Какво е Ransomware (WannaCry между другото) и как да се защитите

В свят, в който се озоваваме все повече онлайн (всеки ден с по -голяма сила), където много от нас се чувстват много комфортно с начина, по който можем да изпълняваме ежедневните си задачи по дигитален начин. Трябва да разберем, че всичко това променя живота на всички нас, защото напълно зависим от този дигитален свят на всички нива, като например бизнеса, основните обществени системи, необходими за всяка страна и дори лични от дома.

За добро или за лошо, трябва да сме наясно с опасностите, които ни заплашват, тъй като например в днешно време не е необходимо да отидете в офис на банка, за да извършвате движения, но всичко се извършва чрез платформата на предприятието, Вече не използваме кореспонденция услуги, тъй като използваме социални мрежи, съобщения в чата и имейл, като сме свързани 24 часа в денонощието чрез мобилни телефони и компютри.

Всичко е взаимосвързано с едно щракване за актуализиране, така че хората да знаят какво, как или къде се намираме, наред с други функции и задачи. Това, което не се питаме е, Колко сме сигурни в този онлайн свят?, отговорът е прост, много малко сигурен.

Причината за това е, че с нарастването на възможностите да правим всичко онлайн, включително ежедневните ни задачи, нарастват и натрапници, атаки, компютърни вируси и т.н. Всички те се получават по различни начини и на множество платформи, където дори и да нямаме милиони евро или долари в банковите си сметки или сме признати в цял свят, ние сме склонни да бъдем атакувани по различни начини.

Ето защо днес в Solvetic се фокусираме върху обясняването на една от заплахите, която е на устните на всички поради нейните атаки по целия свят, която, макар и да не е нова, както си мислят много хора, набира скок скок и към която трябва да бъдем внимателен към всички необходими грижи.

Тази заплаха се нарича Ransomware и се надяваме, че моментът на четене на тази статия от ваша страна не е, защото вече сте попаднали в нея, особено за да можете да се защитите малко повече, независимо дали сте компания или нормален човек, който иска да избягва толкова, колкото възможна е тази и други подобни видове заплахи.

Нашата цел е всеки потребител или компания да предприеме необходимите мерки, за да не стане жертва на тази атака и винаги да носи отговорност за всичко, което правим в мрежата.

Какво е RansomwareПо същия начин, по който има отвличане на хора за икономически цели, в света на ИТ ransomware се превърна в атака за отвличане на данни Тъй като тази атака по същество има достъп до нашия компютър, криптира цялата информация и изисква определена сума пари за възстановяването й, това е толкова просто.

Произходът на името „Ransomware“ идва от комбинацията от две думи:

• Откуп (отвличане)
• посуда (софтуер)

Тази атака, известна още като измамник или плашещ софтуер, засяга потребителите от 2005 г. Въпреки че се е развила, се появяват различни видове, усъвършенстващи и намиращи слабости, където могат лесно да се разпространят. Оставяме ви видео, което ви обяснява по изключителен начин, за да го разберете на всички нива.

Как работи RansomwareRansomware използва поредица от стъпки, при които за съжаление първата е дадена от жертвата, когато я изпълнява, тези стъпки са:

• Системно сканиране чрез USB устройства, измамнически имейли и др.

• Инсталиране в системата, когато заразеният файл работи.

• Избор на файлове за шифроване.

• Шифроване на избрани данни, използващи в момента 2048-битов RSA.

• Съобщения до жертвата, използващи различни алтернативи от имейли до гласови съобщения

• Изчакване на плащане с помощта на средства като биткойни, MoneyPak, Ukash и cashU, наред с други.

• Изпращането на ключовете за криптиране на жертвата, но това не е 100% сигурно. (Можем да кажем, че НЕ ще ви го изпратят, не препоръчваме да плащате).

Както виждаме, това е верига, която ние самите можем да прекъснем от самото начало. В света на интернет и дигиталното, хората трябва да бъдат научени, че е много по -добре винаги да мислиш лошо и ще бъдеш прав. Бъдете предпазливи и не бъдете един от тези, които с радост отварят всички получени прикачени файлове, или влизат в който и да е уебсайт и инсталират всяка програма без колебание.

1. Видове атаки срещу Ransomware

Има някои видове тази атака, известни в целия свят, като:

WannaCry ransomwareТова е Напоследък по -известен рансъмуер защото е извършил атаки срещу много екипи от компании и хора по целия свят. Това е криптографски рансъмуер, но си струва да го каталогизираме отстрани, тъй като се появи, както знаете в новините по целия свят, поради атаки, извършени в много различни страни. Важно е да се коментира, че това не е ново, както си мислят много хора, тъй като се готви в много екипи от дълго време. На следващото изображение можете да видите къде се извършват.

В интернет има много опасни вируси и атаки, но WannaCry ransomware е един от най -лошите.

По принцип можем да кажем, че го считаме за един от най -лошите, защото изпълнява чисто криптиране на множество много важни файлове с мощен алгоритъм и ключ, което затруднява повторното им получаване. Също така е важно да се посочи лекотата на изпълнение, която тя трябва да предава и изпълнява на всички мрежови устройства.

