Nastavlja svoj opresivni marš internetom, inficirajući računare i šifrirajući važne podatke. Kako se zaštititi od ransomware-a, zaštititi Windows od ransomware-a - da li su puštene zakrpe za dešifriranje i dezinfekciju datoteka?
Novi ransomware virus 2017 Wanna Cry nastavlja da zarazi korporativne i privatne računare. U Šteta od napada virusa iznosi milijardu dolara. Za 2 sedmice, ransomware virus je zaražen najmanje 300 hiljada kompjutera, uprkos upozorenjima i mjerama sigurnosti.
Ransomware virus 2017, šta je to?- po pravilu možete "pokupiti" na naizgled najbezazlenijim stranicama, na primjer, bankarskim serverima s korisničkim pristupom. Jednom hard diskžrtvama, ransomware se „naseli“. sistemski folder System32. Odatle program odmah deaktivira antivirus i ide u "Autorun"" Nakon svakog ponovnog pokretanja, ransomware upada u registar, započinjući svoj prljavi posao. Ransomware počinje da preuzima slične kopije programa kao što su Ransom i Trojan. To se takođe često dešava samoreplikacija ransomwarea. Ovaj proces može biti trenutan, ili može potrajati sedmicama dok žrtva ne primijeti da nešto nije u redu.
Ransomware se često maskira kao obične slike, tekstualne datoteke ali suština je uvek ista - ovo je izvršna datoteka sa ekstenzijom .exe, .drv, .xvd; ponekad - libraries.dll. Najčešće, datoteka ima potpuno bezopasan naziv, na primjer " dokument. doc", ili " picture.jpg", gdje se ekstenzija piše ručno, i pravi tip datoteke je skriven.
Nakon što je šifriranje završeno, korisnik umjesto poznatih datoteka vidi skup "slučajnih" znakova u nazivu i unutra, a ekstenzija se mijenja u do sada nepoznatu - .NO_MORE_RANSOM, .xdata i drugi.
Wanna Cry ransomware virus 2017 – kako se zaštititi. Želio bih odmah napomenuti da je Wanna Cry prije skupni pojam za sve viruse za šifriranje i ransomware, jer u posljednje vrijeme najčešće inficira računare. Dakle, razgovaraćemo o tome Zaštitite se od Ransom Ware ransomwarea, kojih ima mnogo: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.
Kako zaštititi Windows od ransomware-a. – EternalBlue preko SMB port protokola.
Zaštita Windowsa od ransomwarea 2017 – osnovna pravila:
- Windows ažuriranje, blagovremeni prelazak na licencirani OS (napomena: XP verzija nije ažurirana)
- ažuriranje antivirusnih baza podataka i zaštitnih zidova na zahtjev
- izuzetna pažnja pri preuzimanju bilo kojeg fajla (slatki "pečati" mogu dovesti do gubitka svih podataka)
- backup važne informacije na prenosive medije.
Ransomware virus 2017: kako dezinficirati i dešifrirati datoteke.
Oslanjajući se na antivirusni softver, možete zaboraviti na dešifriranje na neko vrijeme. U laboratorijama Kaspersky, Dr. Web, Avast! i ostali antivirusi za sada nije pronađeno rješenje za liječenje zaraženih datoteka. On trenutno Moguće je ukloniti virus pomoću antivirusa, ali još ne postoje algoritmi koji bi sve vratili „u normalu“.
Neki pokušavaju koristiti dekriptore poput uslužnog programa RectorDecryptor, ali ovo neće pomoći: algoritam za dešifriranje novih virusa još nije kompajliran. Također je apsolutno nepoznato kako će se virus ponašati ako se ne ukloni nakon korištenja takvih programa. Često to može rezultirati brisanjem svih datoteka - kao upozorenje onima koji ne žele platiti napadačima, autorima virusa.
