05/15/2017, Mon, 13:33, MSK , Szöveg: Paul Pritula

A másik nap Oroszországban, az egyik legnagyobb és "zajos", a sajtó, a Kiberatak: több osztály hálózatai és a legnagyobb szervezetek, köztük a Belügyminisztérium, beleértve a belügyminisztériumot is. A vírus titkosítja az adatokat a munkavállalók számítógépére, és nagy mennyiségű pénzt takarít meg nekik, hogy folytassa munkáját. Ez egy vizuális példa arra, hogy senki sem biztosított az extrajtók ellen. Mindazonáltal harcolhatsz ezzel a fenyegetéssel - többféle módon fogjuk megmutatni, hogy a Microsoft kínálja.

Mit tudunk az izgalmakról? Úgy tűnik, hogy ezek bűnözők, akik pénzt vagy dolgokat igényelnek a kedvezőtlen következmények veszélye alatt. Az üzleti életben, az időről időre történik, minden arról szól, hogy úgy tűnik, hogyan kell eljárni ilyen helyzetekben. De mi van, ha a vírus a munkatársaira telepedett, blokkolja az adatokhoz való hozzáférést, és megköveteli, hogy pénzt adjon bizonyos személyeknek a kioldó kódért cserébe cserébe? Meg kell kapcsolnod az információbiztonsági szakembereket. És a legjobb, ha előre meg kell tennie, hogy megakadályozza a problémákat.

Az utóbbi években a számítógépes bűnözés száma felnőtt. A Sentinelone tanulmány szerint a legnagyobb európai országokban a vállalatok felét zavartalan vírusok támadják meg, és több mint 80% -uk három vagy több alkalommal váltottak. A világszerte hasonló kép figyelhető meg. Az információbiztonsági szakosodott törlőképesítés egyfajta "felső" országot hív, amelyet a leginkább ransomware - zsaroló programok: USA, Oroszország, Németország, Japán, Egyesült Királyság és Olaszország. A támadók különleges érdeke kis- és közepes vállalkozásokat okoz, mivel több pénzük és érzékenyebb adatai vannak, mint az egyéneknél, és nincsenek hatékony biztonsági szolgálatok, mint a nagyvállalatok.

Mit kell tennie, és ami a legfontosabb, hogyan lehet megakadályozni a rokkantók támadását? Kezdjük, megbecsüljük a fenyegetést. A támadást több út végezheti el. Az egyik leggyakoribb e-mail. A bűnözőket aktívan használják a szociális tervezés módszerei, amelyek hatékonysága nem esett a huszadik századi Kevin Mitnik híres hackerjétől. Az áldozat vállalatának munkavállalóját egy igazán létező partner nevében és a beszélgetés után hívhatják, hogy egy rosszindulatú fájlt tartalmazó mellékletet küldjenek. Természetesen a munkavállaló megnyitja, mert telefonon beszélt a feladóval. Vagy könyvelő kaphat egy levelet állítólag a végrehajtóból vagy a bankból, amely a cégét szolgálja. Senki sem biztosított, senki sem biztosított, és még a Belügyminisztérium sem szenved el először: néhány hónappal ezelőtt a hackerek hamis fiókot küldtek a Rostelecom-tól egy vírus titkosítási tisztviselővel a Belső Minisztérium Kazan Lineáris menedzsmentjének számviteli osztályában Ügyek.

A fertőzés forrása lehet egy adathalász hely, amelyhez a felhasználó csalárd link alá esett, és a "véletlenszerűen elfelejtett" valaki az irodai flash meghajtó látogatóitól. Egyre gyakrabban a fertőzés az alkalmazottak védtelen mobileszközei révén fordul elő, amelyekkel hozzáférnek a vállalati erőforrásokhoz. És a víruskereső nem működik: több száz rosszindulatú program, ismerteti a víruskeresőket, nem is beszélve a "zéró nap támadása", amely csak a "lyukak" opciót nyitja meg a szoftverben.

Mi a "Cyber \u200b\u200bWagon"?

A "Gettenter", "Encrypter" néven ismert program, a Ransomware blokkolja a felhasználó hozzáférését az operációs rendszerhez, és általában titkosítja az összes adatot a merevlemezen. Egy üzenet jelenik meg a képernyőn, hogy a számítógép blokkolva van, és a tulajdonos köteles nagy mennyiségű pénzt átadni a támadót, ha vissza akar térni az adatok irányítását. Leggyakrabban a képernyő 2-3 napon belül a visszaszámlálásra fordul, hogy a felhasználó sietje, különben a lemez tartalma megsemmisüljön. A bűnözők étvágyától és a vállalat méretétől függően az oroszországi váltságdíjak mennyisége több tíztől több százezer rubelig terjed.

