Acasă / prezentare generală a ferestrelor / Actualizați Windows 7 de la un virus nou. Cum să te protejezi de ransomware într-un minut. Cum să vă recuperați de la virusul de criptare Wana Decrypt0r

Actualizați Windows 7 de la un virus nou. Cum să te protejezi de ransomware într-un minut. Cum să vă recuperați de la virusul de criptare Wana Decrypt0r

23.03.2021 prezentare generală a ferestrelor

  • Peste 200.000 de computere au fost deja infectate!
Principalele ținte ale atacului au vizat sectorul corporativ, urmat de companiile de telecomunicații din Spania, Portugalia, China și Anglia.
  • Cea mai mare lovitură a fost dată utilizatorilor și companiilor ruși. Inclusiv Megafon, Căile Ferate Ruse și, conform informațiilor neconfirmate, Comitetul de Investigație și Ministerul Afacerilor Interne. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.
Pentru decriptarea datelor, atacatorii cer o răscumpărare de la 300 la 600 de dolari în bitcoini (aproximativ 17.000-34.000 de ruble).

Rupe HDD sau unitate SSD la partiții în Windows 10

Harta interactivă a infecției (CLICK PE HARTĂ)
fereastra de răscumpărare
Criptează fișierele cu următoarele extensii

În ciuda țintirii virusului pentru a ataca sectorul corporativ, utilizatorul obișnuit nu este, de asemenea, imun la pătrunderea WannaCry și la posibila pierdere a accesului la fișiere.
  • Instrucțiuni pentru protejarea computerului și a datelor din acesta împotriva infecțiilor:
1. Instalați aplicația Kaspersky System Watcher, care are o funcție încorporată pentru a anula modificările cauzate de acțiunile unui criptator care a reușit totuși să ocolească instrumentele de protecție.
2. Utilizatorii programului antivirus de la Kaspersky Lab sunt sfătuiți să verifice dacă funcția de monitorizare a sistemului este activată.
3. Pentru utilizatorii de antivirus ESET NOD32 pentru Windows 10, a fost introdusă o funcție pentru a verifica dacă există noi actualizări disponibile ale sistemului de operare. In cazul in care ai avut grija din timp si ai avut-o pornit, atunci toate cele necesare noi actualizări de Windows va fi instalat și sistemul dumneavoastră va fi complet protejat de acest virus WannaCryptor și alte atacuri similare.
4. De asemenea, utilizatorii produselor ESET NOD32 au o astfel de funcție în program precum detectarea amenințărilor încă necunoscute. Această metodă se bazează pe utilizarea tehnologiei comportamentale, euristice.

Dacă un virus se comportă ca un virus, cel mai probabil este un virus.

Din 12 mai, tehnologia sistemului cloud ESET LiveGrid a avut mare succes în a respinge toate atacurile atacurilor acestui virus și toate acestea s-au întâmplat chiar înainte de sosirea actualizării bazei de date de semnături.
5. Tehnologiile ESET oferă securitate, inclusiv dispozitive cu sisteme anterioare Windows XP, Windows 8 și Windows Server 2003 ( vă recomandăm să nu mai utilizați aceste sisteme învechite). Datorită foarte nivel inalt amenințări, pentru datele sistemului de operare, Microsoft a decis să lanseze actualizări. Descărcați-le.
6. Pentru a minimiza amenințarea de a vă deteriora computerul, trebuie să actualizați urgent versiuni Windows 10: Start - Setări - Actualizare și securitate - Verificați actualizările (în alte cazuri: Start - Toate programele - Actualizare Windows - Căutați actualizări - Descărcați și instalați).
7. Instalați patch-ul oficial (MS17-010) de la Microsoft, care remediază o eroare în serverul SMB prin care poate pătrunde un virus. Acest server implicat în acest atac.
8. Verificați dacă toate instrumentele de securitate disponibile rulează și funcționează pe computer.
9. Efectuați o scanare antivirus a întregului sistem. Când un atac rău intenționat numit MEM:Trojan.Win64.EquationDrug.gen, reporniți sistemul.
Și încă o dată vă recomand să verificați dacă sunt instalate patch-urile MS17-010.

