05/15/2017, Lun, 13:33, Msk , Texte: Paul Prime

L'autre jour en Russie, l'un des plus importants et «bruyants», à en juger par la presse, Kiberatak: les réseaux de plusieurs départements et les plus grandes organisations, y compris le ministère des Affaires intérieures, se sont produits. Le virus crypte des données sur les ordinateurs employés et a extorqué une grande quantité d'argent pour qu'ils poursuivent leur travail. Ceci est un exemple visuel du fait que personne n'est assuré contre les extorsistes. Néanmoins, vous pouvez combattre cette menace - nous allons montrer plusieurs façons que Microsoft propose.

Que savons-nous des extorqueurs? Il semble que ce sont des criminels qui exigent de l'argent de votre part ou de choses sous la menace de conséquences néfastes. En affaires, de temps à autre, tout est sur le point de comparaître sur la manière d'agir dans de telles situations. Mais que se passe-t-il si le virus est l'extorqueur réglé sur vos ordinateurs de travail, bloque l'accès à vos données et nécessite de transférer de l'argent à certaines personnes en échange de code de déverrouillage? Vous devez contacter des spécialistes de la sécurité des informations. Et il est préférable de le faire à l'avance pour éviter les problèmes.

Le nombre de cybercriminères ces dernières années a augmenté une ordonnance. Selon l'étude Sentinelone, la moitié des entreprises des plus grands pays européens ont été attaquées par des virus extorbables et plus de 80% d'entre eux sont devenus victimes de trois fois ou plus. Une image similaire est observée dans le monde entier. ClearSwift Spécialisée dans la sécurité de l'information Appelle une sorte de "haut" pays les plus touchés par Ransomware - Programmes exorbitants: États-Unis, Russie, Allemagne, Japon, Royaume-Uni et Italie. L'intérêt particulier des attaquants entraîne des petites et moyennes entreprises, car elles ont plus d'argent et plus de données sensibles que chez les individus et il n'y a pas de services de sécurité puissants, comme les grandes entreprises.

Que faire et, surtout, comment prévenir l'attaque d'extorqueurs? Pour commencer, nous estimerons la menace elle-même. L'attaque peut être effectuée par plusieurs chemins. L'un des plus courants - courriels. Les criminels sont activement utilisés par les méthodes d'ingénierie sociale, dont l'efficacité ne tombait pas du tout de l'époque du célèbre pirate informatique du XXe siècle Kevin Mitnik. Ils peuvent appeler l'employé de la société de la victime au nom d'une contrepartie vraiment existante et après la conversation pour envoyer une lettre avec une pièce jointe contenant un fichier malveillant. Un employé, bien sûr, l'ouvrira, car il vient de parler avec l'expéditeur par téléphone. Ou un comptable peut recevoir une lettre soi-disant de l'huissier de justice ou de la banque, qui sert sa société. Personne n'est assuré et même le ministère des Affaires intérieures ne souffre pas pour la première fois: il y a quelques mois, les pirates ont envoyé un faux compte de Rostelecom avec un agent de cryptage Virus dans le département de comptabilité de la gestion linéaire de Kazan du ministère interne Affaires.

La source d'infection peut être un site de phishing, à laquelle l'utilisateur est venu sous un lien frauduleux et «oublié au hasard» par une personne des visiteurs de l'Office Flash Drive. Infection de plus en plus et plus souvent, l'infection se produit par le biais de dispositifs mobiles non protégés d'employés avec lesquels ils ont accès aux ressources de l'entreprise. Et l'antivirus peut ne pas fonctionner: des centaines de programmes malveillants, des antivirus de dérivation, ne sont pas mentionnés sur les "attaques de la journée zéro", fonctionnant simplement "trous" dans le logiciel.

Qu'est-ce qu'un "cyber wagon"?

Un programme appelé "Extorseur", "Encrypter", Ransomware bloque l'accès de l'utilisateur au système d'exploitation et crypte généralement toutes les données sur le disque dur. Un message est affiché à l'écran que l'ordinateur est bloqué et que le propriétaire est obligé de transférer l'attaquant une grande quantité d'argent s'il veut reprendre le contrôle des données. Le plus souvent, l'écran tourne le compte à rebours en 2-3 jours de sorte que l'utilisateur se précipite, sinon le contenu du disque sera détruit. Selon l'appétit des criminels et la taille de la société, la quantité de rançon en Russie va de plusieurs dizaines à plusieurs centaines de milliers de roubles.

