Ipinagpapatuloy nito ang mapang-aping pagmartsa nito sa Internet, nakakahawa sa mga computer at nag-e-encrypt ng mahalagang data. Paano protektahan ang iyong sarili mula sa ransomware, protektahan ang Windows mula sa ransomware - inilabas ba ang mga patch upang i-decrypt at disimpektahin ang mga file?

Bagong ransomware virus 2017 na Wanna Cry patuloy na nakakahawa sa mga corporate at pribadong PC. U Ang pinsala mula sa pag-atake ng virus ay may kabuuang $1 bilyon. Sa 2 linggo, ang ransomware virus ay nahawaan ng hindi bababa sa 300 libong mga computer, sa kabila ng mga babala at mga hakbang sa seguridad.

Ransomware virus 2017, ano ito?- bilang panuntunan, maaari kang "kumuha" sa tila pinaka hindi nakakapinsalang mga site, halimbawa, mga server ng bangko na may access ng user. Isang beses hard drive mga biktima, ang ransomware ay "naninirahan" sa folder ng system Sistema32. Mula doon ay agad na hindi pinapagana ng programa ang antivirus at napupunta sa "Autorun"" Pagkatapos ng bawat pag-reboot, ransomware tumatakbo sa registry, nagsisimula sa kanyang maruming gawain. Ang ransomware ay nagsisimulang mag-download ng mga katulad na kopya ng mga programa tulad ng Ransom at Trojan. Madalas din itong mangyari ransomware self-repplication. Ang prosesong ito ay maaaring panandalian, o maaaring tumagal ng ilang linggo hanggang sa mapansin ng biktima na may mali.

Ang ransomware ay madalas na nagkukunwaring mga ordinaryong larawan, mga text file , ngunit ang kakanyahan ay palaging pareho - isa itong executable na file na may extension na .exe, .drv, .xvd; Minsan - library.dll. Kadalasan, ang file ay may ganap na hindi nakapipinsalang pangalan, halimbawa " dokumento. doc", o " larawan.jpg", kung saan manu-manong isinulat ang extension, at nakatago ang totoong uri ng file.

Matapos makumpleto ang pag-encrypt, nakikita ng gumagamit, sa halip na mga pamilyar na file, isang hanay ng mga "random" na character sa pangalan at sa loob, at ang extension ay nagbabago sa isang hindi kilalang hanggang ngayon - .NO_MORE_RANSOM, .xdata at iba pa.

Wanna Cry ransomware virus 2017 – kung paano protektahan ang iyong sarili. Gusto kong agad na tandaan na ang Wanna Cry ay isang kolektibong termino para sa lahat ng encryption at ransomware na mga virus, dahil kamakailan lamang ay madalas itong na-infect ang mga computer. So, pag-uusapan natin Protektahan ang iyong sarili mula sa Ransom Ware ransomware, kung saan napakarami: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.

Paano protektahan ang Windows mula sa ransomware.EternalBlue sa pamamagitan ng SMB port protocol.

Pagprotekta sa Windows mula sa ransomware 2017 – mga pangunahing panuntunan:

  • Pag-update ng Windows, napapanahong paglipat sa isang lisensyadong OS (tandaan: ang bersyon ng XP ay hindi na-update)
  • pag-update ng mga database ng anti-virus at mga firewall kapag hinihiling
  • matinding pag-iingat kapag nagda-download ng anumang mga file (maaaring magresulta ang mga cute na "seal" sa pagkawala ng lahat ng data)
  • backup mahalagang impormasyon sa naaalis na media.

Ransomware virus 2017: kung paano magdisimpekta at mag-decrypt ng mga file.

Ang pag-asa sa antivirus software, maaari mong kalimutan ang tungkol sa decryptor nang ilang sandali. Sa mga laboratoryo Kaspersky, Dr. Web, Avast! at iba pang mga antivirus sa ngayon walang nakitang solusyon para sa paggamot sa mga nahawaang file. Naka-on sa ngayon Posibleng alisin ang virus gamit ang isang antivirus, ngunit walang mga algorithm upang ibalik ang lahat ng "normal" pa.

