15/05/2017, Lunes, 13:33, MSK , Texto: PAUL PREMULA

El otro día en Rusia, uno de los más grandes y "ruidosos", a juzgar por la prensa, Kiberatak: se han producido redes de varios departamentos y las organizaciones más grandes, incluido el Ministerio de Asuntos Internos. El virus encripta los datos sobre las computadoras de los empleados y extorsionó una gran cantidad de dinero para que continúen su trabajo. Este es un ejemplo visual del hecho de que nadie está asegurado contra los extorsiones. Sin embargo, puedes luchar contra esta amenaza: mostraremos varias maneras en que ofrece Microsoft.

¿Qué sabemos sobre los extorsiones? Parece que estos son criminales que requieren dinero de usted o las cosas bajo la amenaza de consecuencias adversas. En los negocios, tal de la época a tiempo, todo está a punto de aparecer como actuar en tales situaciones. Pero, ¿qué pasa si el virus es el extorsionador resuelto en sus computadoras de trabajo, bloquea el acceso a sus datos y requiere transferir dinero a ciertas personas a cambio de código de desbloqueo? Debe ponerse en contacto con los especialistas de seguridad de la información. Y es mejor hacerlo con anticipación para evitar problemas.

El número de ciberdelincuencia en los últimos años ha crecido un pedido. Según el estudio de Sentinelone, la mitad de las empresas en los países europeos más grandes fueron atacados por virus exorporables, y más del 80% de ellos se convirtieron en víctimas de tres o más veces. Se observa una imagen similar en todo el mundo. ClearSwift especializada en la seguridad de la información. Llamadas a un tipo de países "principales" más afectados por Ransomware: programas exorbitantes: Estados Unidos, Rusia, Alemania, Japón, Reino Unido e Italia. El interés especial de los atacantes causa pequeñas y medianas empresas, porque tienen más dinero y datos más sensibles que en individuos, y no hay servicios de seguridad poderosos, como grandes empresas.

¿Qué hacer y, lo más importante, cómo prevenir el ataque de los extorsiones? Para empezar, estimaremos la amenaza en sí. El ataque puede ser realizado por varios caminos. Uno de los más comunes - correo electrónico. Los criminales son utilizados activamente por los métodos de ingeniería social, cuya efectividad no se enamoró de los tiempos del famoso pirata informático del siglo XX Kevin Mitnik. Pueden llamar al empleado de la compañía de la víctima en nombre de una contraparte realmente existente y después de la conversación para enviar una carta con un archivo adjunto que contenga un archivo malicioso. Un empleado, por supuesto, lo abrirá, porque simplemente habló con el remitente por teléfono. O un contador puede recibir una letra supuestamente del alguacil o del banco, que atiende a su compañía. Nadie está asegurado, e incluso el Ministerio de Asuntos Internos sufre por primera vez: hace unos meses, los hackers enviaron una cuenta falsa de Rostelecom con un oficial de cifrado de virus en el Departamento de Contabilidad de la Gestión lineal de Kazán del Ministerio de Interno Asuntos.

La fuente de infección puede ser un sitio de phishing, al que se encontró el usuario bajo un enlace fraudulento, y "aleatoriamente olvidado" por alguien de los visitantes de la Flash Drive de la Oficina. Cada vez más y más a menudo, la infección ocurre a través de dispositivos móviles sin protección de los empleados con los que obtienen acceso a los recursos corporativos. Y el antivirus puede no funcionar: cientos de programas maliciosos, los antiviruses de derivación, se conocen, por no mencionar los "ataques del día cero", operando simplemente abre "agujeros" en el software.

¿Qué es un "vagón cibernético"?

Un programa conocido como el "Extorsionador", "Encrypter", Ransomware bloquea el acceso del usuario al sistema operativo y generalmente cifra todos los datos en el disco duro. Se muestra un mensaje en la pantalla que la computadora está bloqueada y el propietario está obligado a transferir al atacante una gran cantidad de dinero si quiere devolver el control de los datos. La mayoría de las veces, la pantalla enciende la cuenta regresiva en 2 a 3 días para que el usuario se apresure, de lo contrario, los contenidos del disco serán destruidos. Dependiendo de los apetitos de los delincuentes y el tamaño de la compañía, la cantidad de rescate en Rusia varía desde varias decenas hasta varios cientos de miles de rublos.

