kita perlu menambahkan grup "Semua Orang", untuk melakukan ini, klik "Cari" dan pilih grup yang diinginkan.

  • Untuk melindungi Windows dari ransomware, Anda harus memiliki izin yang ditetapkan untuk grup "Semua Orang", seperti pada gambar.

  • Itu saja, tidak ada virus encoder yang mengancam Anda untuk file Anda di direktori ini.

Saya berharap Microsoft dan solusi antivirus lainnya dapat meningkatkan produk mereka dan melindungi komputer dari ransomware hingga pekerjaan jahat mereka, tetapi sampai ini terjadi, ikuti aturan yang saya jelaskan kepada Anda dan selalu buat cadangan data penting.

© Hak Cipta 2022, Berita. Permainan. instruksi. Internet. Kantor