05/15/2017, MON, 13:33, MSK , Text: Paul Prittula

Druhý deň v Rusku, jeden z najväčších a "hlučných", posudzovaní tlače, Kiberatak: Siete niekoľkých oddelení a najväčších organizácií, vrátane ministerstva vnútorných záležitostí. Vírus šifruje údaje o počítačoch zamestnancov a vydieralo veľké množstvo peňazí, aby pokračovali vo svojej práci. Toto je vizuálny príklad toho, že nikto nie je poistený proti externati. Avšak, môžete bojovať proti tejto hrozbe - ukážeme niekoľko spôsobov, ako Microsoft ponúka.

Čo vieme o extrometroch? Zdá sa, že ide o zločincov, ktorí od vás vyžadujú peniaze alebo veci pod hrozbou nepriaznivých dôsledkov. V podnikaní, ako z času na čas sa stane, všetko sa chystá objaviť, ako konať v takýchto situáciách. Ale čo ak je vírus vydierači vyriešený na vašich pracovných počítačoch, blokuje prístup k vašim údajom a vyžaduje preniesť peniaze na niektoré osoby výmenou za odomknutie kód? Musíte kontaktovať špecialistov na bezpečnosť informácií. A je najlepšie to urobiť vopred, aby sa zabránilo problémom.

Počet počítačovej kriminality v posledných rokoch rástol objednávku. Podľa štúdie Sentinelone bola polovica spoločností v najväčších európskych krajinách napadnutá výraznými vírusmi a viac ako 80% z nich sa stalo obeťami troch alebo viacerých krát. Podobný obrázok je pozorovaný po celom svete. ClearSwift sa špecializuje na informačnú bezpečnosť zavolá a druh "top" krajiny najviac postihnuté spoločnosťou Ransomware - Extorite Programy: USA, Rusko, Nemecko, Japonsko, Spojené kráľovstvo a Taliansko. Špeciálny záujem útočníkov spôsobuje malé a stredné podniky, pretože majú viac peňazí a citlivejších údajov ako u jednotlivcov, a neexistujú žiadne silné bezpečnostné služby, ako sú veľké spoločnosti.

Čo robiť a čo je najdôležitejšie, ako zabrániť útoku extriormers? Ak chcete začať, odhadujeme samotnú hrozbu. Útok môže byť vykonaný niekoľkými cestami. Jeden z najbežnejších - e-mailov. Zločinci sa aktívne používajú metódy sociálneho inžinierstva, ktorého účinnosť nepatrila vôbec z doby slávneho hacker z dvadsiateho storočia Kevin Mitnik. Môžu zavolať zamestnancovi spoločnosti obete v mene skutočne existujúcej protistrany a po konverzácii poslať list s prílohou obsahujúcou škodlivý súbor. Zamestnanec, samozrejme, otvorí ho, pretože len hovoril s odosielateľom telefonicky. Alebo účtovník môže dostať list údajne od exekútora alebo z banky, ktorý slúži svojej spoločnosti. Nikto nie je poistený, a dokonca aj ministerstvo vnútorných záležitostí trpí prvýkrát: pred niekoľkými mesiacmi, hackeri poslali falošný účet z Rostelecom s vírusom-šifrovacím úradníkom v účtovnom oddelení Kazan lineárneho hospodárenia ministerstva vnútra Záležitosti.

Zdrojom infekcie môže byť phishingové miesto, na ktoré sa užívateľ dostal pod podvodným odkazom, a "náhodne zabudnuté" niekým z návštevníkov kancelárskeho flash disk. A častejšie a častejšie sa infekcia vyskytuje prostredníctvom nechránených mobilných zariadení zamestnancov, s ktorými dostanú prístup k firemným zdrojom. A antivírus nemusí fungovať: stovky škodlivých programov, bypass antivírusov, sú známe, nehovoriac o "útokoch nulového dňa", pracujú len otvorené "diery" v softvéri.

Čo je to "Cyber \u200b\u200bWagon"?

Program známy ako "extriorter", "šifrovača", Ransomware blokuje prístup používateľa do operačného systému a zvyčajne šifruje všetky údaje na pevnom disku. Na obrazovke sa zobrazí správa, ktorú je počítač zablokovaný a majiteľ je povinný preniesť útočníkovi veľké množstvo peňazí, ak chce vrátiť kontrolu nad údajmi. Najčastejšie sa obrazovka zmení na odpočítavanie v 2-3 dňoch, aby užívateľ ponáhľa, inak bude obsah disku zničený. V závislosti od apetítov zločincov a veľkosti spoločnosti, množstvo výkupného v Rusku sa pohybuje od niekoľkých desiatok až po niekoľko stoviek tisíc rubľov.