Trenutno je najefikasniji način povratka izgubljenih podataka kontaktiranje tehničke podrške. podrška dobavljača antivirusni program koju koristite. Da biste to učinili, pošaljite pismo ili koristite obrazac na povratne informacije na web stranici proizvođača. Obavezno dodajte šifriranu datoteku u prilog i, ako je dostupna, kopiju originala. Ovo će pomoći programerima u sastavljanju algoritma. Nažalost, za mnoge napad virusa je potpuno iznenađenje, a kopije nisu pronađene, što uvelike komplikuje situaciju.
Srčane metode liječenja Windowsa od ransomware-a. Nažalost, ponekad morate pribjeći potpuno formatiranje hard disk, što podrazumijeva potpunu promjenu OS-a. Mnogi će pomisliti da obnove sistem, ali to nije opcija - čak i "povratak" će se riješiti virusa, ali datoteke će i dalje ostati šifrirane.
Ukratko: da biste zaštitili podatke od ransomware virusa, možete koristiti šifrirani disk baziran na kripto kontejneru, čija se kopija mora čuvati u pohrani u oblaku.
- Analiza kriptolokatora je pokazala da oni samo šifriraju dokumente i da fajl kontejner sa šifrovanog diska nije od interesa za kriptolokatore.
- Datoteke unutar takvog kripto kontejnera su nedostupne virusu kada se disk isključi.
- A budući da je šifrirani disk uključen samo u trenutku kada je potrebno raditi s datotekama, postoji velika vjerovatnoća da kriptolocker neće imati vremena da ga šifrira ili će se otkriti prije ovog trenutka.
- Čak i ako kriptolocker šifrira datoteke na takvom disku, možete lako vratiti rezervnu kopiju kripto kontejnera na disku sa pohrana u oblaku, koji se automatski kreira svaka 3 dana ili češće.
- Pohranjivanje kopije disk kontejnera u pohranu u oblaku je sigurno i jednostavno. Podaci u kontejneru su sigurno šifrirani, što znači da Google ili Dropbox neće moći pogledati unutra. Zbog činjenice da je kripto kontejner jedan fajl, kada ga otpremite u oblak, vi zapravo otpremate sve fajlove i fascikle koji se nalaze u njemu.
- Kripto kontejner se može zaštititi ne samo dugom lozinkom, već i elektronskim ključem kao što je rutoken sa vrlo jakom lozinkom.
Ransomware virusi kao što su Locky, TeslaCrypt, CryptoLocker i WannaCry cryptolocker dizajnirani su da iznude novac od vlasnika zaraženih računara, zbog čega se nazivaju i “ransomware”. Nakon zaraze računara, virus šifrira fajlove svih poznatih programa (doc, pdf, jpg...) i zatim iznuđuje novac za njihovo dešifrovanje nazad. Oštećeni će najvjerovatnije morati da plati nekoliko stotina dolara da dešifruje fajlove, jer je to jedini način da povrati informacije.
Ako su informacije vrlo skupe, situacija je beznadežna, a komplikuje je i činjenica da virus uključuje odbrojavanje i da je sposoban samouništenja bez da vam pruži priliku da vratite podatke ako razmišljate jako dugo.
Prednosti Rohos Disk Encryption programa za zaštitu informacija od kripto virusa:
- Kreira Crypto kontejner za pouzdanu zaštitu datoteka i mapa.
Koristi se princip on-the-fly enkripcije i jak AES 256-bitni algoritam šifriranja. - Integriše se sa Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.
Rohos Disk omogućava ovim servisima da povremeno skeniraju kripto kontejner i uploaduju samo promjene šifriranih podataka u oblak, zahvaljujući čemu oblak pohranjuje nekoliko revizija kripto diska. - Uslužni program Rohos Disk Browser omogućava vam da radite sa kripto diskom tako da drugi programi (uključujući viruse) nemaju pristup ovom disku.
