05/15/2017, MON, 13:33, MSK , Text: Paul Pritula

A doua zi din Rusia, una dintre cele mai mari și "zgomotoase", judecând de presă, Kiberak: rețelele mai multor departamente și cele mai mari organizații, inclusiv Ministerul Afacerilor Interne, au avut loc. Virusul criptează datele despre computerele angajaților și au exortat o cantitate mare de bani pentru a-și continua activitatea. Acesta este un exemplu vizual al faptului că nimeni nu este asigurat împotriva extortiștilor. Cu toate acestea, puteți combate această amenințare - vom arăta mai multe moduri pe care Microsoft le oferă.

Ce știm despre extorsionatori? Se pare că aceștia sunt criminali care necesită bani de la dvs. sau de lucruri sub amenințarea consecințelor negative. În afaceri, acest lucru din când în când se întâmplă, totul este pe cale să apară cum să acționeze în astfel de situații. Dar dacă virusul este extortorul stabilit pe computerele dvs. de lucru, blochează accesul la datele dvs. și necesită transferul de bani anumitor persoane în schimbul codului de deblocare? Trebuie să contactați specialiștii de securitate a informațiilor. Și este mai bine să o faceți în avans pentru a preveni problemele.

Numărul de criminalitate informatică în ultimii ani a crescut o comandă. Potrivit studiului Sentinelone, jumătate din companiile din cele mai mari țări europene au fost atacate de viruși exteriocabili, iar peste 80% dintre aceștia au devenit victime de trei sau mai multe ori. O imagine similară este observată la nivel mondial. Clearswift Specializată în securitatea informațiilor Apeluri un fel de țări "top" cele mai afectate de programe de ransomware - extorsionate: SUA, Rusia, Germania, Japonia, Marea Britanie și Italia. Interesul special al atacatorilor provoacă afaceri mici și mijlocii, deoarece au mai mulți bani și date mai sensibile decât la indivizi și nu există servicii de securitate puternice, cum ar fi companiile mari.

Ce trebuie să faceți și, cel mai important, cum să împiedicați atacul extorsionatorilor? Pentru a începe, vom estima amenințarea însăși. Atacul poate fi realizat de mai multe căi. Unul dintre cele mai frecvente e-mailuri. Criminalii sunt utilizați în mod activ de metodele de inginerie socială, eficacitatea cărora nu a scăzut deloc din momentele celebrului hacker al secolului al XX-lea Kevin Mitnik. Ei pot apela angajatul companiei victimei în numele unei contrapartide cu adevărat existente și după conversație pentru a trimite o scrisoare cu un atașament care conține un dosar rău intenționat. Un angajat, desigur, îl va deschide, pentru că tocmai a vorbit cu expeditorul prin telefon. Sau un contabil poate primi o scrisoare presupusă de la executor sau de la bancă, care servește companiei sale. Nimeni nu este asigurat, iar chiar și Ministerul Afacerilor Interne nu suferă pentru prima dată: acum câteva luni, hackerii au trimis un cont fals de la Rostelecom cu ofițer de criptare a virușilor în departamentul contabil al managementului liniar al Kazan al Ministerului Internal Afacerile.

Sursa de infecție poate fi un loc de phishing, la care utilizatorul a intrat sub o legătură frauduloasă și "uitat la întâmplare" de către cineva de la vizitatorii de la Office Flash Drive. Din ce în ce mai des, infecția are loc prin dispozitive mobile neprotejate de angajați cu care obțin acces la resurse corporative. Iar antivirusul nu poate funcționa: sute de programe rău intenționate, antivirusuri de by-pass, sunt cunoscute, ca să nu mai vorbim de "atacurile zilei zero", care operează doar "găuri" deschise în software.

Ce este un "vagon cibernetic"?

Un program cunoscut sub numele de "extortor", "criptare", Ransomware blochează accesul utilizatorului la sistemul de operare și, de obicei, criptează toate datele de pe hard disk. Un mesaj este afișat pe ecran pe care computerul este blocat și proprietarul este obligat să transfere atacatorul o sumă mare de bani dacă dorește să returneze controlul asupra datelor. Cel mai adesea, ecranul se aprinde în numărătoarea inversă în 2-3 zile, astfel încât utilizatorul să se grăbească, altfel conținutul discului va fi distrus. În funcție de apetitul infractorilor și de mărimea companiei, cantitatea de răscumpărare din Rusia variază de la mai multe zeci la câteva sute de mii de ruble.