Types d'extorsionnistes

Source: Microsoft, 2017

Ces logiciels malveillants ont été connus depuis de nombreuses années, mais au cours des deux ou trois dernières années, ils rencontrent une véritable florissante. Pourquoi? Premièrement, parce que les gens paient des attaquants. Selon Kaspersky Lab, 15% des entreprises russes attaquées de cette manière, préfèrent payer la rédemption et 2/3 des entreprises du monde qui ont été attaquées, ont perdu leurs données de sociétés en totalité ou en partie.

Les cybercriminels de deuxième kit à outils sont devenus plus parfaits et abordables. Et la troisième tentative indépendante de «prendre le mot de passe» n'est pas bonne pour la victime et la police peut rarement trouver des criminels, en particulier pendant le compte à rebours.

D'ailleurs. Tous les pirates ne passent pas leur temps pour informer le mot de passe de la victime qui leur a énuméré le montant requis.

Quel est le problème des affaires

Le principal problème dans le domaine de la sécurité de l'information dans les petites et moyennes entreprises en Russie est qu'elles n'ont pas d'argent pour de puissants fonds spécialisés IB, ainsi que des systèmes informatiques et des employés avec lequel divers incidents peuvent survenir, plus que suffisant. Pour lutter contre Ransomwarenew, seuls des politiques de pare-feu personnalisé, antivirus et de sécurité. Vous devez utiliser tous les outils disponibles, d'abord fournis par le fournisseur système d'exploitation, car il est peu coûteux (ou inclus dans le coût du système d'exploitation) et est compatible à 100% avec son propre logiciel.

La majorité accablante des ordinateurs clients et une partie importante des serveurs exécutent Microsoft Windows OS. Tout le monde connaît des outils de sécurité intégrés, tels que Windows Defender et Windows Firewall, qui, avec les dernières mises à jour du système d'exploitation et la restriction des droits de l'utilisateur, constituent un niveau de sécurité totalement suffisant en l'absence de fonds spécialisés pour un employé ordinaire.

Mais la particularité des relations d'affaires et des cybercriminels est que le premier ne sait souvent pas qu'ils sont attaqués par la seconde. Ils se croient protégés et, en fait, les logiciels malveillants ont déjà pénétré par le périmètre du réseau et font silencieusement leur travail - après tout, tous ne se comportent pas si effrontément comme des extorsions Troyans.

Microsoft a modifié l'approche de sécurité: il a maintenant élargi la gamme de produits IB et se concentre également non seulement pour sécuriser la Société des attaques modernes, mais également pour permettre à cette occasion de les enquêter si l'infection est toujours arrivée.

Protection du courrier

Le système postal en tant que principale chaîne de pénétration de réseau d'entreprise dans le réseau d'entreprise doit également être protégé. Pour cela, Microsoft a mis au point un système Exchange ATP (protection avancée du traitement), qui analyse les pièces jointes postales ou Internet et répond en temps opportun aux attaques identifiées. Il s'agit d'un produit séparé, il est intégré à Microsoft Exchange et ne nécessite pas de déploiement sur chaque ordinateur client.

Le système Exchange ATP est capable de détecter même les "attaques du jour zéro", car il lance toutes les pièces jointes dans un "sablebox" spécial, sans les libérer dans le système d'exploitation et analyse leur comportement. S'il ne contient pas de signes d'attaque, la pièce jointe est considérée comme sécurisée et l'utilisateur peut l'ouvrir. Et le fichier potentiellement malveillant est envoyé à la quarantaine et l'administrateur est notifié à ce sujet.

En ce qui concerne les références en lettres, elles sont également vérifiées. Exchange ATP remplace toutes les références à l'intermédiaire. L'utilisateur clique sur un lien dans une lettre, tombe sur un lien intermédiaire et à ce stade, le système vérifie l'adresse de sécurité. Le chèque se produit si rapidement que l'utilisateur ne remarque pas le délai. Si le lien conduit à un site ou à un fichier infecté, la transition vers elle est interdite.

Comment fonctionne Exchange ATP

Source: Microsoft, 2017

Pourquoi le chèque survient au moment de cliquer, et non à la réception de la lettre - après tout, il y a plus de temps sur l'étude et nécessite donc moins de puissance informatique? Ceci est fait spécifiquement de protéger contre l'astuce des attaquants avec le contenu sous le lien. Exemple typique: la lettre de la boîte aux lettres vient la nuit, le système vérifie et ne détecte rien, et le matin sur le site pour ce lien déjà placé, par exemple, un fichier avec un cheval de Troie que l'utilisateur télécharge en toute sécurité.