A zsarnokok típusai

Forrás: Microsoft, 2017

Ezek a rosszindulatú programok már évek óta ismertek, de az elmúlt két-három évben valódi virágzást tapasztalnak. Miért? Először is, mert az emberek támadók fizetnek. Szerint a Kaspersky Lab, az orosz vállalatok 15% -a támadta ezt az utat, inkább a visszaváltás díját, és a megtámadott világ 2/3-át, amelyet megtámadtak, elvesztették vállalati adataikat egészben vagy részben.

A második szerszámkészletes cyberciminals tökéletesebbé és megfizethetőbbé vált. És a harmadik független kísérletek "a jelszó felvételére" nem jóak az áldozat számára, és a rendőrség ritkán találja meg a bűnözőket, különösen a visszaszámlálás során.

Mellesleg. Nem minden hacker töltik idejüket, hogy tájékoztassák a jelszót az áldozatnak, amely felsorolta a szükséges összeget.

Mi az üzleti probléma

Az oroszországi kis- és középvállalkozásokkal kapcsolatos információbiztonság területén a fő probléma az, hogy nincs pénzük az IB, az informatikai rendszerek és az alkalmazottak számára, amelyekkel különböző események fordulhatnak elő, több mint elég. A Ransomwarenew, csak testreszabott tűzfal, víruskereső és biztonsági politikák elleni küzdelemre. Minden rendelkezésre álló eszközt kell használnia, elsősorban az operációs rendszer beszállítója által biztosított, mert olcsó (vagy az OS költsége), és 100% -ban kompatibilis a saját szoftverével.

Az ügyfélszámítógépek túlnyomó többsége és a szerverek jelentős része a Microsoft Windows operációs rendszert futtatja. Mindenki ismeri a beépített biztonsági eszközöket, például a Windows Defender és a Windows tűzfalat, amely a legújabb OS-frissítésekkel és a felhasználó jogi korlátozásával együtt teljesen elegendő biztonsági szintet biztosít a rendes munkavállaló szakosodott alapjainak hiányában.

De az üzleti kapcsolatok és a cybercriminálisok sajátossága az, hogy az első gyakran nem tudják, hogy a második támadják őket. Ők hisznek maguk védelme, és valójában a rosszindulatú programok már behatoltak a hálózat peremén, és csendben teszik munkáját - végül is, nem mindegyikük úgy viselkedik, mint a troyans-zsaroló.

A Microsoft megváltoztatta a biztonsági megközelítést: Most bővítette az IB termékcsaládot, és nemcsak a vállalat modern támadásoktól való rögzítésére is összpontosít, hanem lehetővé teszi a lehetőséget, hogy megvizsgálja őket, ha a fertőzés még mindig történt.

Levél védelem

A postai rendszert, mint a vállalati hálózat fővállalati hálózati behatolási csatornáját, szinte védeni kell. Ehhez a Microsoft kifejlesztett egy Exchange ATP rendszert (fejlett kezelésvédelem), amely elemzi a postai mellékleteket vagy az internetes kapcsolatokat, és időben reagál az azonosított támadásokra. Ez egy különálló termék, integrálva van a Microsoft Exchange-be, és nem igényel telepítés minden ügyfélgépen.

Az Exchange ATP rendszer képes észlelni még a "zéró nap támadásait", mert elindítja az összes mellékletet egy speciális "homokozó", anélkül, hogy felszabadítaná őket az operációs rendszerbe, és elemzi a viselkedését. Ha nem tartalmaz támadási jeleket, a melléklet biztonságosnak tekinthető, és a felhasználó kinyithatja. És a potenciálisan rosszindulatú fájlt a karanténba küldi, és a rendszergazda értesítést kap.

Ami a betűkre vonatkozó hivatkozásokat illeti, azok is ellenőrzöttek. Az Exchange ATP helyettesíti az összes hivatkozást a köztesre. A felhasználó egy levélben lévő linkre kattint, egy köztes linkre esik, és ezen a ponton a rendszer ellenőrzi a biztonság címét. Az ellenőrzés olyan gyorsan fordul elő, hogy a felhasználó nem veszi észre a késéset. Ha a kapcsolat fertőzött webhelyhez vagy fájlhoz vezet, az átmenet tilos.

Hogyan működik az ATP

Forrás: Microsoft, 2017

Miért fordul elő a kattintás időpontjában, és nem pedig a levél kézhezvételét követően - végül is több idő van a tanulmányban, és ezért kevesebb számítástechnikai erőre van szükség? Ez kifejezetten megvédi a támadók trükkéjét a tartalommal a link alatt. Tipikus példa: A levél a postaládában jön éjjel, a rendszer ellenőrzi, és nem észleli semmit, és a reggel a helyszínen ezt a linket már elhelyezett, például egy fájl trójai, amely a felhasználó biztonságosan letöltés.

