Шта је Рансомваре (између осталих и ВаннаЦри) и како се заштитити

У свету у којем се налазимо све више на интернету (сваки дан са све већом снагом) у коме се многи од нас осећају веома угодно у погледу начина на који дигиталне послове можемо обављати. Морамо схватити да све ово мења животе свих нас јер у потпуности зависимо од овог дигиталног света на свим нивоима, попут пословног, основних јавних система неопходних за сваку земљу, па чак и личних од куће.

У добру и у злу, морамо бити свјесни опасности које нам пријете, јер, на примјер, у данашње вријеме није потребно одлазити у банку ради кретања, већ се све ради путем платформе субјекта. Више не користимо дописивање услуге јер користимо друштвене мреже, поруке за ћаскање и е -пошту, а 24 сата дневно смо повезани путем мобилних телефона и рачунара.

Све је повезано једним кликом на ажурирање, тако да људи знају шта, како или где смо, између осталих функција и задатака. Оно што се не питамо је, Колико смо сигурни у овом свету на мрежи?, одговор је једноставан, врло мало сигуран.

Разлог за то је што, како расту могућности за обављање свега на мрежи, укључујући наше свакодневне задатке, тако расту и уљези, напади, рачунарски вируси итд. Сви они се примају на различите начине и на више платформи, гдје смо чак и ако немамо милионе еура или долара на банковним рачунима или смо признати широм свијета, склони нападима на различите начине.

Зато се данас у Солветицу усредсређујемо на објашњење једне од претњи које су свима на уснама услед његових напада широм света, који иако није нов како многи мисле, напредује скоковито и на шта морамо бити спремни пажљив на сву потребну негу.

Ова претња се назива Рансомваре и надамо се да тренутак читања овог чланка са ваше стране није зато што сте већ упали у то, посебно да бисте се могли мало више заштитити, било да сте компанија или нормална особа која жели избећи колико год могућа ова и друге сличне врсте претњи.

Наш циљ је да сваки корисник или компанија предузме потребне мере како не би био жртва овог напада и увек буде одговоран за све што радимо на мрежи.

Шта је РансомвареНа исти начин на који постоји киднаповање људи у економске сврхе, у свету ИТ -а рансомваре је постао напад отмичара података Пошто овај напад у основи приступа нашем рачунару, шифрира све информације и захтева одређену суму новца за његов опоравак, то је тако једноставно.

Порекло назива „Рансомваре“ потиче од комбинације две речи:

• Откупнина (отмица)
• посуђе (софтвер)

Овај напад, познат и као лажни софтвер или застрашујући софтвер, погађа кориснике од 2005. године. Иако је еволуирао, појављују се различити типови, усавршавајући и проналазећи слабости на којима се може лако ширити. Остављамо вам видео који вам то објашњава на изузетан начин да бисте га разумели на свим нивоима.

Како Рансомваре радиРансомваре користи низ корака у којима, нажалост, жртва даје први корак приликом извршавања, ови кораци су:

• Скенирање система путем УСБ уређаја, превара путем е -поште итд.

• Инсталација на систему када је заражена датотека покренута.

• Избор датотека за шифровање.

• Шифрирање одабраних података који тренутно користе 2048-битни РСА.

• Поруке жртви користећи различите алтернативе, од е -поште до гласовних порука

• Чекање на плаћање помоћу средстава као што су биткоини, МонеиПак, Укасх и цасхУ, између осталих.

• Слање кључева за шифрирање жртви, али то није 100% сигурно. (Можемо рећи да вам НЕЋЕ послати, не препоручујемо плаћање).

Као што видимо, то је ланац који и сами можемо прекинути од почетка. У свету интернета и дигиталног света, људе треба научити да је много боље увек мислити лоше и бићете у праву. Будите опрезни и немојте бити један од оних који радо отварају све примљене прилоге, нити улазе на било коју веб страницу и без оклевања инсталирају било који програм.

1. Врсте напада Рансомваре

Постоје неке врсте овог напада познате широм света, као што су:

ВаннаЦри рансомвареОво је У последње време познатији рансомваре јер је извео нападе на многе тимове компанија и људи широм света. То је криптографски Рансомваре, али вриједи га каталогизирати са стране, јер је изашао као што знате у вијестима широм свијета, због напада извршених у многим различитим земљама. Важно је прокоментарисати да ово није ново како многи мисле, будући да се већ дуже време кува у многим тимовима. На следећој слици можете видети где се они изводе.

На интернету постоји много опасних вируса и напада, али ВаннаЦри рансомваре је један од најгорих.

У основи, можемо рећи да га сматрамо једним од најгорих јер обавља чисту енкрипцију више врло важних датотека са моћним алгоритмом и кључем, што отежава њихово поновно добијање. Такође је важно истаћи лакоћу извршења коју мора да пренесе и покрене на свим мрежним погонима.

ВаннаЦри Декриптор продире у ваш рачунар, посебно путем е -поште, а када га покренете, а да тога нисте ни свесни, он шифрира информације. Озбиљна ствар је то што се једном датотеке на рачунару шифрују, репликују се преко мреже на друге сервере, рачунаре итд. Све што сте повезали на мрежне дискове такође може бити шифровано. Тако да је нормално да се једном заражен рачунар прошири практично на све на мрежи.