WannaCry Декрипторът прониква във вашия компютър, особено по имейл, и когато го стартирате, без да го осъзнавате, той криптира информацията. Сериозното е, че след като всички файлове на компютъра са криптирани, те се репликират през мрежата на други сървъри, компютри и т.н. Всичко, което сте свързали с мрежови устройства, също може да бъде криптирано. Така че е нормално, след като компютърът е заразен, той да се разпространи на почти всички в мрежата.

За репликацията си той се възползва от пропуските в системите, особено в Windows. Затова се препоръчва винаги да ги актуализирате с всички пластири, за да избегнете толкова лесното им копиране от едната страна на другата.

Това поведение обяснява защо се препоръчва да изключите компютрите, така че да не продължава да шифрова и разпространява. Поради тази причина, в случай на вътрешно заразяване, първото нещо, което компаниите обикновено искат, е да изключат и изключат всички компютри, така че те да не продължават да шифроват файлове и да увеличат проблема. Те ще трябва да намерят източника и да възстановят всички засегнати компютри и сървъри.

Шифроването на вашите файлове е много търсена техника за защита на поверителността на вашите най -поверителни файлове. Тази атака използва много силни алгоритми за криптиране, които не могат да бъдат нарушени, ако нямате ключа. Сега по -късно навлизаме по -дълбоко в този тип Ransomware.

Крипто откупващ софтуерТози тип атака използва алгоритми за напреднали нива и основната й функция е да блокира системни файлове, където за достъп до тях трябва да платим сума, понякога висока, пари.

В този тип откриваме CryptoLocker, Locky, TorrentLocker, също WannaCry и др.

MBR ransomwareЗнаем, че MBR (Master Boot Record) управлява стартирането на операционната система и този тип атака е отговорна за промяна на стойностите на зареждащите сектори, за да попречи на потребителя да стартира нормално своята операционна система.

WinlockerТази атака се основава на SMS, текстови съобщения, при които се изисква изпращане на текстово съобщение до платежен сайт с присвоен код, за да се отключат файловете.

МозайкатаТази атака е отговорна за периодично изтриване на файлове, така че жертвата да почувства натиска да плати откупа, за да не загуби по -ценна информация.

С тази атака на всеки час файлът се елиминира от компютъра, докато се извърши плащането, и като допълнителен, но не окуражаващ детайл, мозайката премахва до хиляда файла от системата всеки път, когато компютърът се рестартира и осъществява достъп до операционната система.

KimcilwareС тази атака ние сме жертви на криптиране на данни на нашите уеб сървъри и за това той използва уязвимостите на сървъра и по този начин криптира бази данни и файлове, хоствани там, установявайки неактивността на уебсайта.

МактубТова е атака, която се разпространява чрез измамни имейли и компресира засегнатите файлове, преди да ги шифрова.

Външният му вид е като PDF или текстов файл, но когато се изпълнява, във фонов режим, без да знаем, той е инсталиран на компютъра и обикновено са необходими големи пари за възстановяване на данни.

SimpleLocker, Linux.Encoder.1 и KeRangerТези атаки изпълняват основно своята роля на мобилни и компютърни устройства, за да блокират съдържанието им. SimpleLocker засяга SD картата на устройства с Android чрез криптиране на файлове. Linux.Encoder.1 и KeRanger обработват криптиране на данни в операционни системи Linux и Mac OS.

ЦерберТова може да бъде един от най -страшните потребители, особено системите с Windows, тъй като тази атака има достъп до звука на операционната система, за да излъчва съобщения, а не е правилно мотивираща или последните новини от Microsoft.

Тази атака генерира VBS файл, наречен " # DECRYPT MY FILES # .vbs", който е на 12 различни езика и излъчва заплашителни съобщения и изисква плащане за възстановяване на данни.

Както можете да видите, откриваме различни видове атаки срещу ransomware (Имайте предвид, че има и ще има още много видове), които го правят латентна заплаха и ако все още не вярваме, нека погледнем тези данни, те ще продължат да се покачват много бързо:

• В света има около 500 000 жертви на Cryptolocker атаката.

• Организация в Южна Америка е платила около 2500 щатски долара за извличане на техните данни.

• 1,44% от жертвите на TorrentLocker са платили откупа.

• Атаки се извършват по целия свят с типа WannaCry, където се казва, че събраната сума до момента е между около 7 500-25 000 щатски долара. (Не плащайте).

Както казахме в началото, не препоръчваме да плащате този откуп за използвания ключ за шифроване. Не е 100% потвърдено, че те ще ви го дадат и като имате предвид, че ще насърчите повече киберпрестъпници да се появят, когато видите, че за тях има сочен „бизнес“. Имайте предвид също, че може да има някои по -практически решения, които ще обясним в следващите раздели.

Говорили сме за напредъка на технологиите, но рансъмуерът също се е развил, тъй като днес има атака PHP Ransomware или WannaCry Ransomware, които криптират всички важни данни и в някои случаи, без да искат откуп или плащане за шифрованите данни, сред които са файлове със следните разширения:

zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso, между другото, които подробно описваме в следващите раздели.

Имайте предвид, че те ще се увеличат или променят и затова не е добре да мислите, че определен тип файл е свободен за „отвличане“.

