Ve světě, kde se ocitáme stále více online (každý den s větší silou), kde se mnozí z nás cítí velmi příjemně se způsobem, jakým můžeme své každodenní úkoly plnit digitálně. Musíme pochopit, že to všechno mění životy nás všech, protože jsme zcela závislí na tomto digitálním světě na všech úrovních, jako je podnikání, základní veřejné systémy nezbytné pro jakoukoli zemi a dokonce i osobní z domova.
V dobrém i ve zlém si musíme být vědomi nebezpečí, která nám hrozí, protože například v dnešní době není nutné provádět pohyby v bankovní kanceláři, ale vše se děje prostřednictvím platformy účetní jednotky, již nepoužíváme korespondenci služby, protože používáme sociální sítě, chatové zprávy a e -maily, jsme připojeni 24 hodin denně prostřednictvím mobilních telefonů a počítačů.
Všechno je propojeno kliknutím na aktualizaci, aby lidé kromě jiných funkcí a úkolů věděli, co, jak nebo kde jsme. To, na co se neptáme, je Jak jsme v tomto online světě v bezpečí?, odpověď je jednoduchá, velmi málo jistá.
Důvodem je to, že jak rostou možnosti online všeho, včetně našich každodenních úkolů, narůstají vetřelci, útoky, počítačové viry atd. Všechny jsou přijímány různými způsoby a na více platformách, kde i když nemáme na bankovních účtech miliony eur nebo dolarů nebo jsme uznáváni po celém světě, jsme náchylní k napadení různými způsoby.
Proto se dnes ve společnosti Solvetic zaměřujeme na vysvětlení jedné z hrozeb, které jsou všem na rtech kvůli jejím celosvětovým útokům, které, i když to není novinka, jak si mnoho lidí myslí, zažívá skokový skok a k tomu musíme být věnovat pozornost veškeré potřebné péči.
Tato hrozba se nazývá Ransomware a doufáme, že okamžik přečtení tohoto článku z vaší strany není, protože jste do něj již spadli, zejména proto, abyste se mohli trochu více chránit, ať už jste společnost nebo normální člověk, který se chce vyhýbat stejně jako možné tento a další podobné typy hrozeb.
Naším cílem je, aby každý uživatel nebo společnost přijal nezbytná opatření, aby se nestal obětí tohoto útoku a byl vždy zodpovědný za vše, co v síti děláme.
Co je RansomwareStejným způsobem, jakým dochází k únosům lidí z ekonomických důvodů, ve světě IT ransomware se stal útokem na únosce dat Protože tento útok v podstatě přistupuje k našemu počítači, šifruje všechny informace a vyžaduje určitou částku peněz za jeho obnovu, je to tak jednoduché.
Původ názvu „Ransomware“ pochází ze spojení dvou slov:
- Výkupné (únos)
- ware (software)
Tento útok, známý také jako rogueware nebo scareware, ovlivňuje uživatele od roku 2005. Přestože se vyvíjel, objevují se různé typy, které zdokonalují a nacházejí slabiny, kde se mohou snadno šířit. Necháme vám video, které vám to výjimečným způsobem vysvětlí, abyste to pochopili na všech úrovních.
Jak Ransomware fungujeRansomware využívá řadu kroků, ve kterých bohužel první dává oběť při provádění, tyto kroky jsou:
- Kontrola systému pomocí USB disků, podvodných e -mailů atd.
- Instalace do systému, když je spuštěn infikovaný soubor.
- Výběr souborů k šifrování.
- Šifrování vybraných dat aktuálně pomocí 2048bitové RSA.
- Zprávy oběti pomocí různých alternativ od e -mailů po hlasové zprávy
- Čekání na platbu pomocí prostředků, jako jsou mimo jiné bitcoiny, MoneyPak, Ukash a cashU.
- Odeslání šifrovacích klíčů oběti, ale to není 100% bezpečné. (Můžeme říci, že vám ho NEZASLOU, nedoporučujeme platit).
Jak vidíme, je to řetěz, který můžeme sami od začátku přetrhnout. Ve světě internetu a digitálu by lidi měli učit, že je mnohem lepší vždy myslet špatně a budete mít pravdu. Buďte ostražití a nebuďte jedním z těch, kteří s radostí otevírají jakoukoli přijatou přílohu, nebo vstupte na jakýkoli web a bez váhání nainstalujte jakýkoli program.