Tipuri de extortioniști

Sursa: Microsoft, 2017

Aceste programe malware au fost cunoscute de mai mulți ani, dar în ultimii doi sau trei ani se confruntă cu o adevărată înflorire. De ce? În primul rând, pentru că oamenii plătesc atacatori. Potrivit lui Kaspersky Lab, 15% dintre companiile ruse au atacat în acest fel, preferă să plătească răscumpărarea și 2/3 din companiile din lume care au fost atacate, și-au pierdut datele corporative în întregime sau parțial.

Al doilea - ciberneticul cibernetic de la Toolkit a devenit mai perfect și mai accesibil. Iar cele de-a treia încercări independente de a "ridica parola" nu sunt bune pentru victimă, iar poliția rareori poate găsi criminali, în special în timpul numărătoarea inversă.

Apropo. Nu toți hackerii își petrec timpul pentru a informa parola victimei care le-a enumerat suma necesară.

Care este problema afacerii

Principala problemă în domeniul securității informațiilor în întreprinderile mici și mijlocii din Rusia este că nu au bani pentru fonduri puternice de specialitate IB, iar sistemele IT și angajații cu care pot apărea diferite incidente, mai mult decât suficient. Pentru a combate RansomwareNew, numai firewall personalizat, antivirus și politici de securitate. Trebuie să utilizați toate instrumentele disponibile, în primul rând furnizat de furnizorul de sistem de operare, deoarece este ieftin (sau inclus în costul OS) și este compatibil cu 100% cu propriul software.

Majoritatea covârșitoare a computerelor client și o parte semnificativă a serverelor funcționează Microsoft Windows OS. Toată lumea știe instrumente de securitate încorporate, cum ar fi Windows Defender și Firewall Windows, care, împreună cu cele mai recente actualizări de OS și restricția drepturilor utilizatorului, oferă un nivel de securitate complet suficient în absența fondurilor specializate pentru un angajat obișnuit.

Dar particularitatea relațiilor de afaceri și a ciberneticilor este că primul adesea nu știu că sunt atacați de al doilea. Ei se credeau protejați și, de fapt, malware-ul au pătruns deja prin perimetrul rețelei și își fac în mod liniștit munca - la urma urmei, nu toți se comportă atât de brandly ca Troyans-extorsionatori.

Microsoft a schimbat abordarea de securitate: acum a extins linia de produse IB și, de asemenea, se concentrează nu numai pentru a asigura compania de atacurile moderne, ci și pentru a permite posibilitatea de a le investiga dacă infecția încă sa întâmplat.

Protecția prin poștă

Sistemul poștal ca principal canal de penetrare a rețelei corporative din rețeaua corporativă trebuie protejat suplimentar. Pentru aceasta, Microsoft a dezvoltat un sistem ATP de schimb (Protecție avansată de tratament), care analizează atașamentele poștale sau legăturile de internet și răspunde în timp util atacurilor identificate. Acesta este un produs separat, este integrat în Microsoft Exchange și nu necesită implementare pe fiecare mașină client.

Sistemul ATP de schimb este capabil să detecteze chiar și "atacurile zilei zero", deoarece lansează toate atașamentele într-o "nisip" specială, fără a le elibera în sistemul de operare și își analizează comportamentul. Dacă nu conține semne de atac, atașamentul este considerat sigur și utilizatorul îl poate deschide. Și fișierul potențial rău este trimis la carantină, iar administratorul este notificat despre el.

În ceea ce privește referințele în scrisori, acestea sunt de asemenea verificate. Schimbul ATP înlocuiește toate referințele la intermediar. Utilizatorul face clic pe un link într-o literă, cade pe o legătură intermediară și, în acest moment, sistemul verifică adresa pentru siguranță. Verificarea are loc atât de repede încât utilizatorul să nu observe întârzierea. Dacă link-ul duce la un site sau un fișier infectat, trecerea la acesta este interzisă.

Cum funcționează ATP-ul de schimb

Sursa: Microsoft, 2017

De ce se întâmplă la momentul făcării și nu la primirea scrisorii - la urma urmei, atunci există mai mult timp pe studiu și, prin urmare, aveți nevoie de mai puțină putere de calcul? Acest lucru se face în mod specific pentru a proteja împotriva trucului atacatorilor cu conținutul sub link. Exemplu tipic: Scrisoarea din cutia poștală vine pe timp de noapte, sistemul verifică și nu detectează nimic, iar dimineața de pe site-ul pentru acest link deja plasat, de exemplu, un fișier cu un troian pe care utilizatorul îl descarcă în siguranță.

