Continúa su marcha opresiva por Internet, infectando computadoras y cifrando datos importantes. ¿Cómo protegerse del ransomware y proteger Windows del ransomware? ¿Se han publicado parches para descifrar y desinfectar archivos?

Nuevo virus ransomware 2017 Quiero llorar continúa infectando PC corporativas y privadas. Ud. Los daños causados ​​por el virus ascienden a mil millones de dólares. En 2 semanas, el virus ransomware infectó al menos 300 mil computadoras, a pesar de las advertencias y medidas de seguridad.

Virus ransomware 2017, ¿qué es?- como regla general, puede "recoger" sitios aparentemente más inofensivos, por ejemplo, servidores bancarios con acceso de usuario. Una vez encendido disco duro víctimas, el ransomware se “instala” en carpeta del sistema Sistema32. A partir de ahí, el programa desactiva inmediatamente el antivirus y entra en "ejecución automática"" Después de cada reinicio, ransomware corre hacia el registro, comenzando su trabajo sucio. El ransomware comienza a descargar copias similares de programas como Ransom y Trojan.. También suele suceder autorreplicación de ransomware. Este proceso puede ser momentáneo o puede llevar semanas hasta que la víctima se dé cuenta de que algo anda mal.

El ransomware a menudo se disfraza de imágenes comunes, archivos de texto , pero la esencia es siempre la misma - este es un archivo ejecutable con la extensión .exe, .drv, .xvd; A veces - bibliotecas.dll. La mayoría de las veces, el archivo tiene un nombre completamente inofensivo, por ejemplo " documento. doc", o " imagen.jpg", donde la extensión se escribe manualmente, y el verdadero tipo de archivo está oculto.

Una vez completado el cifrado, el usuario ve, en lugar de archivos familiares, un conjunto de caracteres "aleatorios" en el nombre y en su interior, y la extensión cambia a una previamente desconocida: .NO_MORE_RANSOM, .xdata y otros.

Virus ransomware Wanna Cry 2017: cómo protegerse. Me gustaría señalar de inmediato que Wanna Cry es más bien un término colectivo para todos los virus de cifrado y ransomware, ya que recientemente ha infectado las computadoras con mayor frecuencia. Entonces, hablaremos de Protéjase del ransomware Ransom Ware, de los cuales hay muchísimos: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Cómo proteger Windows del ransomware.EternalBlue a través del protocolo de puerto SMB.

Proteger Windows del ransomware 2017 – reglas básicas:

  • actualización de windows, transición oportuna a un sistema operativo con licencia (nota: la versión XP no está actualizada)
  • actualización de bases de datos antivirus y firewalls a pedido
  • Tenga mucho cuidado al descargar cualquier archivo (los lindos "sellos" pueden provocar la pérdida de todos los datos)
  • respaldo información importante a medios extraíbles.

Virus ransomware 2017: cómo desinfectar y descifrar archivos.

Al confiar en el software antivirus, puede olvidarse del descifrador por un tiempo. en laboratorios Kaspersky, Dr. Web, Avast! y otros antivirus por ahora no se encontró ninguna solución para tratar archivos infectados. En en este momento Es posible eliminar el virus utilizando un antivirus, pero todavía no existen algoritmos para que todo vuelva "a la normalidad".

Algunos intentan utilizar descifradores como la utilidad RectorDecryptor., pero esto no ayudará: aún no se ha compilado un algoritmo para descifrar nuevos virus. Tampoco se sabe en absoluto cómo se comportará el virus si no se elimina después de utilizar dichos programas. A menudo, esto puede provocar el borrado de todos los archivos, como advertencia para aquellos que no quieren pagar a los atacantes, los autores del virus.

Por el momento, la forma más eficaz de recuperar datos perdidos es contactar con el soporte técnico. soporte de proveedores programa antivirus que estás usando. Para ello, envíe una carta o utilice el formulario para comentario en el sitio web del fabricante. Asegúrese de agregar el archivo cifrado al archivo adjunto y, si está disponible, una copia del original. Esto ayudará a los programadores a componer el algoritmo. Desafortunadamente, para muchos ataque de virus es una completa sorpresa y no se encuentran copias, lo que complica enormemente la situación.

Métodos cardíacos para tratar Windows contra ransomware. Desafortunadamente, a veces hay que recurrir a formato completo disco duro, lo que implica un cambio completo de sistema operativo. Muchos pensarán en restaurar el sistema, pero esta no es una opción; incluso una "reversión" eliminará el virus, pero los archivos seguirán encriptados.

En resumen: para proteger los datos de los virus ransomware, puede utilizar un disco cifrado basado en un contenedor criptográfico, cuya copia debe guardarse en el almacenamiento en la nube.