És az Exchange ATP szolgáltatás harmadik része beépített jelentési rendszer. Lehetővé teszi az esetleges incidensek vizsgálatát, és adatot ad a kérdések megválaszolására: amikor a fertőzés történt, hogyan és hol történt. Ez lehetővé teszi, hogy megtalálja a forrást, meghatározza a károkat, és megértse, hogy mi volt: véletlenszerű vagy célzott, célzott támadás a vállalat ellen.

Ez a rendszer hasznos és megelőzés. Például a rendszergazda növelheti a statisztikákat, mint a veszélyes linkek átmenetét, és ki tette a felhasználóktól. Még ha nincs fertőzés, még mindig tisztázni kell ezeket az alkalmazottakat.

Igaz, vannak olyan munkavállalók kategóriái, akik a különböző helyszínek látogatására kényszerülnek - ilyen, például a marketingesek, a piackutatás. Számukra a Microsoft technológia lehetővé teszi, hogy konfigurálja a politikát, hogy minden a letölthető fájlok mentése előtt a számítógépen ellenőrizni fogják a homokozóban. Ezenkívül a szabályokat szó szerint több kattintással határozzák meg.

A hitelesítő adatok védelme

A támadók egyik célja a felhasználói hitelesítő adatok. A felhasználók bejelentkezésének és jelszavának lopásainak technológiája elég sokat, és elviselniük kell a tartós védelmet. Remélem, hogy a munkavállalók maguk nem elég: egyszerű jelszavakkal jönnek létre, egy jelszót alkalmaznak az összes erőforrás eléréséhez, és írják őket a monitorra ragasztott matricára. Ez az adminisztratív intézkedésekkel küzd, és a jelszavakra vonatkozó szoftverkövetelményeket, de a garantált hatás nem lesz.

Ha a vállalat biztonságot vesz igénybe, akkor azt a hozzáférés jogai határozzák meg, például egy mérnök vagy értékesítési menedzser nem léphet be a számviteli kiszolgálót. De a hackerek tartalékában van egy másik trükk: levelet küldhetnek a szokásos munkavállaló elfogott számlájáról egy olyan célszakértől, aki tulajdonosa a szükséges információk (pénzügyi adatok vagy kereskedelmi rejtély). Miután megkapta a "kolléga" levelet, a címzett teljesen megnyitja, és elindítja a beruházást. És a program-titkosítás eléri a vállalat értékessé a vállalat számára, akinek a visszatérése sok pénzt fizethet.

Annak érdekében, hogy a rögzített számla ne adjon támadókat a vállalati rendszerbe behatolásra, a Microsoft azt javasolja, hogy megvédje azt az Azure MultiFactor hitelesítési többfaktív hitelesítésével. Vagyis nem csak bejelentkezési / jelszót kell megadnia, hanem az SMS által benyújtott PIN-kódot, a mobilalkalmazás által generált nyomógombot, vagy válaszoljon egy telefonhívás robotra. A többfaktikus hitelesítés különösen akkor hasznos, ha távoli alkalmazottakkal dolgozik, akik beléphetnek a vállalati rendszerbe a világ különböző pontjaiból.

Azure multifactor hitelesítés.

Facebook.

Twitter.

VK.

Odnoklassniki.

Távirat

Természettudomány

Wannacry vírus-titkosítás: Mit tegyek?

A Wannacry hulláma a Wannacry körül (Wana Decrypt0r, Wana dekovtor, Wanacrypt0r), amely titkosítja a számítógépen lévő dokumentumokat, és 300-600 USD-t dekódol. Hogyan lehet megtudni, hogy a számítógép fertőzött-e? Mit kell tenni, hogy ne váljon áldozatává? És mit kell tennie a gyógyításhoz?

A számítógép fertőzött vírus-titkter wana dekódolóval?

Jacob Krustek () az Avastól, több mint 100 ezer számítógép már fertőzött. 57% -uk esik Oroszországra (van-e furcsa szelektivitás?). Jelentések több mint 45 ezer fertőzés. Nem csak a szerverek vannak kitéve a fertőzésnek, hanem a rendes emberek számítógépei, amelyeken a Windows XP, a Windows Vista, a Windows 7, a Windows 8 és a Windows 10 és a Windows 10 telepítve van. Minden titkosított dokumentum a címükben megkapja a Wncry előtagot.

A vírus elleni védelmet márciusban találták meg, amikor a Microsoft egy "patch" -et tett közzé, de a kibővített járvány, sok felhasználó megítélése, beleértve a rendszergazdákat is, figyelmen kívül hagyta a számítógépes biztonsági rendszer frissítését. És megtörtént, mi történt - Megafon, az orosz vasutak, a Belügyminisztérium és más szervezetek a fertőzött számítógépeik kezelésére szolgálnak.