În prezent, specialiștii de la Kaspersky Lab, ESET NOD32 și alte produse antivirus lucrează activ la scrierea unui program pentru decriptarea fișierelor, care va ajuta utilizatorii computerelor infectate să restabilească accesul la fișiere.

Codificatorul WannaCry (Wana Decrypt0r) a devenit principala știre IT a weekendului. Puteți citi despre ea suficient de detaliat și. Și în această notă vor fi doar informații despre actualizările Windows care trebuie instalate și măsurile de detectare necesare.

Așadar, lista actualizărilor Windows care închid vulnerabilitatea, în funcție de versiunile sistemului de operare, plus link-uri:

Windows 10 versiunea 1511- KB4013198 (descărcare)

Windows 10 versiunea 1607 și Windows Server 2016- KB4013429 (descărcare)

Windows 8.1 și Windows Server 2012 R2- KB4012213 (descărcare) sau KB4012216 (descărcare)

Primul patch este o colecție de actualizări de securitate, al doilea pachet complet remedieri lunare. Vulnerabilitatea exploatată de WannaCry închide oricare dintre ele. Același lucru este valabil și pentru alte versiuni ale sistemului de operare, unde vor fi indicate două patch-uri.

Windows Embedded 8 Standard și Windows Server 2012- KB4012214 (descărcare) sau KB4012217 (descărcare)

Windows 7, Windows Embedded 7 Standard și Windows Server 2008 R2- KB4012212 (descărcare) sau KB4012215 (descărcare)

Windows XP, Windows Vista, Windows 8, Windows Server 2003, Windows Server 2008, WES09 și POSReady 2009- KB4012598 (descărcare)

După cum puteți vedea, Microsoft a introdus patch-uri pentru sistemele vechi care nu mai sunt acceptate.

Antivirusurile detectează deja Wana Decrypt0r, dar perspectivele pentru decriptarea fișierelor sunt încă dezamăgitoare. Citat de pe site-ul oficial al Kaspersky Lab:

Dacă fișierele dumneavoastră sunt criptate, este strict interzisă utilizarea celor oferite pe Internet sau primite în e-mailuri instrumente de decriptare. Fișierele sunt criptate cu un algoritm puternic și nu pot fi decriptate, iar utilitățile pe care le descărcați pot provoca și mai multe daune atât computerului dvs., cât și computerelor din întreaga organizație, deoarece sunt potențial rău intenționate și vizează un nou val al epidemiei.

Cel mai probabil, vârful infecțiilor s-a încheiat, deși în viitor, probabil că vor apărea încă câteva ransomware modificate. Cu toate acestea, nu vor mai fi la fel de noutăți ca WannaCry.