  • Un análisis de los cryptolockers mostró que solo cifran documentos y el contenedor de archivos del disco cifrado no es de interés para los cryptolockers.
  • Los archivos dentro de dicho contenedor criptográfico son inaccesibles para el virus cuando el disco está desconectado.
  • Y dado que el disco cifrado se activa solo en el momento en que es necesario trabajar con archivos, existe una alta probabilidad de que el cryptolocker no tenga tiempo de cifrarlo o se revele antes de ese momento.
  • Incluso si un cryptolocker cifra los archivos en dicho disco, puede restaurar fácilmente una copia de seguridad del contenedor criptográfico del disco desde almacenamiento en la nube, que se crea automáticamente cada 3 días o más a menudo.
  • Almacenar una copia de un contenedor de disco en el almacenamiento en la nube es seguro y sencillo. Los datos del contenedor están cifrados de forma segura, lo que significa que Google o Dropbox no podrán mirar su interior. Debido a que el contenedor criptográfico es un archivo, cuando lo cargas en la nube, en realidad cargas todos los archivos y carpetas que se encuentran dentro de él.
  • Un contenedor criptográfico se puede proteger no sólo con una contraseña larga, sino también con una clave electrónica como rutoken con una contraseña muy segura.

Los virus ransomware como Locky, TeslaCrypt, CryptoLocker y WannaCry cryptolocker están diseñados para extorsionar a los propietarios de computadoras infectadas, por lo que también se les llama "ransomware". Después de infectar una computadora, el virus cifra los archivos de todos los programas conocidos (doc, pdf, jpg...) y luego extorsiona para descifrarlos. Lo más probable es que la parte perjudicada tenga que pagar unos cientos de dólares para descifrar los archivos, ya que es la única forma de recuperar la información.

Si la información es muy cara, la situación es desesperada y se complica por el hecho de que el virus incluye una cuenta atrás y es capaz de autodestruirse sin darte la oportunidad de devolver los datos si piensas durante mucho tiempo.

Ventajas del programa Rohos Disk Encryption para proteger información de criptovirus:

  • Crea un contenedor Crypto para una protección confiable de archivos y carpetas.
    Se utiliza el principio de cifrado sobre la marcha y un potente algoritmo de cifrado AES de 256 bits.
  • Se integra con Google Drive, Dropbox, Cloud Mail.ru, Disco Yandex.
    Rohos Disk permite que estos servicios escaneen periódicamente el contenedor criptográfico y carguen solo los cambios de los datos cifrados en la nube, gracias a lo cual la nube almacena varias revisiones del disco criptográfico.
  • La utilidad Rohos Disk Browser le permite trabajar con un disco criptográfico para que otros programas (incluidos los virus) no tengan acceso a este disco.

Contenedor criptográfico Rohos Disk

El programa Rohos Disk crea un contenedor criptográfico y una letra de unidad en el sistema. Trabaja con un disco de este tipo como de costumbre, todos los datos que contiene se cifran automáticamente.

Cuando el disco criptográfico está desactivado, es inaccesible para todos los programas, incluidos los virus ransomware.

Integración con almacenamientos en la nube.

El programa Rohos Disk le permite colocar un contenedor criptográfico en la carpeta del servicio de almacenamiento en la nube y ejecutar periódicamente el proceso de sincronización del contenedor criptográfico.

Servicios compatibles: Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.

Si el disco criptográfico estaba encendido, se produjo una infección de virus y el virus comenzó a cifrar datos en el disco criptográfico, tiene la oportunidad de restaurar la imagen del contenedor criptográfico desde la nube. Para obtener información: Google Drive y Dropbox pueden rastrear cambios en archivos (revisiones), almacenar solo partes modificadas del archivo y, por lo tanto, le permiten restaurar una de las versiones del contenedor criptográfico del pasado reciente (generalmente entre 30 y 60 días, según en espacio libre en Google Drive).

Utilidad Rohos Disk Browser

Rohos Disk Browser le permite abrir un contenedor criptográfico en modo Explorador sin que el disco esté disponible en el nivel del controlador para todo el sistema.

Ventajas de este enfoque:

  • La información del disco se muestra solo en Rohos Disk Browser
  • Ninguna otra aplicación puede acceder a los datos del disco.
  • El usuario de Rohos Disk Browser puede agregar un archivo o carpeta, abrir un archivo y realizar otras operaciones.

Protección completa de datos contra malware:

  • Otros programas no pueden acceder a los archivos, incluidos los componentes de Windows.