1. Typy útoků ransomware
Na celém světě je známo několik typů tohoto útoku, jako například:
Ransomware WannaCryTo je V poslední době více známý ransomware protože provedla útoky na mnoho týmů společností a lidí na celém světě. Je to kryptografický ransomware, ale stojí za to jej katalogizovat na vedlejší kolej, protože se objevil, jak víte ve zprávách po celém světě, kvůli útokům prováděným v mnoha různých zemích. Je důležité poznamenat, že to není novinka, jak si mnoho lidí myslí, protože se v mnoha týmech vaří již delší dobu. Na následujícím obrázku můžete vidět, kde se provádějí.
Na internetu je mnoho nebezpečných virů a útoků, ale Ransomware WannaCry je jedním z nejhorších.
V zásadě můžeme říci, že to považujeme za jeden z nejhorších, protože provádí čisté šifrování více velmi důležitých souborů pomocí výkonného algoritmu a klíče, což znesnadňuje jejich opětovné získání. Je také důležité poukázat na snadnost provedení, kterou musí přenášet a spouštět na všech síťových discích.
WannaCry Decryptor pronikne do vašeho počítače, zejména e -mailem, a když jej spustíte, aniž byste si to uvědomovali, zašifruje informace. Vážná věc je, že jakmile jsou všechny soubory v počítači zašifrovány, jsou replikovány přes síť na jiné servery, počítače atd. Vše, co jste připojili k síťovým diskům, lze také zašifrovat. Je tedy normální, že jakmile se počítač nakazí, rozšíří se prakticky ke všem v síti.
Ke své replikaci využívá mezery v systémech, zejména ve Windows. Doporučuje se proto, abyste je vždy aktualizovali o všechny opravy, abyste se vyhnuli tak snadné replikaci z jedné strany na druhou.
Toto chování vysvětluje, proč se doporučuje odpojit počítače, aby nepokračovalo v šifrování a šíření. Z tohoto důvodu je v případě interního napadení první věcí, kterou společnosti obecně žádají, vypnutí a odpojení všech počítačů, a to vše proto, aby nepokračovaly v šifrování souborů a zvýšily problém. Budou muset najít zdroj a obnovit všechny dotčené počítače a servery.
Šifrování souborů je velmi žádanou technikou k ochraně soukromí vašich nejdůvěrnějších souborů. Tento útok používá velmi silné šifrovací algoritmy, které nelze prolomit, pokud nemáte klíč. Nyní později přejdeme hlouběji k tomuto typu ransomwaru.
Krypto ransomwareTento typ útoku využívá pokročilé algoritmy a jeho hlavní funkcí je blokovat systémové soubory, kde k přístupu k nim musíme zaplatit částku, někdy vysokou, peněz.
V tomto typu najdeme CryptoLocker, Locky, TorrentLocker, také WannaCry atd.
MBR ransomwareVíme, že MBR (Master Boot Record) řídí spouštění operačního systému a tento typ útoku je zodpovědný za úpravu hodnot zaváděcích sektorů, aby uživatel nemohl normálně spustit svůj operační systém.
WinlockerTento útok je založen na SMS, textových zprávách, pomocí kterých k odeslání souborů vyžaduje odeslání textové zprávy na platební server s přiřazeným kódem.
VykružovačkaTento útok je zodpovědný za pravidelné mazání souborů, aby oběť cítila tlak na zaplacení výkupného, aby nepřišla o cennější informace.
Tímto útokem je každou hodinu odstraněn soubor z počítače, dokud není provedena platba, a jako další, ale ne povzbudivý detail, skládačka odebere ze systému až tisíc souborů při každém restartu počítače a přístupu k operačnímu systému.
KimcilwareTímto útokem jsme obětmi šifrování dat na našich webových serverech, a proto využívá zranitelnosti serveru, a tak šifruje databáze a soubory, které jsou na něm hostovány, čímž dochází k neaktivitě webových stránek.
MaktubJedná se o útok, který se šíří prostřednictvím podvodných e -mailů a komprimuje dotčené soubory před jejich šifrováním.