  1. Este mai, cunoaște-te cu WannaCry.
  2. Wanna este numele unui virus ransomware care și-a început activitatea pe 12 mai 2017, infectând computerele utilizatorilor și companiilor din 90 de țări. Microsoft a lansat oficial patch-uri pentru sistemele de operare mai vechi care nu mai sunt acceptate și sunt învechite. Lista plinași toate linkurile vor fi date la sfârșitul articolului.
    3. Cum apare Wanna?
  3. La fel ca toți virușii, ransomware-ul este greu de observat în timpul procesului de criptare dacă nu ați văzut din greșeală că fișierele se schimbă și devin cu o extensie diferită. De exemplu, cu acest virus, fișierele criptate vor arăta astfel: filename.png.WNCRY
  4. Mai jos este o hartă a infecției cu virus a țărilor în primele ore de infectare și răspândire, o hartă de la Sumantec.
  5. În plus, după cum virusul arată după ce a criptat fișierele, utilizatorului i se va afișa un mesaj și poate selecta limba corespunzătoare. Care raportează că fișierele tale sunt infectate și merg la pașii de plată, să spunem așa.
  6. A doua fereastră arată cât și cum trebuie să plătiți, transferați 300 de bitcoini. La fel și un cronometru cu numărătoare inversă.
  7. Fundalul desktopului și alte imagini de fundal arată mesajul:
  8. Fișierele criptate au o extensie dublă, de exemplu: numefișier.doc.WNCRY. Mai jos este cum arată:
  9. De asemenea, în fiecare folder există un fișier executabil @ [email protected] pentru decriptare după răscumpărare (posibil, dar cu greu), precum și Document text @[email protected]în care există ceva de citit utilizatorului (de asemenea, posibil, dar cu greu).
    10. Virusul criptează fișierele cu următoarele extensii:
  10. Vreau să remarc că printre extensiile pe care WannaCry le criptează, nu există nicio extensie 1C care să fie folosită în Rusia.
  11. De asemenea, vă rog să acordați atenție celui mai important lucru în restaurarea fișierelor după infecție. Este posibil dacă aveți protecția sistemului activată, și anume copierea umbra a volumului și sistemul de control al contului utilizatorului uac funcționează și funcționează cel mai probabil dacă nu l-ați dezactivat. Apoi virusul va oferi dezactivarea protecției sistemului astfel încât să nu fie posibilă restaurarea fișierelor criptate, și anume cele șterse după criptare. Desigur, în acest caz, nu există nicio modalitate de a nu fi de acord cu deconectarea. Arata asa:
    12. Portofelele Bitcoin sunt escroci.
  12. Cel mai interesant lucru aici este cum crește suma de pe portofelul escrocilor. portofel bitcoin:
  17. urmăriți vizitând măcar o dată pe zi cât de mult a crescut profitul escrocilor și veți fi surprinși, credeți-mă! Acesta este un serviciu obișnuit Wallet Bitcoin în care oricine își poate înregistra un portofel, nu este nimic de care să vă faceți griji dacă vă uitați la statisticile de reaprovizionare a portofelului.
  18. WannaCry 1.0 a fost distribuit prin spam și site-uri web. Versiunea 2.0 este identică cu prima versiune, dar i s-a adăugat un vierme, care sa propagat de la sine, ajungând pe computerele victimei printr-un protocol.
    19. Microsoft în lupta împotriva lui Wanna:
  19. Microsoft sugerează instalarea pachetelor de service pentru utilizatorii sistemelor de operare mai vechi:
    20. Windows Server 2003 SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Embedded SP3 x86
    Windows 8 x86
    Windows 8 x64
    Accesați oficial blogs.technet.microsoft
    Ce spune Kaspersky?
  20. Pe blogul oficial Kaspersky, procesul este descris mai detaliat și există mai multe completări pe care le puteți învăța, deși în limba engleză.
    21. securelist.
  21. Suplimentat cu articolul de asistență Kaspersky din 15 mai 2017:
    22. .
  22. De asemenea, puteți vizualiza o hartă interactivă a amenințărilor cibernetice și puteți afla răspândirea virusului în timp real:
    23. Card Intel malwaretech Virusul WannaCry 2.0:
  23. O altă hartă, dar special pentru virusul WannaCry2.0, răspândirea virusului în timp real (dacă harta nu a funcționat după tranziție, reîmprospătați pagina):
    24. Videoclipul Comodo Firewall 10 vs WannaCry Ransomware despre tehnologia de protecție:
    site-ul oficial.
    596 variante WannaCry
  24. Un laborator independent a descoperit 596 de mostre de WannaCrypt. Lista hash-urilor SHA256:
    25. De la autor:
  25. Voi adăuga pe cont propriu, deoarece folosesc protecția împotriva Comodo este 10 și în plus, dar cel mai bun antivirus ești tu însuți. După cum se spune, Dumnezeu salvează seiful și am o astfel de protecție pentru că pe măsură ce lucrez, trebuie să îndeplinesc diverse sarcini în care există un loc pentru ca atacurile de virus să se scurgă, să le numim așa.
  26. Dezactivați protocolul SMB1 pentru o perioadă până când instalați actualizări de securitate sau dacă nu aveți nevoie de el deloc folosind linia de comandă, rulați cmd ca administrator de sistem și dezactivați protocolul folosind dism, comanda:

    27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

  27. Precum și alte metode de activare și dezactivare a protocolului SMBv1,2,3 pe site-ul oficial Microsoft.
  28. În interfața grafică pentru dezactivarea protocolului, puteți face acest lucru: Panou de control> Adăugați sau eliminați programe (dezinstalați sau modificați un program)> Activați sau dezactivați Componentele Windows> mai multe poze mai jos.

Bună ziua, dragi cititori și oaspeți ai blogului, după cum vă amintiți, în mai 2017, un val de infecție pe scară largă a computerelor cu operare sistem Windows, un nou virus ransomware numit WannaCry, în urma căruia a reușit să infecteze și să cripteze datele de pe peste 500.000 de computere, gândiți-vă doar la această cifră. Cel mai rău lucru este această varietate viruși, practic nu este prins de soluțiile antivirus moderne, ceea ce îl face și mai amenințător, mai jos vă voi spune o metodă despre cum să vă protejați datele de influența lor și cum să te protejezi de ransomware pentru un minut, cred că vei fi interesat.

Ce este un virus codificator

Un virus de criptare este un tip de program troian a cărui sarcină este să infecteze stația de lucru a unui utilizator, să identifice fișierele cu formatul necesar pe ea (de exemplu, fotografii, înregistrări audio, fișiere video), apoi să le cripteze cu o schimbare a tipului de fișier, ca rezultat din care utilizatorul nu le va mai putea deschide, fără program special decodor. Arata cam asa.

Formate de fișiere criptate

Cele mai comune formate de fișiere după criptare sunt:

  • nu_mai_mai_răscumpărare
  • seif

Consecințele virusului ransomware

Voi descrie cel mai frecvent caz în care este implicat virusul codificator. Imaginați-vă un utilizator obișnuit în orice organizație abstractă, în 90 la sută din cazuri utilizatorul are internetul în spatele locului de muncă, deoarece cu ajutorul acestuia aduce profit companiei, navighează în spațiul de internet. O persoană nu este un robot și poate fi distrasă de la muncă navigând pe site-uri care sunt interesante pentru el sau pe site-uri pe care prietenul lui l-a sfătuit. Ca urmare a acestei activități, își poate infecta computerul cu un criptator de fișiere fără să știe și să afle despre el când este prea târziu. virusul si-a facut treaba.

Virusul în momentul lucrului încearcă să proceseze toate fișierele la care are acces și aici începe că documentele importante din folderul departamentului, la care utilizatorul are acces, se transformă brusc în gunoi digitale, fișiere locale și multe altele. . Este clar că ar trebui să existe copii de rezervă bile de fișiere, dar cum rămâne cu fișierele locale care pot alcătui toată munca unei persoane, ca urmare, compania pierde bani pentru o muncă simplă, iar administratorul de sistem iese din zona sa de confort și își petrece timpul decriptând fișierele.

La fel se poate întâmpla și unei persoane obișnuite, dar consecințele aici sunt locale și se referă personal la el și familia lui, este foarte trist să vezi cazuri când un virus a criptat toate fișierele, inclusiv arhivele foto de familie și oamenii nu aveau o copie de rezervă. , ei bine, nu este obișnuit ca utilizatorii obișnuiți să o facă.

Cu serviciile cloud, totul nu este atât de simplu, dacă stocați totul acolo și nu folosiți un client gros în sistemul dvs. de operare Windows, un lucru este, acolo în 99% nu sunteți în pericol, dar dacă utilizați, de exemplu, „Disc Yandex” sau „mail Cloud” sincronizează fișierele de pe computer cu acesta, apoi se infectează și după ce a primit că toate fișierele sunt criptate, programul le va trimite direct în cloud și, de asemenea, vei pierde totul.