За своју репликацију користи празнине у системима, посебно у Виндовсима. Зато се препоручује да их увек ажурирате са свим закрпама, како бисте избегли тако лако копирање са једне стране на другу.

Овакво понашање објашњава зашто се препоручује искључивање рачунара како не би наставило шифровање и ширење. Из тог разлога, у случају интерне инфекције, прво што компаније обично траже је да искључе и искључе све рачунаре, све како не би наставили шифрирање датотека и повећали проблем. Морат ће пронаћи извор и вратити све погођене рачунаре и сервере.

Шифрирање ваших датотека је врло тражена техника за заштиту приватности ваших најповјерљивијих датотека. Овај напад користи веома јаке алгоритме за шифровање, који се не могу сломити ако немате кључ. Сада касније идемо дубље у ову врсту Рансомваре -а.

Крипто рансомвареОва врста напада користи алгоритме напредног нивоа и његова главна функција је да блокира системске датотеке где за приступ морамо платити суму, понекад и високу, новца.

Унутар ове врсте налазимо ЦриптоЛоцкер, Лоцки, ТоррентЛоцкер, такође ВаннаЦри итд.

МБР рансомвареЗнамо да МБР (Мастер Боот Рецорд) управља покретањем оперативног система и да је ова врста напада одговорна за измену вредности сектора за покретање како би спречила корисника да нормално покрене свој оперативни систем.

ВинлоцкерОвај напад се заснива на СМС -у, текстуалним порукама, за које је потребно слање текстуалне поруке на веб локацију за плаћање са додељеним кодом како би се откључале датотеке.

СлагалицаОвај напад је одговоран за периодично брисање датотека како би жртва осетила притисак да плати откупнину како не би изгубила вредније информације.

Овим нападом сваких сат времена датотека се уклања са рачунара све док се уплата не изврши, а као додатни, али не и охрабрујући детаљ, слагалица уклања до хиљаду датотека из система сваки пут када се рачунар поново покрене и приступи оперативном систему.

КимцилвареОвим нападом постајемо жртве шифрирања података на нашим веб серверима, па за то користи рањивости сервера и на тај начин шифрира базе података и датотеке које се тамо налазе, чиме се утврђује неактивност веб странице.

МактубОво је напад који се шири лажном е -поштом и компримира захваћене датотеке прије него их шифрира.

Изгледа као ПДФ или текстуална датотека, али када се изврши, у позадини, а да нисмо ни свесни, инсталирана је на рачунару и обично су потребне велике суме новца за опоравак података.

СимплеЛоцкер, Линук.Енцодер.1 и КеРангерОви напади у основи испуњавају своју улогу на мобилним и ПЦ уређајима како би блокирали њихов садржај. СимплеЛоцкер утиче на СД картицу Андроид уређаја шифровањем датотека. Линук.Енцодер.1 и КеРангер управљају шифровањем података на оперативним системима Линук и Мац ОС.

ЦерберТо може бити један од најстрашнијих корисника, посебно Виндовс система, будући да овај напад приступа звуку оперативног система за емитовање порука, а не правилно мотивационе или најновије вести из Мицрософта.

Овај напад генерише ВБС датотеку под називом " # ДЕЦРИПТ МИ ФИЛЕС # .вбс" која је на 12 различитих језика и емитује претеће поруке и захтева плаћање за опоравак података.

Као што видите, налазимо разне врсте напада рансомваре -а (Имајте на уму да постоји и да ће бити много више врста) које га чине латентном претњом и ако и даље не верујемо, погледајмо ове податке, они ће наставити да расту врло брзо:

• У свету има око 500.000 жртава напада криптолокера.

• Једна организација у Јужној Америци платила је око 2.500 УСД за преузимање својих података.

• 1,44% корисника ТоррентЛоцкер жртава платило је откупнину.

• Напади се дешавају широм света са типом ВаннаЦри, где се до сада прикупљени износ креће између 7.500-25.000 УСД. (Не плаћајте).

Како смо рекли на почетку, не препоручујемо плаћање откупнине за коришћени кључ за шифровање. Није 100% потврђено да ће вам то дати и имајте на уму да ћете охрабрити више сајбер криминалаца да се појаве када видите да за њих постоји сочан "посао". Такође имајте на уму да можда постоје одређена практичнија решења која ћемо објаснити у наредним одељцима.

Разговарали смо о напретку технологије, али је и рансомваре такође еволуирао, пошто је данас напад ПХП Рансомваре или ВаннаЦри Рансомваре, који шифрирају све важне податке, а у неким случајевима без тражења откупнине или плаћања за шифроване податке, међу којима су датотеке са следећим екстензијама:

зип, рар, р00, р01, р02, р03, 7з, тар, гз, клск, доц, доцк, пдф, пптк, мп3, исо између осталог које детаљно описујемо у следећим одељцима.

Имајте на уму да ће се они повећати или разликовати, па стога није добро мислити да је одређена врста датотеке слободна за "отмицу".

2. Мета рансомвера

Иако се многи напади рансомвареа дешавају на организационом нивоу где су информације много осетљивије и поверљивије, нападачи који стварају ове вирусе не постављају ограничења, кућни корисници су такође слаба тачка из разлога као што су:

• Мало или нимало знања о рачунарској безбедности.