Tekintettel a járvány globális skálájára, május 12-én a Microsoft megjelent egy biztonsági frissítést és hosszú ideig nem támogatott termékeket - Windows XP és Windows Vista.

Ellenőrizze, hogy a számítógép fertőzött-e, használhatja az anti-vírus segédprogramot, például Kaspersky-t, vagy (a Kaspersky Támogatási Fórumon is ajánlott).

Hogy ne váljunk a Wana dekódtorának titkterének áldozatává?

Az első dolog, amit meg kell tenned, zárja be a lyukat. Letöltés erre

A titkosítási vírus támadások új hulláma a világot az érintett orosz média és az ukrán vállalatok között forgatta a világot. Oroszországban, az Interfax-nak a vírusban szenvedett, de a támadás csak az ügynökség részét érintette, mivel az informatikai szolgáltatásai sikerült letiltaniuk a kritikus infrastruktúra részét, az oroszországi Group-Ib céget mondta. Nevezték a Badrabbit vírust.

Egy példátlan vírusos támadás az oldalán a Facebookon, Yuri Pogorellov helyettes igazgatója tájékoztatást kapott. Két interxtisztviselő megerősítette a "Vedomosti" -t a számítógépek letiltásához. Az egyik szerintük egy vizuálisan blokkolt képernyő hasonló a híres Petya vírus cselekedeteinek eredményéhez. Az Internax által támadó vírus figyelmezteti, hogy nem szükséges a fájlok önálló megfejtésére, és megköveteli, hogy 0,05 bitcoine (285 dollárért) meg lehessen fizetni, amely egy speciális webhelyre meghívja Önt a Tor hálózaton. A vírus titkosította a vírust személyes azonosító kódhoz.

Az Interfax mellett két orosz média szenvedett a titkosítási vírusból, amelyek közül az egyik a Petersburgi kiadása a Fontanka, ismeri az Ib csoportot.

A Fontanka főszerkesztője, Alexander Gorshkov elmondta, hogy a "Vedomosti" azt mondta, hogy a "Fontanka" szervereket ismeretlen támadók támadták meg. De az edények biztosítják, hogy a "szökőkút" beszédvírusának támadása nem megy: a szerkesztőségű személyzet számítógépe, a szerver csapkodott, ami felelős a webhely munkájáért.

Interdaxosztályok az Egyesült Királyságban, Azerbajdzsánban, Fehéroroszországban és Ukrajnában, valamint az "Interfax-vallás" webhelyen továbbra is dolgozni, azt mondta a "Vedomosti" regrowling. Nem világos, hogy az oka annak, hogy a kár nem éri meg a más egységet, talán ez az Interfax hálózati topológia miatt következik be, ahol a szerverek, ahol a szerverek területi szinten vannak, és a rájuk telepített operációs rendszerrel azt mondja.

Ukrán Interfax a nap folyamán kedden jelentett egy hacker támadást Odessa nemzetközi repülőtéren. A repülőtér az oldalon bocsánatot kért az utasok "a kényszerített növekedés a szolgálati idő", de az online eredménytábla alapján ítélve, kedden még mindig továbbra is küldött és elfogadta a repülőgépeket.

További információ Kiberatka a Facebook-fiókja Metro Kijev - voltak problémák a fizetés a bankkártyák. Az Front News Edition arról számolt be, hogy a metrót vírus-encrypter támadta meg.

Az IB csoport új járványt köt. Az elmúlt hónapokban már két hullám a titkosítók vírusai a világon: a Wannacry vírus május 12-én és június 27-én jelent meg - a Petya vírus (NotPyta és expetétel). A Windows operációs rendszerrel behatoltak a számítógépekhez, ahol a frissítések nincsenek telepítve, titkosítva a merevlemez tartalmát, és 300 dollárt igényelt a dekódoláshoz. Mint később kiderült, Petya nem gondolta, hogy visszafejtse az áldozatok számítógépeit. Az első támadás több mint 150 országban több százezer számítógépet érintett, a második - 12500 számú 65 országban. A támadások áldozatai voltak az orosz " Megafon », Evraz. , « Gazprom "És" Rosneft " Majdnem a vírus szenvedett Invitro Orvosi központokat, amelyek több napig nem vettek elemzéseket.

Petya csaknem egy hónap alatt csak 18 000 dollárt tudott összegyűjteni, de az összehasonlíthatatlan károkat. Az egyik áldozata a dán logisztikai óriás Moller-Maersk értékelte az eltűnt bevételeket a Cyberatics 200-300 millió dollár.