Tipos de extorsionistas

Fuente: Microsoft, 2017

Estos malware se han conocido durante muchos años, pero en los últimos dos o tres años están experimentando un verdadero florecimiento. ¿Por qué? Primero, porque la gente paga a los atacantes. Según Kaspersky Lab, el 15% de las compañías rusas atacadas de esta manera, prefieren pagar la redención, y 2/3 de las empresas en el mundo que han sido atacadas, perdieron sus datos corporativos en su totalidad o en parte.

Los ciberdelincuentes de kit de herramientas se han vuelto más perfectos y asequibles. Y los terceros intentos independientes de "recoger la contraseña" no son buenos para la víctima, y \u200b\u200bla policía rara vez puede encontrar criminales, especialmente durante la cuenta regresiva.

Por cierto. No todos los hackers pasan su tiempo para informar a la contraseña a la víctima que les enumeró la cantidad requerida.

¿Cuál es el problema del negocio?

El principal problema en el campo de la seguridad de la información en pequeñas y medianas empresas en Rusia es que no tienen dinero para fondos especiales potentes IB, y sistemas de TI y empleados con los que pueden ocurrir varios incidentes, más que suficiente. Para combatir Ransomwarneww, solo cortafuegos personalizados, antivirus y políticas de seguridad. Debe usar todas las herramientas disponibles, en primer lugar proporcionadas por el proveedor del sistema operativo, ya que es económico (o incluido en el costo del sistema operativo) y es 100% compatible con su propio software.

La abrumadora mayoría de las computadoras cliente y una parte significativa de los servidores están ejecutando Microsoft Windows OS. Todos conocen las herramientas de seguridad incorporadas, como Windows Defender y Windows Firewall, que, junto con las últimas actualizaciones del sistema operativo y la restricción de los derechos del usuario, proporcionan un nivel de seguridad completamente suficiente en ausencia de fondos especializados para un empleado ordinario.

Pero la peculiaridad de las relaciones comerciales y los ciberdelincuentes es que la primera a menudo no sabe que son atacados por el segundo. Se creen protegidos, y de hecho, los malware ya han penetrado a través del perímetro de la red y hacen que su trabajo sea un trabajo. Después de todo, no todos se comportan tan descaradamente como los extorsiones de los troyanos.

Microsoft ha cambiado el enfoque de seguridad: ahora ha ampliado la línea de productos IB, y también se enfoca no solo para asegurar la compañía de los ataques modernos, sino también para permitir la oportunidad de investigarlos si aún sucedió la infección.

Protección de correo

El sistema postal como el principal canal de penetración de la red corporativa en la red corporativa debe estar protegida adicionalmente. Para esto, Microsoft ha desarrollado un sistema ATP de Exchange (protección avanzada de tratamiento), que analiza archivos adjuntos posteriores o enlaces de Internet y responde de manera oportuna a los ataques identificados. Este es un producto separado, está integrado en Microsoft Exchange y no requiere implementación en cada máquina cliente.

El sistema ATP de Exchange puede detectar incluso los "ataques del día cero", porque lanza todos los archivos adjuntos en una "caja de arena" especial, sin liberarlos en el sistema operativo, y analiza su comportamiento. Si no contiene señales de ataque, el archivo adjunto se considera seguro y el usuario puede abrirlo. Y el archivo potencialmente malicioso se envía a la cuarentena y se notifica al administrador al respecto.

En cuanto a las referencias en las letras, también se revisan. Exchange ATP reemplaza todas las referencias a intermedios. El usuario hace clic en un enlace en una letra, se cae en un enlace intermedio, y en este punto el sistema verifica la dirección de seguridad. El cheque se produce tan rápidamente que el usuario no notifica el retraso. Si el enlace conduce a un sitio o archivo infectado, la transición a ella está prohibida.

Cómo funciona la Exchange ATP

Fuente: Microsoft, 2017

¿Por qué el cheque se produce en el momento de hacer clic, y no al recibir la letra, después de todo, entonces hay más tiempo en el estudio y, por lo tanto, necesita menos energía de computación? Esto se hace específicamente para proteger contra el truco de los atacantes con los contenidos bajo el enlace. Ejemplo típico: la letra en el buzón viene por la noche, el sistema está revisando y no detecta nada, y por la mañana en el sitio ya se coloca, por ejemplo, un archivo con un troyano que el usuario descarga de manera segura.