• Немају антивирусне апликације на својим оперативним системима.

• Имајте отворене и несигурне мреже.

• Не правите сталне резервне копије информација.

• Не ажурирајте редовно оперативни систем и безбедносне апликације.

• За непрописно коришћење интернет услуга.

Можда немамо драгоцене информације, али ако их имамо жртве шифрирања наших података Без сумње, ми ћемо бити жртве тамо где ће утицати на то да будемо у могућности да наставимо своје свакодневне операције на нормалан начин, на пример на образовном, личном или пословном нивоу.

Нису заборављени ни творци рансомвареа, они су у ствари циљ број 1, јер с њима добијају следеће предности:

• Они су тамо где могу нанети највећу штету, са сочним економским потенцијалом да плате откупнину.

• Повећана нестабилност при шифровању осетљивог платног списка, финансија, људских ресурса итд.

• Могућност утицаја на већи број опреме и услуга.

• Рањивости представљене на серверима или клијентским рачунарима.

• Да бисте дестабилизовали важне тачке земаља, а ако не верујете у ово, погледајте најновије вести у којима су погођене лондонске болнице, компаније попут Телефонице у Шпанији итд.

Можемо потврдити да је ово нови формат светског ратаНе пуцају бомбе, али могу бити исте или болније него што замишљамо.

Технике ширења Рансомваре -аКао што смо раније видели, постоје различите врсте напада рансомваре -а, а неке од техника које се користе за њихово ширење су:

• Слање лажних е -порука.

• Веб усмеравање на лажне веб локације.

• Текстуалне поруке.

• Рањивости пронађене на нивоу безбедности на серверима или клијентским рачунарима.

• Злонамерне рекламне кампање.

• Правне веб странице које у свом садржају имају злонамерни код.

• Аутоматско ширење између уређаја.

3. Препоруке за заштиту од малвера Рансомваре -а

С обзиром на то да рансомваре узима толико снаге и да је врло лако бити жртва, постоји низ опција које ће нам помоћи да будемо пажљиви на ову врсту напада и избегнемо да будемо друга жртва. Неки савети су:

Направите сигурносну копијуМожемо вам рећи да је најважније учинити у организацијама и на личном нивоу. Резервна копија нас штити од проблема не само од злонамерног софтвера, вируса и напада, већ нас штити и од физичких хардверских грешака које се могу појавити на дисковима, рачунарима, серверима итд. Стога резервна копија је неопходна и витална.

То је решење које се стално примењује и, ако је могуће, на дисковима и спољним дисковима, или имате могућност (на личном нивоу) да то радите на локацијама као што су облак, Дропбок, ОнеДриве итд., Али оно што препоручујемо већина су сервери или спољни дискови увек ћемо имати доступност и интегритет датотека.

Важно је рећи вам да треба узети у обзир да овај малвер (црв) Рансомваре савршено напада и шифрира у јединицама које сте у том тренутку повезали, укључујући и оне у облаку, па не прекидајте ту везу, а не увек га повежите ако га не користите.

Видели смо како је дошло до овог напада ВаннаЦри рансомваре (и друге претходне верзије) извршиће шифровање веза у облаку заражених рачунара. Они су реплицирани на Дропбок, Гоогле Дриве или ОнеДриве налозима, јер су повезани као мрежни диск могли савршено видети и те датотеке, па се стога могу и шифровати и избрисати. Добар део је што унутар ових система имате могућност и да опоравите податке, пошто су ваши подаци једном шифровани у облаку избрисали и оригиналне датотеке, па ако сте заражени у облаку, не брините, то могуће их је опоравити пратећи овај водич.

Овде вам остављамо најбоље начине прављења резервних копија, резервних копија у различитим системима које можемо имати. Ваше информације су на првом месту, замислите шта би се догодило у случају да их изгубите, ако су важне, не оклевајте и често правите резервне копије.

Остављамо вам више бесплатних алтернатива за резервне програме на Виндовс, Линук или Мац.

Погледајте наставке датотекаОво је фундаментални аспект јер су заражене датотеке извршне, .еке и камуфлиране су као ПДФ, ДОЦ, КСЛС датотеке итд., Тако да ћемо приликом активирања опције за преглед проширења знати је ли датотека Солветиц.пдф или Солветиц. Пдф.еке (заражен).

Не отварајте сумњиве или непознате е -порукеНажалост, заносимо се појављивањем и отварањем лажних е -порука из наше банке, друштвене мреже, фактура са ПДФ или Екцел прилозима са макроима итд. а иза ње долази заражена датотека.

Много пута примамо поруке од службених лица које указују на то да имамо правне проблеме, или од банке која тражи унос података, друге које указују да имамо гласовне поруке итд., Али сви они имају прилог који очекују да кликнемо на, у позадини, заразити рачунар.

Понављамо, врло опрезни у прилозима које отварамо, подразумевано бисте увек требали бити сумњичави. У најмањој недоумици, препоручујемо да га не отварате или проверите ово пре него што то учините:

• Добро погледајте адресу е -поште пошиљаоца у целости (не само лажно име које су навели).

• Погледајте врсту и проширење прилога. Чак и ако је пошиљалац познат, можда је заражен и аутоматски прослеђује малвер или вирус са својим налогом на целу листу контаката. (ви сте могућа жртва).