A Moller-Maersk divíziói közül a Maersk-vonal a konténerek tengeri szállításában részt vevő fő csapás (2016-ban a Maersk Line összesen 20,7 milliárd dollárt szerzett, 31,900 ember működik az osztályban).

Az üzlet gyorsan eljött az érzékeimhez a támadás után, de a vállalat és a szabályozók őrültek. Tehát augusztusban a fióktelepeik igazgatóit figyelmeztette ágai igazgatói, az EGK Szövetségi Hálózati Társaságának (kezeli az All-orosz elektromos hálózatot), és néhány nappal később az orosz bankok hasonló figyelmeztetést kaptak a fincertről (a CBB CBBC szerkezete).

A titkosítási vírus új támadása megjegyezte a "Kaspersky Lab" -t, a megfigyelések szerint, amelyekről a legtöbb támadás áldozata Oroszországban található, de vannak fertőzés és Ukrajnában, Törökországban és Németországban. Minden jel arra mutat, hogy ez egy koncentrált támadást a vállalati hálózatok, a fejét a Kaspersky Lab antivírus vizsgálat bízik, Vjacseszlav Zakorzhevsky: Methods hasonló Expetr eszközöket használnak, de nem kapcsolódnak ilyen vírus nem vezethető.

És az Eset Anti-Virus Company szerint a titkter még mindig a Petya rokona. A támadás rosszindulatú programlemez-programot használ - ez a kódoló új módosítása.

A húzás arról számolt be, hogy a Symantec anti-vírus az interaktív számítógépeken telepítették. A Symntec Tegnap képviselői nem válaszoltak a "Vedomosti" kérésére.

A Wannacry, a Petya, a Mischa és más zsarolási vírusok nem fenyegetnek, ha ragaszkodnak az egyszerű ajánlásokhoz a PC-fertőzés megelőzésére!

A múlt héten az egész internet megtagadta a híreket az új vírus-titkterről. A világ számos országában sokkal nagyobb mértékű járványt provokált, mint a hírhedt Wannacry, akinek a hulláma májusra esett. A nevek új vírussal rendelkeznek: Petya.a, expetr, notpety, goldeneye, trojan.ransom.petya, petrwrap, diskcoder.c, azonban leggyakrabban úgy tűnik, mint Peta.

Ezen a héten a támadások folytatódnak. Még az irodánkban is egy levél jött, slyly álcázott valamiféle mitikus frissítés a szoftver! Szerencsére senki sem gondolta, hogy megnyitja a benyújtott archívumot :) Ezért ma szeretnék fordítani azt a kérdést, hogy hogyan lehet megvédeni a számítógépet a zsaroli vírusoktól, és nem válik a Petya áldozatává, vagy mégis ancrippter.

Mit csinálnak a zsaroli vírusok?

Az első zaklató vírusok a 2000-es évek elején jelentek meg. Sokan, akik ebben az évben élvezték az internetet, valószínűleg emlékeznek a trojan.winlock-ra. Letiltotta a számítógép indítását, és megkapja a feloldási kódot, hogy felsoroljon egy bizonyos összeget a WebMoney pénztárcán vagy egy mobiltelefonon:

Az első Windows-blokkolók nagyon ártalmatlanok voltak. Az ablakuk a szöveggel, hogy felsoroljuk az alapok elején egyszerűen "köröm" a feladatkezelőn keresztül. Ezután a trójai összetettebb verziók voltak, amelyek a rendszerleíró adatbázis szintjén és az MBR-ben készültek. De lehetséges volt "gyógyítani", ha tudod, mit kell tennie.

A modern vírusok nagyon veszélyesek lettek. Nemcsak blokkolják a rendszer működését, hanem titkosítják a merevlemez tartalmát is (beleértve az MBR fő indítási rekordját). A rendszer feloldásához és a fájlok visszafedése érdekében a támadók most a Bitcoin-ben kerülnek felszámolásra "Ah, egyenértékű összeget 200 és 1000 dollár között! Sőt, még akkor is, ha felsorolja a meghatározott pénztárcát, akkor ez nem ad garanciát, hogy a hackerek küldenek feloldási kulcs.

Fontos szempont, hogy ma már gyakorlatilag nincs működő módon megszabadulni a vírus, és kap vissza a fájlokat. Ezért véleményem szerint jobb, ha nem kezdetben találkoznak mindenféle trükköt, és többé-kevésbé megbízhatóan védi a számítógépet a potenciális támadásoktól.

Hogy ne váljunk a vírus áldozatává váljanak

A vírusok általában kétféleképpen alkalmazhatók. Az első kihasználás különböző windows műszaki sebezhetőségek. Például a Wannacry az Eternalblue kiaknázást használta, amely lehetővé tette a számítógéphez való hozzáférést az SMB protokoll segítségével. Az új PETYA titkosítás a rendszerbe behatolhat a 1024-1035, 135 és 445 számú TCP-portokon keresztül. A gyakoribb fertőzés gyakoribb módja adathalászat. Egyszerűen tegye, a felhasználók maguk fertőzik a számítógépeket, megnyitják a postai küldött rosszindulatú fájlokat!

