Ce este Ransomware (WannaCry printre altele) și cum să vă protejați

Ce este Ransomware (WannaCry printre altele) și cum să vă protejați | Securitate 2025
Ce este Ransomware (WannaCry printre altele) și cum să vă protejați | Securitate 2025

Într-o lume în care ne găsim din ce în ce mai mult online (în fiecare zi cu mai multă forță) în care mulți dintre noi ne simțim foarte confortabili cu modul în care ne putem îndeplini sarcinile zilnice digital. Trebuie să înțelegem că toate acestea schimbă viața tuturor, deoarece depindem complet de această lume digitală la toate nivelurile, cum ar fi afacerile, sistemele publice de bază necesare pentru orice țară și chiar personalul de acasă.

În bine sau în rău, trebuie să fim conștienți de pericolele care ne amenință, deoarece de exemplu în zilele noastre nu este necesar să mergem la un birou bancar pentru a face mișcări, dar totul se face prin platforma entității, Nu mai folosim corespondența servicii deoarece folosim rețele sociale, mesaje de chat și e-mail, fiind conectați 24 de ore pe zi prin telefoane mobile și computere.

Totul este interconectat la un clic de a fi actualizat, astfel încât oamenii să știe ce, cum sau unde suntem, printre alte funcții și sarcini. Ceea ce nu ne întrebăm este, Cât de siguri suntem în această lume online?, răspunsul este simplu, foarte puțin sigur.

Motivul este că, pe măsură ce cresc opțiunile pentru a face totul online, inclusiv sarcinile noastre zilnice, crește și intrușii, atacurile, virușii computerizați etc. Toate sunt primite în moduri diferite și pe platforme multiple, unde chiar dacă nu avem milioane de euro sau dolari în conturile noastre bancare sau suntem recunoscuți în întreaga lume, suntem predispuși să fim atacați în moduri diferite.

De aceea, astăzi, la Solvetic, ne concentrăm pe explicarea uneia dintre amenințările care sunt pe buzele tuturor datorită atacurilor sale la nivel mondial, care, deși nu este nouă, așa cum cred mulți oameni, are un avânt rapid și la care trebuie să fim atent la toate îngrijirile necesare.

Această amenințare se numește Ransomware și sperăm că momentul citirii acestui articol din partea dvs. nu este pentru că ați căzut deja în el, mai ales pentru a vă putea proteja un pic mai mult, indiferent dacă sunteți o companie sau o persoană normală care dorește să evite cât de mult posibil acest lucru și alte tipuri similare de amenințări.

Scopul nostru este ca fiecare utilizator sau companie să ia măsurile necesare pentru a evita să fie victima acestui atac și să fie întotdeauna responsabili pentru tot ceea ce facem în rețea.

Ce este RansomwareÎn același mod în care există răpirea oamenilor în scopuri economice, în lumea IT ransomware a devenit un atac de deturnare de date Deoarece acest atac accesează practic computerul nostru, criptează toate informațiile și solicită o anumită sumă de bani pentru recuperarea acestuia, este atât de simplu.

Originea numelui „Ransomware” provine din combinația a două cuvinte:

  • Răscumpărare (răpire)
  • ware (Software)

Acest atac, cunoscut și sub numele de rogueware sau scareware, afectează utilizatorii din 2005. Deși a evoluat, apar diferite tipuri, perfecționând și găsind puncte slabe unde se poate răspândi cu ușurință. Vă lăsăm un videoclip care vă explică într-un mod excepțional pentru a-l înțelege la toate nivelurile.

Cum funcționează RansomwareRansomware folosește o serie de pași în care, din păcate, primul este dat de victimă atunci când îl execută, acești pași sunt:

  • Scanarea sistemului prin unități USB, e-mailuri înșelătoare etc.
  • Instalare pe sistem când rulează fișierul infectat.
  • Selectarea fișierelor de criptat.
  • Criptarea datelor selectate utilizând în prezent RSA de 2048 biți.
  • Mesaje către victimă folosind diverse alternative, de la e-mailuri la mesaje vocale
  • Așteptarea plății folosind mijloace precum bitcoins, MoneyPak, Ukash și cashU, printre altele.
  • Trimiterea cheilor de criptare către victimă, dar aceasta nu este 100% sigură. (Putem spune că NU vi-l vor trimite, nu vă recomandăm să plătiți).

După cum putem vedea, este un lanț pe care noi înșine îl putem rupe de la început. În lumea internetului și a digitalului, oamenii ar trebui învățați că este mult mai bine să gândești întotdeauna prost și vei avea dreptate. Fii precaut și nu fii unul dintre cei care deschid cu bucurie orice atașament primit sau care intră pe orice site web și instalează orice program fără ezitare.

1. Tipuri de atac Ransomware


Există câteva tipuri de atacuri cunoscute la nivel mondial, cum ar fi:

WannaCry ransomwareAcesta este În ultimul timp mai cunoscut ransomware deoarece a atacat multe echipe de companii și oameni din întreaga lume. Este un Ransomware criptografic, dar merită catalogat pe margine, deoarece a apărut așa cum știți în știrile din întreaga lume, din cauza atacurilor efectuate în multe țări diferite. Este important să comentăm că acest lucru nu este nou, așa cum cred mulți oameni, deoarece se gătește în multe echipe de mult timp. Puteți vedea în următoarea imagine unde sunt efectuate.

Există multe viruși și atacuri periculoase pe internet, dar WannaCry ransomware este una dintre cele mai rele.

Practic, putem spune că îl considerăm unul dintre cele mai rele, deoarece efectuează o criptare curată a mai multor fișiere foarte importante, cu un algoritm și o cheie puternice, ceea ce face foarte dificil să le aveți din nou. De asemenea, este important să subliniem ușurința de execuție pe care trebuie să o transmită și să o ruleze pe toate unitățile de rețea.