Sinusubukan ng ilan na gumamit ng mga decryptor tulad ng utility ng RectorDecryptor, ngunit hindi ito makakatulong: isang algorithm para sa pag-decryption ng mga bagong virus ay hindi pa naipon. Hindi rin alam kung paano kikilos ang virus kung hindi ito aalisin pagkatapos gamitin ang mga naturang programa. Kadalasan ito ay maaaring magresulta sa pagbura ng lahat ng mga file - bilang isang babala sa mga taong ayaw magbayad sa mga umaatake, ang mga may-akda ng virus.

Sa ngayon, ang pinakamabisang paraan upang mabawi ang nawalang data ay ang makipag-ugnayan sa teknikal na suporta. suporta ng supplier antivirus program na iyong ginagamit. Upang gawin ito, magpadala ng sulat o gamitin ang form sa puna sa website ng tagagawa. Tiyaking idagdag ang naka-encrypt na file sa attachment at, kung magagamit, isang kopya ng orihinal. Makakatulong ito sa mga programmer sa pagbuo ng algorithm. Sa kasamaang palad, para sa marami atake ng virus dumating bilang isang kumpletong sorpresa, at walang mga kopya na natagpuan, na lubos na nagpapalubha sa sitwasyon.

Paraan ng puso ng paggamot sa Windows mula sa ransomware. Sa kasamaang palad, kung minsan kailangan mong mag-resort buong pag-format hard drive, na nangangailangan ng kumpletong pagbabago ng OS. Marami ang mag-iisip na ibalik ang system, ngunit hindi ito isang opsyon - kahit na ang isang "rollback" ay mapupuksa ang virus, ngunit ang mga file ay mananatiling naka-encrypt.

Mayroon bang proteksyon laban sa ransomware ngayon? Hindi. Gaano man ito kalungkot pakinggan, ito ay totoo. Walang tunay na proteksyon at, tila, hindi magkakaroon. Ngunit huwag mag-alala, may ilang simpleng panuntunan na, kung susundin, ay makakatulong na mabawasan ang panganib ng impeksyon ng iyong computer. Bago ako magbigay ng isang listahan ng mga rekomendasyon, nais kong sabihin nang maaga na sa artikulong ito ay hindi ako nag-a-advertise ng anumang mga antivirus, ngunit naglalarawan lamang ng aking sariling karanasan, dahil ang malware na ito ay nahuli nang dalawang beses sa opisina. Pagkatapos ng mga kasong ito, nakabuo kami ng listahan ng mga rekomendasyon.

Kaya, ang unang bagay na dapat mong gawin ay tiyakin na mayroon kang napapanahon na antivirus na may mga pinakabagong database sa board. Ang aking mga kasamahan at ako ay nagsagawa ng mga eksperimento sa iba't ibang mga produkto mula sa mga kumpanya ng antivirus, at batay sa mga resultang nakuha, ligtas kong masasabi na ang distribution kit mula sa Kaspersky Lab ay nagpakita ng pinakamahusay na mga resulta. Nakipagtulungan kami sa Kaspesky Endpoint Security para sa Business Standard. Ang bilang ng mga pagtuklas ng ransomware ay higit sa 40%. Samakatuwid, huwag mag-atubiling mag-install ng antivirus, at huwag hamakin ang mga naturang programa.

Ang pangalawang punto ay upang ipagbawal ang paglunsad ng mga programa mula sa folder na %AppData%. Muli, ito ay hindi isang katotohanan na ang ransomware ay gumagana mula sa folder na ito, ngunit bilang isang preventive measure binibigyang-katwiran nito ang sarili nito, na binabawasan ang bilang ng mga posibleng attack vectors. Ang malware ay maaari ding ilunsad mula sa:

  • %TEMP%
  • %LOCALAPPDATA%
  • %USERPROFILE%
  • %WinDir%
  • %SystemRoot%
Kung posible na kontrolin ang mga direktoryo na ito, siguraduhing gawin ito.