Typy externých produktov

Zdroj: Microsoft, 2017

Tento malware boli známe už mnoho rokov, ale v posledných dvoch alebo troch rokoch zažívajú skutočnú prosperujúcu. Prečo? Po prvé, pretože ľudia platia útočníkom. Podľa Kaspersky Lab, 15% ruských spoločností napadlo týmto spôsobom, uprednostňuje platiť vykúpenie a 2/3 spoločností na svete, ktoré boli napadnuté, stratili svoje firemné údaje úplne alebo čiastočne.

Druhý - Toolkit Cybercriminály sa stali dokonalými a cenovo dostupnými. A tretí - nezávislé pokusy "vyzdvihnúť heslo" nie sú dobré pre obeť a polícia zriedka môže nájsť zločincov, najmä počas odpočítavania.

Mimochodom. Nie všetci hackeri trávia čas na informovanie hesla na obeť, ktorá im uviedla požadované množstvo.

Aký je problém podnikania

Hlavným problémom v oblasti bezpečnosti informácií v malých a stredných podnikoch v Rusku je, že nemajú peniaze na mocné špecializované fondy IB a IT systémy a zamestnancov, s ktorými sa môžu vyskytnúť rôzne incidenty, viac ako dosť. Bojovať proti Ransomwarenew, iba prispôsobené firewall, antivírusové a bezpečnostné politiky. Musíte použiť všetky dostupné nástroje, predovšetkým poskytované dodávateľom operačného systému, pretože je lacný (alebo zahrnutý do nákladov OS) a je 100% kompatibilný s vlastným softvérom.

Prevažná väčšina klientskych počítačov a významnou časťou serverov je spustenie systému Microsoft Windows OS. Každý vie, že vstavané bezpečnostné nástroje, ako napríklad Windows Defender a Windows Firewall, ktorý spolu s najnovšími aktualizáciami OS a obmedzenia užívateľa, poskytujú úplne dostatočnú úroveň bezpečnosti v neprítomnosti špecializovaných finančných prostriedkov pre obyčajného zamestnanca.

Zvláštnosť obchodných vzťahov a cybercriminals je však, že prvý často nevedia, že sú napadnuté druhým. Veria sa sami chránení, a v skutočnosti, malware už prenikli cez obvod siete a ticho robia svoju prácu - po tom všetkom, nie všetky z nich sa správajú tak nehanebne ako troyans-extriormers.

Spoločnosť Microsoft zmenila bezpečnostný prístup: teraz rozšírila produktovú radu IB a tiež sa zameriava nielen na zabezpečenie spoločnosti z moderných útokov, ale tiež umožniť možnosť ich vyšetrovať, ak sa infekcia stále stala.

Ochrana pošty

Poštový systém, ako hlavný kanál penetrácie firemnej siete v korporátnej sieti musí byť navyše chránený. Na tento účel Microsoft vyvinula systém Exchange ATP (pokročilý liečebný ochranu), ktorý analyzuje poštové prílohy alebo internetové odkazy a včas reaguje na identifikované útoky. Toto je samostatný produkt, je integrovaný do Microsoft Exchange a nevyžaduje nasadenie na každom klientskom stroji.

Systém Exchange ATP je schopný odhaliť aj "útoky nulového dňa", pretože spúšťa všetky prílohy v špeciálnom "Sandbox", bez toho, aby ich uvoľňoval do operačného systému a analyzoval ich správanie. Ak neobsahuje príznaky útokov, príloha sa považuje za bezpečnú a používateľ ho môže otvoriť. A potenciálne škodlivý súbor sa posiela do karantény a administrátor je o tom informovaný.

Pokiaľ ide o odkazy v písmenách, sú tiež kontrolované. Exchange ATP nahradí všetky odkazy na stredne pokročilých. Užívateľ klikne na odkaz v liste, spadá na medziľahlý odkaz av tomto bode systém kontroluje adresu pre bezpečnosť. Kontrola nastane tak rýchlo, že užívateľ si nevšimne oneskorenie. Ak odkaz vedie k infikovanej stránke alebo súboru, prechod k nej je zakázaný.

Ako výmena ATP pracuje

Zdroj: Microsoft, 2017

Prečo kontrola nastane v čase kliknutia, a nie po prijatí listu - koniec koncov, potom je na štúdii viac času, a preto potrebujete menej výpočtovej energie? To sa vykonáva konkrétne na ochranu pred trikom útočníkov s obsahom pod prepojením. Typickým príkladom: List v poštovej schránke prichádza v noci, systém kontroluje a nerozpozná nič, a ráno na stránke pre tento odkaz už umiestnený napríklad súbor s trójskym, ktorý používateľ bezpečne na stiahnutie.