Drept urmare, vezi o poză asemănătoare cu aceasta, în care ești informat că toate fișierele sunt criptate și trebuie să trimiți bani, acum acest lucru se face în bitcoins pentru a nu da seama de atacatori. După plată, se presupune că ar trebui să vi se trimită un decodor și veți restaura totul.

Nu trimite niciodată bani escrocilor

Amintiți-vă că nici un singur antivirus modern nu poate oferi în prezent protecție Windows împotriva ransomware, dintr-un simplu motiv că acest troian nu face nimic suspect din punctul său de vedere, în esență se comportă ca un utilizator, citește fișiere, scrie, spre deosebire de viruși, nu face încercați să schimbați fișierele de sistem sau să adăugați chei de registry, motiv pentru care detectarea acestuia este atât de dificilă, nu există nicio linie care să-l deosebească de utilizator

Surse de troieni ransomware

Să încercăm să identificăm principalele surse de penetrare a codificatorului în computer.

  1. E-mail > de foarte multe ori oamenii primesc email-uri ciudate sau false cu link-uri sau atașamente infectate, făcând clic pe care victima începe să aranjeze o noapte nedorită. Ți-am spus cum să protejezi e-mailul, te sfătuiesc să-l citești.
  2. Prin software- ați descărcat un program dintr-o sursă necunoscută sau un site fals, acesta conține un virus codificator, iar când instalați software-ul, îl introduceți în sistem de operare.
  3. Prin unități flash - oamenii încă merg foarte des unul la altul și poartă o grămadă de viruși prin unități flash, vă sfătuiesc să citiți „Protejarea unităților flash de viruși”
  4. Prin intermediul camerelor ip și al dispozitivelor de rețea care au acces la Internet - de foarte multe ori din cauza setărilor strâmbe ale unui router sau camerei ip conectate la o rețea locală, hackerii infectează computerele din aceeași rețea.

Cum să vă protejați computerul de un virus ransomware

Utilizarea corectă a computerului protejează împotriva ransomware-ului, și anume:

  • Nu deschide e-mailuri pe care nu le cunoști și nu urmezi link-uri de neînțeles, indiferent cum ajung la tine, fie că este e-mail sau oricare dintre mesageri
  • Instalați actualizări ale sistemului de operare Windows sau Linux cât mai repede posibil, acestea nu sunt lansate la fel de des, cam o dată pe lună. Dacă vorbim despre Microsoft, atunci aceasta este a doua zi de marți a fiecărei luni, dar în cazul criptoarelor de fișiere, actualizările pot fi anormale.
  • Nu conectați unități flash necunoscute la computer, cereți-le prietenilor să trimită o legătură mai bună către cloud.
  • Asigurați-vă că, dacă computerul dvs. nu trebuie să fie disponibil în retea locala pentru alte computere, apoi dezactivați accesul la acesta.
  • Restricționați drepturile de acces la fișiere și foldere
  • Instalarea unei soluții antivirus
  • Nu instalați programe de neînțeles piratate de cineva necunoscut

Totul este clar cu primele trei puncte, dar mă voi opri mai detaliat asupra celor două rămase.

Dezactivați accesul la rețea la computer

Când oamenii mă întreabă cum este organizată protecția împotriva ransomware-ului în Windows, primul lucru pe care îl recomand este ca oamenii să dezactiveze „Serviciul de partajare a fișierelor și imprimantelor Microsoft Networks”, care permite altor computere să acceseze resurse acest calculator folosind rețele Microsoft. Este la fel de relevant pentru curioși administratorii de sistem care funcționează cu ISP-ul tău.