Ang pinakamahalagang punto at ang pulang thread na tumatakbo sa buong artikulo ay ang punto tungkol sa kung ano ang kinakailangan at napakahalagang gawin mga backup. Habang nasa bahay, ligtas kang makakagamit ng libreng cloud para sa pag-iimbak ng data, hindi lahat ay may ganitong pagkakataon sa trabaho. Kung isa kang system administrator, gumawa at magpatakbo ng backup. Kung hindi ka bahagi ng IT department, suriin sa iyong tagapangasiwa ng system tungkol sa pagkakaroon backup kritikal na datos. Maaari mo ring i-duplicate ang mga ito sa cloud. Sa kabutihang palad, mayroong maraming mga libreng pagpipilian: Yandex Disk, Mail cloud, DropBox, Google Disk at iba pa.

Halos imposibleng protektahan ang iyong sarili mula sa ransomware gamit ang mga teknikal na paraan. Samakatuwid, ang unang linya ng depensa sa kasong ito ay ang gumagamit mismo. Ang kaalaman at pangangalaga lamang ang makakatulong na maiwasan ang impeksyon. Pinakamahalaga, huwag kailanman mag-click sa mga link o magbukas ng mga attachment sa mga email mula sa mga nagpadala na hindi mo kilala. Kung hindi, malamang na mapanganib mong mawala ang iyong data.

Suriin ang return address sa sulat, pati na rin ang attachment, nang maingat. Kung inaasahan mo ang isang liham na may kasamang attachment mula sa isang kaibigan o kasosyo sa trabaho, kapag nakatanggap ka ng ganoong sulat, siguraduhin na ang sulat ay mula mismo sa taong iyong inaasahan. Maaaring tumagal ng ilang oras, ngunit ang oras na ginugol sa pagsusuri ay maaaring makatipid sa iyo sa isang araw ng pagbawi ng data.

Kung mayroon kang kaunting hinala ng isang nakakompromisong sulat, makipag-ugnayan kaagad sa iyong serbisyo sa IT. Maniwala ka sa akin, pasasalamatan ka lang nila para dito.

Gumagamit ang ilang variant ng ransomware ng command at control server sa Tor network. Bago magsimula ang pag-encrypt, dina-download nila ang katawan ng virus mula sa mga server na ito. Ang network ng Tor ay may ilang mga exit node sa "malaking" Internet, na tinatawag na mga node. May mga pampublikong node, at may mga nakatago. Bilang bahagi ng mga hakbang sa pag-iwas, maaari mong i-block ang mga kilalang output node sa iyong router, kung pinapayagan nito, upang gawing mahirap ang pagpapatakbo ng virus hangga't maaari. Ang isang listahan ng mga naturang address ay matatagpuan sa Internet ngayon ay may mga pitong libo sa kanila.

Siyempre, ang lahat ng inilarawan sa itaas ay hindi nagbibigay ng anumang garantiya na hindi ka isasama sa listahan ng mga biktima, ngunit ang mga rekomendasyong ito ay makakatulong na mabawasan ang panganib ng impeksyon. Hanggang sa mabuo ang tunay na proteksyon laban sa ransomware, ang aming pangunahing sandata ay pagiging maasikaso at pag-iingat.

Sa madaling salita: Upang protektahan ang data mula sa mga virus ng ransomware, maaari kang gumamit ng isang naka-encrypt na disk batay sa isang lalagyan ng crypto, isang kopya nito ay dapat itago sa cloud storage.