Et la troisième partie du service Exchange ATP est un système de rapports intégré. Il vous permet d'enquêter sur les incidents survenus et donne des données pour répondre aux questions: lorsque l'infection s'est produite, comment et où cela s'est passé. Cela vous permet de trouver une source, de déterminer les dégâts et de comprendre ce qu'il a été: une attaque ciblée ou ciblée au hasard contre cette entreprise.

Ce système est utile et pour la prévention. Par exemple, l'administrateur peut soulever les statistiques comme les transitions sur les liens marqués comme dangereux et qui l'a fait des utilisateurs. Même s'il n'y avait aucune infection, il doit encore être clarifié avec ces employés.

Certes, il existe des catégories d'employés qui sont des devoirs obligés de visiter une variété de sites - tels que les spécialistes du marketing, les études de marché. Pour eux, la technologie Microsoft vous permet de configurer la stratégie de sorte que tous les fichiers téléchargeables avant d'enregistrer sur l'ordinateur soient vérifiés dans le bac à sable. De plus, les règles sont définies littéralement en plusieurs clics.

Protection des références

L'un des objectifs des attaques d'attaquants est des informations d'identification de l'utilisateur. La technologie des vols des connexions et des mots de passe des utilisateurs est beaucoup, et ils doivent résister à une protection durable. J'espère que sur les employés eux-mêmes n'est pas suffisant: ils proposent des mots de passe simples, appliquent un mot de passe pour accéder à toutes les ressources et les écrire sur l'autocollant collé sur le moniteur. Cela peut être en difficulté avec des mesures administratives et définir les exigences logicielles pour les mots de passe, mais l'effet garanti ne sera toujours pas.

Si la société prend la sécurité, elle sera délimitée par les droits d'accès, et, par exemple, un ingénieur ou un gestionnaire de ventes ne peut pas entrer dans le serveur de comptabilité. Mais dans la réserve de pirates informatiques, il y a une autre astuce: ils peuvent envoyer une lettre du compte capturé d'un employé ordinaire à un spécialiste cible qui possède les informations nécessaires (données financières ou mystère commercial). Après avoir reçu une lettre de «collègue», le destinataire l'ouvrira absolument et lancera l'investissement. Et le programme-cryptage accédera à la valeur de la société pour la société, dont le retour peut payer beaucoup d'argent.

Pour que le compte capturé ne donne pas aux attaquants de pénétrer dans le système d'entreprise, Microsoft propose de la protéger avec l'authentification multifactorielle d'authentification Azure multifactorior. C'est-à-dire qu'il est nécessaire d'entrer non seulement une paire de login / mot de passe, mais également d'une broche classée par SMS, notification push-push générée par une application mobile ou répondez à un robot d'appel téléphonique. L'authentification multifactorielle est particulièrement utile lorsque vous travaillez avec des employés distants pouvant entrer dans le système d'entreprise de différents points du monde.

Azur multifactor authentification.

Facebook.

Twitter.

Vk.

Odnoklassniki.

Télégramme.

Sciences naturelles

Cryptage Virus de Wannacry: Que faire?

Wannacry's Wave a roulé autour de la vague (autres noms de Wana Decrypt0r, Wana Decryptor, Wanacrypt0r), qui crypte des documents sur l'ordinateur et extorque 300 à 600 USD pour les décoder. Comment savoir si l'ordinateur est infecté? Qu'est-ce qui doit être fait de ne pas devenir une victime? Et que faire pour guérir?

L'ordinateur est-il infecté par un virus-crypter Wana Decryptor?

Selon Jacob Krustek () d'Avast, plus de 100 000 ordinateurs sont déjà infectés. 57% d'entre eux tombent sur la Russie (y a-t-il une sélectivité vraiment étrange?). Rapporte l'enregistrement de plus de 45 mille infections. Non seulement les serveurs sont exposés à l'infection, mais également des ordinateurs de personnes ordinaires sur lesquelles Windows XP, Windows Vista, Windows 7, Windows 8 et Windows 10 et Windows 10 et Windows 10 sont installés. Tous les documents cryptés dans leur titre reçoivent le préfixe Wncry.

La protection contre le virus a été trouvée en mars, lorsque Microsoft a publié un "patch", mais à en juger par l'épidémie expansée, de nombreux utilisateurs, y compris les administrateurs système, ont ignoré la mise à jour du système de sécurité informatique. Et cela s'est passé ce qui s'est passé - Megafon, les chemins de fer russes, le ministère des Affaires intérieures et d'autres organisations travaillent sur le traitement de leurs ordinateurs infectés.