Vypadá to jako soubor PDF nebo textový soubor, ale když je spuštěn, na pozadí, aniž bychom si toho byli vědomi, je nainstalován v počítači a pro obnovu dat jsou obvykle zapotřebí velké částky peněz.
SimpleLocker, Linux.Encoder.1 a KeRangerTyto útoky v zásadě plní svou roli na mobilních a počítačových zařízeních, aby zablokovaly jejich obsah. SimpleLocker šifrováním souborů ovlivňuje kartu SD zařízení Android. Linux.Encoder.1 a KeRanger zpracovávají šifrování dat v operačních systémech Linux a Mac OS.
CerberMůže to být jeden z nejobávanějších uživatelů, zejména systémů Windows, protože tento útok přistupuje ke zvuku operačního systému, aby vyzařoval zprávy, a ne správně motivační nebo nejnovější zprávy od společnosti Microsoft.
Tento útok generuje soubor VBS s názvem „ # DECRYPT MY FILES # .vbs“, který je ve 12 různých jazycích a vydává výhružné zprávy a požaduje platbu za obnovu dat.
Jak vidíte, najdeme různé typy útoků ransomware (Mějte na paměti, že existuje a bude mnoho dalších typů), které z něj činí skrytou hrozbu, a pokud tomu stále nevěříme, podívejme se na tato data, která budou i nadále velmi rychle stoupat:
- Ve světě je kolem 500 000 obětí útoku Cryptolocker.
- Organizace v Jižní Americe zaplatila za načtení svých dat přibližně 2 500 USD.
- 1,44% uživatelů obětí TorrentLocker zaplatilo výkupné.
- Útoky po celém světě probíhají s typem WannaCry, kde se údajně dosud shromážděná částka pohybuje mezi zhruba 7 500-25 000 USD. (Neplaťte).
Jak jsme řekli na začátku, nedoporučujeme platit toto výkupné za použitý šifrovací klíč. Není stoprocentně ověřeno, že vám to poskytnou, a přitom mějte na paměti, že budete povzbuzovat další kyberzločince, aby se objevili, když uvidíte, že pro ně existuje šťavnaté „podnikání“. Mějte také na paměti, že mohou existovat některá praktičtější řešení, která vysvětlíme v následujících částech.
Mluvili jsme o pokroku technologie, ale ransomware se také vyvinul, protože dnes došlo k útoku PHP Ransomware nebo WannaCry Ransomware, které šifrují všechna důležitá data a v některých případech bez vyžádání výkupného nebo platby za šifrovaná data, mezi nimiž jsou soubory s následujícími příponami:
zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso mimo jiné, které podrobně rozvedeme v následujících částech.
Mějte na paměti, že se budou zvětšovat nebo měnit, a proto není dobré si myslet, že určitý typ souboru může být volně „unesen“.
2. Cíl ransomwaru
Přestože k mnoha ransomwarovým útokům dochází na organizační úrovni, kde jsou informace mnohem citlivější a důvěrnější, útočníci, kteří tyto viry vytvářejí, nestanovují limity, domácí uživatelé jsou také slabým místem z těchto důvodů:
- Malá nebo žádná znalost počítačové bezpečnosti.
- Nemají ve svých operačních systémech antivirové aplikace.
- Mít otevřené a nezabezpečené sítě.
- Nevytvářejte neustálé zálohy informací.
- Neaktualizujte operační systém a bezpečnostní aplikace pravidelně.
- Za nevhodné používání internetových služeb.
Možná nemáme cenné informace, ale pokud ano oběti šifrování našich informací Nepochybně se staneme oběťmi, kde nás to ovlivní, abychom mohli pokračovat v každodenním provozu běžným způsobem, například na úrovni vzdělávání, osobního nebo obchodního styku.
Nezapomnělo se ani na tvůrce ransomwaru, ve skutečnosti jsou cílem číslo 1, protože s nimi získávají následující výhody:
- Jsou tam, kde mohou napáchat největší škody, se šťavnatým ekonomickým potenciálem, aby mohli zaplatit výkupné.
- Zvýšená nestabilita při šifrování citlivých mezd, financí, HR atd.
- Možnost ovlivnění většího počtu zařízení a služeb.
- Chyby zabezpečení prezentované na serverech nebo klientských počítačích.