  • Ang isang pagsusuri sa mga cryptolocker ay nagpakita na sila ay nag-encrypt lamang ng mga dokumento at ang lalagyan ng file mula sa naka-encrypt na disk ay hindi interesado sa mga cryptolocker.
  • Ang mga file sa loob ng naturang crypto container ay hindi naa-access sa virus kapag ang disk ay nadiskonekta.
  • At dahil ang Encrypted Disk ay naka-on lamang sa sandaling ito ay kinakailangan upang gumana sa mga file, mayroong isang mataas na posibilidad na ang cryptolocker ay hindi magkakaroon ng oras upang i-encrypt ito o ibunyag ang sarili bago ang sandaling ito.
  • Kahit na ini-encrypt ng cryptolocker ang mga file sa naturang disk, madali mong maibabalik ang isang backup na kopya ng crypto container ng disk mula sa imbakan ng ulap, na awtomatikong ginagawa tuwing 3 araw o mas madalas.
  • Ang pag-iimbak ng kopya ng isang lalagyan ng disk sa cloud storage ay ligtas at madali. Ang data sa lalagyan ay ligtas na naka-encrypt, na nangangahulugang hindi makikita ng Google o Dropbox ang loob. Dahil sa katotohanan na ang lalagyan ng crypto ay isang file, kapag na-upload mo ito sa cloud, talagang ina-upload mo ang lahat ng mga file at folder na nasa loob nito.
  • Ang isang crypto container ay maaaring maprotektahan hindi lamang sa isang mahabang password, kundi pati na rin sa isang electronic key tulad ng rutoken na may napakalakas na password.

Ang mga ransomware virus tulad ng Locky, TeslaCrypt, CryptoLocker at WannaCry cryptolocker ay idinisenyo upang mangikil ng pera mula sa mga may-ari ng mga nahawaang computer, kaya naman tinawag din silang "ransomware". Matapos mahawaan ang isang computer, ine-encrypt ng virus ang mga file ng lahat ng kilalang program (doc, pdf, jpg...) at pagkatapos ay nangingikil ng pera para i-decrypt ang mga ito pabalik. Ang napinsalang partido ay malamang na kailangang magbayad ng ilang daang dolyar upang i-decrypt ang mga file, dahil ito ang tanging paraan upang maibalik ang impormasyon.

Kung ang impormasyon ay napakamahal, ang sitwasyon ay walang pag-asa, at kumplikado ng katotohanan na ang virus ay may kasamang countdown at may kakayahang sirain ang sarili nang hindi binibigyan ka ng pagkakataong ibalik ang data kung sa tingin mo ay napakatagal.

Mga kalamangan ng programang Rohos Disk Encryption para sa pagprotekta ng impormasyon mula sa mga crypto virus:

  • Lumilikha ng isang lalagyan ng Crypto para sa maaasahang proteksyon ng mga file at folder.
    Ginagamit ang prinsipyo ng on-the-fly encryption at malakas na AES 256 Bit encryption algorithm.
  • Sumasama sa Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.
    Binibigyang-daan ng Rohos Disk ang mga serbisyong ito na pana-panahong i-scan ang crypto container at mag-upload lamang ng mga pagbabago sa naka-encrypt na data sa cloud, salamat sa kung saan nag-iimbak ang cloud ng ilang mga rebisyon ng crypto disk.
  • Binibigyang-daan ka ng Rohos Disk Browser utility na magtrabaho kasama ang isang crypto disk upang ang ibang mga program (kabilang ang mga virus) ay walang access sa disk na ito.

Crypto container na Rohos Disk

Ang programang Rohos Disk ay lumilikha ng isang crypto container at isang drive letter para dito sa system. Gumagana ka sa isang disk tulad ng dati, ang lahat ng data dito ay awtomatikong naka-encrypt.

Kapag ang crypto disk ay hindi pinagana, hindi ito naa-access sa lahat ng mga programa, kabilang ang mga virus ng ransomware.

Pagsasama sa mga cloud storage

Binibigyang-daan ka ng programang Rohos Disk na maglagay ng crypto container sa cloud storage service folder at pana-panahong patakbuhin ang proseso ng pag-synchronize ng crypto container.

Mga suportadong serbisyo: Google Drive, Dropbox, Cloud Mail.ru, Yandex Disk.

Kung naka-on ang crypto disk, nagkaroon ng impeksyon sa virus at nagsimulang i-encrypt ng virus ang data sa crypto disk, may pagkakataon kang ibalik ang imahe ng lalagyan ng crypto mula sa cloud. Para sa impormasyon - Nasusubaybayan ng Google Drive at Dropbox ang mga pagbabago sa mga file (mga pagbabago), nag-iimbak lamang ng mga binagong bahagi ng file at samakatuwid ay nagbibigay-daan sa iyong ibalik ang isa sa mga bersyon ng lalagyan ng crypto mula sa kamakailang nakaraan (karaniwang 30-60 araw depende sa libreng espasyo sa Google Drive).