Y la tercera parte del servicio de Exchange ATP es un sistema de informes incorporado. Le permite investigar los incidentes que han ocurrido y proporciona datos para responder preguntas: cuando se produjo la infección, cómo y dónde sucedió. Esto le permite encontrar una fuente, determinar el daño y comprender lo que fue: un ataque aleatorio o un ataque específico y dirigido contra esta empresa.

Este sistema es útil y para la prevención. Por ejemplo, el administrador puede plantear las estadísticas como las transiciones en los enlaces marcados como peligrosos, y que lo hicieron de los usuarios. Incluso si no hubiera infección, todavía debe ser aclarado con estos empleados.

Es cierto que hay categorías de empleados que son obligatorios obligados a visitar una variedad de sitios, como, por ejemplo, comercializadores, la investigación de mercado. Para ellos, Microsoft Technology le permite configurar la política para que cualquier archivo descargable antes de guardar en la computadora se registre en la caja de arena. Además, las reglas se definen literalmente en varios clics.

Protección de las credenciales.

Uno de los objetivos de los ataques de los atacantes es las credenciales de los usuarios. La tecnología de los robos de los inicios de sesión y las contraseñas de los usuarios es bastante, y deben soportar una protección duradera. La esperanza de los propios empleados no es suficiente: se les ocurren contraseñas simples, aplique una contraseña para acceder a todos los recursos y escríbalos en la etiqueta pegada al monitor. Esto puede estar luchando con las medidas administrativas y establecer los requisitos de software para las contraseñas, pero el efecto garantizado aún no será.

Si la compañía toma sobre seguridad, se delimitará por los derechos de acceso, y, por ejemplo, un ingeniero o gerente de ventas no puede ingresar al servidor de contabilidad. Pero en la reserva de hackers hay otro truco: pueden enviar una carta de la cuenta capturada de un empleado ordinario a un especialista objetivo que posee la información necesaria (datos financieros o misterio comercial). Habiendo recibido una carta de "colega", el destinatario lo abrirá absolutamente y lanzará la inversión. Y el cifrado del programa accederá al valioso de la compañía para la compañía, cuyo rendimiento puede pagar mucho dinero.

Para que la cuenta capturada no le dé a los atacantes a penetrar en el sistema corporativo, Microsoft propone protegerlo con la autenticación multifactor de autenticación de Multifactor Azure. Es decir, es necesario ingresar no solo un par de inicio de sesión / contraseña, sino también un PIN archivado por SMS, push-Notificación generada por una aplicación móvil o responda a un robot de llamada telefónica. La autenticación multifactor es particularmente útil cuando se trabaja con empleados remotos que pueden ingresar al sistema corporativo desde diferentes puntos del mundo.

Autenticación de Multifactor Azure.

Facebook.

Gorjeo.

Vk.

Odnoklassniki.

Telegrama

Ciencias Naturales

Wannacry Virus-cifrado: ¿Qué hacer?

La ola de Wannacry rodó alrededor de la Wannacry (otros nombres de Wana Decritpt0r, WANA Decryptor, Wanacrypt0r), que encripta documentos en la computadora y extorsiona 300-600 USD para decodificarlos. ¿Cómo averiguar si la computadora está infectada? ¿Qué hay que hacer para no convertirse en una víctima? ¿Y qué hacer para curar?

¿La computadora está infectada con un descifrado de virus-círculo WANA?

Según Jacob Krustek () desde Avast, más de 100 mil computadoras ya están infectadas. El 57% de ellos caen en Rusia (¿hay una selectividad realmente extraña?). Informes de registro de más de 45 mil infecciones. No solo los servidores están expuestos a la infección, sino también las computadoras de personas comunes en las que se instalan Windows XP, Windows Vista, Windows 7, Windows 8 y Windows 10 y Windows 10. Todos los documentos cifrados en su título reciben el prefijo WNCRY.

La protección contra el virus se encontró en marzo, cuando Microsoft publicó un "parche", pero a juzgar por la epidemia ampliada, muchos usuarios, incluidos los administradores del sistema, ignoraron la actualización del sistema de seguridad informática. Y sucedió lo que sucedió: Megafon, Russian Ferrocarriles, el Ministerio de Asuntos Internos y otras organizaciones trabajan en el tratamiento de sus computadoras infectadas.