Vreau să plâng Decryptor pătrunde în computer, în special prin e-mail, și când îl rulați fără să vă dați seama, acesta criptează informațiile. Lucrul grav este că odată ce toate fișierele de pe computer sunt criptate, acestea sunt reproduse prin rețea pe alte servere, computere etc. Tot ce v-ați conectat la unitățile de rețea poate fi, de asemenea, criptat. Deci, este normal ca odată ce un computer este infectat, acesta să se răspândească practic la toată lumea din rețea.

Pentru replicarea sa, profită de lacunele din sisteme, în special în Windows. Așadar, este recomandat să le păstrați mereu actualizate cu toate patch-urile, pentru a evita faptul că este atât de ușor de reprodus de la o parte la alta.

Acest comportament explică de ce este recomandat să deconectați computerele, astfel încât să nu continue să cripteze și să se propage. Din acest motiv, în caz de infectare internă, primul lucru pe care companiile îl solicită în general este să oprească și să deconecteze toate computerele, toate astfel încât acestea să nu continue să cripteze fișiere și să crească problema. Ei vor trebui să găsească sursa și să restabilească toate computerele și serverele afectate.

Criptarea fișierelor dvs. este o tehnică foarte solicitată pentru a proteja confidențialitatea fișierelor dvs. cele mai confidențiale. Acest atac folosește algoritmi de criptare foarte puternici, care nu pot fi rupți dacă nu aveți cheia. Acum, mai târziu, vom aprofunda acest tip de Ransomware.

Crypto ransomwareAcest tip de atac folosește algoritmi de nivel avansat și funcția sa principală este de a bloca fișierele de sistem în care pentru a le accesa trebuie să plătim o sumă, uneori mare, de bani.

În cadrul acestui tip găsim CryptoLocker, Locky, TorrentLocker, de asemenea, WannaCry etc.

MBR ransomwareȘtim că MBR (Master Boot Record) gestionează pornirea sistemului de operare și acest tip de atac este responsabil pentru modificarea valorilor sectoarelor de boot pentru a împiedica utilizatorul să își pornească sistemul de operare în mod normal.

WinlockerAcest atac se bazează pe SMS, mesaje text, prin care necesită trimiterea unui mesaj text către un site de plată cu un cod atribuit pentru a debloca fișierele.

JigsawAcest atac este responsabil pentru ștergerea periodică a fișierelor, astfel încât victima să simtă presiunea de a plăti răscumpărarea pentru a nu pierde informații mai valoroase.

Cu acest atac în fiecare oră, un fișier este eliminat de pe computer până la efectuarea plății și, ca detaliu suplimentar, dar nu încurajator, puzzle-ul elimină până la o mie de fișiere din sistem de fiecare dată când computerul repornește și accesează sistemul de operare.

KimcilwareCu acest atac suntem victime ale criptării datelor pe serverele noastre web și pentru aceasta folosește vulnerabilitățile serverului și astfel criptează bazele de date și fișierele găzduite acolo, stabilind non-activitatea site-ului web.

MaktubAcesta este un atac care se răspândește prin e-mailuri frauduloase și comprimă fișierele afectate înainte de a le cripta.

Aspectul său este cel al unui fișier PDF sau text, dar atunci când este executat, în fundal, fără a fi conștienți de acesta, este instalat pe computer și sunt necesare de obicei sume mari de bani pentru recuperarea datelor.

SimpleLocker, Linux.Encoder.1 și KeRangerAceste atacuri își îndeplinesc practic rolul pe dispozitive mobile și PC-uri pentru a le bloca conținutul. SimpleLocker afectează cardul SD al dispozitivelor Android prin criptarea fișierelor. Linux.Encoder.1 și KeRanger gestionează criptarea datelor pe sistemele de operare Linux și Mac OS.

CerberPoate fi unul dintre cei mai înfricoșați utilizatori, în special sistemele Windows, deoarece acest atac accesează sunetul sistemului de operare pentru a emite mesaje, și nu motivațional în mod corespunzător sau ultimele știri de la Microsoft.

Acest atac generează un fișier VBS numit „# DECRYPT MY FILES # .vbs”, care este în 12 limbi diferite și emite mesaje amenințătoare și solicită plata pentru recuperarea datelor.

După cum puteți vedea, găsim diverse tipuri de atacuri ransomware (Rețineți că există și vor exista mult mai multe tipuri) care o fac o amenințare latentă și, dacă tot nu o credem, să analizăm aceste date, acestea vor continua să crească foarte repede:

  • Există în jur de 500.000 de victime ale atacului Cryptolocker în lume.
  • O organizație din America de Sud a plătit aproximativ 2.500 USD pentru a-și recupera datele.
  • 1,44% dintre utilizatorii victimelor TorrentLocker au plătit răscumpărarea.
  • Atacurile au loc în întreaga lume cu tipul WannaCry, unde se colectează până acum suma între 7.500-25.000 USD. (Nu plătiți).

Cum am spus la început, nu recomandăm plata acestei răscumpărări pentru cheia de criptare utilizată. Nu este verificat 100% că îți vor da acest lucru și, făcând acest lucru, reține că vei încuraja să apară mai mulți infractori cibernetici când vei vedea că există o „afacere” suculentă pentru ei. De asemenea, rețineți că pot exista anumite soluții mai practice pe care le explicăm în următoarele secțiuni.

Am vorbit despre avansarea tehnologiei, dar și ransomware-ul a evoluat, deoarece astăzi are loc atacul PHP Ransomware sau WannaCry Ransomware, care criptează toate datele importante și, în unele cazuri, fără a solicita răscumpărarea sau plata pentru datele criptate, printre care se află fișiere cu următoarele extensii:

zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso printre altele pe care le detaliem în următoarele secțiuni.

Rețineți că acestea vor crește sau vor varia și, prin urmare, nu este bine să credeți că un anumit tip de fișier este liber să fie „deturnat”.