¿Existe protección contra el ransomware hoy en día? No. Por muy triste que parezca, es verdad. No existe una protección real y, aparentemente, no la habrá. Pero no se preocupe, existen una serie de reglas simples que, si se siguen, ayudarán a reducir el riesgo de infección de su computadora. Antes de dar una lista de recomendaciones, quiero decir de antemano que en este artículo no estoy anunciando ningún antivirus, sino que simplemente describo mi propia experiencia, ya que este malware ya ha sido detectado dos veces en la oficina. Después de estos casos, elaboramos una lista de recomendaciones.

Entonces, lo primero que debes hacer es asegurarte de tener un antivirus actualizado con las últimas bases de datos a bordo. Mis colegas y yo realizamos experimentos con varios productos de empresas antivirus y, según los resultados obtenidos, puedo decir con seguridad que la distribución de Kaspersky Lab mostró los mejores resultados. Trabajamos con Kaspesky Endpoint Security for Business Standard. El número de detecciones del ransomware superó el 40%. Por lo tanto, no dude en instalar un antivirus y no desdeñe estos programas.

El segundo punto es prohibir el inicio de programas desde la carpeta %AppData%. Una vez más, no es un hecho que el ransomware funcione desde esta carpeta, pero como medida preventiva se justifica, reduciendo el número de posibles vectores de ataque. El malware también puede iniciarse desde:

  • %TEMPERATURA%
  • %LOCALAPPDATA%
  • %PERFIL DE USUARIO%
  • %WinDir%
  • % raíz del sistema%
Si es posible controlar estos directorios, asegúrese de hacerlo.

El punto más importante y el hilo rojo que recorre todo el artículo es el punto sobre lo que es necesario y extremadamente importante hacer. copias de seguridad. Si bien en casa puedes utilizar de forma segura una nube gratuita para almacenar datos, no todo el mundo tiene esta oportunidad en el trabajo. Si es administrador del sistema, cree y ejecute una copia de seguridad. Si no eres parte del departamento de TI, consulta con tu administrador del sistema sobre disponibilidad respaldo datos críticos. También puedes duplicarlos en la nube. Afortunadamente, existen muchas opciones gratuitas: Yandex Disk, Mail Cloud, DropBox, Google Disk, etc.

Es prácticamente imposible protegerse del ransomware utilizando medios técnicos. Por tanto, la primera línea de defensa en este caso es el propio usuario. Sólo el conocimiento y el cuidado pueden ayudar a evitar la infección. Lo más importante es que nunca haga clic en enlaces ni abra archivos adjuntos en correos electrónicos de remitentes que no conoce. De lo contrario, lo más probable es que corra el riesgo de perder sus datos.

Verifique la dirección del remitente en la carta, así como el archivo adjunto, con mucho cuidado. Si está esperando una carta con un archivo adjunto de un amigo o compañero de trabajo, cuando la reciba, asegúrese de que sea exactamente de la persona que está esperando. Puede llevar algo de tiempo, pero el tiempo dedicado a la verificación puede, en última instancia, ahorrarle un día de recuperación de datos.

Si tiene la más mínima sospecha de una carta comprometedora, comuníquese inmediatamente con su servicio de TI. Créeme, solo te lo agradecerán.

Algunas variantes de ransomware utilizan servidores de comando y control en la red Tor. Antes de que comience el cifrado, descargan el cuerpo del virus de estos servidores. La red Tor tiene una serie de nodos de salida a la "gran" Internet, que se denominan nodos. Hay nodos públicos y otros ocultos. Como parte de las medidas preventivas, puede bloquear los nodos de salida conocidos en su enrutador, si lo permite, para dificultar al máximo el funcionamiento del virus. Se puede encontrar una lista de estas direcciones en Internet; ahora hay unas siete mil.

Por supuesto, todo lo descrito anteriormente no ofrece ninguna garantía de que no será incluido en la lista de víctimas, pero estas recomendaciones ayudarán a reducir el riesgo de infección. Hasta que se desarrolle una protección real contra el ransomware, nuestra principal arma es la atención y la precaución.

Nuevo malware El ransomware WannaCry (que también tiene otros nombres: WannaCry Decryptor, WannaCrypt, WCry y WanaCrypt0r 2.0) se dio a conocer al mundo el 12 de mayo de 2017, cuando se cifraron archivos en ordenadores de varias instituciones sanitarias del Reino Unido. Como pronto quedó claro, empresas de docenas de países se encontraron en una situación similar, y Rusia, Ucrania, India y Taiwán fueron las que más sufrieron. Según Kaspersky Lab, sólo el primer día del ataque, el virus fue detectado en 74 países.

¿Por qué es peligroso WannaCry? El virus cifra los archivos. varios tipos(al recibir la extensión .WCRY, los archivos se vuelven completamente ilegibles) y luego exige un rescate de $600 por descifrarlos. Para acelerar el procedimiento de transferencia de dinero, el usuario se siente intimidado por el hecho de que en tres días el monto del rescate aumentará y Después de siete días, los archivos ya no se podrán descifrar..