2. Целта на Ransomware

Въпреки че много атаки срещу ransomware се случват на организационно ниво, където информацията е много по -чувствителна и поверителна, нападателите, които създават тези вируси, не определят граници, домашните потребители също са слабо място по причини като:

• Малко или никакви познания за компютърната сигурност.

• Не разполагат с антивирусни приложения в операционните си системи.

• Имайте отворени и несигурни мрежи.

• Не създавайте постоянни архиви на информацията.

• Не актуализирайте редовно операционната система и приложенията за сигурност.

• За неправилно използване на интернет услуги.

Може да нямаме ценна информация, но ако имаме жертви на криптиране на нашата информация Без съмнение ще бъдем жертви, когато това ще ни повлияе, че можем да продължим ежедневните си операции по нормален начин, например на образователно, лично или бизнес ниво.

Създателите на ransomware също не са забравени, всъщност те са цел номер 1, тъй като с тях те получават следните предимства:

• Те са мястото, където могат да нанесат най -много щети, със сочен икономически потенциал, за да платят откуп.

• Повишена нестабилност при криптиране на чувствителни заплати, финанси, човешки ресурси и др.

• Възможност за засягане на по -голям брой оборудване и услуги.

• Уязвимости, представени в сървърите или клиентските компютри.

• За да дестабилизирате важни точки от страните и ако не вярвате в това, погледнете последните новини, където болниците в Лондон, компании като Telefónica в Испания и др. Са засегнати.

Можем да потвърдим, че това е нов формат на световната войнаТова не е изстрелване на бомби, но може да бъде същото или по -болезнено, отколкото си представяме.

Техники за разпространение на RansomwareКакто видяхме по -рано, има различни видове атаки срещу ransomware и някои от техниките, използвани за разпространението им, са:

• Изпращане на измамни имейли.

• Уеб пренасочване към фалшиви сайтове.

• Текстови съобщения.

• Уязвимости, открити на ниво защита на сървъри или клиентски компютри.

• Зловредни рекламни кампании.

• Правни уебсайтове, които имат злонамерен код в съдържанието си.

• Автоматично разпространение между устройства.

3. Препоръки да се предпазим от злонамерен софтуер Ransomware

Като се има предвид, че рансъмуерът взима толкова много сила и е много лесно да бъдем жертви, има редица опции, които ще ни помогнат да бъдем внимателни към този тип атаки и да избегнем да бъдем друга жертва. Някои съвети са:

Направете защитно копиеМожем да ви кажем, че това е най -важното нещо, което трябва да се прави както в организации, така и на лично ниво. Наличието на резервно копие ни спасява от проблеми не само от злонамерен софтуер, вируси и атаки, но също така ни предпазва от физически хардуерни грешки, които могат да възникнат на дискове, компютри, сървъри и т.н. Следователно архивирането е необходимо и жизненоважно.

Това е решение, което трябва да се прилага постоянно и по възможност на дискове и външни устройства, или имате възможност (на лично ниво) да го направите на места като облака, Dropbox, OneDrive и т.н., но това, което препоръчваме повечето са сървъри или външни устройства винаги ще имаме наличността и целостта на файловете.

Важно е да ви кажа, че трябва да се има предвид, че този злонамерен софтуер (червей) Ransomware перфектно атакува и също криптира в единиците, които сте свързали в този момент, включително тези в облака, така че не забравяйте да прекъснете връзката, а не винаги го свързвайте, ако не го използвате.

Видяхме как протича тази атака на WannaCry ransomware (и други предишни версии) ще извърши криптиране на връзки в облака на заразените компютри. Те бяха копирани в акаунтите в Dropbox, Google Drive или OneDrive, тъй като свързването им като мрежово устройство може перфектно да вижда тези файлове и следователно също да бъде криптирано и изтрито. Добрата част е, че в рамките на тези системи имате възможност също да възстановите данните, тъй като след като вашите данни бяха криптирани в облака, те изтриха и оригиналните файлове, така че ако сте били заразени в облака, не се притеснявайте, е възможно да ги възстановите, като следвате този урок.

Оставяме ви тук най -добрите начини да правите резервни копия, резервни копия в различните системи, които можем да имаме. Вашата информация е на първо място, представете си какво би се случило в случай на загуба, ако е важна, не се колебайте и правете чести резервни копия.

Оставяме ви още безплатни алтернативи за програми за архивиране на Windows, Linux или Mac.

Преглед на файловите разширенияТова е фундаментален аспект, тъй като заразените файлове са изпълними, .exe и са маскирани като PDF, DOC, XLS файлове и т.н., така че при активиране на опцията за преглед на разширенията ще знаем дали файлът е Solvetic.pdf или Solvetic. Pdf.exe (заразен).

Не отваряйте подозрителни или неизвестни имейлиЗа съжаление се увличаме от изяви и отваряме фалшиви имейли от нашата банка, социалната мрежа, фактури с прикачени файлове в PDF или Excel с макроси и т.н. и зад него идва заразеният файл.

Много пъти получаваме съобщения от официални лица, посочващи, че имаме правни проблеми, или от банката с искане за въвеждане на информацията, други, посочващи, че имаме гласови съобщения и т.н., но всички те имат прикачен файл, на който очакват да щракнем на, във фонов режим, заразете компютъра.