• Добро погледајте текст и предмет поруке пре отварања.

• Проверите ИП адресу пошиљаоца и проверите државу порекла те адресе, уносећи ИП адресу са веба који се брзо и удобно налази.

Ако најмање не верујете, немојте га отварати, боље је да не будете опрезни и да га избришете него да се заразите. Обратите пажњу на нежељена обавештења која вам може послати ваш менаџер е -поште.

ЕНЛАРГЕ

Филтрирајте .еке екстензије у е -поштиУ случају да имате сервере поште који омогућавају филтрирање врста датотека, идеално је то Хајде да филтрирамо све е -поруке које садрже .еке екстензију пошто то могу бити заражене датотеке за крађу наших личних података.

Онемогућите датотеке извршене са путање АппДата или ЛоцалАппДатаАко користимо Виндовс оперативне системе, можемо створити правила у заштитном зиду и отворити или затворити портове који спречавају извршавање програма са путање АппДата или ЛоцалАппДата јер је то једно од сајтова на које Цриптолоцкер, између осталих врста Рансомваре -а, инсталира ваш инфекције. Ако сте администратор система Виндовс Сервер, можете да примените ГПО на заштитне зидове свих машина на мрежи.

Стално ажурирање системаПрограмери оперативних система и уопште антивирусних, антималваре и безбедносних програма периодично објављују нова ажурирања која укључују побољшања безбедносних пропуста, што нам може помоћи да избегнемо жртве рансомвареа.

Запамтите да је то потребно и важно ажурирати оперативни систем, а такође и безбедносне апликације.

Ако сте системски администратор и управљате компанијама са серверима Виндовс сервера. Упамтите да преко сервера са ВСУС -ом можете контролисати ажурирања свих рачунара ваше компаније и натерати их да одлучују постављањем распореда који вас занимају да се увек ажурирају.

Користите програме за блокирање додатакаМноге злонамерне веб странице стварају искачуће прозоре који захтевају клик на њих да би их могли затворити и у овом процесу можемо се наћи пре преузимања и инсталирања латентне претње рансомваре-а. Они су већ интегрисани у већину прегледача и могуће их је активирати у безбедносним опцијама.

Коришћење ових програма спречава приказивање ових прозора и на тај начин стичемо ниво безбедности у нашим системима.

Онемогућите РДПРДП (Ремоте Десктоп Протоцол) омогућава даљинско повезивање са другим рачунарима ради пружања помоћи или подршке, али Рансомваре може користити овај протокол, тачније Цриптолоцкер, ВаннаЦри итд. за приступ рачунарима и њихово инфицирање, стога је важно спречити омогућавање овог протокола ако се не користи.

Овај водич приказује како омогућити РДП (удаљену радну површину) у Виндовсима 10, 8, 7. Само слиједите кораке који су тамо објашњени, али у дијелу провјере или уклањања ознаке оставите га онемогућеним.

Прекините везу са мрежомУ случају извршења сумњиве датотеке, не бисмо требали чекати док се процес инсталације не доврши јер не знамо коју ће сврху имати, у овом случају најпаметнија и најодговорнија ствар је да се одмах искључите с мреже, Ви-Фи или Етхернет, са функцијом Ово служи за спречавање комуникације са сервером који може увести вирус.

Можемо директно онемогућити ВиФи или уклонити РЈ45 кабл који смо повезали са опремом.

Онемогућите извршавање макроа у систему ОффицеОво је један од најчешћих начина да се рансомваре инфицира и покрене. Ако нисте напредни ниво где користите макрое у Мицрософт Екцел -у, Ворд -у, ПоверПоинт -у или Оутлооку (у пословним тимовима је боље онемогућити их по подразумеваној вредности), препоручујемо да их онемогућите.

Ови макрои су уметнути у једноставну .доцк или .клск датотеку или е -пошту где једноставним отварањем можда покрећете ову врсту рансомвера или другу врсту злонамерног софтвера или вируса.

Пратите ове кораке да бисте их онемогућили:

• Онемогућите макрое програма Оутлоок

• Онемогућите макрое Ворд, Екцел и ПоверПоинт

Овде вам остављамо више званичних Мицрософтових информација о овом питању и управљању безбедносним поставкама система Оффице.

Блокирање портоваЗнамо да портови у оперативном систему дозвољавају или не комуникацију између локалног рачунара и спољне мреже.

Добра пракса је, ако посебно управљамо серверима, да блокирамо портове:

• УДП 137, 138

• ТЦП 139, 445 или онемогућите СМБв1.

На следећој Мицрософтовој вези налазимо како безбедно извести овај процес:

Користите СхадовЕкплорерЦиљ Ванна Децриптор 2.0 је да уклони све системске снимке чим се .еке датотека покрене након инфекције.

СхадовЕкплорер нам омогућава да сакријемо ове снимке напада Ванна Децриптор и тако имамо поуздану резервну копију у случају напада.

Овај алат можете преузети са следеће везе:

4. Алати за заштиту или опоравак шифрованих датотека од Рансомваре -а

Мицрософт је објавио саопштење о Откупнина: Вин32.ВаннаЦрипт где коментарише да су заштићени сви корисници који користе бесплатни Виндовс антивирусни софтвер или имају активан систем Виндовс Упдате и ажуриран на најновију верзију.