Utility ng Rohos Disk Browser

Binibigyang-daan ka ng Rohos Disk Browser na magbukas ng crypto container sa Explorer mode nang hindi ginagawang available ang disk sa antas ng driver para sa buong system.

Mga kalamangan ng diskarteng ito:

  • Ang impormasyon ng disk ay ipinapakita lamang sa Rohos Disk Browser
  • Walang ibang application ang makaka-access sa data sa disk.
  • Ang user ng Rohos Disk Browser ay maaaring magdagdag ng file o folder, magbukas ng file at gumawa ng iba pang mga operasyon.

Kumpletong proteksyon ng data laban sa malware:

  • Ang mga file ay hindi naa-access sa iba pang mga program, kabilang ang mga bahagi ng Windows.

Bago malware Ang WannaCry ransomware (na mayroon ding maraming iba pang pangalan - WannaCry Decryptor, WannaCrypt, WCry at WanaCrypt0r 2.0) na nakilala ang sarili nito sa mundo noong Mayo 12, 2017, nang ang mga file sa mga computer sa ilang institusyon ng pangangalagang pangkalusugan sa UK ay na-encrypt. Sa lalong madaling panahon ay naging malinaw, ang mga kumpanya sa dose-dosenang mga bansa ay natagpuan ang kanilang sarili sa isang katulad na sitwasyon, at ang Russia, Ukraine, India, at Taiwan ay higit na nagdusa. Ayon sa Kaspersky Lab, sa unang araw lamang ng pag-atake, natukoy ang virus sa 74 na bansa.

Bakit mapanganib ang WannaCry? Ang virus ay nag-encrypt ng mga file iba't ibang uri(pagtanggap ng .WCRY extension, ang mga file ay magiging ganap na hindi nababasa) at pagkatapos ay humihingi ng ransom na $600 para sa pag-decryption. Upang mapabilis ang pamamaraan sa paglilipat ng pera, ang gumagamit ay natatakot sa katotohanan na sa tatlong araw ay tataas ang halaga ng ransom, at pagkalipas ng pitong araw, hindi na made-decrypt ang mga file.

Mga kompyuter batay sa mga operating system Windows. Kung gumagamit ka ng lisensyado Mga bersyon ng Windows at regular na i-update ang iyong system, hindi mo kailangang mag-alala na may virus na papasok sa iyong system sa ganitong paraan.

Mga user ng MacOS, ChromeOS at Linux, pati na rin ang mga mobile operating system iOS system at ang mga pag-atake ng Android WannaCry ay hindi dapat katakutan.

Ano ang gagawin kung ikaw ay biktima ng WannaCry?

Inirerekomenda ng National Crime Agency (NCA) ng UK na ang mga maliliit na negosyo na naging biktima ng ransomware at nag-aalala tungkol sa pagkalat ng virus online ay dapat gawin ang mga sumusunod na aksyon:

  • Kaagad na ihiwalay ang iyong computer, laptop, o tablet mula sa iyong corporate/internal na network. I-off ang Wi-Fi.
  • Baguhin ang mga driver.
  • Nang hindi kumokonekta sa Mga Wi-Fi network, direktang ikonekta ang iyong computer sa Internet.
  • I-update ang iyong operating system at lahat ng iba pang software.
  • I-update at patakbuhin ang iyong antivirus software.
  • Kumonekta muli sa network.
  • Subaybayan ang trapiko sa network at/o magpatakbo ng virus scan upang matiyak na wala na ang ransomware.

Mahalaga!

Ang mga file na naka-encrypt ng WannaCry virus ay hindi maaaring i-decrypt ng sinuman maliban sa mga umaatake. Kaya't huwag sayangin ang iyong oras at pera sa mga "IT henyo" na nangangako na ililigtas ka mula sa sakit na ito.