- Chcete -li destabilizovat důležité body zemí, a pokud tomu nevěříte, podívejte se na nejnovější zprávy, kde byly zasaženy londýnské nemocnice, společnosti jako Telefónica ve Španělsku atd.
Můžeme potvrdit, že toto je nový formát světové válkyNení to střílení bomb, ale může to být stejné nebo bolestivější, než si myslíme.
Techniky šíření ransomwaruJak jsme již viděli dříve, existují různé typy útoků ransomware a některé z technik používaných k jejich šíření jsou:
- Odesílání podvodných e -mailů.
- Webové přesměrování na falešné stránky.
- Textové zprávy.
- Chyby zabezpečení zjištěné na úrovni zabezpečení na serverech nebo klientských počítačích.
- Škodlivé reklamní kampaně.
- Legální webové stránky, které mají ve svém obsahu škodlivý kód.
- Automatické šíření mezi zařízeními.
3. Doporučení, abychom se chránili před malwarem Ransomware
Vzhledem k tomu, že ransomware vyžaduje tolik síly a je velmi snadné být obětí, existuje řada možností, které nám pomohou být pozorní vůči tomuto typu útoku a vyhnout se další oběti. Několik tipů je:
Vytvořte si bezpečnostní kopiiMůžeme vám říci, že je to nejdůležitější, co je třeba udělat v organizacích i na osobní úrovni. Díky záloze nás chrání před problémy nejen s malwarem, viry a útoky, ale také nás chrání před fyzickými chybami hardwaru, ke kterým může dojít na discích, počítačích, serverech atd. Proto záloha je nezbytná a životně důležitá.
Je to řešení, které je třeba implementovat neustále a pokud možno na disky a externí disky, nebo máte možnost (na osobní úrovni) to provést v místech, jako je cloud, Dropbox, OneDrive atd., Ale co doporučujeme většinou jde také o servery nebo externí disky vždy budeme mít k dispozici a integritu souborů.
Je důležité vám říci, že je třeba vzít v úvahu, že tento malware (červ) Ransomware dokonale útočí a také šifruje jednotky, které jste v tu chvíli připojili, včetně těch v cloudu, takže nezapomeňte toto připojení odpojit a ne vždy ji připojte, pokud ne Používáte ji.
Viděli jsme, jak tento útok Ransomware WannaCry (a další předchozí verze) provede šifrování připojení v cloudu počítačů, které byly infikovány. Byly replikovány v účtech Dropbox, Disk Google nebo OneDrive, protože připojení jako síťová jednotka tyto soubory dokonale vidělo, a proto bylo také šifrováno a odstraněno. Dobrá část je, že v těchto systémech máte také možnost obnovit data, protože jakmile byla vaše data zašifrována v cloudu, odstranila také původní soubory, takže pokud jste byli infikováni v cloudu, nebojte se, je možné je obnovit pomocí tohoto tutoriálu.
Necháme vám zde nejlepší způsoby zálohování a zálohování v různých systémech, které můžeme mít. Vaše informace jsou na prvním místě, představte si, co by se stalo v případě jejich ztráty, pokud je to důležité, neváhejte a provádějte časté zálohy.
Necháme vám více bezplatných alternativ pro záložní programy pro Windows, Linux nebo Mac.
Zobrazit přípony souborůTo je zásadní aspekt, protože infikované soubory jsou spustitelné, .exe a jsou maskovány jako soubory PDF, DOC, XLS atd., Takže při aktivaci možnosti zobrazit rozšíření budeme vědět, zda je soubor Solvetic.pdf nebo Solvetic. Pdf.exe (infikovaný).
Neotvírejte podezřelé nebo neznámé e -mailyBohužel se necháváme unášet zdáním a otevřenými falešnými e -maily z naší banky, sociální sítě, fakturami s přílohami PDF nebo Excel s makry atd. a za tím je infikovaný soubor.
Mnohokrát dostáváme zprávy od oficiálních subjektů, které naznačují, že máme právní problémy, nebo od banky požadující zadání informací, jiné, že máme hlasové zprávy atd., Ale všechny mají přílohu, na kterou očekávají, že klikneme na pozadí nakazí počítač.