Препоручују да их контактирају они који имају софтвер за заштиту од злонамерног софтвера од било ког другог провајдера да потврде статус њихове заштите.

Добра ствар је што је Мицрософт и раније ставио безбедносно ажурирање ВаннаЦрипт рансомваре доступно свима који имају неподржане верзије оперативног система Виндовс, као што су Виндовс КСП, Виндовс 8 и Виндовс Сервер 2003. Преузмите и инсталирајте сада да бисте се заштитили!

Виндовс Сервер 2003 СП2 к64
Виндовс Сервер 2003 СП2 к86
Виндовс 8 к64
Виндовс 8 к86
Виндовс КСП СП2 к64
Виндовс КСП СП3 к86
Виндовс КСП Ембеддед СП3 к86

Ако желите да видите друге системе, као што су Виндовс Виста или Виндовс Сервер 2008, погледајте ову везу претраживача безбедносних ажурирања за Мицрософт Виндовс. Видећете да је ова закрпа референцирана (КБ4012598).

Ево званичног Мицрософтовог водича за напад рансомваре програма ВаннаЦрипт.

Уз све ово, програмери безбедносних апликација нуде нам могућност бесплатног преузимања више алата који ће бити од виталног значаја за откривање или дешифровање шифрованих датотека, очигледно не важе за све врсте Рансомваре -а, али ће наставити да расту од оних који штите у ИТ сигурност такође унапређују и нуде решења. Упамтите да је најефикаснији начин да вратите датотеке које су нас шифровале из резервне копије коју смо направили, али остављамо вам неке објављене алате да бисте могли да је дешифрујете:

• Решење Алцатраз Рансомваре: Преузмите
• Апоцалипсе Рансомваре решење: Преузмите
• БадБлоцк Рансомваре решење: Преузмите
• Црипт888 Рансомваре решење: Преузмите
• Легион Рансомваре решење: Преузмите
• Преузимање Цриптолоцкер Рансомваре Солутион Преузимање

Овде можете видети неке опције решења за дешифровање више врста Рансомваре -а за опоравак ваших података.

• Карсперски Рансомваре Тоолс
• Аваст Рансомваре Тоолс
• Ванакиви (Алат који помаже у дешифровању ВаннаЦри -а, не заборавите да се поново покренете након што сте заражени и покрените овај алат. Моћи ћете да опоравите информације у оперативним системима Виндовс КСП, Виндовс 7 и Виндовс Сервер 2003, 2008).

Као заштиту морамо то узети у обзир анти-малваре су основна ствар коју сви рачунари треба да имају осим доброг анти-вируса. Као препоруку алата против злонамерног софтвера, препоручујемо:

• Касперски ВиндовсУнлоцкер: Преузмите
• Малваребитес 3.0: Преузимање
• ОСХИ Дефендер: Преузмите
• Хитман Про: Преузми
• БитДефендер Анти-Црипто. Преузимање
• Откључавање екрана Трендмицро Рансомваре екрана: Преузмите
• Мицрософт Енханцед алати за ублажавање и искуство (ЕМЕТ): Преузмите

Такође вам остављамо анти-малваре за Линук и Мац:

• ЛМД / Цламав (Линук)
• Најбољи против злонамерног софтвера (Мац)

Као додатни алат фокусиран на заштита од ВаннаЦри Рансомваре -а, препоручујемо НоМореЦри Тоол од ЦЦН-ЦЕРТ-овог алата јер дозвољава спречити извршавање ВаннаЦри Рансомваре -а.

Морамо им захвалити на овом великом доприносу ЦЦН-ЦЕРТ-а (ЦНИ).

Овај алат ради на свим верзијама оперативног система Виндовс и доступан је за употребу свим компанијама. Оно што он ради је стварање мутекса (алгоритам међусобног искључивања) на рачунару на којем га инсталирате и спречава извршавање злонамерног ВаннаЦри 2.0 кода.

ЦЦН-ЦЕРТ НоМореЦри алат се налази у облаку ЦЦН-ЦЕРТ, ЛОРЕТО. Наћи ћете комплементарну скрипту која спречава извршавање злонамерног софтвера на Виндовс рачунарима (све верзије, и енглеска и шпанска).

Једноставно преузимамо датотеку НоМореЦри_мутек И НоМореЦри-в0.4.еке (верзије ће бити ажуриране). И обе датотеке морају бити у истој фасцикли.

Када га извршите, појавиће се следећа порука:

Запамтите да сваки пут када се пријавите морате да га покренете поново. ЦЦН-ЦЕРТ означава да алатку треба покренути након сваког поновног покретања. Зато препоручујемо да га укључите при покретању оперативног система Виндовс (ако је за некога са персоналним рачунаром). Једноставно би било додати овај алат са извршном пречицом у фасциклу програма за покретање:

• + Р
• Пише: љуска: покретање и притисните Ентер.
• Овде залепите пречицу за овај алат.

Такође га имате у .МСИ да бисте га ставили у ГПО. (То за системске администраторе). Овај процес се такође може аутоматизовати изменом Виндовс регистра или применом смерница ГПО -а у домену.