Technikai védelem a titkosítási vírusok ellen

Bár a vírusok közvetlen fertőzése, és nem olyan gyakori, de történnek. Ezért jobb, ha megszünteti a már ismert potenciális biztonsági rudakat. Először frissítenie kell a vírusirtót, vagy telepítenie kell (például jól működik a titkosítási vírusok szabad 360 teljes biztonságának felismerésével. Másodszor, telepítenie kell a legújabb Windows-frissítéseket.

Tehát, hogy megszüntesse a potenciálisan veszélyes hibát a Microsoft SMB protokoll kiadott rendkívüli frissítéseket minden rendszer, kezdve a Windows XP. Letöltheti őket az operációs rendszer verziójához.

A PETYA elleni védelem érdekében javasoljuk, hogy bezárja a portok portjait a számítógépen. Ehhez a rendszeres használat legegyszerűbb módja tűzfal. Nyissa meg a kezelőpanelen, és válassza ki az oldalsáv részét "Extra lehetőségek". Megnyílik a szűrési szabályok kezelése. Választ "A bejövő kapcsolatok szabályai" és a jobb oldalon kattintson "Szabály létrehozása". Egy különleges mester, amelyben szabályoznia kell "A kikötő", majd válassza ki az opciót "Meghatározott helyi kikötők" és írja elő a következőket: 1024-1035, 135, 445 :

A portlista hozzáadása után telepítse az opciót a következő képernyőn. "Blokk kapcsolat" Minden profilhoz, és állítsa be a nevet (Leírás Opcionális) az új szabályhoz. Ha úgy gondolja, hogy az ajánlások az interneten, akkor nem adja meg a vírust, hogy töltse le a szükséges fájlokat, ha a számítógéphez jut.

Ezen felül, ha Ukrajna és használt számviteli on me.doc, akkor a frissítések telepítését tartalmazó backdors. Ezeket a reklámokat nagyméretű számítógépekhez használták Petya.a vírussal. Az elemzett ma már legalább három frissítést tudsz biztonsági résekkel:

• 01/10/175-10.01.176 április 14-én;
• 01/10/180-10.01.181 május 15-én;
• 01/10/188-10.01.189 június 22-én.

Ha telepítette ezeket a frissítéseket, akkor a kockázati csoportban van!

Védelem az adathalászatból

Amint már említettük, a legtöbb fertőzésben bűnösnek, mindazonáltal az emberi tényező. A hackerek és a spammerek világszerte nagyméretű adathalász-kampányt indítottak. Keretében e-mail e-maileket küldtek ki a különböző befektetésekkel rendelkező hivatalos szervezetekből, amelyeket számlákra, frissítésekre vagy más "fontos" adatokra adtak ki. Elég volt megnyitni egy álcázott rosszindulatú fájlt, mivel telepítette a vírust a számítógépen, amely titkosítja az összes adatot!

Hogyan lehet megkülönböztetni az adathalász levelet a valóságból. Ez nagyon könnyű, ha követi a józan ész és a következő ajánlásokat:

1. Kinek a levelet? Először is figyeljen a feladóra. A hackerek írhatnak egy levelet, legalábbis a nagymama nevét! Van azonban egy fontos pont. Küldje el a "nagymama" e-mail címét, és az adathalász levél feladójának címe, mint általában határozatlan karaktersorozat lesz. Valami hasonló: " [E-mail védett]". És az árnyalat: a feladó neve és címe, ha ez a hivatalos levél, általában egymás között korrelál. Például egy bizonyos vállalatból származó" pupkin és co " [E-mail védett]-, de nem valószínű, hogy a fajta " [E-mail védett]" :)
2. Mi a levél? Általános szabályként az adathalászok bármilyen hívást tartalmaznak, vagy utalnak rá. Ugyanakkor a levél testében általában semmi sem íródott, vagy semmi sem íródott, vagy semmi további motivációt kapnak a beágyazott fájlok megnyitásához. Szavak "sürgős!", "A Services for Services" vagy a "Kritikus frissítés" betűkkel az ismeretlen feladóiból lehet egy fényes példa arra, hogy megpróbálja megragadni. Gondolj logikusan! Ha nem kért semmilyen fiókot, frissítéseket vagy más dokumentumokat egy adott vállalatból, akkor ez a valószínűsége 99% -a - adathalászat ...
3. Mi a levélben? Az adathalászat fő eleme a befektetései. A legnyilvánvalóbb típusú melléklet lehet EXE fájl, amely hamis "frissítés" vagy "program". Az ilyen beruházások meglehetősen durva arc, de megtalálhatók.