A tretia časť služby Exchange ATP je vstavaný systém vykazovania. To vám umožní vyšetrovať incidenty, ktoré sa vyskytli a dáva údaje na zodpovedanie otázok: keď nastala infekcia, ako a kde sa to stalo. To vám umožní nájsť zdroj, určiť poškodenie a pochopiť, čo to bolo: náhodné hit alebo cielené, cielené útok proti tejto spoločnosti.

Tento systém je užitočný a pre prevenciu. Správca môže napríklad zvýšiť štatistiku ako prechody na prepojenia označených ako nebezpečné, a kto to urobili od užívateľov. Aj keby nedošlo k infekcii, stále musí byť s týmito zamestnancami objasniť.

Je pravda, že existujú kategórie zamestnancov, ktorí sú povinnosti nútení navštíviť rôzne stránky - ako napríklad obchodníci, prieskum trhu. Technológia Microsoft vám umožňuje konfigurovať politiku tak, aby sa v piesočnej schránke skontrolovali všetky súbory na prevzatie, aby ste pred uložením na počítači skontrolovali akékoľvek súbory na prevzatie. Okrem toho sú pravidlá definované doslovne v niekoľkých kliknutiach.

Ochrana poverení

Jedným z cieľov útokov útočníkov je užívateľské poverenia. Technológia krádeží prihlasovacích prihlásení a hesiel užívateľov je dosť veľa, a musia odolať trvalej ochrane. Dúfam, že na samotných zamestnancov nestačí: Prichádzajú s jednoduchými heslami, aplikujte jedno heslo na prístup ku všetkým zdrojom a napíšte ich na nálepku, ktorý je prilepený na monitor. To môže byť bojovať s administratívnymi opatreniami a nastavenie požiadaviek na softvér pre heslá, ale garantovaný efekt nebude stále.

Ak spoločnosť berie na bezpečnosť, bude to vymedzené právami prístupu, a napríklad inžinier alebo obchodný manažér nemôže zadať účtovný server. Ale v rezerve hackerov je ďalší trik: môžu poslať list od zajatého účtu obyčajného zamestnanca do cieľového špecialistu, ktorý vlastní potrebné informácie (finančné údaje alebo obchodné tajomstvo). Po obdržaní listu z "kolegu", adresát ho absolútne otvorí a spustí investíciu. A programové šifrovanie pristupuje k hodnotnej spoločnosti pre spoločnosť, ktorej návrat môže zaplatiť veľa peňazí.

Aby sa zachytený účet nedávali útočníkom, aby prenikli do firemného systému, spoločnosť Microsoft navrhuje, aby ho chránila autentifikáciou Azure MultifActor Authentication Authentication. To znamená, že je potrebné zadať nielen pár prihlásenia / hesla, ale aj kód PIN podávanej SMS, push-notification generovaný mobilnou aplikáciou alebo reagovať na telefonický hovor robot. Autentifikácia multifaktora je obzvlášť užitočná pri práci so vzdialenými zamestnancami, ktorí môžu vstúpiť do firemného systému z rôznych bodov sveta.

Azúrová multifaktorová autentifikácia.

Facebook.

Twitter.

VK.

Odnoklassniki.

Telegram.

Prírodná veda

Wannacry vírus-šifrovanie: Čo robiť?

Wannacryho vlna sa prevalil okolo tancancry (iné mená Wana Decrypt0R, Wana Decryptor, Wanacrypt0R), ktorý šifruje dokumenty na počítači a vydiera 300-600 USD za ich dekódovanie. Ako zistiť, či je počítač infikovaný? Čo treba urobiť, aby sa stalo obeťou? A čo robiť, aby ste vyliečili?

Je počítač infikovaný vírusom-encrypter wana dešifritou?

Podľa Jacob Krustek () z Avastu je už viac ako 100 tisíc počítačov infikovaných. 57% z nich padne na Rusko (je tu naozaj zvláštna selektivita?). Správy registrácie viac ako 45 tisíc infekcií. Nielen servery sú vystavené infekcii, ale aj počítače obyčajných ľudí, na ktorých Windows XP, Windows Vista, Windows 7, Windows 8 a Windows 10 a Windows 10 sú nainštalované. Všetky šifrované dokumenty v ich názve dostanú predponu WNCRY.

Ochrana proti vírusu bola nájdená v marci, keď Microsoft vydal "patch", ale posudzovanie rozšírenou epidémiou, mnohí používatelia, vrátane správcov systému, ignoroval aktualizáciu systému počítačového zabezpečenia. A stalo sa to, čo sa stalo - Megafon, Ruské železnice, Ministerstvo vnútorných záležitostí a iných organizácií pracujú na liečbe ich infikovaných počítačov.