Dada la escala global de la epidemia, el 12 de mayo, Microsoft ha publicado una actualización de seguridad y para productos largos ya no soportados: Windows XP y Windows Vista.

Compruebe si la computadora está infectada, puede usar la utilidad antivirus, por ejemplo, Kaspersky o (también se recomienda en el Foro de Soporte de Kaspersky).

¿Cómo no volver a ser víctima de la cifrado de descifrado de WANA?

Lo primero que tienes que hacer es cerrar el agujero. Descargar para esto

La nueva ola de ataques de los ataques de virus encripticantes rodó el mundo, entre los medios rusos afectados y las empresas ucranianas. En Rusia, Interfax sufrió el virus, pero el ataque solo tocó parte de la agencia, ya que sus servicios de TI se las arreglaron para deshabilitar la parte de una infraestructura crítica, dijo el Grupo de la Compañía Rusia-IB. Llamaron al virus de Badrabbit.

En un ataque viral sin precedentes en Interfax en su página en Facebook, el subdirector adjunto de Yuri Pogorellov fue informado. Dos oficiales de Interfax confirmaron "Vedomosti" para deshabilitar las computadoras. Según uno de ellos, una pantalla bloqueada visualmente es similar al resultado de las acciones del famoso virus PETYA. El virus atacado por Interfax advierte que no es necesario intentar descifrar de forma independiente los archivos, y requiere pagar una redención de 0.05 bitcoine ($ 285 para el curso de ayer), lo que lo invita a un sitio especial en la red TOR. El virus encriptado el virus asignó un código de identificación personal.

Además del Interfax, dos medios más rusos sufrieron del virus del cizpero, uno de los cuales es la edición de Petersburg de Fontanka, conoce el grupo IB.

El editor jefe de Fontanka, Alexander Gorshkov, dijo "Vedomosti" que los servidores "Fontanka" fueron atacados por atacantes desconocidos. Pero las ollas aseguran que el ataque del virus del círculo en el discurso "Fuente" no va: las computadoras de la función del personal editorial, el servidor fue hackeado, que fue responsable del trabajo del sitio.

Las divisiones de Interfax en el Reino Unido, Azerbaiyán, Bielorrusia y Ucrania, así como el sitio "Interfax-religión", continúan trabajando, dijo "Vedomosti" Reengeling. No está claro por lo que el daño de la razón no tocó otras unidades, tal vez esto se debe a la topología de la red Interfax, con dónde se encuentran los servidores donde los servidores son territorialmente, y con el sistema operativo que está instalado en ellos, dice.

Interflax ucraniano Durante el día, el martes informó un ataque informático en el Aeropuerto Internacional de Odessa. El aeropuerto en su página se disculpó con los pasajeros "para el aumento forzado en el tiempo de servicio", pero a juzgar por su marcador en línea, el martes todavía continuó enviando y aceptando aviones.

Más sobre Kiberatka, se contó el Metropolitan Metropolitan de Kiev en su cuenta de Facebook; hubo problemas con el pago de las tarjetas bancarias. La edición Front News informó que el Metro fue atacado por un círculo de virus.

El grupo-IB concluye una nueva epidemia. En los últimos meses, ya hay dos oleadas de ataques de virus de cifradores en el mundo: el virus del Wannacry apareció el 12 de mayo, y el 27 de junio, el virus de Petya (no es Boottya y Expetr). Penetraron computadoras con el sistema operativo Windows, donde las actualizaciones no se instalaron, encriptaron los contenidos de los discos duros y exigieron $ 300 para decodificar. Como resultó más tarde, Petya no pensó en descifrar las computadoras de las víctimas. El primer ataque tocó cientos de miles de computadoras en más de 150 países, las segundas: 12,500 computadoras en 65 países. Las víctimas de los ataques fueron el ruso ". Megáfono », Evraz. , « Gazprom "Y" Rosneft " Casi el virus sufrió centros médicos de Invitro, que no se analizó en pacientes durante varios días.

Petya pudo recolectar solo $ 18,000 durante casi un mes y medio. Pero el daño causó incomparable. Una de sus víctimas es el gigante logístico danés Moller-Maersk evaluó los ingresos desaparecidos de los ciberáticos de $ 200-300 millones.

Entre las divisiones de Moller-Maersk, el golpe principal vino en la línea Maersk dedicada al transporte marítimo de contenedores (en 2016, Maersk Line ganó un total de $ 20.7 mil millones, 31,900 personas operan en la división).