   Több "elegáns" módja annak, hogy megtévessze a felhasználót, hogy álcázza a szkript letöltését a vírus, a dokumentum excel vagy szó alatt. A maszkolás kétféle lehet. Az első verzióban maga a parancsfájl az Office Dokumentumban kerül kiadásra, és lehet, hogy felismerje a név "kettős" kiterjesztésével, például: " .xls.js."VAGY" ÖSSZEFOGLALÁS .doc.vbs."A második esetben a melléklet két fájlból állhat: valódi dokumentumot és egy olyan szkriptet tartalmazó fájlt, amelyet makrónak neveznek a Word vagy az Excel irodai dokumentumából.

   Mindenesetre nem érdemes megnyitni az ilyen dokumentumokat, még akkor is, ha a "feladó" sokat kérdez tőled! Ha hirtelen az ügyfelek között is van egy, aki elméletileg küldhet egy levelet ilyen tartalmakkal, akkor jobb, ha kapcsolatba lépne vele közvetlenül, és tisztázza, hogy küldjön neked bármilyen dokumentumot. A fejlett televízió ebben az esetben megmentheti Önt a felesleges bajból!

Azt hiszem, ha bezárja az összes technikai sávot a számítógépén, és nem adja be a spammerek provokációiba, akkor nem vírusok ijesztőek az Ön számára!

A fájlok visszaállítása a fertőzés után

És mindazonáltal örömmel fertőzte meg a számítógépet vírus-encrypterrel ... Ne kapcsolja ki a számítógépet a titkosítási üzenet megjelenése után !!!

Az a tény, hogy a vírusok kódjának számos hibája miatt, a számítógép újraindítása előtt lehetőség van arra, hogy kihúzza a kulcsot a fájlok dekódolásához szükséges memóriából! Például a Wannakiwi segédprogram megfelel a Wannacry dekódoló kulcsának megszerzéséhez. Sajnos nincs olyan megoldás, hogy visszaállítsa a fájlokat a PETYA támadása után, de megpróbálhatja kivonni azokat az adatok árnyékmásolatából (ha aktiválta az opciót a merevlemezen történő létrehozásához) az árnyékexplorer miniatűr használatával program:

Ha már újraindította a számítógépet, vagy a fenti tippek nem segítettek, akkor csak az adatok helyreállítási programjainak visszaállítása lehet. Általános szabály, hogy titkosítója vírusok szerint működnek a következő séma szerint: hozzon létre egy titkosított fájl másolatát, és távolítsa el az eredeti felülírása nélkül. Vagyis csak a fájlkímke valójában törlődik, és maga az adatok mentésre kerülnek, és visszaállíthatók. Honlapunkon két program van: jobban megfelel a médiafájlok és fényképek újraélesztéséhez, és az R.Saver jól illeszkedik a dokumentumokhoz és az archívumokkal.

Természetesen a vírust el kell távolítani a rendszerből. Ha a Windows betöltődik, akkor a malwarebytes anti-Malware program jól működik. Ha a vírus blokkolta a terhelés, akkor a Dr.Web LiveCD boot lemezt egy bizonyított segédprogramot harci különböző rosszindulatú Dr.Web CureIt fedélzetén. Az utóbbi esetben az MBR-t is vissza kell állítani. Mivel a DR.WEB Linuxon alapuló LiveCD, azt hiszem, hasznos lesz a Habra ezen a témában.

következtetések

A Windows ablakok problémája sok éven át releváns. És minden évben látjuk, hogy a vírusok egyre kifinomultabb károsodási formákat találnak a felhasználók számítógépeinek. A titkosítási vírusok utolsó járványai azt mutatják, hogy a támadók fokozatosan mozognak az aktív zsarolás felé!

Sajnos, még akkor is, ha pénzt fizetsz, valószínűleg nem kap semmilyen választ. Valószínűleg vissza kell állítania adatait. Ezért jobb időben megmutatni az éberséget időben, és megakadályozza a fertőzést, mint aztán, hogy elkerülje a következményeinek megszüntetését!

P.S. Ennek a cikknek szabadon másolható és idézheti, ha nyitott aktív hivatkozást ad a forrásra és a Ruslana Trader szerzőjének fenntartására.

Folytatva a nyomógombot a hálózaton keresztül, a számítógépek fertőzésére és a fontos adatok titkosítására. Hogyan védjük meg magad a titkterről, védje az ablakokat az extorgerből - a javítások, a javítások felszabadulnak a fájlok megfejtésére és a fájlokra?