Vzhľadom na globálny rozsah epidémie, 12. mája spoločnosť Microsoft vydala aktualizáciu zabezpečenia a pre dlhodobo už podporované produkty - Windows XP a Windows Vista.

Skontrolujte, či je počítač infikovaný, môžete použiť anti-virus nástroj, napríklad Kaspersky alebo (odporúča sa aj na Kaspersky Support Forum).

Ako sa nestať obeťou Wana Decryptor EcryPter?

Prvá vec, ktorú musíte urobiť, je zatvorená diera. Na tento účel

Nová vlna útokov na útoky vírusov šifrovania prevrátili svet, medzi postihnutými ruskými médiami a ukrajinskými spoločnosťami. V Rusku, Interfax utrpel vírusom, ale útok sa dotkol len časti agentúry, pretože jeho IT služby sa podarilo zakázať časť kritickej infraštruktúry, Ruská spoločnosť Group-Ib povedal. Zavolali badrabbit vírus.

Na bezprecedentnom vírusovom útoku na Interfax na svojej stránke na Facebooku bol informovaný zástupca riaditeľa Yuri Pogorellova. Dvaja dôstojníci Interfax potvrdili "Vemosti" na vypnutie počítačov. Podľa jedného z nich je vizuálne zablokovaná obrazovka podobná výsledkom činov slávneho vírusu PETYA. Vírus napadnutý InPRAX varuje, že nie je potrebné sa pokúsiť o nezávisle rozlúštiť súbory a vyžaduje, aby ste zaplatili vykúpenie 0,05 bitcoine ($ 285 pre včerajší kurz), ktorý vás pozýva na špeciálne miesto na sieti TOR. Vírus šifrovaný vírus pridelil osobný identifikačný kód.

Okrem Interfaxu, dva ďalšie ruské médiá trpeli z vírusu šifrovača, z ktorých jedna je Petrohradská edícia Fontanky, pozná skupinu IB.

Hlavný editor Fontanka, Alexandra Gorshkov, povedal "Vemosti", že servery "Fontanka" boli napadnuté neznámymi útočníkmi. Ale hrnce zaisťuje, že útok vírusu šifrovania na reči "fontány" nejde: Počítače funkcie redakčného personálu, server bol hacknutý, ktorý bol zodpovedný za prácu stránky.

Rozdelenie inoraxu vo Veľkej Británii, Azerbajdžane, Bielorusku a Ukrajine, ako aj na stránke "Interfax-náboženstvo" naďalej pracovať, povedané, "Vemosti" Regrowling. Nie je jasné, z akého dôvodu sa poškodenie nedotýkalo iných jednotiek, možno to je kvôli topológii siete Interfax, kde sú servery, kde sú servery územne, as operačným systémom, ktorý je na nich nainštalovaný, hovorí.

Ukrajinský Interfax počas dňa utorok uviedol hackerový útok na medzinárodnom letisku Odessa. Letisko na jeho stránke sa ospravedlnilo cestujúcim "za nútené zvýšenie prevádzkového času", ale posudzovanie jeho online hodnotiacou tabuľkou, v utorok stále pokračoval v posielanie a prijímaní lietadiel.

Viac o Kiberatka, Metropolitan Metropolitan Kyjev bol povedal na svojom Facebooku - účet - boli problémy s platením za bankové karty. Predné spravodajstvo Edition uviedlo, že metro bol napadnutý vírusom-šifrovaním.

Group-Ib uzatvára novú epidémiu. V posledných mesiacoch už existujú dve vlny útokov na vírusy šifrovateľov vo svete: Wannacry vírus sa objavil 12. mája a 27. júna - vírus Petya (to nie je NOTPETYA A EXPRET). Prenikli do počítačov s operačným systémom Windows, kde neboli nainštalované aktualizácie, šifrovali obsah pevných diskov a požadoval $ 300 za dekódovanie. Ako sa ukázalo neskôr, Petya si nemyslel, že dešifrovať počítače obetí. Prvý útok sa dotkol stovky tisíc počítačov vo viac ako 150 krajinách, druhý - 12 500 počítačov v 65 krajinách. Obete útokov boli ruské " Megafón », EVRAZ. , « Gazprom "A" Rosneft " Takmer vírus utrpel invitro zdravotnícke centrá, ktoré nepreukázali analýzy u pacientov niekoľko dní.

PETYA bol schopný zbierať iba 18 000 USD za takmer mesiac a pol. Ale škody spôsobené neporovnateľné. Jednou z jeho obetí je dánsky logistický gigant Moller-Maersk hodnotil zmiznutý príjmy z cyberatiká na 200-300 miliónov dolárov.