Iar cea de-a treia parte a Serviciului de schimb ATP este un sistem de raportare încorporat. Vă permite să investigați incidentele care au avut loc și oferă date pentru a răspunde la întrebări: când a apărut infecția, cum și unde sa întâmplat. Acest lucru vă permite să găsiți o sursă, să determinați daunele și să înțelegeți ce a fost: un atac alator sau vizat, orientat împotriva acestei companii.

Acest sistem este util și pentru prevenire. De exemplu, administratorul poate ridica statisticile ca tranziții pe legăturile marcate ca fiind periculoase și care au făcut-o de la utilizatori. Chiar dacă nu a existat nicio infecție, trebuie încă să fie clarificată cu acești angajați.

Adevărat, există categorii de angajați care sunt obligații forțate să viziteze o varietate de site-uri - cum ar fi, de exemplu, comercianții, cercetarea pieței. Pentru ei, tehnologia Microsoft vă permite să configurați politica astfel încât orice fișiere descărcabile înainte de a salva pe computer să fie verificate în nisip. În plus, regulile sunt definite literal în mai multe clicuri.

Protecția acreditărilor

Unul dintre obiectivele atacurilor atacatorilor este acreditările utilizatorilor. Tehnologia furturilor de autentificare și parole ale utilizatorilor este destul de mult și trebuie să reziste la protecție durabilă. Speranța asupra angajaților în sine nu este suficientă: vin cu parole simple, aplicați o parolă pentru a accesa toate resursele și a le scrie pe autocolant care este lipită de monitor. Acest lucru se poate lupta cu măsurile administrative și se stabilește cerințele software pentru parole, dar efectul garantat nu va fi încă.

Dacă compania durează securitatea, va fi delimitată de drepturile de acces și, de exemplu, un inginer sau manager de vânzări nu poate intra în serverul de contabilitate. Dar în rezerva hackerilor există un alt truc: ei pot trimite o scrisoare din partea contului capturat al unui angajat obișnuit unui specialist țintă care deține informațiile necesare (date financiare sau mister comercial). După ce a primit o scrisoare de la "coleg", destinatarul o va deschide absolut și va lansa investiția. Și criptarea programului va accesa compania valoroasă pentru companie, a cărei întoarcere poate plăti o mulțime de bani.

Pentru ca contul capturat să nu ofere atacatorilor să pătrundă în sistemul corporativ, Microsoft propune să-l protejeze cu autentificarea multifactorului Azure Multifactorului. Adică, este necesar să introduceți nu numai o pereche de conectare / parolă, ci și un cod PIN format de SMS, push-notificare generată de o aplicație mobilă sau să răspundă unui robot de apel telefonic. Autentificarea multifactorului este deosebit de utilă atunci când lucrați cu angajați de la distanță care pot intra în sistemul corporativ din diferite puncte ale lumii.

Autentificarea multifactorului azure

Facebook.

Stare de nervozitate.

VK.

Odnoklassniki.

Telegramă

Științele naturii

Wannacry virus-criptare: Ce să faci?

Valul lui Wannacry se rostogoli în jurul valorii de Wannacry (alte nume de decrypt0r, Wana Decryptor, Wanacrypt0r), care criptează documentele pe computer și exortă 300-600 USD pentru decodarea acestora. Cum să aflați dacă computerul este infectat? Ce trebuie făcut să nu devii victimă? Și ce să fac pentru a vindeca?

Este computerul infectat cu un decryptor de criptare a virusului?

Potrivit lui Jacob Krustek () de la Avast, peste 100 de mii de computere sunt deja infectate. 57% dintre aceștia cad în Rusia (există o selectivitate cu adevărat ciudată?). Raportează înregistrarea a mai mult de 45 de mii de infecții. Nu numai serverele sunt expuse la infecție, dar și computere ale oamenilor obișnuiți pe care sunt instalate Windows XP, Windows Vista, Windows 7, Windows 8 și Windows 10 și Windows 10. Toate documentele criptate din titlul lor primesc prefixul WNCRY.

Protecția împotriva virusului a fost găsită în martie, când Microsoft a publicat un "patch", dar judecând după epidemia extinsă, mulți utilizatori, inclusiv administratorii de sistem, au ignorat actualizarea sistemului de securitate al calculatorului. Și sa întâmplat ceea ce sa întâmplat - Megafon, Căile Ferate Rusii, Ministerul Afacerilor Interne și alte organizații lucrează la tratamentul computerelor lor infectate.