Opakujeme, velmi opatrní v přílohách, které otevíráme, ve výchozím nastavení byste měli být vždy podezřelí. Při sebemenších pochybnostech doporučujeme, abyste jej neotevřeli nebo nezkontrolovali:
- Dobře si prohlédněte úplnou e -mailovou adresu odesílatele (nejen falešné jméno, které uvedli).
- Zobrazit typ a rozšíření přílohy. I když je odesílatel znám, mohl být nakažen a automaticky přepošle malware nebo virus se svým účtem do celého seznamu kontaktů. (jste možná oběť).
- Před otevřením si dobře prohlédněte text a předmět zprávy.
- Zkontrolujte IP adresu odesílatele a zemi původu této adresy a zadejte IP adresu z webu, který se geolokalizuje rychle a pohodlně.
Pokud tomu nejméně věříte, neotvírejte to, je lepší nebýt opatrný a vymazat to, než se nakazit. Věnujte pozornost upozorněním na nevyžádanou poštu, které vám může dát váš správce e -mailů.
ZVĚTŠIT
Filtrujte příponu .exe v e -mailuV případě, že máte poštovní servery, které umožňují filtrování typů souborů, je ideální Pojďme filtrovat všechny e -maily, které obsahují příponu .exe protože to mohou být infikované soubory s cílem ukrást naše osobní údaje.
Zakažte soubory spuštěné z cesty AppData nebo LocalAppDataPokud používáme operační systémy Windows, můžeme ve firewallu vytvářet pravidla a otevírat nebo zavírat porty, které zabraňují spouštění programů z cesty AppData nebo LocalAppData, protože odtud je to jeden z webů, kam Cryptolocker, kromě jiných typů Ransomwaru, instaluje vaše infekce. Pokud jste správcem systémů Windows Server, můžete použít GPO na firewally všech počítačů v síti.
Neustálá aktualizace systémuVývojáři operačních systémů a antivirových, antimalwarových a bezpečnostních programů obecně pravidelně vydávají nové aktualizace, které obsahují vylepšení bezpečnostních chyb, což nám může pomoci vyhnout se obětem ransomwaru.
Pamatujte, že je to nutné a důležité aktualizovat operační systém a také bezpečnostní aplikace.
Jste -li správce systému a mimo jiné spravujete společnosti se servery Windows Server. Pamatujte, že aktualizace všech počítačů vaší společnosti můžete ovládat prostřednictvím serveru pomocí služby WSUS a přinutit je rozhodnout se nastavením plánů, které vás zajímají, aby byly vždy aktualizovány.
Použijte programy pro blokování doplňkůMnoho škodlivých webů vytváří vyskakovací okna, která vyžadují jejich kliknutí, aby je bylo možné zavřít, a v tomto procesu se můžeme ocitnout před stažením a instalací latentní ransomwarové hrozby. Jsou již integrovány ve většině prohlížečů a je možné je aktivovat v možnostech zabezpečení.
Použití těchto programů brání zobrazování těchto oken, a tím získáváme v našich systémech úroveň zabezpečení.
Zakázat RDPRDP (Remote Desktop Protocol) umožňuje vzdálené připojení k jiným počítačům buď za účelem poskytnutí pomoci nebo podpory, ale Ransomware může použít tento protokol, konkrétně Cryptolocker, WannaCry atd. přístup k počítačům a jejich infikování, proto je důležité zabránit tomu, aby byl tento protokol povolen, pokud se nepoužívá.
Tento tutoriál ukazuje, jak povolit RDP (vzdálená plocha) v systému Windows 10, 8, 7. Postupujte podle pokynů, které jsou zde vysvětleny, ale v části kontroly nebo odškrtávání ponechte tuto možnost zakázanou.
Odpojte se od sítěV případě spuštění podezřelého souboru bychom neměli čekat, až bude proces instalace dokončen, protože nevíme, jaký bude mít účel, v tomto případě je nejrozumnější a nejzodpovědnější věc okamžitě se odpojit od sítě, Wi-Fi nebo Ethernet, s Toto má zabránit komunikaci se serverem, který může virus zavést.
Můžeme přímo deaktivovat WiFi nebo odstranit kabel RJ45, který jsme připojili k zařízení.
Zakažte spouštění maker v OfficeToto je jeden z nejběžnějších způsobů, jak ransomware infikovat a spouštět. Pokud nejste pokročilá úroveň, kde používáte makra v aplikacích Microsoft Excel, Word, PowerPoint nebo Outlook (V obchodních týmech je lepší je ve výchozím nastavení zakázat), doporučujeme je deaktivovat.