2. Țintă Ransomware


Deși multe atacuri ransomware apar la nivel organizațional, unde informațiile sunt mult mai sensibile și confidențiale, atacatorii care creează aceste viruși nu stabilesc limite, utilizatorii casnici sunt, de asemenea, un punct slab din motive precum:
  • Puține sau deloc cunoștințe despre securitatea computerului.
  • Nu au aplicații antivirus pe sistemele de operare.
  • Aveți rețele deschise și nesigure.
  • Nu creați copii de rezervă constante ale informațiilor.
  • Nu actualizați regulat sistemul de operare și aplicațiile de securitate.
  • Pentru utilizarea necorespunzătoare a serviciilor de internet.

Este posibil să nu avem informații valoroase, dar dacă avem victime ale criptării informațiilor noastre Fără îndoială, vom fi victime acolo unde ne va afecta să ne putem continua operațiunile zilnice într-un mod normal, cum ar fi la nivel educațional, personal sau de afaceri.

Nici creatorii de ransomware nu au fost uitați, de fapt, sunt obiectivul numărul 1, deoarece cu ei obțin următoarele avantaje:

  • Aceștia pot face cele mai multe daune, cu un potențial economic suculent pentru ei de a plăti răscumpărare.
  • Instabilitate crescută la criptarea salariilor sensibile, finanțelor, resurselor umane etc.
  • Posibilitatea de a afecta un număr mai mare de echipamente și servicii.
  • Vulnerabilități prezentate pe servere sau computere client.
  • Pentru a destabiliza punctele importante ale țărilor și, dacă nu credeți acest lucru, uitați-vă la ultimele știri în care au fost afectate spitalele din Londra, companii precum Telefónica din Spania etc.

Putem certifica că acesta este nou format de război mondialNu trage bombe, dar poate fi la fel sau mai dureros decât ne imaginăm.

Tehnici de răspândire RansomwareDupă cum am văzut anterior, există diferite tipuri de atacuri ransomware și unele dintre tehnicile utilizate pentru a le răspândi sunt:

  • Trimiterea de e-mailuri frauduloase.
  • Direcționare web către site-uri false.
  • Mesaje text.
  • Vulnerabilități găsite la nivel de securitate pe servere sau computere client.
  • Campanii publicitare dăunătoare.
  • Site-uri legale care au coduri rău intenționate în conținutul lor.
  • Propagarea automată între dispozitive.

3. Recomandări pentru a ne proteja împotriva malware-ului Ransomware


Având în vedere că ransomware-ul ia atâta forță și este foarte ușor să fim victime, există o serie de opțiuni care ne vor ajuta să fim atenți la acest tip de atac și să evităm să fim o altă victimă. Câteva sfaturi sunt:

Faceți o copie de securitateVă putem spune că este cel mai important lucru care trebuie făcut atât în ​​organizații, cât și la nivel personal. Având o copie de rezervă, ne scutește de probleme nu numai de malware, viruși și atacuri, ci ne protejează și de erorile hardware fizice care pot apărea pe discuri, computere, servere etc. Prin urmare backupul este necesar și vital.

Este o soluție care trebuie implementată în mod constant și dacă este posibil pe discuri și unități externe, sau aveți opțiunea (la nivel personal) să o faceți în locații precum cloud, Dropbox, OneDrive etc., dar ce vă recomandăm majoritatea sunt servere sau unități externe, de asemenea vom avea întotdeauna disponibilitatea și integritatea fișierelor.

Este important să vă spunem că ar trebui să se țină cont de faptul că acest malware (vierme) Ransomware atacă perfect și, de asemenea, criptează în unitățile pe care le-ați conectat în acel moment, inclusiv cele din cloud, așa că nu uitați să deconectați conexiunea respectivă și nu întotdeauna îl aveți conectat, dacă nu, îl folosiți.

Am văzut cum acest atac al WannaCry ransomware (și alte versiuni anterioare) vor efectua o criptare a conexiunilor în norul computerelor care au fost infectate. Au fost reproduse în conturile Dropbox, Google Drive sau OneDrive, deoarece conectarea ca unitate de rețea ar putea vedea perfect aceste fișiere și, prin urmare, ar putea fi criptate și șterse. Partea bună este că, în cadrul acestor sisteme, aveți posibilitatea de a recupera și datele, deoarece odată ce datele dvs. au fost criptate în cloud, au șters și fișierele originale, așa că, dacă ați fost infectat în cloud, nu vă faceți griji, este posibil să le recuperați urmând acest tutorial.

Vă lăsăm aici cele mai bune modalități de a face copii de rezervă, copii de rezervă în diferite sisteme pe care le putem avea. Informațiile dvs. sunt pe primul loc, imaginați-vă ce s-ar întâmpla în caz de pierdere, dacă este importantă, nu ezitați și faceți copii de rezervă frecvente.

Vă lăsăm mai multe alternative gratuite pentru programele de rezervă pe Windows, Linux sau Mac.

Vizualizați extensiile de fișiereAcesta este un aspect fundamental, deoarece fișierele infectate sunt executabile, .exe și sunt camuflate ca fișiere PDF, DOC, XLS etc., astfel încât atunci când activăm opțiunea de a vedea extensiile, vom ști dacă un fișier este Solvetic.pdf sau Solvetic. Pdf.exe (infectat).

Nu deschideți e-mailuri suspecte sau necunoscuteDin păcate, ne lăsăm lăsați de aparențe și deschidem e-mailuri false de la banca noastră, rețeaua socială, facturi cu atașamente PDF sau Excel cu macrocomenzi etc. iar în spatele acestuia vine fișierul infectat.

De multe ori primim mesaje de la entități oficiale care indică faptul că avem probleme legale sau de la bancă care solicită introducerea informațiilor, altele indicând că avem mesaje vocale etc., dar toate au un atașament pe care se așteaptă să facem clic pe, în fundal, infectați computerul.