Las computadoras operativas corren el riesgo de infectarse con el virus ransomware WannaCry. sistemas windows. Si está utilizando licencia Versiones de Windows y actualice su sistema periódicamente, no tiene que preocuparse de que un virus ingrese a su sistema de esta manera.

Usuarios de MacOS, ChromeOS y Linux, además de móviles sistemas operativos iOS y Android ataques WannaCry No hay necesidad de tener miedo en absoluto.

¿Qué hacer si eres víctima de WannaCry?

La Agencia Nacional contra el Crimen (NCA) del Reino Unido recomienda que las pequeñas empresas que hayan sido víctimas de ransomware y estén preocupadas por la propagación del virus en línea tomen las siguientes medidas:

  • Aísle inmediatamente su computadora, computadora portátil o tableta de su red corporativa/interna. Apague el wifi.
  • Cambiar de conductor.
  • Sin conectarse a Redes wifi, conecte directamente su computadora a Internet.
  • Actualice su sistema operativo y todo el resto del software.
  • Actualice y ejecute su software antivirus.
  • Vuelva a conectarse a la red.
  • Supervise el tráfico de la red y/o ejecute un análisis de virus para asegurarse de que el ransomware haya desaparecido.

¡Importante!

Los archivos cifrados por el virus WannaCry no pueden ser descifrados por nadie excepto por los atacantes. Por lo tanto, no pierda tiempo y dinero con esos “genios de TI” que prometen salvarlo de este dolor de cabeza.

¿Vale la pena pagar dinero a los atacantes?

Las primeras preguntas que hacen los usuarios ante el nuevo virus ransomware WannaCry son: cómo recuperar archivos y cómo eliminar un virus. No encontrar gratis y formas efectivas decisiones, se enfrentan a una elección: ¿pagarle dinero al extorsionador o no? Dado que los usuarios a menudo tienen algo que perder (los documentos personales y los archivos fotográficos se almacenan en la computadora), realmente surge el deseo de resolver el problema con dinero.

Pero la NCA insta encarecidamente Nopagar dinero. Si decide hacer esto, tenga en cuenta lo siguiente:

  • En primer lugar, no hay garantía de que tendrá acceso a sus datos.
  • En segundo lugar, es posible que su ordenador siga infectado con un virus incluso después del pago.
  • En tercer lugar, lo más probable es que simplemente entregue su dinero a los ciberdelincuentes.

¿Cómo protegerse de WannaCry?

Vyacheslav Belashov, jefe del departamento de implementación de sistemas de seguridad de la información de SKB Kontur, explica qué acciones tomar para prevenir la infección por el virus:

La peculiaridad del virus WannaCry es que puede penetrar un sistema sin intervención humana, a diferencia de otros virus de cifrado. Anteriormente, para que el virus funcionara, era necesario que el usuario no estuviera atento: seguir un enlace dudoso de un correo electrónico que en realidad no estaba destinado a él o descargar un archivo adjunto malicioso. En el caso de WannaCry, se aprovecha una vulnerabilidad que existe directamente en el propio sistema operativo. Por lo tanto, las computadoras en Basado en Windows, en el que no se instalaron las actualizaciones del 14 de marzo de 2017. Una estación de trabajo infectada del red local para que el virus se propague a otras personas con vulnerabilidades existentes.

Los usuarios afectados por el virus naturalmente tienen una pregunta principal: ¿cómo descifrar su información? Lamentablemente, todavía no existe una solución garantizada y es poco probable que se pueda prever. Incluso después de pagar la cantidad especificada, el problema no se resuelve. Además, la situación puede verse agravada por el hecho de que una persona, con la esperanza de recuperar sus datos, corre el riesgo de utilizar descifradores supuestamente "gratuitos", que en realidad también son archivos maliciosos. Por tanto, el principal consejo que se puede dar es tener cuidado y hacer todo lo posible para evitar tal situación.

Qué se puede y se debe hacer exactamente en este momento:

1. Instale las últimas actualizaciones.

Esto se aplica no sólo a los sistemas operativos, sino también a las herramientas. protección antivirus. Puede encontrar información sobre la actualización de Windows aquí.

2. Haga copias de seguridad de la información importante.

3. Tenga cuidado al trabajar con el correo e Internet.

Debe prestar atención a los correos electrónicos entrantes con enlaces y archivos adjuntos dudosos. Para trabajar con Internet, se recomienda utilizar complementos que le permitan deshacerse de publicidad innecesaria y enlaces a fuentes potencialmente maliciosas.