Повтаряме, много внимателно в прикачените файлове, които отваряме, по подразбиране винаги трябва да сте подозрителни. При най -малкото съмнение ви препоръчваме да не го отваряте или да проверявате преди това:

• Вижте добре имейл адреса на изпращача в пълен размер (не само фалшивото име, което са поставили).

• Преглед на вида и разширението на прикачения файл. Дори ако изпращачът е известен, той може да е бил заразен и автоматично да препрати злонамерения софтуер или вируса с неговия акаунт в целия му списък с контакти. (вие сте възможна жертва).

• Вижте добре текста и темата на съобщението, преди да го отворите.

• Проверете IP адреса на подателя и държавата на произход на този адрес, като въведете IP адреса от мрежа, която геолокализира бързо и удобно.

Ако най -малко не се доверявате, не го отваряйте, по -добре е да не внимавате и да го изтриете, отколкото да се заразите. Обърнете внимание на съобщенията за спам, които вашият имейл мениджър може да ви даде.

Увеличете

Филтрирайте .exe разширения в имейлВ случай, че имате пощенски сървъри, които позволяват филтриране на типове файлове, това е идеално Нека филтрираме всички имейли, които съдържат .exe разширение тъй като това могат да бъдат заразени файлове за кражба на личната ни информация.

Деактивирайте файловете, изпълнени от пътя на AppData или LocalAppDataАко използваме операционни системи Windows, можем да създадем правила в защитната стена и да отваряме или затваряме портове, които предотвратяват изпълнението на програми от пътя на AppData или LocalAppData, тъй като оттам това е един от сайтовете, където Cryptolocker, наред с други видове Ransomware, инсталира вашия инфекции. Ако сте системен администратор на Windows Server, можете да приложите GPO към защитните стени на всички машини в мрежата.

Постоянна актуализация на систематаРазработчиците на операционни системи и на антивирусни програми, програми за защита от злонамерен софтуер и програми за сигурност като цяло периодично пускат нови актуализации, които включват подобрения в пропуските в сигурността и това може да ни помогне да не бъдем жертви на ransomware.

Не забравяйте, че това е необходимо и важно актуализирайте операционната система, а също и приложенията за сигурност.

Ако сте системен администратор и управлявате компании със сървъри на Windows Server, наред с други. Не забравяйте, че можете да контролирате актуализациите на всички компютри на вашата компания чрез сървъра с WSUS и да ги принудите да решат, като зададете графици, които ви интересуват, винаги да се актуализирате.

Използвайте програми за блокиране на добавкиМного злонамерени уебсайтове създават изскачащи прозорци, които изискват щракване върху тях, за да могат да ги затворят и в този процес може да се окажем преди изтеглянето и инсталирането на скрита заплаха от ransomware. Те вече са интегрирани в повечето браузъри и е възможно да ги активирате в опциите за сигурност.

Използването на тези програми предотвратява показването на тези прозорци и по този начин ние придобиваме ниво на сигурност в нашите системи.

Деактивирайте RDPRDP (Протокол за отдалечен работен плот) позволява отдалечена връзка с други компютри, за да предостави помощ или поддръжка, но Ransomware може да използва този протокол, по -специално Cryptolocker, WannaCry и др. за достъп до компютри и заразяването им, поради което е важно да се предотврати активирането на този протокол, ако не се използва.

Този урок показва как да активирате RDP (отдалечен работен плот) в Windows 10, 8, 7. Просто следвайте стъпките, които обясняват там, но в частта за проверка или премахване на отметката го оставете деактивиран.

Прекъснете връзката с мрежатаВ случай на изпълнение на подозрителен файл, не трябва да чакаме, докато инсталационният процес приключи, тъй като не знаем каква цел ще има, в този случай най-разумното и отговорно нещо е незабавното изключване от мрежата, Wi-Fi или Ethernet, с Това е за предотвратяване на комуникация със сървъра, който може да въведе вируса.

Можем директно да деактивираме WiFi или да премахнем кабела RJ45, който сме свързали с оборудването.

Деактивирайте изпълнението на макроси в OfficeТова е един от най -често срещаните начини рансъмуерът да зарази и стартира. Ако не сте напреднало ниво, където използвате макроси в Microsoft Excel, Word, PowerPoint или Outlook (В бизнес екипите е по -добре да ги деактивирате по подразбиране), препоръчваме да ги деактивирате.

Тези макроси се вмъкват в обикновен .docx или .xlsx файл или имейли, където просто отваряйки го, може да използвате този тип ransomware или друг вид злонамерен софтуер или вирус.

Следвайте тези стъпки, за да ги деактивирате:

• Деактивирайте макросите на Outlook

• Деактивирайте макроси Word, Excel и PowerPoint

Тук ви оставяме повече официална информация на Microsoft по този въпрос и управлението на настройките за сигурност на Office.

Блокиране на портовеЗнаем, че портовете в операционна система позволяват или не комуникация между локалния компютър и външната мрежа.

Добра практика е, ако управляваме специално сървъри, да блокираме портовете:

• UDP 137, 138

• TCP 139, 445 или деактивирайте SMBv1.

В следната връзка на Microsoft откриваме как да извършим този процес безопасно:

Използвайте ShadowExplorerЦелта на Wanna Decryptor 2.0 е да премахне всички системни снимки веднага след стартиране на .exe файл след заразяване.