Repetăm, foarte atenți la atașamentele pe care le deschidem, în mod implicit ar trebui să fiți întotdeauna suspicios. În cea mai mică îndoială, vă recomandăm să nu îl deschideți sau să verificați acest lucru înainte de a face acest lucru:

  • Vedeți bine adresa de e-mail a expeditorului în întregime (nu doar numele fals pe care l-au pus).
  • Vizualizați tipul și extensia atașamentului. Chiar dacă expeditorul este cunoscut, este posibil să fi fost infectat și să transmită automat malware-ul sau virusul cu contul său la întreaga sa listă de contacte. (ești o posibilă victimă).
  • Vedeți bine textul și subiectul mesajului înainte de deschidere.
  • Verificați adresa IP a expeditorului și verificați țara de origine a acelei adrese, introducând adresa IP de pe un web care localizează geo rapid și confortabil.

Dacă nu vă încredeți cel mai puțin, nu-l deschideți, mai bine să nu fiți precauți și să-l ștergeți decât să vă infectați. Acordați atenție notificărilor de spam pe care managerul dvs. de e-mail vă poate oferi.

MARI

Filtrează extensiile .exe în e-mailÎn cazul în care aveți servere de e-mail care permit filtrarea tipurilor de fișiere, este ideal ca. Să filtrăm toate e-mailurile care conțin extensia .exe deoarece acestea pot fi fișiere infectate pentru a ne fura informațiile personale.

Dezactivați fișierele executate din calea AppData sau LocalAppDataDacă folosim sisteme de operare Windows, putem crea reguli în firewall și putem deschide sau închide porturi care împiedică executarea programelor din calea AppData sau LocalAppData, deoarece de acolo este unul dintre site-urile în care Cryptolocker, printre alte tipuri de Ransomware, instalează infecții. Dacă sunteți administrator de sistem Windows Server, puteți aplica GPO-uri pe firewall-urile tuturor mașinilor din rețea.

Actualizare constantă a sistemuluiDezvoltatorii de sisteme de operare și de programe antivirus, antimalware și de securitate, în general, lansează periodic noi actualizări care includ îmbunătățiri ale defectelor de securitate și acest lucru ne poate ajuta să nu fim victime ale ransomware-ului.

Amintiți-vă că este necesar și important actualizați sistemul de operare și, de asemenea, aplicațiile de securitate.

Dacă sunteți administrator de sisteme și gestionați companii cu servere Windows Server, printre altele. Amintiți-vă că puteți controla actualizările tuturor computerelor companiei dvs. prin intermediul serverului cu WSUS și forțați-i să decidă prin stabilirea unor programe care vă interesează să fiți mereu actualizat.

Utilizați programe de blocare a suplimentelorMulte site-uri web dăunătoare creează ferestre pop-up care necesită clic pe ele pentru a le putea închide și, în acest proces, ne putem găsi înainte de descărcarea și instalarea unei amenințări latente de ransomware. Acestea sunt deja integrate în majoritatea browserelor și este posibil să le activați în opțiunile de securitate.

Utilizarea acestor programe împiedică afișarea acestor ferestre și astfel dobândim un nivel de securitate în sistemele noastre.

Dezactivați RDPRDP (Remote Desktop Protocol) permite conectivitatea de la distanță la alte computere fie pentru a oferi asistență, fie suport, dar Ransomware poate utiliza acest protocol, mai precis Cryptolocker, WannaCry etc. pentru a accesa computerele și a le infecta, de unde este importanța prevenirii activării acestui protocol dacă nu este utilizat.

Acest tutorial arată cum să activați RDP (Remote Desktop) în Windows 10, 8, 7. Doar urmați pașii care explică acolo, dar în partea de verificare sau debifare, lăsați-l dezactivat.

Deconectați-vă de la rețeaÎn cazul executării unui fișier suspect, nu ar trebui să așteptăm până la finalizarea procesului de instalare, deoarece nu știm ce scop va avea, în acest caz, cel mai prudent și responsabil lucru este să ne deconectăm imediat de la rețea, Wi-Fi sau Ethernet, cu Acest lucru este pentru a preveni comunicarea cu serverul care poate introduce virusul.

Putem dezactiva direct WiFi-ul sau putem elimina cablul RJ45 pe care l-am conectat la echipament.

Dezactivați executarea macrocomenzilor în OfficeAceasta este una dintre cele mai frecvente modalități prin care ransomware-ul poate infecta și rula. Dacă nu sunteți un nivel avansat în care utilizați macrocomenzi în Microsoft Excel, Word, PowerPoint sau Outlook (în echipele de afaceri este mai bine să le dezactivați în mod implicit), vă recomandăm să le dezactivați.

Aceste macrocomenzi sunt inserate într-un fișier sau e-mail .docx sau .xlsx simplu, prin simpla deschidere a acestuia puteți rula acest tip de ransomware sau un alt tip de malware sau virus.

Urmați acești pași pentru a le dezactiva:

  • Dezactivați macrocomenzile Outlook
  • Dezactivați macrocomenzile Word, Excel și PowerPoint

Aici vă lăsăm mai multe informații oficiale Microsoft despre această problemă și despre gestionarea setărilor de securitate Office.

Blocarea portuluiȘtim că porturile dintr-un sistem de operare permit sau nu comunicarea între computerul local și rețeaua externă.

Este o bună practică, dacă gestionăm servere în special, să blocăm porturile:

  • UDP 137, 138
  • TCP 139, 445 sau dezactivați SMBv1.

În următorul link Microsoft găsim cum să efectuați acest proces în siguranță:

Utilizați ShadowExplorerScopul Wanna Decryptor 2.0 este de a elimina toate instantaneele de sistem de îndată ce un fișier .exe este rulat după infecție.