Compte tenu de l'échelle mondiale de l'épidémie, le 12 mai, Microsoft a publié une mise à jour de sécurité et des produits à long terme non pris en charge - Windows XP et Windows Vista.

Vérifiez si l'ordinateur est infecté par l'ordinateur, vous pouvez utiliser l'utilitaire anti-virus, par exemple, Kaspersky ou (également recommandé sur le forum de support Kaspersky).

Comment ne pas devenir victime de Wana Decryptor Crypter?

La première chose à faire est de fermer le trou. Télécharger pour cela

La nouvelle vague d'attaques des attaques de virus de cryptage a lancé le monde, parmi les médias russes touchés et les entreprises ukrainiennes. En Russie, Interfax a souffert du virus, mais l'attaque n'a touché qu'une partie de l'agence, car ses services informatiques ont réussi à désactiver une partie d'une infrastructure critique, a déclaré le groupe de sociétés de Russie-IB. Ils ont appelé le virus Badrabbit.

Sur une attaque virale sans précédent sur Interfax sur sa page sur Facebook, le directeur adjoint de Yuri Pogorellov a été informé. Deux officiers interfax ont confirmé "Vedomosti" pour désactiver les ordinateurs. Selon l'un d'entre eux, un écran bloqué visuellement est similaire au résultat des actions du célèbre virus Petya. Le virus attaqué par Interfaze avertit qu'il n'est pas nécessaire d'essayer de déchiffrer de manière indépendante les fichiers et nécessite de payer une rédemption de 0,05 bitcoire (285 $ pour le cours d'hier), qui vous invite à un site spécial sur le réseau Tor. Le virus crypté le virus a attribué un code d'identification personnel.

Outre l'interfax, deux autres médias russes ont souffert du virus de Crypper, dont l'une est l'édition de Petersburg de Fontanka, connaît le groupe IB.

L'éditeur en chef de Fontanka, Alexander Gorshkov, a déclaré à "Vedomosti" que les serveurs "Fontanka" ont été attaqués par des attaquants inconnus. Mais les pots assure que l'attaque du virus du crypter sur la parole "Fountain" ne va pas: les ordinateurs de la fonction éditoriale, le serveur a été piraté, responsable du travail du site.

Les divisions interfaxes au Royaume-Uni, en Azerbaïdjan, en Biélorussie et en Ukraine, ainsi que le site "Interfax-Religion" continuent de travailler, a déclaré à "Vedomosti" Regarding. Il n'est pas clair pour quelle raison les dommages n'a pas touché d'autres unités, peut-être que cela est dû à la topologie du réseau interfax, avec où les serveurs où les serveurs sont territoriaux et avec le système d'exploitation installé sur eux, dit-il.

L'ukrainien interfax pendant la journée mardi a signalé une attaque de hackers à l'aéroport international d'Odessa. L'aéroport de sa page s'est excusé aux passagers "pour l'augmentation forcée du temps de service", mais à en juger par son tableau de bord en ligne, le mardi, il a toujours continué à envoyer et à accepter des avions.

En savoir plus sur Kiberatka, le métropolitain métropolitain de Kiev a été raconté sur son compte Facebook - il y avait des problèmes de paiement des cartes bancaires. L'édition de News Front a indiqué que le métro était attaqué par un virus-crypter.

Le groupe-IB conclut une nouvelle épidémie. Au cours des derniers mois, il existe déjà deux vagues d'attaques de virus de crypters dans le monde: le virus de l'onduleur est apparu le 12 mai et le 27 juin - le virus Petya (ce n'est pas nettue et expector). Ils pénétraient des ordinateurs avec le système d'exploitation Windows, où les mises à jour n'ont pas été installées, cryptées du contenu des disques durs et ont exigé 300 $ pour le décodage. Comme il s'est avéré plus tard, Petya ne pensait pas déchiffrer les ordinateurs des victimes. La première attaque a abordé des centaines de milliers d'ordinateurs dans plus de 150 pays, les 12 500 ordinateurs de 65 pays. Les victimes d'attaques étaient le russe " Mégaphone », Evraz. , « Gazrom "Et" Rosneft " Presque le virus a subi des centres médicaux invitro, qui n'ont pas pris d'analyses chez les patients pendant plusieurs jours.

Petya a pu collecter seulement 18 000 dollars pendant près d'un mois et demi. Mais les dommages causés incomparables. L'une de ses victimes est le géant de la logistique danoise Moller-Maersk a évalué les revenus disparus de cyberatics à 200-300 millions de dollars.