Као коначна препорука заштитних алата. Наравно, не заборавимо да имамо инсталиран антивирус у различитим оперативним системима које имамо, на овим линковима стављамо најбоље од ове године и пре свега бесплатно, ако се не заштитите то је зато што то не желите.

• Бесплатни антивирусни Виндовс
• Бесплатни антивирус за Линук
• Бесплатни антивирус за Мац

Сигурносни алати имају за циљ заштиту наших података од рансомваре -а, али у основи први корак заштите је у нама јер ће се нови вируси, тројанци, злонамерни софтвер, напади итд. увек појављивати.

Запамтите и поново напомињемо да је у већини ових рансомваре -а након шифрирања ваших датотека, такође обришите оригинал, тако да у случају да било која техника не ради и ако сте били мало одговорни ако немате резервне копије својих података, могуће је покушати опоравити избрисане датотеке са рачунара (након што је рансомваре уклоњен као што је објашњено у наставку поглавље испод).

За ово препоручујемо да имате при руци овај други водич са збирком бесплатних програма за опоравак избрисаних датотека.

5. Како уклонити и заштитити ВаннаЦри Рансомваре напад

ВаннаЦри је један од најновијих рансомваре -а који се шири светом и погађа и организације и обичне кориснике шифрирањем њихових података и захтевањем великих сума новца. Много смо причали у овом водичу о овој врсти рансомваре -а, али у овом одељку фокусирамо се на то како да га елиминишемо када смо заражени њиме.

Ако сте један од оних који се изненада појави прозор са горњом поруком, заражени сте:

Порука ВаннаЦри Рансомваре (енглески)
Упс, ваше датотеке су шифроване!

Шта се догодило са Мојим рачунаром?

Важне датотеке су шифроване.

Многи ваши документи, фотографије, видео записи, базе података и друге датотеке више нису доступни јер су шифровани. Можда сте заузети тражењем начина за опоравак датотека, али не губите време. Нико не може опоравити ваше датотеке без услуге дешифровања.

Могу ли опоравити своје датотеке?

Наравно. Гарантујемо да можете безбедно и лако опоравити све датотеке. (Али немате довољно времена). Можете покушати бесплатно дешифрирати неке датотеке. Покушајте сада кликом на. Ако желите да дешифрујете све датотеке, морате да платите.

Имате само 3 дана да поднесете уплату. Након тога цена ће се удвостручити. Такође, ако не платите у року од 7 дана, нећете моћи заувек опоравити датотеке.

Порука ВаннаЦри Рансомваре (шпански)
Упс, ваше датотеке су шифроване!

Шта се догодило са Мојим рачунаром?

Важне датотеке су шифроване.

Многи ваши документи, фотографије, видео записи, базе података и друге датотеке више нису доступни јер су шифровани. Можда сте заузети у потрази за начином да вратите своје датотеке, али не губите време. Нико не може вратити ваше датотеке без услуге дешифровања.

Могу ли да вратим своје датотеке?

Наравно. Гарантујемо да можете безбедно и лако опоравити све датотеке. (Али немате довољно времена). Можете покушати бесплатно дешифрирати неке датотеке. Покушајте сада кликом на. Ако желите да дешифрујете све датотеке, мораћете да платите.

Имате само 3 дана за слање уплате. Након тога цена ће се удвостручити. Такође, ако не платите у року од 7 дана, нећете моћи заувек да вратите своје датотеке.

Ако видите да ваша компанија или рачунари имају овај рансомваре, морате да зауставите све рачунаре како се не би реплицирали, нити да наставља да шифрује више датотека. Искључите рачунаре из мреже и додирните их да бисте прегледали да бисте открили порекло.

Да бисмо уклонили овај злонамерни софтвер у окружењу Виндовс 10, извршићемо следећи процес.

ПажњаАко нисте на напредном нивоу, најбоље је да поново инсталирате систем и вратите податке из резервне копије како бисте били сигурни да још увек нисте заражени.

Корак 1
Пре свега морамо приступити у безбедном режиму како бисмо избегли покретање неких услуга и процеса, да бисмо видели како приступити у безбедном режиму можемо отићи на следећу везу:

Корак 2
Друго, морамо приступити управитељу задатака десним кликом на траку задатака и одабиром одговарајуће опције "Управитељ задатака".

Када тамо одемо, идемо на картицу Процеси и морамо погледати оне процесе који нам се не чине нормалним. Када их видимо, кликните десним тастером миша на њу и одаберите опцију "Отвори локацију датотеке".

Ова датотека се може скенирати нашим антивирусним и / или антималваре софтвером јер већ знамо пут и стога сумњамо. До овог тренутка можемо утврдити интегритет и поузданост датотеке.

У случају да не добијемо резултате, можемо отићи у датотеку домаћина система и тамо проверити да ли смо жртве.

За ово отварамо мени Рун: (+ Р) и унесите следећи ред:

 нотепад% виндир% / систем32 / Дриверс / етц / хостс

Ово ће приказати датотеку хостс. Ако приметите да се при дну појављују нови уноси на спољне ИП адресе осим 127.0.0.1, а не знате их, изгледаће као да их је додао црв рансомваре.