Kripto kontejner Rohos Disk
Program Rohos Disk kreira kripto kontejner i slovo pogona za njega na sistemu. S takvim diskom radite kao i obično, svi podaci na njemu se automatski šifriraju.
Kada je kripto disk onemogućen, nedostupan je svim programima, uključujući ransomware viruse.
Integracija sa skladištima u oblaku
Program Rohos Disk vam omogućava da stavite kripto kontejner u folder usluge skladištenja u oblaku i povremeno pokrenete proces sinhronizacije kripto kontejnera.
Podržane usluge: Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.
Ako je kripto disk bio uključen, došlo je do infekcije virusom i virus je počeo da šifrira podatke na kripto disku, imate priliku da vratite sliku kripto kontejnera iz oblaka. Za informacije - Google Drive i Dropbox mogu pratiti promjene u datotekama (revizije), pohranjivati samo izmijenjene dijelove fajla i stoga vam omogućavaju da vratite jednu od verzija kripto kontejnera iz nedavne prošlosti (obično 30-60 dana u zavisnosti on slobodan prostor na Google disku).
Uslužni program Rohos Disk Browser
Rohos Disk Browser vam omogućava da otvorite kripto kontejner u Explorer modu bez stavljanja diska na raspolaganje na nivou drajvera za ceo sistem.
Prednosti ovog pristupa:
- Informacije o disku se prikazuju samo u Rohos Disk Browseru
- Nijedna druga aplikacija ne može pristupiti podacima na disku.
- Korisnik Rohos Disk Browser-a može dodati datoteku ili mapu, otvoriti datoteku i obavljati druge operacije.
Potpuna zaštita podataka od zlonamjernog softvera:
- Datoteke nisu dostupne drugim programima, uključujući Windows komponente.
Postoji li danas zaštita od ransomwarea? br. Koliko god tužno zvučalo, istina je. Prave zaštite nema i, po svemu sudeći, neće je ni biti. Ali ne brinite, postoji niz jednostavnih pravila koja će, ako se pridržavate, pomoći u smanjenju rizika od infekcije vašeg računala. Prije nego što dam listu preporuka, želim unaprijed reći da u ovom članku ne reklamiram nikakve antiviruse, već samo opisujem svoje iskustvo, jer je ovaj zlonamjerni softver već dva puta uhvaćen u uredu. Nakon ovih slučajeva, došli smo do liste preporuka.
Dakle, prva stvar koju trebate učiniti je osigurati da imate ažurirani antivirus sa najnovijim bazama podataka. Moje kolege i ja smo radili eksperimente sa raznim proizvodima antivirusnih kompanija i na osnovu dobijenih rezultata mogu sa sigurnošću reći da je distributivni komplet iz Kaspersky Lab-a pokazao najbolje rezultate. Radili smo sa Kaspesky Endpoint Security for Business Standard. Broj detekcija od strane ransomware-a bio je više od 40%. Stoga, slobodno instalirajte antivirusni program i nemojte prezirati takve programe.
Druga stvar je zabrana pokretanja programa iz foldera %AppData%. Opet, nije činjenica da ransomware radi iz ovog foldera, ali se kao preventiva opravdava smanjenjem broja mogućih vektora napada. Malver se takođe može pokrenuti sa:
- %TEMP%
- %LOCALAPPDATA%
- %USERPROFILE%
- %WinDir%
- %SystemRoot%
Najvažnija stvar i crvena nit koja prolazi kroz cijeli članak je ono što je potrebno i izuzetno važno učiniti rezervne kopije. Dok kod kuće možete bezbedno koristiti besplatan oblak za skladištenje podataka, nemaju svi ovu priliku na poslu. Ako ste administrator sistema, kreirajte i pokrenite sigurnosnu kopiju. Ako niste dio IT odjela, provjerite sa svojim sistem administrator o dostupnosti backup kritične podatke. Možete ih i duplicirati u oblaku. Srećom, postoji mnogo besplatnih opcija: Yandex Disk, Mail cloud, DropBox, Google Disk i tako dalje.