El negocio rápidamente llegó a mis sentidos después del ataque, pero la compañía y los reguladores permanecieron en guardia. Entonces, en agosto, los directores de sus sucursales fueron advertidos por los directores de sus sucursales, la compañía federal de redes de la CEE (gestiona la red eléctrica de todo ruso), y unos días después, los bancos rusos recibieron una advertencia similar de Fincert. (La estructura del CBB CBBC).

El nuevo ataque del virus encriptical señaló el "Laboratorio de Kaspersky", de acuerdo con las observaciones de las que la mayoría de las víctimas de ataques están ubicadas en Rusia, pero hay infecciones y en Ucrania, en Turquía y Alemania. Todas las señales indican que este es un ataque enfocado en las redes corporativas, el jefe del estudio antivirus de Kaspersky Lab es confiado, Vyacheslav Zakorzhevsky: métodos similares a las herramientas de expulsión, pero ninguna conexión con este virus no está rastreado.

Y de acuerdo con la compañía AET Anti-Virus, el cifrado sigue siendo un familiar de Petya. El ataque utiliza un programa malicioso diskcoder.d: esta es una nueva modificación del codificador.

La pullería informó que el antivirus de Symantec se instaló en las computadoras Intertax. Los representantes de Symntec ayer no respondieron a la solicitud del "Vedomosti".

¡Wannacry, Petya, Mischa y otros virus de extorsión no lo amenazarán si se adhieren a recomendaciones simples para prevenir la infección por PC!

La semana pasada, toda la Internet apretó las noticias sobre el nuevo reglipo de virus. Provocó una epidemia mucho a gran escala en muchos países del mundo que la notoria Wannacry, cuya ola cayó en mayo de este año. Los nombres tienen un nuevo virus: Petya.A, Expetr, NotPety, Goldeneye, Trojan.Ransom.Petya, Petrwrap, Diskcoder.c, sin embargo, la mayoría de las veces aparece como Petya.

Esta semana los ataques continúan. ¡Incluso en nuestra oficina, llegó una carta, disfrazada astuta por algún tipo de actualización mítica del software! Afortunadamente, nadie pensó en abrir el archivo archivado :) Por lo tanto, me gustaría dedicar hoy a la pregunta de cómo proteger mi computadora de los virus de extorsión y no ser víctima de Petya o algo más cifrado.

¿Qué hacen los virus de la extorsión?

Los primeros virus de extorsión aparecieron aproximadamente a principios de la década de 2000. Muchos de los que en estos años disfrutaron de Internet, probablemente recuerden Trojan.Winlock. Bloqueó la bota de la computadora y para obtener el código de desbloqueo solicitado para enumerar una cierta cantidad en la billetera de WebMoney o en un teléfono móvil:

Los primeros bloqueadores de Windows fueron muy inofensivos. Su ventana con el texto sobre la necesidad de enumerar los fondos al principio podría simplemente "clavar" a través del Administrador de tareas. Luego hubo versiones más complejas de Trojan, que hicieron ediciones en el nivel de registro e incluso MBR. Pero fue posible "curar", si sabes qué hacer.

Los virus exturbios modernos se han vuelto muy peligrosos. No solo bloquean la operación del sistema, sino que también cifran los contenidos del disco duro (incluido el registro de arranque principal del MBR). ¡Para desbloquear los archivos del sistema y descifrar, los atacantes ahora se cobran en Bitcoin "Ah, un monto equivalente de 200 a 1000 dólares estadounidenses! E incluso si enumera los fondos acordados en la billetera especificada, entonces esto no dará la garantía de que los hackers enviarán los hackers. Tú una llave de desbloqueo.

Un punto importante es que hoy en día, prácticamente no hay formas de trabajo de deshacerse del virus y recuperar sus archivos. Por lo tanto, en mi opinión, es mejor que no se encuentre inicialmente en todo tipo de trucos y, más o menos, protege de manera confiable a su computadora de los posibles ataques.

Cómo no ser víctima del virus.