ShadowExplorer ne permite să ascundem aceste instantanee ale atacului Wanna Decryptor și astfel să avem o copie de siguranță fiabilă în caz de atac.

Acest instrument poate fi descărcat de la următorul link:

4. Instrumente pentru protejarea sau recuperarea fișierelor criptate de la Ransomware

Microsoft a lansat o declarație pe Răscumpărare: Win32.WannaCrypt unde comentează că toți utilizatorii care utilizează software antivirus gratuit pentru Windows sau care au sistemul Windows Update activ și actualizat la cea mai recentă versiune sunt protejați.

Aceștia recomandă celor care au software anti-malware de la orice alt furnizor, să îi contacteze pentru a confirma starea protecției lor.

Un lucru bun este că Microsoft a mai pus o actualizare de securitate WannaCrypt ransomware disponibil pentru toți cei care au versiuni de Windows neacceptate, cum ar fi Windows XP, Windows 8 și Windows Server 2003. Descărcați și instalați acum pentru a vă proteja!

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86

Dacă doriți să vedeți pentru alte sisteme, cum ar fi Windows Vista sau Windows Server 2008, verificați acest link al motorului de căutare pentru actualizarea securității Microsoft Windows. Veți vedea că se face referire la acest patch (KB4012598).

Iată un ghid oficial Microsoft pentru atacul ransomware WannaCrypt.

În plus față de toate acestea, dezvoltatorii de aplicații de securitate ne oferă posibilitatea de a descărca gratuit mai multe instrumente care vor fi vitale pentru detectarea sau decriptarea fișierelor criptate, evident nu sunt valabile pentru toate tipurile de Ransomware, dar vor continua să crească de la cele care protejează în Securitatea IT avansează și oferă soluții. Amintiți-vă că cel mai eficient mod este să restaurați fișierele care ne-au criptat din copia de rezervă pe care am făcut-o, dar vă lăsăm câteva instrumente publicate pentru a putea decripta:

  • Soluție Alcatraz Ransomware: Descărcare
  • Soluție Apocalypse Ransomware: Descărcare
  • Soluție BadBlock Ransomware: Descărcați
  • Soluție Crypt888 Ransomware: Descărcare
  • Soluția Legion Ransomware: Descărcați
  • Descărcare soluție Cryptolocker Ransomware

Aici puteți vedea câteva opțiuni de soluție pentru a decripta mai multe tipuri de Ransomware pentru a vă recupera informațiile.

  • Instrumente Karspersky Ransomware
  • Instrumente Avast Ransomware
  • Wanakiwi (Instrument care ajută la decriptarea WannaCry, nu uitați să nu reporniți odată ce ați fost infectat și lansați acest instrument. Veți putea recupera informații în Windows XP, Windows 7 și Windows Server 2003, 2008).

Ca protecție trebuie să ținem cont de faptul că anti-malware sunt o bază pe care ar trebui să o aibă toate computerele în afară de un bun antivirus. Ca recomandare a instrumentelor anti-malware, vă recomandăm:

  • Kaspersky WindowsUnlocker: Descărcați
  • Malwarebytes 3.0: Descărcare
  • OSHI Defender: Descărcare
  • Hitman Pro: Descărcare
  • BitDefender Anti-Crypto. Descarca
  • Trendmicro Ransomware Screen Unlocker: Descărcați
  • Setul de instrumente de reducere și experiență îmbunătățite Microsoft (EMET): Descărcați

De asemenea, vă lăsăm anti-malware pentru Linux și Mac:

  • LMD / Clamav (Linux)
  • Cel mai bun anti-malware (Mac)

Ca un instrument suplimentar axat pe protecție împotriva WannaCry Ransomware, iti recomandam Instrumentul NoMoreCry de instrumentul CCN-CERT pentru că permite împiedicați executarea WannaCry Ransomware.

Trebuie să le mulțumim pentru această mare contribuție din partea CCN-CERT (CNI).

Acest instrument funcționează pe toate versiunile de Windows și este disponibil pentru a fi utilizat de toate companiile. Ceea ce face este să creeze un mutex (algoritm de excludere reciprocă) pe computerul pe care îl instalați și împiedică executarea codului WannaCry 2.0 rău intenționat.

Instrumentul CCN-CERT NoMoreCry este situat în norul CCN-CERT, LORETO. Veți găsi un script complementar care împiedică executarea malware-ului pe computerele Windows (toate versiunile, atât în ​​engleză, cât și în spaniolă).

Pur și simplu descărcăm fișierul NoMoreCry_mutex Da NoMoreCry-v0.4.exe (versiunile vor fi actualizate). Și ambele fișiere trebuie să fie în același folder.

La executarea acestuia, va apărea următorul mesaj:

Amintiți-vă că de fiecare dată când vă conectați trebuie să îl rulați din nou. CCN-CERT indică faptul că instrumentul trebuie rulat după fiecare repornire. Așadar, vă recomandăm să îl includeți la pornirea Windows (dacă este pentru cineva cu un computer personal). Ar fi pur și simplu să adăugați acest instrument cu comanda rapidă executabilă în dosarul programelor de pornire:

  • + R
  • Scrie: shell: pornire și apăsați Enter.
  • Inserați aici comanda rapidă pentru acest instrument.

De asemenea, îl aveți în .MSI pentru al pune în GPO. (Asta pentru sysadmins). Acest proces poate fi automatizat și prin modificarea registrului Windows sau prin implementarea politicilor GPO în domeniu.

Ca o recomandare finală a instrumentelor de protecție. Desigur, să nu uităm să avem un antivirus instalat în diferitele sisteme de operare pe care le avem, în aceste linkuri punem cele mai bune din acest an și mai presus de toate gratuite, dacă nu te protejezi este pentru că nu vrei.