Dezactivați acest serviciu și protejați-vă de ransomwareîntr-o rețea locală sau de furnizor, după cum urmează. Apăsați combinația de taste WIN + R și în fereastra care se deschide, executați, introduceți comanda ncpa.cpl. Voi arăta acest lucru pe computerul meu de testare cu sistemul de operare Windows 10 Creators Update.

Alegeți corect interfata reteași faceți clic dreapta pe el, meniul contextual selectați „Proprietăți”

Găsim elementul „Partajare fișiere și imprimante pentru rețele Microsoft” și îl debifăm, apoi îl salvăm, toate acestea vor ajuta la protejarea computerului de virusul ransomware din rețeaua locală, stația de lucru pur și simplu nu va fi disponibilă.

Restricționarea drepturilor de acces

Protecția împotriva virusului ransomware din Windows poate fi implementată într-un mod atât de interesant, vă voi spune cum am făcut-o pentru mine. Prin urmare, principala problemă în lupta împotriva ransomware-ului este că antivirusurile pur și simplu nu le pot lupta în timp real, ei bine, nu te pot proteja în acest moment, așa că haideți să fim mai inteligenți. Dacă virusul de criptare nu are permisiuni de scriere, atunci nu va putea face nimic cu datele dvs. Ca să dau un exemplu, am un folder foto, este stocat local pe computer, plus există două copii de rezervă pe diferite hard disk-uri. De unul singur calculator local Am făcut-o doar pentru citire, pentru asta cont sub care stau la calculator. Dacă virusul a ajuns acolo, atunci pur și simplu nu ar avea suficiente drepturi, după cum puteți vedea, totul este simplu.

Cum să implementați toate acestea pentru a vă proteja de criptatorii de fișiere și pentru a salva totul, facem următoarele.

  • Selectați folderele de care aveți nevoie. Încercați să utilizați exact folderele, este mai ușor să le atribuiți drepturi. Și, în mod ideal, creați un folder numit doar citire și puneți deja toate fișierele și folderele de care aveți nevoie în el. Ce este bine, prin atribuirea de drepturi folderului de sus, acestea vor fi aplicate automat altor foldere din acesta. Odată ce ai copiat totul fișierele necesareși folderele din el, mergeți la paragraful următor
  • Faceți clic dreapta pe folder și selectați „Proprietăți” din meniu

  • Accesați fila „Securitate” și faceți clic pe butonul „Editați”.

  • Încercăm să ștergem grupurile de acces, dacă primiți o fereastră cu un avertisment că „Este imposibil să ștergeți un grup deoarece acest obiect moștenește permisiunile de la părintele său”, atunci închideți-l.

  • Faceți clic pe butonul „Avansat”. În elementul care se deschide, faceți clic pe „dezactivați moștenirea”

  • Când ați întrebat „Ce doriți să faceți cu permisiunile moștenite curente” selectați „Eliminați toate permisiunile moștenite de la acest obiect”

  • Ca urmare, în câmpul „Permisiuni”, totul va fi șters.

  • Salvăm modificările. Rețineți că acum doar proprietarul folderului poate schimba permisiunile.

  • Acum, în fila Securitate, faceți clic pe Editare

  • Apoi, faceți clic pe „Adăugați - Avansat”

  • Trebuie să adăugăm grupul „Toți”, pentru a face acest lucru, faceți clic pe „Căutare” și selectați grupul dorit.

  • Pentru a proteja Windows de ransomware, trebuie să aveți permisiuni setate pentru grupul „Toți”, ca în imagine.

  • Asta este, niciun virus codificator nu te amenință pentru fișierele din acest director.

Sper că Microsoft și alte soluții antivirus vor reuși să-și îmbunătățească produsele și să protejeze computerele de la ransomware la munca lor rău intenționată, dar până când se întâmplă acest lucru, urmați regulile pe care vi le-am descris și faceți întotdeauna backup pentru datele importante.

© Copyright 2022, Știri. Jocuri. Instrucțiuni. Internet. Birou