ShadowExplorer ни позволява да скрием тези снимки на атаката Wanna Decryptor и по този начин да имаме надеждно архивиране в случай на атака.

Този инструмент може да бъде изтеглен на следната връзка:

4. Инструменти за защита или възстановяване на криптирани файлове от Ransomware

Microsoft публикува изявление на Откуп: Win32.WannaCrypt където той коментира, че всички потребители, които използват безплатен антивирусен софтуер за Windows или имат активна система Windows Update и актуализирана до последната версия, са защитени.

Те препоръчват на тези, които имат софтуер за защита от злонамерен софтуер от всеки друг доставчик, да се свържат с тях, за да потвърдят състоянието на тяхната защита.

Хубавото е, че Microsoft също е поставяла актуализация на защитата преди WannaCrypt рансъмуер достъпно за всички, които имат неподдържани версии на Windows, като Windows XP, Windows 8 и Windows Server 2003. Изтеглете и инсталирайте сега, за да се защитите!

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP вграден SP3 x86

Ако искате да видите за други системи, като Windows Vista или Windows Server 2008, проверете тази връзка на търсачката за актуализация на защитата на Microsoft Windows. Ще видите, че този пластир е рефериран (KB4012598).

Ето официално ръководство на Microsoft за атаката срещу ransomware на WannaCrypt.

В допълнение към всичко това, разработчиците на приложения за сигурност ни предлагат възможността да изтегляме безплатно множество инструменти, които ще бъдат от жизненоважно значение за откриване или декриптиране на криптирани файлове, очевидно не валидни за всички видове Ransomware, но те ще продължат да растат, тъй като тези, които защитават в ИТ сигурността те също напредват и предлагат решения. Не забравяйте, че най -ефективният начин е да възстановите файловете, които са ни шифровали от архива, който сме направили, но ви оставяме някои публикувани инструменти, за да можете да го декриптирате:

• Alcatraz Ransomware Решение: Изтеглете
• Apocalypse Ransomware Решение: Изтеглете
• BadBlock Ransomware Решение: Изтеглете
• Crypt888 Ransomware Решение: Изтеглете
• Legion Ransomware Решение: Изтеглете
• Изтегляне на Cryptolocker Ransomware Solution

Тук можете да видите някои опции за решение за декриптиране на повече видове Ransomware за възстановяване на вашата информация.

• Karspersky Ransomware Tools
• Avast Ransomware Tools
• Wanakiwi (Инструмент, който помага за декриптиране на WannaCry, не забравяйте да не рестартирате, след като сте били заразени, и стартирайте този инструмент. Ще можете да възстановите информация в Windows XP, Windows 7 и Windows Server 2003, 2008).

Като защита трябва да вземем предвид това защитата срещу злонамерен софтуер е основна, която трябва да притежават всички компютри освен добър антивирус. Като препоръка на инструментите за защита срещу злонамерен софтуер препоръчваме:

• Kaspersky WindowsUnlocker: Изтеглете
• Malwarebytes 3.0: Изтегляне
• OSHI Defender: Изтеглете
• Hitman Pro: Изтеглете
• BitDefender Anti-Crypto. Изтегли
• Trendmicro Ransomware Screen Unlocker: Изтеглете
• Microsoft Enhanced смекчаване и опит инструментариум (EMET): Изтеглете

Оставяме ви и анти-злонамерен софтуер за Linux и Mac:

• LMD / Clamav (Linux)
• Най-добрият анти-злонамерен софтуер (Mac)

Като допълнителен инструмент, фокусиран върху защита срещу WannaCry Ransomware, Препоръчваме NoMoreCry Tool от инструмента на CCN-CERT защото позволява предотвратяване изпълнението на WannaCry Ransomware.

Трябва да им благодарим за този голям принос от CCN-CERT (CNI).

Този инструмент работи във всички версии на Windows и е достъпен за използване от всички компании. Това, което прави, е да създаде мутекс (алгоритъм за взаимно изключване) на компютъра, на който го инсталирате, и предотвратява изпълнението на злонамерения код WannaCry 2.0.

CCN-CERT NoMoreCry инструмент се намира в облака CCN-CERT, LORETO. Ще намерите допълнителен скрипт, който предотвратява изпълнението на зловреден софтуер на компютри с Windows (всички версии, както английски, така и испански).

Ние просто изтегляме файла NoMoreCry_mutex Y NoMoreCry-v0.4.exe (версиите ще бъдат актуализирани). И двата файла трябва да са в една и съща папка.

При изпълнението му ще се появи следното съобщение:

Не забравяйте, че всеки път, когато влизате, трябва да го стартирате отново. CCN-CERT показва, че инструментът трябва да се стартира след всяко рестартиране. Затова препоръчваме да го включите при стартиране на Windows (ако е за някой с персонален компютър). Просто би било да добавите този инструмент с неговия изпълним пряк път в папката стартиращи програми:

• + R
• Пише: черупка: стартиране и натиснете Enter.
• Поставете пряк път за този инструмент тук.

Имате го и в .MSI, за да го поставите в GPO. (Това за sysadmins). Този процес може също да бъде автоматизиран чрез промяна на системния регистър на Windows или чрез прилагане на политики за GPO в домейна.