Având în vedere amploarea globală a epidemiei, la 12 mai, Microsoft a publicat o actualizare de securitate și pentru produsele acceptate pe termen lung - Windows XP și Windows Vista.

Verificați dacă computerul este infectat, puteți utiliza utilitarul anti-virus, de exemplu, Kaspersky sau (recomandat și pe forumul de suport Kaspersky).

Cum să nu deveniți o victimă a criptării Wana Decryptor?

Primul lucru pe care trebuie să-l faceți este să închideți gaura. Descărcați pentru acest lucru

Noul val de atacuri ale atacurilor de virus de criptare a rulat lumea, printre mass-media rusa afectate și companiile ucrainene. În Rusia, Interfax a suferit de virus, dar atacul a atins doar o parte a agenției, deoarece serviciile sale IT au reușit să dezactiveze o parte dintr-o infrastructură critică, a spus Grupul Companiei Ruse-IB. Au numit virusul Badbbit.

Pe un atac viral fără precedent pe Interfax pe pagina sa pe Facebook, directorul adjunct al lui Yuri Pogorellov a fost informat. Doi ofițeri interfaxi au confirmat "vedomosti" pentru a dezactiva computerele. Potrivit uneia dintre ele, un ecran blocat vizual este similar cu rezultatul acțiunilor celebrului virus Petya. Virusul atacat de Interfax avertizează că nu este necesar să încercați să descifrați independent fișierele și trebuie să plătiți o răscumpărare de 0,05 bitcoine ($ 285 pentru cursul de ieri), ceea ce vă invită la un site special pe rețeaua TOR. Virusul criptat Virusul a atribuit un cod de identificare personal.

În plus față de Interfax, încă două mass-media rusești au suferit de virusul de criptare, dintre care una este ediția Petersburg a Fontanka, cunoaște grupul IB.

Editorul principal al Fontanka, Alexander Grshkov, a declarat "vedomosti" că serverele "Fontanka" au fost atacate de atacatori necunoscuți. Dar vasele asigură că atacul virusului de criptare asupra discursului "Fântâna" nu este: computerele funcției Personalului Editorial, serverul a fost hacked, care a fost responsabil pentru activitatea site-ului.

Diviziile Interfax în Marea Britanie, Azerbaidjan, Belarus și Ucraina, precum și site-ul "Interfax-religie" continuă să lucreze, a declarat "vedomosti" regrowling. Nu este clar că daunele din motive nu au atins alte unități, poate că acest lucru se datorează topologiei rețelei Interfax, cu unde serverele în care serverele sunt teritoriale și cu sistemul de operare instalat pe ele, spune el.

Interfaxul ucrainean în timpul zilei de marți a raportat un atac de hacker la Aeroportul Internațional Odesa. Aeroportul din pagina sa a cerut scuze pentru pasageri "pentru creșterea forțată a timpului de serviciu", dar judecând după tabloul de bord online, marți el a continuat să trimită și să accepte avioane.

Mai multe despre Kibetka, Mitropolitul Metropolitan al Kievului a fost spus în contul său Facebook - au existat probleme cu plata pentru cardurile bancare. Ediția de știri frontală a raportat că metroul a fost atacat de un virus-criptare.

Grupul-Ib concluzionează o nouă epidemie. În ultimele luni, există deja două valuri de atacuri de viruși de criptare în lume: virusul Wannacry a apărut pe 12 mai, iar pe 27 iunie - virusul Petya (este Notpetya și expectorul). Au pătruns computerele cu sistemul de operare Windows, unde actualizările nu au fost instalate, criptate conținutul hard disk-urilor și a cerut 300 $ pentru decodificare. După cum sa dovedit mai târziu, Petya nu a crezut să decripteze computerele victimelor. Primul atac a atins sute de mii de computere în mai mult de 150 de țări, al doilea - 12.500 de computere din 65 de țări. Victimele atacurilor au fost rusești " Megafon », Evraz. , « Gazprom. "Și" Rosneft. " Aproape virusul a suferit centre medicale Invitro, care nu au luat analize la pacienți timp de mai multe zile.

Petya a reușit să colecteze doar 18.000 de dolari pentru aproape o lună și jumătate. Dar daunele cauzate incomparabile. Una dintre victimele sale este gigantul logistic danez Moller-Maersk a evaluat veniturile dispărute din ciberatici la 200-300 milioane de dolari.

Printre diviziile lui Moller-Maersk, lovitura principală a venit pe linia Maersk angajată în transportul maritim de containere (în 2016, Linia Maersk a câștigat un total de 20,7 miliarde de dolari, 31.900 de persoane operează în divizie).