Praktično je nemoguće zaštititi se od ransomware-a pomoću tehničkih sredstava. Dakle, prva linija odbrane u ovom slučaju je sam korisnik. Samo znanje i briga mogu pomoći u izbjegavanju infekcije. Najvažnije, nikada ne klikajte na linkove ili otvarajte priloge u e-porukama od pošiljalaca koje ne poznajete. U suprotnom, najvjerovatnije rizikujete da izgubite svoje podatke.
Vrlo pažljivo provjerite povratnu adresu u pismu, kao i prilog. Ako očekujete pismo s prilogom od prijatelja ili poslovnog partnera, kada dobijete takvo pismo, uvjerite se da je pismo upravo od osobe koju očekujete. Može potrajati neko vrijeme, ali vrijeme utrošeno na provjeru može vam na kraju uštedjeti dan oporavka podataka.
Ako imate i najmanju sumnju na kompromitujuće pismo, odmah kontaktirajte svoju IT službu. Vjerujte mi, oni će vam samo zahvaliti na tome.
Neke varijante ransomwarea koriste komandne i kontrolne servere na Tor mreži. Prije nego što šifriranje započne, preuzimaju tijelo virusa sa ovih servera. Tor mreža ima niz izlaznih čvorova na “veliki” Internet, koji se nazivaju čvorovi. Postoje javni čvorovi, a postoje i skriveni. Kao dio preventivnih mjera, možete blokirati poznate izlazne čvorove na vašem ruteru, ako to dozvoljava, kako biste što više otežali rad virusa. Spisak takvih adresa može se naći na Internetu, a sada ih ima oko sedam hiljada.
Naravno, sve gore opisano ne daje nikakvu garanciju da nećete biti uvršteni na listu žrtava, ali ove preporuke će pomoći u smanjenju rizika od infekcije. Dok se ne razvije prava zaštita od ransomware-a, naše glavno oružje je pažnja i oprez.
Novo malware WannaCry ransomware (koji ima i niz drugih naziva - WannaCry Decryptor, WannaCrypt, WCry i WanaCrypt0r 2.0) se svijetu predstavio 12. maja 2017. godine, kada su šifrirani fajlovi na računarima u nekoliko zdravstvenih ustanova u Velikoj Britaniji. Kako se ubrzo pokazalo, u sličnoj situaciji našle su se kompanije u desetinama zemalja, a najviše su stradale Rusija, Ukrajina, Indija i Tajvan. Prema podacima Kaspersky Lab-a, samo prvog dana napada virus je otkriven u 74 zemlje.
Zašto je WannaCry opasan? Virus šifrira datoteke razne vrste(primajući ekstenziju .WCRY, fajlovi postaju potpuno nečitljivi) i onda zahteva otkupninu od 600 dolara za dešifrovanje. Kako bi se ubrzao postupak prijenosa novca, korisnika plaši činjenica da će se za tri dana iznos otkupnine povećati, a nakon sedam dana fajlovi se više neće moći dešifrirati.
Operativni računari su u opasnosti da se zaraze virusom WannaCry ransomware. Windows sistemi. Ako koristite licencirano Windows verzije i redovno ažurirate svoj sistem, ne morate da brinete da će virus na ovaj način ući u vaš sistem.
Korisnici MacOS-a, ChromeOS-a i Linux-a, kao i mobilnih uređaja operativni sistemi iOS i Android WannaCry napadi Nema potrebe da se uopšte plašite.
Šta učiniti ako ste žrtva WannaCryja?
Britanska Nacionalna agencija za kriminal (NCA) preporučuje da mala preduzeća koja su bila žrtve ransomware-a i zabrinuta su zbog širenja virusa na mreži trebaju poduzeti sljedeće radnje:
- Odmah izolujte svoj računar, laptop ili tablet od vaše korporativne/interne mreže. Isključite Wi-Fi.