Los virus cifrados generalmente se aplican a dos maneras. Los primeros explotan varios. vulnerabilidades técnicas de Windows. Por ejemplo, Wannacry usó EternalBlue Exploit, que permitió el acceso a una computadora utilizando el protocolo SMB. Un nuevo cifrado PETYA puede penetrar en el sistema a través de puertos ABIERTOS TCP 1024-1035, 135 y 445. Una forma de infección más común es suplantación de identidad. En pocas palabras, los usuarios infectan PCS, abriendo los archivos maliciosos enviados por correo.

Protección técnica contra los virus de los encrybers.

Aunque la infección directa de virus y no tan frecuente, pero suceden. Por lo tanto, es mejor eliminar las posibles barras de seguridad ya conocidas. Primero, debe actualizar el antivirus o instalarlo (por ejemplo, se copia bien con el reconocimiento de los virus del círculo Free 360 \u200b\u200bTotal Security). En segundo lugar, debe instalar las últimas actualizaciones de Windows.

Por lo tanto, para eliminar el error potencialmente peligroso en el protocolo Microsoft de SMB publicado actualizaciones extraordinarias para todos los sistemas, comenzando con Windows XP. Puede descargarlos para su versión del sistema operativo.

Para proteger contra Petya, se recomienda cerrar los puertos en los puertos de la computadora. Para hacer esto, la forma más fácil de usar regular. firewall. Abríelo en el panel de control y seleccione la sección en la barra lateral. "Opciones extra". Se abre la ventana de gestión de reglas de filtrado. Escoger "Reglas para conexiones entrantes" y en el lado derecho haga clic "Crear regla". Un maestro especial en el que necesitas hacer una regla. "Para puerto", luego elige la opción "Puertos locales definidos" y prescribe lo siguiente: 1024-1035, 135, 445 :

Después de agregar la lista de puertos, instale la opción en la siguiente pantalla. "Conexión de bloques" Para todos los perfiles y configure el nombre (descripción opcional) para la nueva regla. Si cree las recomendaciones en Internet, no le dará al virus para descargar los archivos que necesita, incluso si llega a su computadora.

Además, si usted es de Ucrania y usó la contabilidad en ME.DOC, podría instalar las actualizaciones que contenían ". Estos buscadores se utilizaron para computadoras a gran escala con PETYA.A VIRUS. De los analizados hoy, conoce al menos tres actualizaciones con vulnerabilidades de seguridad:

• 01/10 / 175-10.01.176 del 14 de abril;
• 01/10 / 180-10.01.181 del 15 de mayo;
• 01/10 / 188-10.01.189 del 22 de junio.

Si instaló estas actualizaciones, ¡se encuentra en el grupo de riesgos!

Protección contra el phishing

Como ya se mencionó, en la mayoría de las infecciones culpables, sin embargo, el factor humano. Los hackers y los spammers lanzaron una campaña de phishing a gran escala en todo el mundo. En su marco, los correos electrónicos de correo electrónico fueron enviados a organizaciones oficiales con diversas inversiones, que se emitieron para cuentas, actualizaciones u otros datos "importantes". Fue suficiente para abrir un archivo malicioso disfrazado, ya que instaló el virus en la computadora, que encripta todos los datos.

Cómo distinguir una carta de phishing de real. Esto es muy fácil si sigue el sentido común y las siguientes recomendaciones:

1. ¿De quién es la carta? En primer lugar, preste atención al remitente. ¡Los hackers pueden firmar una carta, al menos el nombre de su abuela! Sin embargo, hay un punto importante. Email "Abuela" que necesita saber, y la dirección del remitente de la carta de phishing, por regla general, será un conjunto indefinible de caracteres. Algo como: " [Correo electrónico protegido]". Y el matiz es: el nombre del remitente y su dirección, si esta carta oficial, generalmente se correlacionó entre sí. Por ejemplo, el correo electrónico de una compañía determinada" Pupkin and Co "puede parecerse" [Correo electrónico protegido]", pero es poco probable que tenga el tipo" [Correo electrónico protegido]" :)
2. ¿Cuál es la letra? Como regla general, las letras de phishing contienen cualquier llamada a la acción o sugerencia. Al mismo tiempo, en el cuerpo de la letra, generalmente no se escribe nada o no se escribe nada, o se da alguna motivación adicional a la apertura de archivos anidados. ¡Las palabras "URGENTE!", "La puntuación para los servicios" o "Actualización crítica" en letras de los remitentes desconocidos puede ser un brillante ejemplo de intentar hackearlo. ¡Piensa logicamente! Si no ha solicitado ninguna cuenta, actualizaciones u otros documentos de una empresa en particular, entonces esta es una probabilidad de 99%: phishing ...
3. ¿Qué en la carta? El elemento principal de las letras de phishing son sus inversiones. El tipo de accesorio más obvio puede ser un archivo EXE con "actualización" o "programa" falso. Tales inversiones son una cara bastante grosera, pero se encuentran.