Afacerea a venit rapid la simțurile mele după atac, dar compania și autoritățile de reglementare au rămas în gardă. Astfel, în august, directorii ramurilor lor au fost avertizați de directorii sucursalelor sale, compania federală de rețea a CEE (gestionează rețeaua electrică All-Rusiană) și câteva zile mai târziu, băncile ruse au primit un avertisment similar din Fincert (Structura CBB CBBC).

Noul atac al virusului de criptare a remarcat "Kaspersky Lab", în conformitate cu observațiile despre care cele mai multe victime ale atacurilor sunt situate în Rusia, dar există infecții și în Ucraina, în Turcia și Germania. Toate semnele indică faptul că acest lucru este un atac concentrat asupra rețelelor corporative, șeful studiului anti-virus Kaspersky Lab este încrezător, Vyacheslav Zakorzhevsky: Metodele similare cu uneltele expetrice sunt utilizate, dar nu este urmărită nicio legătură cu acest virus.

Și, potrivit companiei ESET Anti-Virus, criptarea este încă o rudă a lui Petya. Atacul utilizează un program malware diskcoder.d - aceasta este o nouă modificare a encoderului.

Războiul a raportat că Anti-Virusul Symantec a fost instalat pe computerele Interfax. Reprezentanții Symntec ieri nu au răspuns la cererea "vedomosti".

Wannacry, Petya, Mischa și alți viruși de extorcare nu vă vor amenința dacă respectați recomandări simple pentru prevenirea infecției PC-ului!

Săptămâna trecută, întregul Internet a stipit știrile despre noul virus-criptare. El a provocat o epidemie la scară largă în multe țări ale lumii decât notorii Wannacry, a cărui val a căzut în luna mai a acestui an. Numele au un nou virus: Petya.a, expetr, Notpety, Goldeneye, Trojan.ransom.petya, Petrwrap, DiskCoder.c, cu toate acestea, cel mai adesea el apare la fel ca Petya.

În această săptămână, atacurile continuă. Chiar și în biroul nostru, a venit o scrisoare, spery deghizată pentru un fel de actualizare mitică a software-ului! Din fericire, nimeni nu sa gândit să deschidă arhiva depusă :) De aceea, aș dori să dedic astăzi la întrebarea despre cum să-mi protejez calculatorul de viruși de extorcare și să nu devin o victimă a PTYA sau mai mult criptare.

Ce fac virușii de extorcare?

Primele virusuri de extorcare au apărut aproximativ la începutul anilor 2000. Mulți care în acești ani s-au bucurat de Internet, probabil amintesc troian.winlock. A blocat boot-ul calculatorului și pentru a obține codul de deblocare solicitat să enumere o anumită sumă pe Wallet WebMoney sau pe un telefon mobil:

Primele blocante Windows erau foarte inofensive. Fereastra lor cu textul despre necesitatea de a enumera fondurile de la început ar putea pur și simplu "unghi" prin managerul de activități. Apoi au existat versiuni mai complexe ale troianului, care au făcut editări la nivel de registru și chiar MBR. Dar a fost posibilă "vindecarea", dacă știți ce să faceți.

Virusurile moderne exterioare au devenit foarte periculoase. Ele nu numai că blochează funcționarea sistemului, ci și criptarea conținutului hard diskului (inclusiv înregistrarea principală de boot a MBR). Pentru deblocarea sistemului și pentru decriptarea fișierelor, atacatorii sunt acum acuzați în Bitcoin "ah, o sumă echivalentă de la 200 la 1000 dolari SUA! Și chiar dacă enumerați fondurile convenite pe portofelul specificat, atunci acest lucru nu va da garanție că hackerii vor trimite hackerii o cheie de deblocare.

Un punct important este că astăzi nu există nici o modalitate de lucru care să scape de virus și să-și recupereze fișierele. Prin urmare, în opinia mea, este mai bine să nu inițializăm tot felul de trucuri și să vă protejați mai mult sau mai puțin credibil computerul de la atacurile potențiale.

Cum să nu devii victimă a virusului

Virușii Encipher se aplică, de obicei, în două moduri. Primul exploatează diverse vulnerabilități tehnice Windows. De exemplu, Wannacry a folosit Eternalblue Exploit, care a permis accesul la un computer utilizând protocolul SMB. O nouă criptare Petya poate pătrunde sistemul prin porturile TCP deschise 1024-1035, 135 și 445. Un mod mai frecvent de infecție este phishing.. Pur și simplu, utilizatorii înșiși infectează PC-urile, deschizând fișierele rău intenționate trimise prin poștă!