Medzi divíziami Moller-Maerska, hlavná rana prišla na Maersk Line, ktorá sa zaoberá námornou dopravou kontajnerov (v roku 2016 Maersk Line získal celkovo 20,900 miliárd dolárov, 31,900 ľudí pôsobí v divízii).

Business rýchlo prišiel k mojim zmyslom po útoku, ale spoločnosť a regulátori zostali na stráži. Tak, v auguste, riaditelia svojich pobočiek varovali riaditelia svojich pobočiek, federálna sieťová spoločnosť EHS (spravuje všestrannú elektrickú sieť) a o niekoľko dní neskôr ruské banky dostali podobné upozornenie od Fincert (Štruktúra CBB CBBC).

Nový útok vírusu šifrovania zaznamenal "Kaspersky Lab", podľa pripomienok, ktorého väčšina obetí útoku sa nachádza v Rusku, ale existuje infekcia a na Ukrajine, v Turecku a Nemecku. Všetky znamenia ukazujú, že ide o sústredený útok na firemné siete, hlava štúdie Kaspersky Lab Anti-Virus je si istý, Vyacheslav Zakorzhevsky: Metódy podobné expetr nástrojov sa používajú, ale žiadne spojenie s týmto vírusom nie je sledované.

A podľa ESET Anti-Virus Company je šifrovač stále príbuzným petya. Útok používa škodlivý program diskcoder.d - Toto je nová modifikácia kodéra.

Sťahovanie uviedlo, že Anti-Virus Symantec bol nainštalovaný na počítačoch Interfax. Zástupcovia SymNec včera neodpovedali na žiadosť "Vemosti".

Wannacry, PETYA, MISCHA A INÉ VIRUNSKEJ PRIPOJENIA NIEKOĽKOU NEPOUŽÍVAJÚ, KTORÉ NIEKOĽKOKOĽVEK PRÍPRAVUJETE SI PREDPOKOĽVEK DOPLNIKA NA PREVÁDZKU PC Infekcia!

Minulý týždeň, celý internet ukázal správy o novom vírusovom šifrovaní. V mnohých krajinách sveta provokoval oveľa väčšiu epidémiu ako notoricky znázornená tancankry, ktorej vlna klesla v máji tohto roku. Názvy majú nový vírus: petya.a, expect, neetyty, Goldeneye, Trojan.ransom.petya, Petrwrap, DiskCoder.c, Avšak, najčastejšie sa zdá, rovnako ako PETYA.

Tento týždeň útoky pokračujú. Dokonca aj v našej kancelárii prišla list, slovely zamaskovaný pre nejakú mýtickú aktualizáciu softvéru! Našťastie nikto nemyslel na otvorenie podaného archívu :) Preto by som sa dnes chcel venovať otázke, ako chrániť môj počítač pred vydieraním vírusov a nestať sa obeťou petya alebo niektoré ďalšie šifrovača.

Čo robia vírusy vydierania?

Prvé vírusy vydierania sa objavili približne na začiatku 2000s. Mnohí, ktorí v týchto rokoch užívali internet, pravdepodobne si pamätajte Trojan.winlock. Blokoval zavádzanie počítača a získať kód odomknutia požiadaný, aby sa zoznam určitých sumy na WebMoney peňaženku alebo na mobilnom telefóne:

Prvé blokátory Windows boli veľmi neškodné. Ich okno s textom o potrebe zoznamu finančných prostriedkov na začiatku by mohol jednoducho "nechtovať" prostredníctvom správcu úloh. Potom tam boli zložitejšie verzie Trojanu, ktoré urobili úpravy v úrovni databázy Registry a dokonca aj MBR. Ale bolo možné "vyliečiť", ak viete, čo mám robiť.

Moderné výrazné vírusy sa stali veľmi nebezpečnými. Nielen blokujú prevádzku systému, ale tiež šifrovať obsah pevného disku (vrátane hlavného zavádzania záznamu MBR). Pre odomknutie systému a dešifring súborov, útočníci sú teraz účtované v Bitcoin "AH, ekvivalentná suma od 200 do 1000 amerických dolárov! A aj keď uvádzate dohodnuté fondy na určenej peňaženke, potom to nedá záruka, že hackeri pošlú vám odomknite kľúč.

Dôležitým bodom je, že dnes sú prakticky žiadne pracovné spôsoby, ako sa zbaviť vírusu a dostať späť svoje súbory. Preto je podľa môjho názoru lepšie nie je spočiatku naraziť na všetky druhy trikov a viac alebo menej spoľahlivo chrániť počítač pred potenciálnymi útokmi.