Като последна препоръка за инструментите за защита. Разбира се, нека не забравяме да имаме инсталиран антивирус в различните операционни системи, които имаме, в тези връзки поставяме най -доброто от тази година и най -вече безплатно, ако не се предпазите, това е, защото не искате.

• Безплатна антивирусна програма за Windows
• Безплатен антивирус за Linux
• Безплатен антивирус за Mac

Инструментите за сигурност имат за цел да защитят нашата информация срещу ransomware, но фундаментално първата стъпка на защита е в нас защото нови вируси, троянски коне, зловреден софтуер, атаки и т.н. винаги ще се появяват.

Помнете и отново споменаваме, че в повечето от тези ransomware след шифроване на вашите файлове, изтрийте и оригинала, така че в случай, че някоя техника не работи и сте били малко отговорни, когато нямате резервни копия на вашите данни, е възможно да опитате да възстановите изтритите файлове от вашия компютър (след като ransomware е елиминиран, както е обяснено по -долу глава по -долу).

За това препоръчваме да имате под ръка този друг урок с колекция от безплатни програми за възстановяване на изтрити файлове.

5. Как да премахнете и защитите WannaCry Ransomware Attack

WannaCry е един от най -новите ransomware, който се разпространява по света и засяга както организациите, така и обикновените потребители, като шифрова техните данни и изисква големи суми пари. В този урок сме говорили много за този вид рансъмуер, но в този раздел се фокусираме върху това как да го премахнем, след като сме били заразени с него.

Ако сте един от тези, които изведнъж се появяват прозореца с горното съобщение, вие сте заразени:

Съобщение за WannaCry Ransomware (английски)
Упс файловете ви са криптирани!

Какво се случи с Моят компютър?

Вашите важни файлове са криптирани.

Много от вашите документи, снимки, видеоклипове, бази данни и други файлове вече не са достъпни, защото са криптирани. Може би сте заети да търсите начин да възстановите файловете си, но не губете времето си. Никой не може да възстанови вашите файлове без услуга за декриптиране.

Мога ли да възстановя файловете си?

Сигурен. Гарантираме, че можете да възстановите всичките си файлове безопасно и лесно. (Но нямате толкова време). Можете да опитате да декриптирате някои от вашите файлове безплатно. Опитайте сега, като щракнете. Ако искате да декриптирате всичките си файлове, трябва да платите.

Имате само 3 дни, за да изпратите плащането. След това цената ще се удвои. Освен това, ако не платите за 7 дни, няма да можете да възстановите файловете си завинаги.

Съобщение WannaCry Ransomware (испански)
Упс файловете ви са криптирани!

Какво се случи с моя компютър?

Вашите важни файлове са криптирани.

Много от вашите документи, снимки, видеоклипове, бази данни и други файлове вече не са достъпни, защото са криптирани. Може би сте заети да търсите начин да си върнете файловете, но не губете времето си. Никой не може да върне вашите файлове без услугата за декриптиране.

Мога ли да си върна файловете?

Разбира се. Гарантираме, че можете да възстановите всичките си файлове безопасно и лесно. (Но нямате достатъчно време). Можете да опитате да декриптирате някои от вашите файлове безплатно. Опитайте сега, като щракнете. Ако искате да декриптирате всичките си файлове, ще трябва да платите.

Имате само 3 дни, за да изпратите плащането. След това цената ще се удвои. Освен това, ако не платите до 7 дни, няма да можете да си върнете файловете завинаги.

Ако видите, че вашата компания или компютри имат този ransomware, това, което ще трябва да направите, е да спрете всички компютри, така че да не се репликира, нито да продължи да шифрова повече файлове. Изключете компютрите от мрежата и ги докоснете, за да откриете произхода.

За да премахнем този злонамерен софтуер в среда на Windows 10, ще извършим следния процес.

ВниманиеАко не сте на напреднало ниво, най -добре е да преинсталирате системата и да възстановите данните си от резервно копие, за да сте сигурни, че все още не сте заразени.

Етап 1
Преди всичко трябва да имаме достъп в безопасен режим, за да избегнем стартирането на някои услуги и процеси, за да видим как да осъществим достъп в безопасен режим, можем да отидем на следната връзка:

Стъпка 2
Второ, трябва да получим достъп до диспечера на задачите, като щракнем с десния бутон върху лентата със задачи и изберете съответната опция „Диспечер на задачите“.

След като отидем в раздела „Процеси“ и трябва да разгледаме онези процеси, които не ни се струват нормални, след като ги видим, щракваме с десния бутон върху него и избираме опцията „Отваряне на местоположението на файла“.

Този файл може да бъде сканиран с нашия антивирусен и / или антивирусен софтуер, защото вече знаем пътя и по този начин имаме съмнения. До този момент можем да определим целостта и надеждността на файла.

В случай, че не получим резултати, можем да отидем в хост файла на системата и там да проверим дали сме жертви.

За това отваряме менюто Run: (+ R) и въведете следния ред:

 бележник% windir% / system32 / Drivers / etc / hosts

Това ще покаже файла hosts. Ако забележите, че в долната част на външни IP адреси, различни от 127.0.0.1, се появяват нови записи и не ги познавате, те ще изглеждат така, сякаш са добавени от червея ransomware.