   Las formas más "elegantes" para engañar al usuario son para disfrazar el script que descarga el virus, bajo el documento Excel o Word. Enmascaramiento puede ser dos tipos. En la primera versión, el script en sí se emite para el documento de la oficina y es posible reconocerlo por la extensión "doble" del nombre, por ejemplo, " .xls.js."O" RESUMEN .doc.vbs."En el segundo caso, el archivo adjunto puede constar de dos archivos: un documento real y un archivo con un script que se llama una macro de la palabra o el documento de la oficina de Excel.

   En cualquier caso, no vale la pena abrir dichos documentos, incluso si el "remitente" le pregunta mucho al respecto. Si, aunque, de repente, entre sus clientes, tiene una persona que teóricamente, podría enviar una carta con dicho contenido, es mejor molestarse en contactarlo directamente y aclarar si le envió ningún documento. ¡La televisión avanzada en este caso puede ahorrarle problemas innecesarios!

Creo que, si cierras todas las barras técnicas de tu computadora y no te darás a las provocaciones de los spammers, ¡entonces ningún virus aterrador!

Cómo restaurar los archivos después de la infección

Y, sin embargo, le complació infectar la computadora con un círculo de virus ... ¡No apague la PC después de la apariencia de un mensaje de cifrado!

El hecho es que debido a una serie de errores en el código de los propios virus, antes de reiniciar la computadora, ¡existe la posibilidad de sacar la llave de la memoria que necesita para descifrar los archivos! Por ejemplo, la utilidad Wannakiwi se adaptará a la clave de descifrado de Wannacry. Por desgracia, no hay tales soluciones para restaurar archivos después del ataque de Petya, pero puede intentar extraerlos de las copias de la sombra de los datos (si ha activado la opción para crearlos en la sección de disco duro) usando la miniatura de ShadowExplorer programa:

Si ya ha reiniciado la computadora o los consejos anteriores no ayudó, es posible restaurar archivos solo con programas de recuperación de datos. Como regla general, los virus del círculo operan de acuerdo con el siguiente esquema: cree una copia cifrada del archivo y retire el original sin sobrescribirlo. Es decir, solo la etiqueta de archivo se elimina en realidad, y los datos en sí se guardan y se pueden restaurar. Hay dos programas en nuestro sitio: se adaptará a más para resucitar los archivos y las fotos de los medios, y R.Saver se enfrenta bien con los documentos y los archivos.

Naturalmente, el propio virus debe ser retirado del sistema. Si se carga Windows, entonces, para esto, el programa Malwarebytes Anti-Malware está bien. Si el virus ha bloqueado la carga, luego el disco de arranque del Dr.Web LiveCD con una utilidad comprobada para combatir varios malware Dr.Web CUREEIT a bordo. En este último caso, también tendrá que recuperar MBR. Debido a que LiveCD de Dr.Web se basa en Linux, entonces creo que serás útil para obtener instrucciones de una HABRA sobre este tema.

conclusiones

El problema de Windows en Windows es relevante durante muchos años. Y cada año vemos que los virus están inventando formas cada vez más sofisticadas de daño a las computadoras de los usuarios. ¡Las últimas epidemias de los virus de cifrado nos demuestran que los atacantes se están moviendo gradualmente hacia la extorsión activa!

Desafortunadamente, incluso si pagas dinero, es poco probable que obtenga alguna respuesta. Lo más probable es que tenga que restaurar sus datos por su cuenta. Por lo tanto, es mejor mostrar la vigilancia en el tiempo y prevenir la infección de lo que luego desgastar con la eliminación de sus consecuencias!

PD Se permite copiar libremente y citar este artículo si especifica una referencia abierta activa a la fuente y manteniendo la autoría de Ruslana Trader.

Continuando con su procesión deprimente sobre la red, infectando computadoras y cifrando datos importantes. ¿Cómo protegerse del círculo, proteja a Windows desde el extorsionador: son parches, los parches se liberan para descifrar y curar archivos?