Ako sa nestať obeťou vírusu

Ensifer vírusy sa zvyčajne vzťahujú na dva spôsoby. Prvé využíva rôzne technické chyby systému Windows. Chcete napríklad tancankry používa EternalBlue Exploit, ktorý umožnil prístup k počítaču pomocou protokolu SMB. Nové šifrovanie petya môže preniknúť do systému prostredníctvom otvorených portov TCP 1024-1035, 135 a 445. Bežnejší spôsob infekcie je phishing. Jednoducho povedané, užívatelia sami infikujú počítače, otvárajú škodlivé súbory odoslané poštou!

Technická ochrana pred šifrovacími vírusmi

Hoci priama infekcia vírusov a nie tak časté, ale stanú sa. Preto je lepšie odstrániť už známe potenciálne bezpečnostné tyče. Po prvé, musíte aktualizovať antivírus alebo ho nainštalovať (napríklad, to zvládňuje s rozpoznávaním šifrovacích vírusov zadarmo 360 celkovej bezpečnosti). Po druhé, musíte nainštalovať najnovšie aktualizácie systému Windows.

Aby ste eliminovali potenciálne nebezpečnú chybu v protokoli SMB Microsoft Protocol vydala mimoriadne aktualizácie pre všetky systémy, počnúc systémom Windows XP. Môžete ich prevziať pre vašu verziu operačného systému.

Na ochranu pred PETYA sa odporúča zatvoriť porty na portoch na počítači. Urobiť to, najjednoduchší spôsob, ako používať pravidelné pOŽARNE dvere. Otvorte ho na ovládacom paneli a vyberte sekciu v bočnom paneli "Ďalšie možnosti". Otvorí sa okno Pravidlá filtrovania. Vyberať "Pravidlá pre prichádzajúce spojenia" a na pravej strane "Vytvoriť pravidlo". Špeciálny master, v ktorom musíte urobiť pravidlo "Pre prístav", potom vyberte možnosť "Definované miestne prístavy" a predpisovať nasledovné: 1024-1035, 135, 445 :

Po pridaní zoznamu portov nainštalujte možnosť na ďalšiu obrazovku. "Blokové pripojenie" Pre všetky profily a nastavte názov (popis voliteľný) pre nové pravidlo. Ak si myslíte, že odporúčania na internete, nedá vírus na prevzatie súborov, ktoré potrebujete, aj keď sa dostane do vášho počítača.

Okrem toho, ak ste z Ukrajiny a použité účtovníctvo na Me.Doc, môžete nainštalovať aktualizácie, ktoré obsahovali backdars. Tieto backdry boli použité pre rozsiahle počítače s vírusom PETYA.A. Z analýzy dnes poznáte aspoň tri aktualizácie s bezpečnostnými schopnosťami:

• 01/10/175-10.01.176 Z 14. apríla;
• 01/10/180-10.01.181 z 15. mája;
• 01/10/188-10.01.189 z 22. júna.

Ak ste nainštalovali tieto aktualizácie, potom ste v skupine rizík!

Ochrana pred phishingom

Ako už bolo spomenuté, vo väčšine infekcií vinných, napriek tomu ľudský faktor. Hackeri a spameri spustili veľkú kampaň phishingu na celom svete. E-mailové e-maily boli zaslané z oficiálnych organizácií s rôznymi investíciami, ktoré boli vydané pre účty, aktualizácie alebo iné "dôležité" údaje. Stačilo otvorenie skrytého škodlivého súboru, pretože nainštaloval vírus na počítači, ktorý šifruje všetky údaje!

Ako rozlišovať phishingový list zo skutočného. Je to veľmi jednoduché, ak budete nasledovať zdravý rozum a nasledujúce odporúčania:

1. Od koho list? V prvom rade venujte pozornosť odosielateľovi. Hackeri môžu podpísať list, aspoň meno vašej babičky! Existuje však dôležitý bod. E-mail "Babička", ktorú potrebujete vedieť, a adresa odosielateľa phishingového listu, spravidla, bude nelneným množstvom znakov. Niečo ako: " [Chránené e-mail]". A Nuance je: názov odosielateľa a jeho adresu, ak tento oficiálny list, zvyčajne korelovaný medzi sebou. Napríklad e-mail z určitej spoločnosti" Pupkin a CO "môže vyzerať" [Chránené e-mail]", Ale je nepravdepodobné, že by mal ten druh" [Chránené e-mail]" :)
2. Aký je list? Phishingové písmená spravidla obsahujú akékoľvek volanie na akciu alebo na to. Súčasne, v tele listu, zvyčajne nie je napísané nič, alebo nie je nič napísané, alebo nie je k otvoreniu vnorených súborov udelená ďalšia motivácia. Slová "Naliehavé!", "Skóre pre služby" alebo "kritická aktualizácia" v písmenách z neznámych odosielateľov môže byť jasným príkladom, ako sa pokúšate zaskočiť. Myslite logicky! Ak ste nepožiadali o žiadne účty, aktualizácie alebo iné dokumenty z konkrétnej spoločnosti, potom je to pravdepodobnosť 99% - phishing ...
3. Čo v liste? Hlavným prvkom phishingových listov sú jeho investície. Najzrejmejším typom pripojenia môže byť exe súbor s falošnou "aktualizáciou" alebo "programom". Takéto investície sú skôr hrubé tvár, ale nájdu sa.