Корак 3
Поред овога можемо консултовати и то програми или апликације се пријављују при покретању система, будући да је нека заражена датотека можда од почетка, да бисмо ово проверили, идемо на картицу Стартуп у управитељу задатака и детаљно проверавамо које апликације почињу са Виндовс 10:

У случају да видите нешто абнормално, само га изаберите и кликните на дугме Онемогући. Препоручујемо да погледате водич који смо вам припремили јер вас учи како да управљате њиме.

Корак 4
Касније приступамо уређивачу регистра Виндовс 10 помоћу комбинације тастера + Р и уношење команде регедит.

Тамо идемо на Едит / Сеарцх или користимо тастере Цтрл + Ф. и у приказаном прозору ћемо потражити назив рансомваре:

ЕНЛАРГЕ

Важно је имати на уму да не бришете регистре који нису вируси јер би то утицало на стабилност система. Морамо избрисати све записе о вирусима на следећим локацијама:

• % АппДата%
• % ЛоцалАппДата%
• % ПрограмДата%
• % ВинДир%
• % Темп%

У овом тренутку било би занимљиво имати могућност покретања апликација за анализу наше опреме. Препоручујемо да погледате четврто поглавље у оквиру овог водича "Алати за заштиту или опоравак шифрованих датотека од Рансомваре -а " будући да можемо пронаћи алате који могу помоћи у проналажењу и решавању овог напада. Увек морамо узети у обзир коментарисане препоруке како не бисмо упали у замку Рансомваре -а.

Ако сте један од оних који нису направили резервну копију, имајте на уму да је могуће опоравити избрисане податке, јер овај злонамерни софтвер прво шифрира ваше датотеке, а затим их брише. Након што уклоните овај рансомваре, препоручујемо употребу алата за опоравак избрисаних датотека. Неке можете опоравити.

6. Како уклонити и заштитити Ванна Децриптор 2.0 Рансомваре напад

Од 16.05.17. Настављамо да видимо много вести о ширењу масовног напада Рансомваре вирусом тзв. Желим Децрипт0р 2.0 који се хостује на рачунарима и такође шифрира информације помоћу комбинације РСА и АЕС-128-ЦБЦ алгоритама где заражене датотеке, које су шифроване, аутоматски имају наставак .ВНЦРИ.

Дакле, када покушамо да приступимо рачунару или било којој од ових датотека, примићемо не тако захвалну поруку:

Циљ овог масовног напада је досећи највећи број жртава, а до сада имамо ове бројке:

• Више од 150 земаља погођено.

• Више од 200.000 људи напало је у својим досијеима.

• До сада је изгубљено више од 55.000 УСД плаћајући "откупнину" за ваше датотеке.

Најгоре у свему овоме је то што се страхује да ће претња наставити да расте. Када вирус утиче на наше датотеке, можемо видети да ови, као што смо споменули, имају екстензију .ВНЦРИ:

Можемо видети да је креирана текстуална датотека под називом @ Плеасе_Реад_Ме @ где ћемо видети упутства која је дао нападач:

ЕНЛАРГЕ

Можемо видети следеће:

Све је усмерено на то да платимо минимални износ, што је 300 УСД за опоравак наших података, јер кључ који нам омогућава дешифровање података није лоциран локално, већ се налази на серверима нападача.

Овај вирус напада рачунаре са оперативним системима Виндовс у свим својим верзијама:

• Виндовс 7, 8.1
• Виндовс 10
• Виндовс Виста СП2
• Виндовс Сервер 2008/2012/2016

Солветиц жели дубоко анализирати ово питање како би спријечио да сваки од њих буде још једна жртва овог масовног напада широм свијета и зато покушавамо наставити детаљно описати варијабле које се појављују и неке начине како ће бити могуће уклонити ову пријетњу са нашег рачунара …

Препоруке су већ детаљно дате у другим одељцима изнад овог приручника, али ми указујемо на оне основне.

• Нека наши оперативни системи буду ажурирани.

• Не отварајте сумњиве е -поруке.

• Избегавајте преузимање ставки са П2П веб локација.

• Инсталирајте антивирусне алате.

• Ако сумњамо на било какву неуобичајену активност, опрему морамо одмах искључити из мреже.

Како се шири Ванна Децриптор 2.0
Ово је основно питање које си многи корисници постављају будући да смо опћенито пажљиви с подацима којима рукујемо или веб локацијама које посјећујемо. Па, овај вирус се масовно шири и као основа, користећи е -пошту.

Иако смо много причали о овој теми, уобичајено је и не разликује се много да бисте се могли заразити када видите различита обавештења у нашем лежишту за нежељену пошту, као што су:

• Правно обавештење било ког органа које указује на то да ћемо пронаћи разлог за позив у прилогу.

• Поруке са наших друштвених мрежа које указују на то да имамо нове поруке.

• Захтев финансијских субјеката за ажурирање информација итд.

Како знати да ли је Ванна Децриптор 2.0 Рансомваре
Разлог је врло једноставан, сваки вирус који спречава нормалан приступ нашим подацима или нашој опреми и захтева било коју количину новца за приступ класификује се као Рансомваре.