NUEVO VIRUS-CIRPTER 2017 QUIERE LLORAR Continúa infectando PC corporativo y privada. W. scherb del ataque viral tiene 1 mil millones de dólares.. Durante 2 semanas, el círculo del virus infectado al menos 300 mil computadorasA pesar de las advertencias y medidas de seguridad.

Año de cifrado de virus 2017 que es - Como regla general, puede "recoger", parecería, en los sitios más inofensivos, como servidores bancarios con acceso al usuario. Una vez en el disco duro de la víctima, el cifrado "se establece" en el sistema de carpetas del sistema32. Desde allí, el programa se apaga inmediatamente del antivirus y cae en "autorrun" Después de cada reinicio, el programa de cifrado. corre en el registro, Comenzando su negocio negro. Encrypter comienza a descargar copias similares de programas como RANSOM y TROJAN. También sucede a menudo cifrado de auto-evaporación. Este proceso puede acortarse, y puede ocurrir semanas, hasta que la víctima elimine a los distintos.

El círculo a menudo se enmascara en imágenes ordinarias, archivos de texto, pero la esencia siempre está sola - estos son archivos ejecutables con extension.exe, .drv, .xvd; algunas veces - bibliotecas.dll.. La mayoría de las veces el archivo es bastante inofensivo, por ejemplo " documento. DOC", o " foto.jpg.", Donde la extensión está escrita manualmente, y el verdadero tipo de archivo está oculto..

Después de completar el cifrado, el usuario ve en lugar de archivos familiares un conjunto de caracteres "aleatorios" en el título y dentro, y la expansión cambia a lo más desconocido. .No_More_Ransom, .xdata. otro.

Virus-Encrypter 2017 quiere llorar - Cómo protegerse. Me gustaría señalar de inmediato que quiere llorar es más bien un término colectivo de todos los virus de encriptadores y extorsiones, ya que las computadoras infectadas últimamente más a menudo. Entonces, será sobre S pregunte a Ransom Ware Encrypters, que son un gran conjunto: Breaking.DAD, NO_MORE_RANSOM, XDATA, XTBL, WANNA LLOR.

Cómo proteger Windows desde el cifrado. – EternalBlue a través del protocolo Puerto SMB.

Protección de Windows desde el cifrado 2017 - Reglas básicas:

• actualización de Windows, Transición oportuna al sistema operativo con licencia (Nota: la versión XP no se actualiza)
• actualización de bases de datos antivirus y firewalls a pedido
• limite la atención al descargar cualquier archivo (lindos "gatos" puede convertirse en la pérdida de todos los datos)
• copia de seguridad de información importante sobre el transportista reemplazable.

Virus-Encrypter 2017: Cómo curar y descifrar archivos.

Esperando el software antivirus, puede olvidarse del decodificador por un tiempo. En laboratorios Kaspersky, Dr. Web, Avast! y otros antivirus mientras no hay solución para el tratamiento de archivos infectados.. En este momento, es posible eliminar el virus con la ayuda del antivirus, pero los algoritmos no devuelven todo "a los círculos".

Algunos están tratando de aplicar la utilidad rectorcryptor.Pero no ayudará: algoritmo para descifrar nuevos virus aún no se ha compilado. También es absolutamente desconocido cómo se comporta el virus si no se elimina, después de aplicar dichos programas. A menudo, puede convertirse en borrado de todos los archivos, en la edificación de aquellos que no quieren pagar por los atacantes, los autores del virus.

En este momento, la forma más eficiente de devolver los datos perdidos es una apelación a aquellos. Soporte para el proveedor del programa antivirus que está utilizando. Para hacer esto, envíe una carta o use el formulario para comentarios en el sitio web del fabricante. En el Anexo, asegúrese de agregar un archivo cifrado y, si hay una copia del original. Esto ayudará a programadores en la compilación del algoritmo. Desafortunadamente, para muchos, el ataque viral se convierte en una completa sorpresa, y las copias no son, a veces, complica la situación.

Métodos cardianos de tratamiento de Windows desde el cifrado. Desafortunadamente, a veces tiene que recurrir al formato completo del disco duro, que conlleva el cambio completo del sistema operativo. Muchas personas serán restauradas por el sistema, pero esto no es una salida, incluso si hay una "reversión" se librará del virus, los archivos seguirán siendo cruzados.