Стъпка 3
В допълнение към това можем да се консултираме с това програми или приложения влизат в системата при стартиране на системата, тъй като някои заразени файлове може да са от самото начало, за да проверим това, отиваме в раздела Стартиране в диспечера на задачите и проверяваме подробно кои приложения започват с Windows 10:

В случай, че видите нещо ненормално, просто го изберете и кликнете върху бутона Деактивиране. Препоръчваме ви да видите урока, който сме ви подготвили, защото ви учи как да го управлявате.

Стъпка 4
По -късно имаме достъп до редактора на системния регистър на Windows 10, като използваме клавишната комбинация + R и въвеждане на командата regedit.

Там отиваме на Редактиране / Търсене или използваме клавишите Ctrl + F и в показания прозорец ще потърсим име на ransomware:

Увеличете

Важно е да имате предвид, че не изтривате не-вирусни регистри, тъй като това би повлияло на стабилността на системата. Трябва да изтрием всички записи на вируси на следните места:

• % AppData%
• % LocalAppData%
• % ProgramData%
• % WinDir%
• % Temp%

По това време би било интересно да можем да стартираме приложения за анализ на нашето оборудване. Препоръчваме да прегледате четвъртата глава в този урок "Инструменти за защита или възстановяване на криптирани файлове от Ransomware " тъй като можем да намерим инструменти, които могат да помогнат за намирането и разрешаването на тази атака. Винаги трябва да вземем предвид коментираните препоръки, за да не попаднем в капана на Ransomware.

Ако сте един от тези, които не са направили резервно копие, имайте предвид, че може да е възможно да се възстановят изтритите данни, защото този злонамерен софтуер първо криптира вашите файлове и след това ги изтрива. След като сте премахнали този ransomware, препоръчваме да използвате инструменти за възстановяване на изтрити файлове. Някои можете да възстановите.

6. Как да премахнете и защитите Wanna Decryptor 2.0 Ransomware атака

От 16.05.17 г. продължаваме да виждаме много новини за разпространението на масираната Ransomware атака с вирус, наречен Искате да декриптирате 2.0 който се хоства на компютрите и също криптира информацията, използвайки комбинация от алгоритми RSA и AES-128-CBC, където заразените файлове, които са криптирани, автоматично имат разширение .WNCRY.

Така че, когато се опитаме да получим достъп до компютъра или някой от тези файлове, ще получим не толкова приятно съобщение:

Целта на тази масирана атака е да достигне до най -голям брой жертви и досега имаме следните цифри:

• Засегнати са над 150 държави.

• Повече от 200 000 души нападнаха в досиетата си.

• Досега са загубени над 55 000 щатски долара, плащайки „откуп“ за вашите файлове.

Най -лошото във всичко това е, че се опасява, че заплахата ще продължи да расте. Когато вирусът засегне нашите файлове, можем да видим, че те, както споменахме, имат разширението .WNCRY:

Можем да видим, че е създаден текстов файл, наречен @ Please_Read_Me @, където ще видим инструкциите, дадени от нападателя:

Увеличете

Можем да видим следното:

Всичко е насочено към това да плащаме минималната сума, която е 300 USD за възстановяване на информацията ни, тъй като ключът, който ни позволява да дешифрираме данните, не се хоства локално, а е на сървърите на нападателя.

Този вирус атакува компютри с операционни системи Windows във всичките си версии:

• Windows 7, 8.1
• Windows 10
• Windows Vista SP2
• Windows Server 2008/2012/2016

Solvetic иска да анализира задълбочено този проблем, за да предотврати всяка от тях да бъде още една жертва на тази масивна атака в световен мащаб и затова се опитваме да продължим да детайлизираме променливите, които се появяват, и някои начини за това как ще бъде възможно да се премахне тази заплаха от нашия компютър …

Препоръките вече са дадени подробно в други раздели над това ръководство, но ние посочваме основните.

• Дръжте нашите операционни системи актуализирани.

• Не отваряйте подозрителни имейли.

• Избягвайте изтеглянето на елементи от P2P сайтове.

• Инсталирайте антивирусни инструменти.

• Ако подозираме някаква необичайна дейност, трябва незабавно да изключим оборудването от мрежата.

Как се разпространява Wanna Decryptor 2.0
Това е основният въпрос, който много потребители си задават, тъй като като цяло внимаваме с информацията, с която боравим, или със сайтовете, които посещаваме. Е, този вирус се разпространява масово и като базова линия, използвайки имейли.

Въпреки че сме говорили много по темата, тя е често срещана и не варира много, за да можете да се заразите, когато видите различни известия в нашата спам тава, като например:

• Правни известия от всеки орган, показващи, че ще намерим причината за прикачения прикачен файл.

• Съобщения от нашите социални мрежи, показващи, че имаме нови съобщения.

• Искане от финансови организации за актуализиране на информацията и др.

Как да разберете дали Wanna Decryptor 2.0 е Ransomware
Причината е много проста, всеки вирус, който възпрепятства нормалния достъп до нашата информация или нашето оборудване и изисква всякакви пари за достъп, се класифицира като Ransomware.