  • Antivirus Windows gratuit
  • Antivirus Linux gratuit
  • Antivirus gratuit pentru Mac

Instrumentele de securitate au ca obiectiv protejarea informațiilor noastre împotriva ransomware-ului, dar fundamental primul pas de protecție este în noi deoarece noi viruși, troieni, programe malware, atacuri etc. vor continua să apară întotdeauna.

Amintiți-vă și menționăm din nou că, în majoritatea acestor ransomware după ce v-ați criptat fișierele, ștergeți și originalul, deci, în cazul în care orice tehnică nu funcționează și ați fost puțin responsabil în cazul în care nu aveți copii de rezervă ale datelor dvs., este posibil să încercați să recuperați fișierele șterse de pe computer (odată ce ransomware-ul a fost eliminat, așa cum este explicat în cele ce urmează capitolul de mai jos).

Pentru aceasta vă recomandăm să aveți la îndemână acest alt tutorial cu o colecție de programe gratuite pentru recuperarea fișierelor șterse.

5. Cum se elimină și se protejează atacul WannaCry Ransomware

WannaCry este unul dintre cele mai recente ransomware care s-a răspândit în lume și afectează atât organizațiile, cât și utilizatorii obișnuiți, criptându-și datele și solicitând sume mari de bani. Am vorbit mult în acest tutorial despre acest tip de ransomware, dar în această secțiune ne concentrăm asupra modului de eliminare a acestuia odată ce am fost infectați cu el.

Dacă sunteți unul dintre cei care apar brusc fereastra cu mesajul de mai sus, sunteți infectat:

Mesaj WannaCry Ransomware (engleză)
Ooops, fișierele dvs. au fost criptate!

Ce s-a întâmplat cu computerul meu?

Fișierele dvs. importante sunt criptate.

Multe dintre documentele dvs., fotografii, videoclipuri, baze de date și alte fișiere nu mai sunt accesibile deoarece au fost criptate. Poate că sunteți ocupat să căutați o modalitate de a vă recupera fișierele, dar nu vă pierdeți timpul. Nimeni nu vă poate recupera fișierele fără serviciul de decriptare.

Pot recupera fișierele mele?

Sigur. Vă garantăm că vă puteți recupera toate fișierele în siguranță și ușor. (Dar nu aveți suficient timp). Puteți încerca să decriptați unele dintre fișierele dvs. gratuit. Încercați acum făcând clic. Dacă doriți să decriptați toate fișierele, trebuie să plătiți.

Aveți la dispoziție doar 3 zile pentru a trimite plata. După aceea, prețul va fi dublat. De asemenea, dacă nu plătiți în 7 zile, nu veți putea recupera fișierele pentru totdeauna.

Mesaj WannaCry Ransomware (spaniolă)
Ooops, fișierele dvs. au fost criptate!

Ce s-a întâmplat cu computerul meu?

Fișierele dvs. importante sunt criptate.

Multe dintre documentele, fotografiile, videoclipurile, bazele de date și alte fișiere ale dvs. nu mai sunt accesibile deoarece au fost criptate. Poate că sunteți ocupat să căutați o modalitate de a vă recupera fișierele, dar nu vă pierdeți timpul. Nimeni nu vă poate recupera fișierele fără serviciul de decriptare.

Îmi pot recupera fișierele?

Desigur. Vă garantăm că vă puteți recupera toate fișierele în siguranță și ușor. (Dar nu ai suficient timp). Puteți încerca să decriptați unele dintre fișierele dvs. gratuit. Încercați acum dând clic. Dacă doriți să vă decriptați toate fișierele, va trebui să plătiți.

Aveți doar 3 zile pentru a trimite plata. După aceea, prețul se va dubla. De asemenea, dacă nu plătiți în 7 zile, nu veți putea recupera fișierele pentru totdeauna.

Dacă vedeți că firma sau computerele dvs. au acest ransomware, ceea ce va trebui să faceți este să opriți toate computerele, astfel încât să nu fie replicate și nici să nu cripteze mai multe fișiere. Deconectați computerele de la rețea și atingeți-le pentru a detecta originea.

Pentru a elimina acest malware într-un mediu Windows 10, vom efectua următorul proces.

AtenţieDacă nu sunteți la un nivel avansat, cel mai bine este să reinstalați sistemul și să restaurați datele dintr-o copie de rezervă pentru a vă asigura că nu sunteți încă infectat.

Pasul 1
În primul rând trebuie să accesăm în modul sigur pentru a evita pornirea unor servicii și procese, pentru a vedea cum să accesăm în modul sigur putem accesa următorul link:

Pasul 2
În al doilea rând, trebuie să accesăm managerul de activități făcând clic dreapta pe bara de activități și selectând opțiunea corespunzătoare „Manager de activități”.

Odată ajuns acolo mergem la fila Procese și trebuie să ne uităm la acele procese care nu ni se par normale, odată văzute vom face clic dreapta pe ea și vom selecta opțiunea „Deschide locația fișierului”.

Acest fișier poate fi scanat cu software-ul nostru antivirus și / sau antimalware deoarece știm deja calea și, prin urmare, avem îndoieli. Până în acest moment putem determina integritatea și fiabilitatea fișierului.

În cazul în care nu obținem rezultate, putem merge la fișierul gazdelor sistemului și acolo să verificăm dacă suntem victime.

Pentru aceasta deschidem meniul Run: (+ R) și introduceți următoarea linie: 

 notepad% windir% / system32 / Drivers / etc / hosts
Aceasta va afișa fișierul hosts. Dacă observați că intrările noi apar în partea de jos la adrese IP externe, altele decât 127.0.0.1 și nu le cunoașteți, vor arăta ca și cum ar fi fost adăugate de viermele ransomware.