Ванна Децриптор 2.0 напада следеће екстензије мењајући их у .ВНЦРИ екстензију. Основни циљ Ванна Децриптор -а је шифровање важних датотека које су веома корисне за сваког корисника или компанију, као што су следеће:

• Додаци за Оффице апликације: .ппт, .доц, .доцк, .клск, .ск

• Додаци за апликације: .зип, .рар, .тар, .бз2, .мп4, .мкв

• Екстензије базе података: .скл, .аццдб, .мдб, .дбф, .одб, .мид

• Екстензије поште: .емл, .мсг, .ост, .пст, .едб

• Проширења за програмере: .пхп, .јава, .цпп, .пас, .асм

• Кључеви за шифровање и проширења сертификата: .кеи, .пфк, .пем, .п12, .цср, .гпг, .аес

• Проширења за графички дизајн: всд, .одг, .рав, .неф, .свг, .псд

• Екстензије за виртуелне машине: .вмк, .вмдк, .вди

Као што видимо, претња је латентна и широка. Посебно смо забринути због оних који утичу на главне сервере као што су проширења базе података, виртуелне машине, виталне датотеке сервера као што су .пхп, .јава итд. То може узроковати заустављање, можда чак и опсежније од најједноставнијих датотека за враћање, попут клск, пдф, доцк итд.

Понављамо да ће се то наставити развијати и побољшавати. Зато немојмо никада потцењивати ваш напредак.

Објаснићемо детаљно који процес Ванна Децриптор 2.0 изводи да преузме контролу над нашим датотекама.

• Прво, вирус записује фасциклу са насумичним знаковима на путањи Ц: \ ПрограмДата са именом тасксцхе.еке или на путањи Ц: \ Виндовс са именом мссецсвц.еке и виаскцхе.еке.

• Након што су ове фасцикле написане, вирус ће овим датотекама дати потпуну контролу извршавањем следећег:

 Ицацлс. / грант Сви: Ф / Т / Ц / К

• Затим за извршење користите следећу скрипту: КСКСКСКСКСКСКСКСКСКСКСКСКСКС.бат (Промените Кс за бројеве и / или слова)

• Користиће своје хешеве или крипто алгоритме из Ванна Децриптор 2.0. У овом тренутку можемо користити алате попут антивируса или антималваре -а да лоцирамо ове хешеве и наставимо са њиховим уклањањем из система.

• Да би преузео потпуну контролу, Ванна Децриптор 2.0 користи скривене ТОР услуге са .онион екстензијом на следећи начин:

 јхдтгсенв2риуцмф.онион 57г734јдхцлојинас.онион 76јдд2ир2ембив43.онион цввнх33лз52макм7.онион

На овај начин ћемо видјети како анализира све наше доступне јединице све док не пронађемо горе наведене екстензије датотека и наставимо с њиховим шифрирањем и одговарајућим плаћањем. Као што смо рекли у другим верзијама о томе да ли је могуће дешифровати датотеке шифроване помоћу Ванна Децриптор 2.0 … поново вам понављамо да одговор је не због нивоа шифровања који се користи у процесу АЕС-265 са РСА методом шифровања који је потпун и не постоји алат, укључујући грубу силу, способан да дешифрује податке.

Стога смо, као што смо већ рекли у другим одељцима, приморани да повратимо информације на друге начине, као што су:

• Опоравите податке који су шифровани из претходно направљених резервних копија.

• Опоравите изворне информације које су избрисане након шифровања помоћу ванна децриптор 2.0. Када смо нападнути од стране Ванна Децриптор 2.0, прво креира копију датотека, затим их шифрира и касније брише оригиналне, преузимајући потпуну контролу. (Погледајте одељак о алатима за заштиту података и опоравак)

• Претходно користите Схадов Екплорер и имат ћемо могућност спашавања избрисаних датотека са заштићених волумена (У одељку са препорукама имате везу за преузимање да бисте се заштитили од рансомваре -а).

Као процес уклањања, следите образац који је претходно објашњен у одељку ВаннаЦри, уђите у безбедни режим, проверите одређене фасцикле на којима се хостује, елиминишете извршавање услуга и програма при покретању оперативног система Виндовс и анализирате помоћу најефикаснијег алата против злонамерног софтвера. (МалвареБитес , Хитман Про, Виндовс Дефендер Оффлине неколико је од многих које имамо на располагању за ово скенирање).

Коначно, ако желите у стварном времену знати какав је тренутни статус Ванна Децриптор 2.0 и бити свјесни напретка овог напада са детаљима као што су заражени рачунари и корисници, земље у којима је вирус био хостован, између осталих, можемо идите на следећу везу:

Ово ћемо посматрати:

ЕНЛАРГЕ

Тамо ћемо видети графикон са одговарајућим угроженим веб локацијама, укупно погођеним рачунарима итд. На дну ћемо видети графиконе како се овај напад повећао широм света:

ЕНЛАРГЕ

Препоручујемо да следите ове савете и ажурирате резервне копије најважнијих информација.

Видели смо како смо у несигурном свету који може утицати на наше животе у било ком тренутку, али ако смо опрезни и пажљиви, сигурно нећемо бити још једна жртва рансомваре -а јер сва наша безбедност зависи од нас.

Ево још водича и чланака о безбедности. Молимо само да поделите овај водич како бисмо сви били на опрезу и били мало сигурнији суочени са претњама којима смо свакодневно изложени у коришћењу интернета. Наставићемо дневне водиче за све вас. Будите пажљиви у компанији Солветиц за ИТ и технолошка решења, не само за безбедност, већ за сва поља и нивое.