Wanna Decryptor 2.0 атакува следните разширения, като ги променя на разширението .WNCRY. Основната цел на Wanna Decryptor е да шифрова важни файлове, които са много полезни за всеки потребител или компания, като например следното:

• Разширения за офис приложения: .ppt, .doc, .docx, .xlsx, .sx

• Разширения за приложения: .zip, .rar, .tar, .bz2, .mp4, .mkv

• Разширения на база данни: .sql, .accdb, .mdb, .dbf, .odb, .myd

• Пощенски разширения: .eml, .msg, .ost, .pst, .edb

• Разширения за програмисти: .php, .java, .cpp, .pas, .asm

• Ключове за шифроване и разширения на сертификати: .key, .pfx, .pem, .p12, .csr, .gpg, .aes

• Разширения за графичен дизайн: vsd, .odg, .raw, .nef, .svg, .psd

• Разширения за виртуални машини: .vmx, .vmdk, .vdi

Както виждаме, заплахата е латентна и широка. Ние сме особено загрижени за тези, които засягат основните сървъри като разширения на база данни, виртуални машини, жизненоважни сървърни файлове като .php, .java и др. Това може да доведе до спиране, може би дори по -обширно от най -простите файлове за възстановяване, като xlsx, pdf, docx и т.н.

Повтаряме, че това ще продължи да се развива и подобрява. Така че нека никога не подценяваме вашия напредък.

Ще обясним подробно какъв процес изпълнява Wanna Decryptor 2.0, за да поеме контрола върху нашите файлове.

• Първо, вирусът записва папка със случайни знаци по пътя C: \ ProgramData с името tasksche.exe или в пътя C: \ Windows с името на mssecsvc.exe а тиaskche.exe.

• След като тези папки бъдат записани, вирусът ще даде на тези файлове пълен контрол, като изпълни следното:

 Icacls. / предоставяне на всеки: F / T / C / Q

• След това използвайте следния скрипт за неговото изпълнение: XXXXXXXXXXXXXX.bat (Промяна на X за цифри и / или букви)

• Той ще използва своите хешове или крипто алгоритми от Wanna Decryptor 2.0. На този етап можем да използваме инструменти като антивирусна програма или антивирусен софтуер, за да локализираме тези хешове и да продължим с премахването им от системата.

• За да поеме пълен контрол, Wanna Decryptor 2.0 използва скрити TOR услуги с разширението .onion, както следва:

 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion

По този начин ще видим как той анализира всички наши налични единици, докато не намерим гореспоменатите файлови разширения и не продължим с тяхното криптиране и съответното плащане. Както казахме в други версии за това дали е възможно да се дешифрират файлове, криптирани от Wanna Decryptor 2.0 … отново ви казваме, че отговорът е не поради нивото на криптиране, използвано в процеса на AES-265 с RSA метод за криптиране което е завършено и няма инструмент, включително груба сила, способен да декриптира данните.

Следователно, както вече казахме в други раздели, ние сме принудени да възстановяваме информацията по други начини, като например:

• Възстановете информацията, която е била шифрована от предварително направени резервни копия.

• Възстановете оригиналната информация, която е била изтрита след криптирането й от wanna decryptor 2.0. Когато сме били атакувани от Wanna Decryptor 2.0, той първо създава копие на файловете, след това ги криптира и по -късно изтрива оригиналните, като поема пълния контрол. (Вижте раздела за инструменти за защита и възстановяване на данни)

• Използвайте Shadow Explorer по -рано и ще имаме възможност да спасим изтритите файлове от защитени томове (Имате връзка за изтегляне в раздела с препоръки, за да се предпазите от ransomware).

Като процес на елиминиране следвайте модела, обяснен по -рано в раздела WannaCry, влизайки в безопасен режим, проверявайки определени папки, където се хоства, премахвайки изпълнението на услуги и програми при стартиране на Windows и анализирайки с най -антивирусния инструмент, който харесвате (MalwareBytes , Hitman Pro, Windows Defender Offline са няколко от многото, които имаме на разположение за това сканиране).

И накрая, ако искате да знаете в реално време какво е текущото състояние на Wanna Decryptor 2.0 и да сте наясно с напредъка на тази атака с подробности като заразени компютри и потребители, държави, където вирусът е бил хостван, наред с други, можем да отидете на следната връзка:

Това ще наблюдаваме:

Увеличете

Там ще видим графиката със съответните засегнати сайтове, общо засегнатите компютри и т.н. В долната част ще видим графиките за това как тази атака се е увеличила в световен мащаб:

Увеличете

Препоръчваме ви да следвате тези съвети и да поддържате актуални резервни копия на най -подходящата информация.

Видяхме как се намираме в несигурен свят, който може да повлияе на живота ни по всяко време, но ако сме предпазливи и внимателни, със сигурност няма да бъдем друга жертва на ransomware, тъй като цялата ни сигурност зависи от нас.

Ето още уроци и статии за сигурността. Молим само да споделите този урок, за да можем всички да сме нащрек и малко по -сигурни пред заплахите, на които сме изложени ежедневно при използването на Интернет. Ще продължим ежедневните уроци за всички вас. Бъдете внимателни в Solvetic за ИТ и технологични решения, не само за сигурност, но и за всички области и нива.