Parmi les divisions de Moller-Maersk, le souffle principal est venu sur la ligne Maersk engagée dans le transport maritime de conteneurs (en 2016 Mauersk Line a obtenu un total de 20,7 milliards de dollars, 31 900 personnes opèrent dans la division).

Les affaires sont rapidement venues à mes sens après l'attaque, mais la société et les régulateurs sont restés à la garde. Ainsi, en août, les administrateurs de leurs succursales ont été avertis par les directeurs de ses succursales, la société de réseautage fédérale de la CEE (gère le réseau électrique tout russe) et quelques jours plus tard, les banques russes ont reçu un avertissement similaire de Fincert (la structure de la CBB CBBC).

La nouvelle attaque du virus de cryptage a noté le "Kaspersky Lab", selon les observations dont la plupart des victimes d'attaque sont situées en Russie, mais il y a une infection et en Ukraine, en Turquie et en Allemagne. Tous les signes indiquent qu'il s'agit d'une attaque ciblée sur les réseaux d'entreprise, la tête de l'étude Anti-Virus de Kaspersky Lab est confiant, Vyacheslav Zakorzhevsky: les méthodes similaires aux outils d'expression sont utilisées, mais aucune connexion avec ce virus n'est pas tracée.

Et selon la société ESET Anti-Virus, le crypter est toujours un parent de Petya. L'attaque utilise un programme DiskCoder.d - Il s'agit d'une nouvelle modification du codeur.

La tire a signalé que l'anti-virus Symantec a été installé sur des ordinateurs interfaxes. Les représentants de Symntec hier n'ont pas répondu à la demande du "Vedomosti".

Wannacry, Petya, Mischa et d'autres virus d'extorsion ne vous menaceront pas si vous adhérez à de simples recommandations pour prévenir l'infection à PC!

La semaine dernière, l'intégralité de l'Internet a publié les nouvelles de la nouvelle virus-crypter. Il a provoqué une épidémie beaucoup plus grande dans de nombreux pays du monde que la notorious Wannacry, dont la vague est tombée en mai de cette année. Les noms ont un nouveau virus: petya.a, Expetry, Nettyty, Goldeneye, Trojan.Ransom.petia, Petrwrap, DiskCoder.c, cependant, le plus souvent, il apparaît comme Petya.

Cette semaine, les attaques continuent. Même dans notre bureau, une lettre est venue, sournoisement déguisée pour une sorte de mise à jour mythique du logiciel! Heureusement, personne ne pensait ouvrir les archives déposées :) Par conséquent, j'aimerais consacrer aujourd'hui à la question de la manière de protéger mon ordinateur des virus d'extorsion et de ne pas devenir victime de Petya ou d'un autre crypter.

Que font les virus d'extorsion?

Les premiers virus d'extorsion sont apparus approximativement au début des années 2000. Beaucoup de qui ont apprécié l'Internet, se souviennent probablement de Trojan.winlock. Il a bloqué le démarrage de l'ordinateur et pour obtenir le code de déverrouillage demandé à répertorier une certaine quantité sur le portefeuille WebMoney ou sur un téléphone portable:

Les premiers bloqueurs de fenêtres étaient très inoffensives. Leur fenêtre avec le texte sur la nécessité de lister les fonds au début pourrait simplement "clouer" via le gestionnaire de tâches. Ensuite, il y avait des versions plus complexes de Trojan, qui ont fait des modifications au niveau du registre et même MBR. Mais il était possible de "guérir", si vous savez quoi faire.

Les virus extorquables modernes sont devenus très dangereux. Ils bloquent non seulement le fonctionnement du système, mais chiffrent également le contenu du disque dur (y compris l'enregistrement de démarrage principal du MBR). Pour déverrouiller le système et le déchiffrement des fichiers, les attaquants sont désormais facturés dans Bitcoin »AH, un montant équivalent de 200 à 1000 dollars américains! Et même si vous énumérez les fonds congés sur le portefeuille spécifié, cela ne donnera pas de garantie que les pirates seront envoyés. vous une clé de déverrouillage.

Un point important est que, aujourd'hui, il n'y a pratiquement aucun moyen de vous débarrasser du virus et de récupérer leurs fichiers. Par conséquent, à mon avis, il est préférable de ne pas initialement rencontrer toutes sortes d'astuces et de protéger votre ordinateur de manière plus ou moins fiable des attaques potentielles.