- Promijenite drajvere.
- Bez povezivanja na Wi-Fi mreže, direktno povežite svoj računar na Internet.
- Ažurirajte svoj operativni sistem i sav drugi softver.
- Ažurirajte i pokrenite svoj antivirusni softver.
- Ponovo se povežite na mrežu.
- Pratite mrežni promet i/ili pokrenite skeniranje virusa kako biste bili sigurni da je ransomware nestao.
Važno!
Datoteke šifrirane virusom WannaCry ne mogu dešifrirati niko osim napadača. Zato ne gubite vrijeme i novac na one "IT genije" koji obećavaju da će vas spasiti od ove glavobolje.
Da li se isplati plaćati novac napadačima?
Prva pitanja koja postavljaju korisnici s novim WannaCry ransomware virusom su: kako oporaviti datoteke i kako ukloniti virus. Ne pronalazeći besplatno i efikasne načine odluke, oni su suočeni sa izborom: platiti novac iznuđivaču ili ne? Pošto korisnici često imaju šta da izgube (lični dokumenti i arhive fotografija pohranjeni su na računaru), želja da se problem reši novcem zaista se javlja.
Ali NCA snažno podstiče Neplatiti novac. Ako se ipak odlučite na to, imajte na umu sljedeće:
- Prvo, ne postoji garancija da ćete dobiti pristup svojim podacima.
- Drugo, vaš računar može i dalje biti zaražen virusom čak i nakon plaćanja.
- Treće, najvjerovatnije ćete jednostavno dati svoj novac sajber kriminalcima.
Kako se zaštititi od WannaCryja?
Vjačeslav Belašov, šef odeljenja za implementaciju sistema informacione bezbednosti u SKB Kontur, objašnjava koje radnje treba preduzeti da sprečite infekciju virusom:
Posebnost virusa WannaCry je u tome što može prodrijeti u sistem bez ljudske intervencije, za razliku od drugih virusa za šifriranje. Ranije je, da bi virus radio, bilo potrebno da korisnik bude nepažljiv - da prati sumnjivi link iz e-maila koji mu zapravo nije namijenjen ili da preuzme zlonamjerni prilog. U slučaju WannaCry-a, ranjivost koja postoji direktno u samom operativnom sistemu je iskorišćena. Dakle, računari uključeni Windows baziran, na kojem nisu instalirana ažuriranja od 14. marta 2017. godine. Jedna zaražena radna stanica iz lokalna mreža tako da se virus širi na druge sa postojećim ranjivostima.
Korisnici pogođeni virusom prirodno imaju jedno glavno pitanje: kako dešifrirati svoje informacije? Nažalost, još uvijek nema zagarantovanog rješenja i teško da će biti predviđeno. Ni nakon uplate navedenog iznosa problem nije riješen. Osim toga, situacija može biti pogoršana činjenicom da osoba, u nadi da će oporaviti svoje podatke, riskira korištenje navodno „besplatnih“ dešifratora, koji su u stvarnosti također zlonamjerni fajlovi. Stoga je glavni savjet koji se može dati je da budete oprezni i učinite sve da izbjegnete takvu situaciju.
Šta se tačno može i treba uraditi u ovom trenutku:
1. Instalirajte najnovija ažuriranja.
Ovo se ne odnosi samo na operativne sisteme, već i na alate antivirusna zaštita. Informacije o ažuriranju Windows-a možete pronaći ovdje.
2. Napravite rezervne kopije važnih informacija.
3. Budite oprezni kada radite sa poštom i internetom.
Morate obratiti pažnju na dolazne e-poruke sa sumnjivim linkovima i prilozima. Za rad s Internetom preporučuje se korištenje dodataka koji vam omogućavaju da se riješite nepotrebnog oglašavanja i linkova ka potencijalno zlonamjernim izvorima.