   Viac "Elegantné" spôsoby, ako oklamať užívateľa, sú zamaskovať skript sťahovanie vírusu, pod dokumentom Excel alebo Word. Maskovanie môže byť dva typy. Pri prvej verzii sa samotný script vydáva na dokument kancelárie a je možné ho rozpoznať "dvojitým" rozšírením mena, napríklad " .xls.js."Alebo" zhrnutie .doc.vbs."V druhom prípade môže príloha pozostávať z dvoch súborov: reálny dokument a súbor s skriptom, ktorý sa nazýva ako makro z programu Word alebo EXCE.

   V každom prípade stojí za to otvoriť takéto dokumenty, aj keď "odosielateľ" vás o tom žiada! Ak ste ešte zrazu medzi svojimi zákazníkmi, kto by ste mali s takýmto obsahom poslať list, je lepšie sa obťažovať kontaktovať ho priamo a objasniť, či ti poslal nejaké dokumenty. Pokročilá televízia V tomto prípade vás môže ušetriť z zbytočných problémov!

Myslím, že ak zavriete všetky technické tyče vo vašom počítači a nevzdávate sa do provokácií spamerov, potom nie sú pre vás nečistoty žiadne vírusy!

Ako obnoviť súbory po infekcii

A napriek tomu ste boli radi infikovať počítač s vírusom-šifrovaním ... Nevypínajte počítač po vzniku šifrovacie správy !!!

Faktom je, že kvôli množstvu chýb v kódexe samotných vírusov, pred reštartovaním počítača je šanca vytiahnuť kľúč z pamäte, ktorú potrebujete na dešifrovanie súborov! Napríklad, Wannakiwi Utility bude vyhovovať, aby sa získal tanuncry dešifrovací kľúč. Bohužiaľ, neexistujú žiadne takéto riešenia na obnovenie súborov po útoku PETYA, ale môžete sa pokúsiť extrahovať z tieňových kópií údajov (ak ste ich aktivovali, aby ste ich vytvorili na pevnom disku) pomocou miniatúra ShadowExplorer program:

Ak ste už reštartovali počítač alebo vyššie uvedené tipy nepomohli, je možné obnoviť súbory iba pomocou programov obnovy dát. Rovnako ako pravidlo, šifrovacie vírusy fungujú podľa nasledujúcej schémy: Vytvorte šifrovanú kópiu súboru a odstráňte originál bez prepísania. To znamená, že iba štítok súborov je skutočne odstránený a samotné údaje sa uložia a môžu byť obnovené. Na našich stránkach existujú dva programy: bude vyhovovať viac, aby sa resuscititizovali mediálne súbory a fotografie a R.Saver dobre zvládne dokumenty a archívy.

Samozrejme, že vírus sa musí zo systému odstrániť. Ak je systém Windows načítaný, potom je program Malwarebytes Anti-Malware Well. Ak vírus zablokoval načítanie, potom Dr.Web LIVECD BOOT DISK s osvedčeným nástrojom na boj proti rôznym malware Dr.Web Cureit na palube. V druhom prípade to bude tiež musieť vymáhať MBR. Vzhľadom k tomu, LIVECD z Dr.Web založené na Linuxe, potom si myslím, že budete užitočná pre pokyny z hrebry na túto tému.

závery

Problém Windows na Windows je relevantný už mnoho rokov. A každý rok vidíme, že vírusy vylučujú čoraz sofistikovanejšie formy poškodenia počítačov používateľov. Posledné epidémie šifrovacích vírusov nám dokazujú, že útočníci sa postupne pohybujú smerom k aktívnemu vydieraniu!

Bohužiaľ, aj keď platíte peniaze, je nepravdepodobné, že by ste nedostali odpoveď. S najväčšou pravdepodobnosťou bude musieť obnoviť svoje údaje sami. Preto je lepšie ukázať ostražitosť v čase a prevenciu infekcie ako potom pokaziť s elimináciou jeho následkov!

P.S. Tento článok je umožnený voľne kopírovať a citovať, ak zadáte otvorený aktívny odkaz na zdroj a zachovanie autorstva obchodníka Ruslana.

Pokračovanie v depresii procesu cez sieť, infikovanie počítačov a šifrovania dôležitých údajov. Ako sa chrániť pred šifrovaním, chráni okná pred vydieračom - sú škvrny, záplaty sa uvoľňujú na rozlúštenie a liečbu súborov?