Pasul 3
În plus, putem consulta acest lucru programele sau aplicațiile se conectează la pornirea sistemului, deoarece unele fișiere infectate pot fi de la început, pentru a verifica acest lucru, mergem la fila Startup din Task Manager și verificăm în detaliu ce aplicații încep cu Windows 10:

În cazul în care vedeți ceva anormal, selectați-l și faceți clic pe butonul Dezactivare. Vă recomandăm să vedeți tutorialul pe care vi l-am pus pentru că vă învață cum să îl gestionați.

Pasul 4
Mai târziu, accesăm editorul de registry Windows 10 folosind combinația de taste + R și introducând comanda regedit.

Acolo mergem la Editare / Căutare sau folosim tastele Ctrl + F iar în fereastra afișată vom căuta numele ransomware:

MARI

Este important să rețineți că nu ștergeți registrele non-virus, deoarece acest lucru ar afecta stabilitatea sistemului. Trebuie să ștergem toate înregistrările de viruși în următoarele locații:

  • % Datele aplicatiei%
  • % LocalAppData%
  • % ProgramData%
  • % WinDir%
  • % Temp%

În acest moment ar fi interesant să putem rula aplicații pentru a ne analiza echipamentul. Vă recomandăm să revedeți al patrulea capitol din acest tutorial "Instrumente pentru protejarea sau recuperarea fișierelor criptate de la Ransomware " deoarece putem găsi instrumente care pot ajuta la găsirea și rezolvarea acestui atac. Trebuie să ținem cont întotdeauna de recomandările comentate pentru a evita căderea în capcana unui Ransomware.

Dacă sunteți unul dintre cei care nu au făcut o copie de rezervă, rețineți că ar putea fi posibil să recuperați datele șterse, deoarece acest malware mai întâi criptează fișierele și apoi le șterge. După ce ați eliminat acest ransomware, vă recomandăm să utilizați instrumentele de recuperare a fișierelor șterse. Unele le puteți recupera.

6. Cum se elimină și se protejează atacul Ransomware Wanna Decryptor 2.0


Începând cu 16.05.17, continuăm să vedem o mulțime de știri despre răspândirea atacului masiv Ransomware cu un virus numit Wanna Decrypt0r 2.0 care este găzduit pe computere și, de asemenea, criptează informațiile folosind o combinație de algoritmi RSA și AES-128-CBC în care fișierele infectate, care sunt criptate, au automat extensie .WNCRY.

Deci, atunci când încercăm să accesăm computerul sau oricare dintre aceste fișiere, vom primi un mesaj nu atât de plăcut:

Obiectivul acestui atac masiv este de a ajunge la cel mai mare număr de victime și până acum avem aceste cifre:

  • Peste 150 de țări afectate.
  • Peste 200.000 de persoane au atacat în dosarele lor.
  • Până acum s-au pierdut peste 55.000 USD plătind „răscumpărare” pentru fișierele dvs.

Cel mai rău lucru despre toate acestea este că se tem că amenințarea va continua să crească. Când virusul afectează fișierele noastre, putem vedea că acestea, așa cum am menționat, au extensia .WNCRY:

Putem vedea că este creat un fișier text numit @ Please_Read_Me @ unde vom vedea instrucțiunile date de atacator:

MARI

Putem vedea următoarele:

Totul este destinat să plătim suma minimă, care este de 300 USD pentru a ne recupera informațiile, deoarece cheia care ne permite să decriptăm datele nu este găzduită local, ci se află pe serverele atacatorului.

Acest virus atacă computerele cu sisteme de operare Windows în toate versiunile sale:

  • Windows 7, 8.1
  • Windows 10
  • Windows Vista SP2
  • Windows Server 2008/2012/2016

Solvetic dorește să analizeze în profunzime această problemă pentru a preveni ca fiecare dintre ei să fie încă o victimă a acestui atac masiv la nivel mondial și de aceea încercăm să continuăm să detaliați variabilele care apar și câteva modalități despre cum va fi posibilă eliminarea acestei amenințări de pe computerul nostru .

Recomandările au fost deja prezentate în detaliu în alte secțiuni de mai sus ale acestui manual, dar le indicăm pe cele fundamentale.

  • Păstrați sistemele noastre de operare actualizate.
  • Nu deschideți e-mailuri suspecte.
  • Evitați descărcarea articolelor de pe site-urile P2P.
  • Instalați instrumente antivirus.
  • Dacă suspectăm orice activitate neobișnuită, trebuie să deconectăm imediat echipamentul de la rețea.

Cum se răspândește Wanna Decryptor 2.0
Aceasta este întrebarea de bază pe care ne-o pun mulți utilizatori, deoarece, în termeni generali, suntem atenți cu informațiile pe care le gestionăm sau cu site-urile pe care le vizităm. Ei bine, acest virus se răspândește masiv și ca bază, folosind e-mailuri.

Deși am vorbit mult despre subiect, este comun și nu variază prea mult pentru a ne putea infecta atunci când vedem diferite notificări în tava noastră de spam, cum ar fi:

  • Notificări legale ale oricărei autorități care indică faptul că vom găsi motivul citației atașat.
  • Mesaje din rețelele noastre sociale care indică faptul că avem mesaje noi.
  • Solicitare de către entitățile financiare de actualizare a informațiilor etc.

Cum să știți dacă Wanna Decryptor 2.0 este Ransomware
Motivul este foarte simplu, orice virus care împiedică accesul normal la informațiile sau echipamentele noastre și solicită orice sumă de bani pentru acces este clasificat ca Ransomware.