Protecția tehnică împotriva virușilor de criptare

Deși infecția directă a virușilor și nu atât de frecventă, dar se întâmplă. Prin urmare, este mai bine să eliminați barele de securitate potențiale deja cunoscute. În primul rând, trebuie să actualizați antivirusul sau să îl instalați (de exemplu, se confruntă bine cu recunoașterea virușilor de criptare gratuită 360 Total Security). În al doilea rând, trebuie să instalați cele mai recente actualizări Windows.

Deci, pentru a elimina eroarea potențial periculoasă din Protocolul Microsoft SMB a lansat actualizări extraordinare pentru toate sistemele, începând cu Windows XP. Le puteți descărca pentru versiunea dvs. a sistemului de operare.

Pentru a proteja împotriva PTYA, se recomandă închiderea porturilor de pe porturile de pe computer. Pentru a face acest lucru, cel mai simplu mod de a utiliza regulat firewall.. Deschideți-l în panoul de control și selectați secțiunea din bara laterală "Opțiuni suplimentare". Se deschide fereastra de gestionare a regulilor de filtrare. Alege "Reguli pentru conexiunile primite" și în partea dreaptă faceți clic pe "Creați regula". Un maestru special în care aveți nevoie pentru a face o regulă "Pentru port", apoi alegeți opțiunea "Porturi locale definite" și prescrie următoarele: 1024-1035, 135, 445 :

După adăugarea listei de porturi, instalați opțiunea din ecranul următor. "Block conexiune" Pentru toate profilurile și setați numele (descrierea opțională) pentru noua regulă. Dacă credeți recomandările de pe Internet, nu va da virusului să descărcați fișierele de care aveți nevoie, chiar dacă ajunge la computer.

În plus, dacă sunteți din Ucraina și ați utilizat contabilitatea pe Me.doc, ați putea instala actualizări care conțineau backdors. Aceste backdors au fost folosite pentru computerele pe scară largă cu virusul Petya.A. Din analiza analizată, știți cel puțin trei actualizări cu vulnerabilități de securitate:

• 01/10 / 175-10.01.176 din 14 aprilie;
• 01/10 / 180-10.01.181 din 15 mai;
• 01/10 / 188-10.01.189 din 22 iunie.

Dacă ați instalat aceste actualizări, atunci sunteți în grupul de risc!

Protecția împotriva phishingului

După cum sa menționat deja, în majoritatea infecțiilor vinovate, totuși, factorul uman. Hackerii și spam-urile au lansat o campanie de phishing la scară largă la nivel mondial. În cadrul său, e-mailurile de e-mail au fost trimise din organizațiile oficiale cu diverse investiții, care au fost emise pentru conturi, actualizări pentru sau alte date "importante". A fost suficient pentru a deschide un fișier rău intenționat deghizat, deoarece a instalat virusul pe computer, care criptează toate datele!

Cum de a distinge o scrisoare de phishing de la realitate. Acest lucru este foarte ușor dacă urmați bunul simț și următoarele recomandări:

1. De la care scrisoarea? În primul rând, acordați atenție expeditorului. Hackerii pot semna o scrisoare, cel puțin numele bunicii tale! Cu toate acestea, există un punct important. Email "bunica" trebuie să știți, iar adresa expeditorului scrisorii de phishing, de regulă, va fi un set nedefinit de caractere. Ceva asemănător cu: " [E-mail protejat]"Și nuanța este: numele expeditorului și adresa, dacă această scrisoare oficială, corelată de obicei între ei. De exemplu, e-mail de la o anumită companie" Pupkin și Co "poate arăta ca" [E-mail protejat]", dar este puțin probabil să ai genul" [E-mail protejat]" :)
2. Care este scrisoarea? De regulă, literele de phishing conțin orice apel la acțiune sau indică-l. În același timp, în corpul scrisorii, de obicei nimic nu este scris sau nimic nu este scris sau o motivație suplimentară este dată deschiderii fișierelor imbricate. Cuvintele "urgente!", "Scorul pentru servicii" sau "actualizarea critică" în scrisori de la expeditorii necunoscuți pot fi un exemplu luminos de încercare de a vă hack. Gândiți-vă logic! Dacă nu ați solicitat conturi, actualizări sau alte documente dintr-o anumită companie, atunci aceasta este o probabilitate de 99% - phishing ...
3. Ce în scrisoare? Elementul principal al literelor de phishing sunt investițiile sale. Cel mai evident tip de atașament poate fi un fișier exe cu "actualizare" falsă sau "program". Astfel de investiții sunt destul de nepoliticoase, dar sunt găsite.