Új vírus-titkter 2017 sírni akarok Folytatja a vállalati és a magán PC-t. W. scherb a vírusos támadásból 1 milliárd dollárt tartalmaz. 2 hétig a vírus titkosítása legalább 300 ezer számítógépA figyelmeztetések és a biztonsági intézkedések ellenére.

Vírus titkosítási év 2017 - Szabályként "felveszi", úgy tűnik, a leginkább ártalmatlan webhelyeken, például a felhasználói hozzáféréssel rendelkező banki szerverek. Egyszer az áldozat merevlemezén, a "települések" titktere a System Mappa System32-ben. Innen a program azonnal kikapcsolja az antivírust és az "autorunba esik" Minden újraindítás után a titkosítási program fut a rendszerleíró adatbázisban, A fekete üzleti vállalkozás kezdete. A titkter elkezdi letölteni hasonló példányokat olyan programok, mint a Ransom és a Trojan. Gyakran is történik Önpusztító titkosítás. Ez a folyamat rövidíthető, és előfordulhat hetekben - addig, amíg az áldozat eltávolítja a nonlade-t.

Az encripter gyakran álcázza a szokásos képek, szövegfájlok, de a lényeg mindig egyedül van - ezek futtatható fájl az extension.exe, a .drv, axvd; néha - a könyvtárak.dll.. Leggyakrabban a fájl elég ártalmatlan, például " dokumentum. Doktor", vagy" kép.jpg.", Ha a kiterjesztést kézzel írják, és az igazi típusú fájl rejtve van.

A titkosítás befejezése után a felhasználó az ismerős fájlok helyett a "véletlen" karaktereket a cím és belüli "véletlen" karakterek, valamint a bővítés változásai a leginkább ismeretlenek .No_more_ransom, .xdata. Egyéb.

Vírus-encrypter 2017 Cry Wanna Cry - Hogyan védjük meg magad. Szeretném azonnal megjegyezni, hogy sírni akarnak, inkább a titkosítók és az ékszerek összes vírusainak kollektív ciklusa, mivel az utóbbi időben fertőzött számítógépek leggyakrabban fertőzöttek. Szóval, ez lesz s kérdezd meg a Ransom Ware Etcrypters-t, amelyek nagyszerű készlet: BREAKING.DAD, NO_MORE_RANSOM, XDATA, XTBL, Cry sírni akarok.

Hogyan védheti az ablakokat a titkosításról. – Eternalblue a Port SMB protokollon keresztül.

Windows védelem a titkterről 2017 - Alapvető szabályok:

• windows Update, időszerű átmenet az engedélyezett operációs rendszerbe (Megjegyzés: Az XP verzió nincs frissítve)
• az anti-vírus adatbázisok és tűzfalak frissítése igény szerint
• korlátozás A fájlok letöltésekor (aranyos "macskák" az összes adat elvesztését okozhatja)
• fontos információk biztonsági mentése a cserélhető hordozóra.

Vírus-ENCRYPTER 2017: Hogyan gyógyíthatja és dekódolja a fájlokat.

Remélve, hogy az anti-vírus szoftver, elfelejtheti a dekódert egy ideig. A laboratóriumokban Kaspersky, Dr. Web, Avast! és más víruskeresők, míg nincs megoldás a fertőzött fájlok kezelésére. Jelenleg lehetséges a vírus eltávolítása víruskereső segítségével, de az algoritmusok mindent visszaadnak "a körökbe".

Néhányan megpróbálják alkalmazni a recordEcryptor segédprogramotDe ez nem segít: a dekódolás algoritmusa Az új vírusok még nem kerültek össze. Teljesen ismeretlen, hogy a vírus hogyan viselkedik, ha nem törlődik az ilyen programok alkalmazása után. Gyakran akkor alakulnak törlés összes fájlon - épülésére, akik nem akarnak fizetni a támadók, a szerzők a vírus.

Jelenleg az elveszett adatok visszaállításának leghatékonyabb módja azoknak a fellebbezésnek. A használt víruskereső program szállítójának támogatása. Ehhez küldjön egy levelet, vagy használja az űrlapot a gyártó honlapján. A mellékletben győződjön meg róla, hogy titkosított fájlt ad hozzá, és ha van egy példány az eredeti. Ez segít a programozóknak az algoritmus összeállításában. Sajnos sokáig a vírusos támadás teljes meglepetéssé válik, és a másolatok nem az, hogy időnként bonyolítja a helyzetet.

A Windows kezelés kardiális módszerei az encrypterből. Sajnos néha a merevlemez teljes formázásához kell fordulnia, amely az operációs rendszer teljes változása magában foglalja. Sok embert helyreállítja a rendszer, de ez nem egy kimenet - még egy "visszavágás" is megszabadul a vírus, a fájlok továbbra is átültetnek.