Nový Virus-EncryPter 2017 Chcete plakať Naďalej infikuje firemné a súkromné \u200b\u200bPC. W. scherb z vírusového útoku má 1 miliardu dolárov. Po dobu 2 týždňov aspoň vírusové šifrovanie infikované aspoň 300 tisíc počítačovNapriek upozorneniam a bezpečnostným opatreniam.

Virus šifrovací rok 2017, ktorý je - Spravidla, môžete "vyzdvihnúť", zdalo by sa, na najškodských lokalitách, ako sú bankové servery s užívateľským prístupom. Akonáhle na pevnom disku obete, šifrovača "usadí" v systémovej zložke 32. Odtiaľ program okamžite vypne antivírus a spadá do "autorun" Po každom reštarte sa program šifrovania beží v registri, Začať svoje čierne podnikanie. Šifrter začína stiahnuť podobné kópie programov, ako je Ransom a Trojan. Často sa tiež stáva Šifrovača s vlastným odparovaním. Tento proces môže byť skrátený a môže sa vyskytnúť týždne - kým obeť neodstráni nelode.

Šifra je často maskovaný pod obyčajnými obrázkami, textovými súbormi, ale podstata je vždy sám - sú to spustiteľný súbor s extranse.exe, .drv, .xvd; \\ T niekedy - knižnice.dll.. Najčastejšie je súbor pomerne neškodný, napríklad " dokument. Doc", alebo" picture.jpg.", Kde je rozšírenie napísané ručne, a skutočný typ súboru je skrytý.

Po dokončení šifrovania užívateľ vidí namiesto známych súborov súbor "náhodných" znakov v názve av dovtedy, a zmeny expanzie na najznámejšie - .NO_MORE_RANSOM, .XDATA. iné.

Virus-EncryPter 2017 Chcete plakať - Ako sa chrániť. Chcel by som okamžite poznamenať, že wanna plač je skôr kolektívny termín všetkých vírusov šifrovateľov a extrometrače, pretože najčastejšie infikované počítače. Takže to bude o s opýtajte sa z Encrypters Ransom Ware, ktoré sú skvelým sada: Breaking.DAD, NO_MORE_RANSOM, XDATA, XTBL, WANNA CRY.

Ako chrániť okná pred šifrovaním. – Eterlantalblue prostredníctvom port SMB protokolu.

Ochrana okien pred šifrovaním 2017 - Základné pravidlá:

• aktualizácia systému Windows, včasný prechod na licencovaný systém (Poznámka: XP verzia nie je aktualizovaná)
• aktualizácia antivírusových databáz a firewallov na požiadanie
• obmedziť starostlivosť Pri sťahovaní všetkých súborov (roztomilé "mačky" sa môžu zmeniť na stratu všetkých údajov)
• zálohovanie dôležitých informácií o vymeniteľnom nosiči.

Virus-EncryPter 2017: Ako vyliečiť a dešifrovať súbory.

Dúfať v antivírusový softvér, môžete na chvíľu zabudnúť na dekodér. V laboratóriách Kaspersky, Dr. Web, Avast! a iné antivírusové Žiadne riešenie na liečbu infikovaných súborov. V súčasnej dobe je možné odstrániť vírus pomocou antivírusov, ale algoritmy sa ešte nevrátia "do kruhov".

Niektorí sa snažia aplikovať pomocný nástrojTo však nepomôže: algoritmus pre dešifrovanie nových vírusov ešte nebol zostavený. Je tiež úplne neznáme, ako sa vírus správa, ak nie je odstránený, po použití takýchto programov. Často sa môže zmeniť na vymazanie všetkých súborov - v emisii tých, ktorí nechcú platiť za útočníkov, autorov vírusu.

V súčasnosti je najefektívnejší spôsob, ako vrátiť stratené údaje, je výzvou na tých. Podpora dodávateľa antivírusového programu, ktorú používate. Ak to chcete urobiť, pošlite list alebo použite formulár pre spätnú väzbu na webovej stránke výrobcu. V prílohe sa uistite, že pridajte šifrovaný súbor a ak existuje kópia originálu. To pomôže programátorom pri zostavovaní algoritmu. Bohužiaľ, pre mnohých, vírusový útok sa stáva úplným prekvapením a kópie nie sú, že občas komplikuje situáciu.

Kartické metódy spracovania okien z šifrovača. Bohužiaľ, niekedy sa musíte uchýliť k úplným formátovaním pevného disku, ktorý znamená úplnú zmenu operačného systému. Mnohí ľudia budú obnovení systémom, ale to nie je výstup - aj tam je "rollback" sa zbaví vírusu, súbory budú stále zostávajúce sedí.