Sulit ba ang pagbabayad ng pera sa mga umaatake?

Ang mga unang tanong ng mga user na nahaharap sa bagong WannaCry ransomware virus ay: kung paano mabawi ang mga file at kung paano alisin ang isang virus. Hindi nakakahanap ng libre at mabisang paraan mga desisyon, nahaharap sila sa isang pagpipilian: magbayad ng pera sa extortionist o hindi? Dahil ang mga gumagamit ay madalas na may mawawala (mga personal na dokumento at mga archive ng larawan ay naka-imbak sa computer), ang pagnanais na malutas ang problema sa pera ay talagang lumitaw.

Ngunit ang NCA ay mahigpit na humihimok Hindimagbayad ng pera. Kung magpasya kang gawin ito, tandaan ang sumusunod:

  • Una, walang garantiya na makakakuha ka ng access sa iyong data.
  • Pangalawa, ang iyong computer ay maaari pa ring mahawaan ng virus kahit na pagkatapos ng pagbabayad.
  • Pangatlo, malamang na ibibigay mo lang ang iyong pera sa mga cybercriminal.

Paano protektahan ang iyong sarili mula sa WannaCry?

Ipinaliwanag ni Vyacheslav Belashov, pinuno ng departamento ng pagpapatupad ng mga sistema ng seguridad ng impormasyon sa SKB Kontur, kung anong mga aksyon ang dapat gawin upang maiwasan ang impeksyon sa virus:

Ang kakaiba ng WannaCry virus ay maaari itong tumagos sa isang sistema nang walang interbensyon ng tao, hindi katulad ng iba pang mga virus sa pag-encrypt. Noong nakaraan, para gumana ang virus, kinakailangan para sa gumagamit na maging hindi nag-iingat - upang sundin ang isang kahina-hinalang link mula sa isang email na hindi talaga nilayon para sa kanya, o mag-download ng isang nakakahamak na attachment. Sa kaso ng WannaCry, ang isang kahinaan na direktang umiiral sa operating system mismo ay pinagsamantalahan. Samakatuwid, ang mga computer sa Nakabatay sa Windows, kung saan hindi na-install ang mga update na may petsang Marso 14, 2017. Isang nahawaang workstation mula sa lokal na network upang ang virus ay kumalat sa iba na may mga kasalukuyang kahinaan.

Ang mga gumagamit na apektado ng virus ay natural na may isang pangunahing tanong: paano i-decrypt ang kanilang impormasyon? Sa kasamaang palad, wala pang garantisadong solusyon at malamang na hindi ito mahulaan. Kahit na pagkatapos magbayad ng tinukoy na halaga, ang problema ay hindi nalutas. Bilang karagdagan, ang sitwasyon ay maaaring lumala sa pamamagitan ng katotohanan na ang isang tao, sa pag-asa na mabawi ang kanyang data, ay nanganganib sa paggamit ng diumano'y "libre" na mga decryptor, na sa katotohanan ay mga nakakahamak na file din. Samakatuwid, ang pangunahing payo na maaaring ibigay ay maging maingat at gawin ang lahat ng posible upang maiwasan ang ganitong sitwasyon.

Ano ang eksaktong maaari at dapat gawin sa ngayon:

1. I-install ang pinakabagong mga update.

Nalalapat ito hindi lamang sa mga operating system, kundi pati na rin sa mga tool sa proteksyon ng antivirus. Ang impormasyon sa pag-update ng Windows ay matatagpuan dito.

2. Gumawa ng mga backup na kopya ng mahalagang impormasyon.

3. Mag-ingat kapag nagtatrabaho sa mail at sa Internet.

Kailangan mong bigyang pansin ang mga papasok na email na may mga kahina-hinalang link at attachment. Upang gumana sa Internet, inirerekumenda na gumamit ng mga plugin na nagbibigay-daan sa iyo upang mapupuksa ang hindi kinakailangang advertising at mga link sa mga potensyal na nakakahamak na mapagkukunan.