Comment ne pas devenir victime du virus

Les virus chiffers s'appliquent généralement de deux manières. Le premier exploite divers vulnérabilités techniques Windows. Par exemple, Wannacry a utilisé EternalBlue Exploit, qui a permis d'accéder à un ordinateur à l'aide du protocole SMB. Un nouveau cryptage Petya peut pénétrer dans le système via des ports TCP ouverts 1024-1035, 135 et 445. Un moyen d'infection plus courant est hameçonnage. Mettez simplement, les utilisateurs eux-mêmes infectent des PC, ouvrant les fichiers malveillants envoyés par courrier!

Protection technique contre les virus de crîtés

Bien que l'infection directe de virus et pas si fréquentes, mais elles se produisent. Par conséquent, il est préférable d'éliminer les barres de sécurité potentielles déjà connues. Premièrement, vous devez mettre à jour l'antivirus ou l'installer (par exemple, il s'oppose bien à la reconnaissance des virus de crypter 360 de sécurité totale). Deuxièmement, vous devez installer les dernières mises à jour Windows.

Donc, pour éliminer le bogue potentiellement dangereux dans le protocole SMB Microsoft Protocol publié des mises à jour extraordinaires pour tous les systèmes, en commençant par Windows XP. Vous pouvez les télécharger pour votre version du système d'exploitation.

Pour protéger contre Petya, il est recommandé de fermer les ports des ports de l'ordinateur. Pour ce faire, le moyen le plus simple d'utiliser régulièrement pare-feu. Ouvrez-le dans le panneau de commande et sélectionnez la section dans la barre latérale. "Options supplémentaires". La fenêtre de gestion des règles de filtrage s'ouvre. Choisir "Règles pour les connexions entrantes" et du côté droit, cliquez sur "Créer une règle". Un maître spécial dans lequel vous devez faire une règle "Pour le port", alors choisissez l'option "Ports locaux définis" et prescrire ce qui suit: 1024-1035, 135, 445 :

Après avoir ajouté la liste de ports, installez l'option sur l'écran suivant. "Connexion de bloc" Pour tous les profils et définir le nom (Description facultatif) pour la nouvelle règle. Si vous croyez que les recommandations sur Internet, cela ne donnera pas au virus télécharger les fichiers dont vous avez besoin, même si cela rend votre ordinateur.

De plus, si vous venez d'Ukraine et que vous avez utilisé la comptabilité sur moi.doc, vous pouvez installer des mises à jour contenant des torcheurs. Ces backdors ont été utilisés pour des ordinateurs à grande échelle avec Petya.A Virus. Parmi les analyses d'aujourd'hui, vous connaissez au moins trois mises à jour avec des vulnérabilités de sécurité:

• 01/10 / 175-10.01.176 du 14 avril;
• 01/10 / 180-10.01.181 du 15 mai;
• 01/10 / 188-10.01.189 du 22 juin.

Si vous avez installé ces mises à jour, vous êtes dans le groupe de risque!

Protection contre le phishing

Comme déjà mentionné, dans la plupart des infections coupables, néanmoins du facteur humain. Les pirates et les spammeurs ont lancé une campagne de phishing à grande échelle dans le monde entier. Dans son cadre, les courriels de messagerie ont été envoyés par courrier électronique avec divers investissements, qui ont été émis pour des comptes, des mises à jour ou d'autres données «importantes». Il suffisait d'ouvrir un fichier malveillant déguisé, car il a installé le virus sur l'ordinateur, qui crypte toutes les données!

Comment distinguer une lettre de phishing de réelle. Ceci est très facile si vous suivez le bon sens et les recommandations suivantes:

1. De qui la lettre? Tout d'abord, faites attention à l'expéditeur. Les pirates peuvent signer une lettre, au moins le nom de votre grand-mère! Cependant, il y a un point important. "Grand-mère" Vous devez savoir, et l'adresse de l'expéditeur de la lettre de phishing, en règle générale, sera un ensemble indéfinissable de caractères. Quelque chose comme: " [Email protégé]". Et la nuance est: le nom de l'expéditeur et son adresse, si cette lettre officielle est généralement corrélée entre elles. Par exemple, E-mail d'une certaine société" Puppin and Co "peut ressembler" [Email protégé]", mais il est peu probable d'avoir le genre" [Email protégé]" :)
2. Quelle est la lettre? En règle générale, des lettres de phishing contiennent tout appel à l'action ou à l'indice. Dans le même temps, dans le corps de la lettre, rien n'est écrit ou rien n'est écrit, ou une motivation supplémentaire est donnée à l'ouverture de fichiers imbriqués. Mots "urgents!", "Le score pour les services" ou "mise à jour critique" en lettres d'expéditeurs inconnus peut être un exemple lumineux d'essayer de vous pirater. Pensez logiquement! Si vous n'avez demandé aucun compte, mises à jour ou autres documents d'une société particulière, il s'agit donc d'une probabilité de 99% - phishing ...
3. Quoi dans la lettre? L'élément principal des lettres de phishing est ses investissements. Le type d'attachement le plus évident peut être un fichier EXE avec une fausse "mise à jour" ou "programme". De tels investissements sont un visage plutôt impoli, mais se trouvent.