   Mai multe moduri "elegante" de a înșela utilizatorul sunt deghizarea scriptului Descărcarea virusului, sub documentul Excel sau Word. Mascarea poate fi de două tipuri. La prima versiune, scenariul în sine este eliberat pentru documentul Office și este posibil să o recunoască prin extinderea "dublă" a numelui, de exemplu " .xls.js."Sau" Rezumat .doc.vbs."În cel de-al doilea caz, atașamentul poate consta din două fișiere: un document real și un fișier cu un script numit ca un macro din documentul de birou al cuvântului sau al lui Excel.

   În orice caz, nu merită deschiderea unor astfel de documente, chiar dacă "expeditorul" vă cere foarte mult! Dacă chiar brusc în rândul clienților dvs. au unul care teoretic ați putea trimite o scrisoare cu un astfel de conținut, este mai bine să vă deranjez să-l contactați direct și să vă clarificați dacă acesta ți-a trimis documente. Televiziunea avansată în acest caz vă poate economisi de problemele inutile!

Cred că, dacă închideți toate barele tehnice din computer și nu veți da provocările spammerii, atunci nici un virușii nu sunt înfricoșători!

Cum se restabilește fișierele după infectare

Și, totuși, ați fost încântați să infectați computerul cu un virus-criptor ... Nu opriți PC-ul după apariția unui mesaj de criptare!

Faptul este că, datorită mai multor erori din codul virușilor înșiși, înainte de a reporni computerul, există o șansă de a scoate cheia din memoria de care aveți nevoie pentru a decripta fișierele! De exemplu, utilitarul Wannakiwi se va potrivi pentru a obține cheia de decriptare a Wannacry. Din păcate, nu există astfel de soluții pentru a restabili fișiere după atacul PTYA, dar puteți încerca să le extrageți din copiile umbrite ale datelor (dacă ați activat opțiunea de a le crea pe secțiunea Hard disk) utilizând miniatura ShadowExplorer program:

Dacă ați rebootat deja computerul sau sfaturile de mai sus nu ați ajutat, este posibilă restaurarea fișierelor numai utilizând programe de recuperare a datelor. De regulă, virușii de criptare funcționează în conformitate cu următoarea schemă: Creați o copie criptată a fișierului și scoateți originalul fără suprascrierea acesteia. Aceasta este, numai eticheta de fișiere este de fapt eliminată, iar datele în sine sunt salvate și pot fi restaurate. Există două programe pe site-ul nostru: acesta va satisface mai mult pentru a resusciiza fișierele media și fotografiile, iar R.Saver se confruntă bine cu documente și arhive.

Firește, virusul însuși trebuie eliminat din sistem. Dacă Windows este încărcat, atunci pentru acest lucru, programul anti-malware Malwarebytes este bine. Dacă virusul a blocat încărcarea, apoi discul de boot Dr.Web LiveCD cu un utilitar dovedit pentru a combate diverse malware Dr.Web Cureit la bord. În ultimul caz, va trebui, de asemenea, să recupereze MBR. Deoarece LiveCd de la Dr.Web Bazat pe Linux, atunci cred că veți fi utile pentru instrucțiuni de la o hrană pe această temă.

Concluzii

Problema ferestrelor pe ferestre este relevantă pentru mulți ani. Și în fiecare an vedem că virușii inventează forme din ce în ce mai sofisticate de daune la computerele utilizatorilor. Ultimele epidemii ale virușilor de criptare ne demonstrează că atacatorii se îndreaptă treptat spre extorcarea activă!

Din păcate, chiar dacă plătiți bani, este puțin probabil să obțineți vreun răspuns. Cel mai probabil, va trebui să-și restabilească datele pe cont propriu. Prin urmare, este mai bine să arătați vigilență în timp și să preveniți infecția decât atunci să vă încurcați cu eliminarea consecințelor sale!

P.S. Este permisă copierea liberă și citarea acestui articol dacă specificați o referință activă deschisă la sursă și menținerea autorului comerciantului Ruslana.

Continuând procesiunea deprimantă asupra rețelei, infectarea computerelor și criptarea datelor importante. Cum de a vă proteja de criptare, protejați ferestrele de la extortor - sunt patch-uri, patch-uri sunt lansate pentru a descifra și vindecă fișierele?