Wanna Decryptor 2.0 atacă următoarele extensii modificându-le la extensia .WNCRY. Obiectivul fundamental al Wanna Decryptor este de a cripta fișiere importante care sunt foarte utile pentru fiecare utilizator sau companie, cum ar fi următoarele:

  • Extensii de aplicații Office: .ppt, .doc, .docx, .xlsx, .sx
  • Extensii de aplicație: .zip, .rar, .tar, .bz2, .mp4, .mkv
  • Extensii de baze de date: .sql, .accdb, .mdb, .dbf, .odb, .myd
  • Extensii de e-mail: .eml, .msg, .ost, .pst, .edb
  • Extensii pentru dezvoltatori: .php, .java, .cpp, .pas, .asm
  • Chei de criptare și extensii de certificat: .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Extensii de design grafic: vsd, .odg, .raw, .nef, .svg, .psd
  • Extensii de mașini virtuale: .vmx, .vmdk, .vdi

După cum putem vedea, amenințarea este latentă și largă. Suntem preocupați în special de cele care afectează serverele principale, cum ar fi extensiile bazei de date, mașinile virtuale, fișierele vitale ale serverului, cum ar fi .php, .java etc. Acest lucru poate provoca o oprire poate chiar mai extinsă decât cele mai simple fișiere de restaurat, cum ar fi xlsx, pdf, docx etc.

Repetăm ​​că acest lucru va continua să evolueze și să se îmbunătățească. Deci, să nu ne subestimăm niciodată progresul.

Vom explica în detaliu ce proces execută Wanna Decryptor 2.0 pentru a prelua controlul asupra fișierelor noastre.

  • În primul rând, virusul scrie un folder cu caractere aleatorii în calea C: \ ProgramData cu numele tasksche.exe sau în calea C: \ Windows cu numele de mssecsvc.exe și tuaskche.exe.
  • Odată ce aceste foldere au fost scrise, virusul va oferi acestor fișiere control deplin executând următoarele:
 Icacls. / acorda tuturor: F / T / C / Q
  • Apoi utilizați următorul script pentru executarea acestuia: XXXXXXXXXXXXXXX.bat (Schimbați X pentru numere și / sau litere)
  • Acesta își va folosi hash-urile sau algoritmii de criptare de la Wanna Decryptor 2.0. În acest moment putem folosi instrumente precum antivirus sau antimalware pentru a localiza aceste hashuri și a continua cu eliminarea lor din sistem.
  • Pentru a prelua controlul complet, Wanna Decryptor 2.0 folosește servicii TOR ascunse cu extensia .onion după cum urmează:
 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion
În acest fel vom vedea cum analizează toate unitățile noastre disponibile până când vom găsi extensiile de fișiere menționate mai sus și vom continua cu criptarea și plata respectivă. Așa cum am spus în alte versiuni despre dacă este posibilă decriptarea fișierelor criptate de Wanna Decryptor 2.0 … vă spunem din nou că raspunsul este nu datorită nivelului de criptare utilizat în procesul de AES-265 cu o metodă de criptare RSA care este complet și nu există un instrument, inclusiv forța brută, capabil să decripteze datele.

Prin urmare, așa cum am spus deja în alte secțiuni, suntem obligați să recuperăm informațiile în alte moduri, cum ar fi:

  • Recuperați informațiile care au fost criptate din copiile de rezervă făcute anterior.
  • Recuperați informațiile originale care au fost șterse după criptarea lor de către wanna decryptor 2.0. Când am fost atacați de Wanna Decryptor 2.0, acesta creează mai întâi o copie a fișierelor, apoi le criptează și ulterior le șterge pe cele originale, preluând controlul deplin. (A se vedea secțiunea privind instrumentele de protecție și recuperare a datelor)
  • Folosiți anterior Shadow Explorer și vom avea posibilitatea de a salva fișierele șterse din volume protejate (Aveți linkul de descărcare în secțiunea de recomandări pentru a vă proteja de ransomware).

Ca proces de eliminare, urmați modelul explicat anterior în secțiunea WannaCry, intrând în modul sigur, verificând anumite foldere unde este găzduit, eliminând executarea serviciilor și programelor la pornirea Windows și analizând cu cel mai antimalware instrument. Vă place (MalwareBytes , Hitman Pro, Windows Defender Offline sunt câteva dintre multele pe care le avem disponibile pentru această scanare).

În cele din urmă, dacă doriți să știți în timp real care este starea actuală a Wanna Decryptor 2.0 și să fiți conștienți de progresul acestui atac cu detalii precum computerele infectate și utilizatorii, țările în care a fost găzduit virusul, printre altele, putem accesați următorul link:

Acesta este ceea ce observăm:

MARI

Acolo vom vedea graficul cu site-urile afectate respective, calculatoarele totale afectate etc. În partea de jos vom vedea graficele despre cum a crescut acest atac la nivel mondial:

MARI

Vă recomandăm să urmați aceste sfaturi și să păstrați actualizate copiile de rezervă ale celor mai relevante informații.

Am văzut cum ne aflăm într-o lume nesigură care ne poate afecta viața oricând, dar dacă suntem prudenți și atenți, cu siguranță nu vom fi o altă victimă a ransomware-ului, întrucât toată securitatea noastră depinde de noi.

Iată mai multe tutoriale și articole despre securitate. Vă cerem doar să împărtășiți acest tutorial, astfel încât să fim cu toții în alertă și puțin mai siguri în fața amenințărilor la care suntem expuși zilnic în utilizarea internetului. Vom continua tutoriale zilnice pentru voi toți. Fiți atent la Solvetic pentru soluții IT și tehnologice, nu numai pentru securitate, ci pentru toate domeniile și nivelurile.

wave wave wave wave wave

Posturi Populare

wave
1
post-title
Programe gratuite pentru a crea USB Boot Linux, Windows sau Mac
2
post-title
Cum se activează notificările WhatsApp pe Xiaomi Mi A3
3
post-title
Cum se instalează Java 9 pe CentOS, Ubuntu sau Debian
4
post-title
Cele mai bune trucuri pentru a gestiona Inbox prin Gmail
5
post-title
Cum se șterge partiția de sistem EFI Windows 10

Recomandat

wave
- Sponsored Ad -

Alegerea Editorului

wave
- Sponsored Ad -