   Plus "élégantes" façons de tromper l'utilisateur sont de dissimuler le script téléchargeant le virus, sous le document Excel ou Word. Le masquage peut être deux types. Lors de la première version, le script lui-même est émis pour le document Office et il est possible de le reconnaître par "Double" extension du nom, par exemple " .xls.js."Ou" résumé .doc.vbs.«Dans le second cas, la pièce jointe peut consister en deux fichiers: un vrai document et un fichier avec un script appelé comme macro du document Office de Word ou Excel.

   En tout état de cause, il ne vaut pas la peine d'ouvrir de tels documents, même si l'expéditeur vous demande beaucoup de choses à ce sujet! Si vous avez même soudainement parmi vos clients, avez-vous une personne qui pourrait envoyer une lettre avec un tel contenu, il est préférable de prendre la peine de le contacter directement et de préciser si cela vous a envoyé des documents. La télévision avancée dans ce cas peut vous éviter de problèmes inutiles!

Je pense que si vous fermez toutes les barres techniques de votre ordinateur et que vous ne céderez pas aux provocations des spammeurs, aucun virus n'est effrayant!

Comment restaurer des fichiers après infection

Et néanmoins, vous avez eu le plaisir d'infecter l'ordinateur avec un virus-crypter ... N'éteignez pas le PC après l'apparition d'un message de cryptage !!!

Le fait est qu'en raison d'un certain nombre d'erreurs dans le code des virus eux-mêmes, avant de redémarrer l'ordinateur, il est possible de tirer la clé de la mémoire dont vous avez besoin pour déchiffrer des fichiers! Par exemple, l'utilitaire Wannakiwi conviendra pour obtenir la clé de déchiffrement de Wannacry. Hélas, il n'y a pas de telles solutions pour restaurer des fichiers après l'attaque de Petya, mais vous pouvez essayer de les extraire des copies de l'ombre des données (si vous avez activé la possibilité de les créer sur la section Disque dur) à l'aide de la miniature ShadowExplorer. programme:

Si vous avez déjà redémarré l'ordinateur ou que les conseils ci-dessus n'ont pas aidé, il est possible de restaurer uniquement les fichiers uniquement à l'aide de programmes de récupération de données. En règle générale, les virus de crypter fonctionnent selon le schéma suivant: Créez une copie cryptée du fichier et retirez l'original sans écraser. C'est-à-dire que seule l'étiquette de fichier est effectivement supprimée et les données elles-mêmes sont enregistrées et peuvent être restaurées. Il existe deux programmes sur notre site: il conviendra davantage à réanimer des fichiers multimédias et des photos, et R.Saver s'oppose bien aux documents et archives.

Naturellement, le virus lui-même doit être retiré du système. Si Windows est chargé, alors pour cela, le programme anti-malware malwarebytes est bien. Si le virus a bloqué le chargement, le disque de démarrage de Dr.Web LiveCD avec un utilitaire éprouvé pour lutter contre divers logiciels malveillants Dr.Web Curedit à bord. Dans ce dernier cas, il devra également récupérer MBR. Parce que LiveCD de Dr.Web basé sur Linux, je pense que vous serez utile pour obtenir des instructions d'une Habra sur ce sujet.

conclusions

Le problème de Windows sous Windows est pertinent depuis de nombreuses années. Et chaque année, nous constatons que les virus inventent des formes de plus en plus sophistiquées de dommages causés aux ordinateurs des utilisateurs. Les dernières épidémies de virus de cryptage démontrent que les attaquants se déplaçaient progressivement vers l'extorsion active!

Malheureusement, même si vous payez de l'argent, il est peu probable de répondre à une réponse. Très probablement, il devra restaurer ses données par elles-mêmes. Par conséquent, il est préférable de montrer la vigilance à temps et de prévenir l'infection que de gâcher avec l'élimination de ses conséquences!

P.s. Il est autorisé à copier librement et à citer cet article si vous spécifiez une référence active ouverte à la source et de maintenir la paternité de Ruslana Trader.

Continuez sa procession déprimante sur le réseau, infectant des ordinateurs et crypter des données importantes. Comment vous protéger du crypter, protéger les fenêtres de l'extorqueur - sont des correctifs, des correctifs sont libérés pour déchiffrer et cuiller des fichiers?