Noul virus-criptare 2017 Vrei să plângi Continuă să infecteze PC-ul corporativ și privat. W. scherb de la atacul viral are 1 miliard de dolari. Timp de 2 săptămâni, criptarea virusului a fost infectată cel puțin 300 de mii de calculatoareÎn ciuda avertismentelor și măsurilor de securitate.

Anul de criptare a virusului 2017 este - De regulă, puteți "ridica", ar părea, pe cele mai inofensive site-uri, cum ar fi serverele bancare cu accesul utilizatorilor. Odată la hard diskul victimei, criptarea "se stabilește" în sistemul de dosare a sistemului32. De acolo programul se oprește imediat antivirusul și falls în "Autorun" După fiecare repornire, programul de criptare rulează în registru, Pornirea afacerii dvs. negre. Criptarea începe să descărcați copii similare ale programelor cum ar fi răscumpărarea și troianul. De asemenea, se întâmplă adesea encrypter de auto-evaporare. Acest proces poate fi scurtat și poate apărea săptămâni - până când victima elimină nonlide.

Criptarea este adesea mascată sub imagini obișnuite, fișiere text, dar esența este întotdeauna singură - acestea sunt fișierul executabil cu extensie.exe, .drv, .xvd; uneori - biblioteci.dll.. Cel mai adesea dosarul este destul de inofensiv, de exemplu " document. Doc.", sau" imagine.jpg.", Unde prelungirea este scrisă manual și tipul adevărat de fișier este ascuns.

După finalizarea criptării, utilizatorul vede în loc de fișiere familiare un set de caractere "aleatoriu" în titlu și în interior, iar expansiunea se schimbă la cel mai necunoscut - .No_more_ransom, .xdata. alte.

Virus-criptare 2017 Wanna Cry - Cum să vă protejați. Aș dori să menționez imediat că Wanna Plângerea este mai degrabă un termen colectiv de viruși de criptare și extorsionatori, deoarece cele mai des infectate în ultima vreme. Deci, va fi despre S cereți de la criptarea de la Ransom Ware, care sunt un set excelent: Breaking.Dad, No_more_ransom, XData, XTBL, Wanna plânge.

Cum să protejați ferestrele de la criptare. – EternalBlue prin protocolul Port SMB.

Protecția Windows de la criptare 2017 - Reguli de bază:

• actualizarea Windows, tranziția în timp util la OS licențiat (Notă: Versiunea XP nu este actualizată)
• actualizarea bazelor de date anti-virus și firewall-uri la cerere
• limitați îngrijirea atunci când descărcați orice fișiere (drăguț "pisici" se poate transforma în pierderea tuturor datelor)
• copierea de informații importante privind transportatorul înlocuibil.

Virus-criptare 2017: Cum de a vindeca și decripta fișierele.

Sperând pentru software-ul anti-virus, puteți uita de decodorul pentru o vreme. În laboratoare Kaspersky, Dr. Web, avast! și alte antivirusuri în timp ce nicio soluție pentru tratamentul fișierelor infectate. În prezent, este posibil să eliminați virusul cu ajutorul antivirusului, dar algoritmii returnează totuși totul "în cercuri".

Unii încearcă să aplice utilitatea RectordecryptorDar nu va ajuta: algoritmul pentru decriptare Noi viruși nu au fost încă compilate. De asemenea, este absolut necunoscut modul în care virusul se comportă dacă nu este șters, după aplicarea unor astfel de programe. Adesea se poate transforma în ștergerea tuturor fișierelor - în edificarea celor care nu doresc să plătească pentru atacatori, autorii virusului.

În prezent, cea mai eficientă modalitate de a returna datele pierdute este un apel la acestea. Suport pentru furnizorul programului antivirus pe care îl utilizați. Pentru a face acest lucru, trimiteți o scrisoare sau utilizați formularul pentru feedback de pe site-ul producătorului. În atașament, asigurați-vă că adăugați un fișier criptat și, dacă există o copie a originalului. Acest lucru va ajuta programatorii în compilarea algoritmului. Din păcate, pentru mulți, atacul viral devine o surpriză completă, iar copiile nu sunt uneori care complică situația.

Metode cardiace de tratament Windows de la criptare. Din păcate, uneori trebuie să recurgeți la formatarea completă a hard diskului, ceea ce implică schimbarea completă a sistemului de operare. Mulți oameni vor fi restaurați de sistem, dar acest lucru nu este o ieșire - chiar și există o "Rollback" va scăpa de virus, fișierele vor rămâne în continuare încrucișate.