Nouveau virus-crypter 2017 veux pleurer Continue d'infecter les entreprises et PC privés. W. scherb d'une attaque virale a 1 milliard de dollars. Pendant 2 semaines, le crypter virus infecté au moins 300 mille ordinateursMalgré les avertissements et les mesures de sécurité.

Année de cryptage Virus 2017 qui est - En règle générale, vous pouvez "ramasser", il semblerait, sur les sites les plus inoffensifs, tels que les serveurs bancaires avec accès utilisateur. Une fois sur le disque dur de la victime, le crypter "règle" dans le système de dossier système32. De là, le programme éteint immédiatement l'antivirus et tombe dans "Autorun" Après chaque redémarrage, le programme de cryptage fonctionne dans le registre, Démarrez votre entreprise noire. Le crypter commence à télécharger des copies similaires de programmes tels que Ransom et Trojan. Arrive aussi souvent crypter auto-évaporation. Ce processus peut être raccourci et peut survenir des semaines - jusqu'à ce que la victime puisse enlève non longe.

Le crypter est souvent masqué sous des images ordinaires, des fichiers texte, mais l'essence est toujours seule - ce sont un fichier exécutable avec extension.exe, .drv, .xvd; parfois - bibliothèques.dll.. Le plus souvent, le fichier est assez inoffensif, par exemple " document. Doc", ou alors " image.jpg.", Où l'extension est écrite manuellement, et le vrai type de fichier est caché.

Après avoir terminé le cryptage, l'utilisateur voit au lieu de fichiers familiers un ensemble de caractères "aléatoires" dans le titre et à l'intérieur, et l'expansion change au plus inconnu - .No_more_ransom, .xdata. autre.

Virus-Crypter 2017 Voulez-vous pleurer - Comment vous protéger. Je voudrais noter immédiatement que Wanna Cry est plutôt un terme collectif de tous les virus des cryptes et des extorsions, étant donné que des ordinateurs infectés par dernièrement. Donc, ce sera à propos de s demandez à Ransom Ware Crypters, qui sont un excellent ensemble: briser.dad, no_more_ransom, xdata, xtbl, wanna pleurer.

Comment protéger les fenêtres du crypter. – EternalBlue via Port SMB Protocole.

Protection Windows de Crypter 2017 - Règles de base:

• mise à jour Windows, transition rapide vers OS sous licence (Remarque: la version XP n'est pas mise à jour)
• mise à jour des bases de données antivirus et des pare-feu sur demande
• limiter les soins Lorsque vous téléchargez des fichiers ("chats" mignons peut transformer en perte de toutes les données)
• sauvegarde des informations importantes sur le transporteur remplaçable.

Virus-Crypter 2017: Comment guérir et décrypter les fichiers.

En espérant que le logiciel anti-virus, vous pouvez oublier le décodeur pendant un moment.. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus tout en aucune solution pour le traitement des fichiers infectés. Pour le moment, il est possible de retirer le virus à l'aide de l'antivirus, mais les algorithmes retournent tout ce qui est "en cercles".

Certains essaient d'appliquer l'utilitaire de RecordecryptorMais cela ne vous aidera pas: algorithme de déchiffrement de nouveaux virus n'a pas encore été compilé. Il est également absolument inconnu de la manière dont le virus se comporte s'il n'est pas supprimé, après avoir appliqué de tels programmes. Souvent, il peut se transformer en effacement de tous les fichiers - dans l'édification de ceux qui ne veulent pas payer pour les attaquants, les auteurs du virus.

Pour le moment, le moyen le plus efficace de retourner les données perdues est un appel à ceux-ci. Prise en charge du fournisseur du programme antivirus que vous utilisez. Pour ce faire, envoyez une lettre ou utilisez le formulaire pour obtenir des commentaires sur le site Web du fabricant. Dans la pièce jointe, assurez-vous d'ajouter un fichier crypté et, s'il y a une copie de l'original. Cela aidera les programmeurs à la compilation de l'algorithme. Malheureusement, pour beaucoup, l'attaque virale devient une surprise complète et les copies ne sont pas parfois compliquées la situation.

Méthodes cardiales du traitement Windows à partir de crypter. Malheureusement, parfois, vous devez recourir au formatage complet du disque dur, ce qui implique le changement complet du système d'exploitation. Beaucoup de gens seront restaurés par le système, mais il ne s'agit pas d'une sortie - même s'il existe un "retourne" se débarrasser du virus, les fichiers resteront toujours croisés.