Tato makra jsou vložena do jednoduchého souboru .docx nebo .xlsx nebo e -mailů, kde pouhým otevřením můžete používat tento typ ransomwaru nebo jiný typ malwaru nebo viru.
Chcete -li je deaktivovat, postupujte takto:
- Zakažte makra aplikace Outlook
- Zakažte makra Word, Excel a PowerPoint
Zde vám ponecháme více oficiálních informací společnosti Microsoft o tomto problému a správě nastavení zabezpečení sady Office.
Blokování portůVíme, že porty v operačním systému umožňují nebo neumožňují komunikaci mezi místním počítačem a externí sítí.
Je dobrým zvykem, pokud spravujeme zejména servery, blokovat porty:
- UDP 137, 138
- TCP 139, 445 nebo deaktivujte SMBv1.
V následujícím odkazu společnosti Microsoft zjistíme, jak tento proces provést bezpečně:
Použijte ShadowExplorerCílem Wanna Decryptor 2.0 je odstranit všechny systémové snímky, jakmile je po infekci spuštěn soubor .exe.
ShadowExplorer nám umožňuje skrýt tyto snímky útoku Wanna Decryptor a mít tak spolehlivou zálohu pro případ útoku.
Tento nástroj lze stáhnout na následujícím odkazu:
4. Nástroje pro ochranu nebo obnovu šifrovaných souborů z Ransomware
Společnost Microsoft vydala prohlášení o Výkupné: Win32.WannaCrypt kde uvádí, že všichni uživatelé, kteří používají bezplatný antivirový software Windows nebo mají aktivní a aktualizovaný systém Windows Update, jsou chráněni.
Doporučují, aby ti, kteří mají software proti malwaru od jiného poskytovatele, kontaktovali a potvrdili stav své ochrany.
Dobrá věc je, že společnost Microsoft již dříve provedla aktualizaci zabezpečení Ransomware WannaCrypt k dispozici všem, kteří mají nepodporované verze systému Windows, například Windows XP, Windows 8 a Windows Server 2003. Stahujte a instalujte hned, abyste se chránili!
Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86
Pokud chcete vidět jiné systémy, jako je Windows Vista nebo Windows Server 2008, zaškrtněte tento odkaz ve vyhledávači aktualizací zabezpečení systému Microsoft Windows. Uvidíte, že na tuto opravu se odkazuje (KB4012598).
Zde je oficiální průvodce Microsoftem k útoku ransomwaru WannaCrypt.
Kromě toho nám vývojáři bezpečnostních aplikací nabízejí možnost bezplatného stažení více nástrojů, které budou zásadní pro detekci nebo dešifrování šifrovaných souborů, zjevně neplatné pro všechny typy Ransomware, ale budou nadále růst, protože ty, které chrání v Zajišťují také IT bezpečnost a nabízejí řešení. Pamatujte, že nejúčinnějším způsobem je obnovit soubory, které nás zašifrovaly ze zálohy, kterou jsme vytvořili, ale ponecháme vám některé publikované nástroje, které je budou moci dešifrovat:
- Alcatraz Ransomware Řešení: Stáhnout
- Řešení Ransomware Apocalypse: Stažení
- Řešení BadBlock Ransomware: Stáhnout
- Crypt888 Ransomware Řešení: Stáhnout
- Řešení Legion Ransomware: Stažení
- Stáhněte si řešení Cryptolocker Ransomware
Zde můžete vidět několik možností řešení k dešifrování více typů Ransomware, aby se obnovily vaše informace.
- Karspersky Ransomware Tools
- Avast Ransomware Tools
- Wanakiwi (Nástroj, který pomáhá dešifrovat WannaCry, nezapomeňte po infikování nerestartovat a spusťte tento nástroj. Informace budete moci obnovit ve Windows XP, Windows 7 a Windows Server 2003, 2008).
Jako ochranu to musíme vzít v úvahu anti-malware jsou základem, který by měly mít všechny počítače kromě dobrého antiviru. Jako doporučení nástrojů proti malwaru doporučujeme:
- Kaspersky WindowsUnlocker: Stáhnout
- Malwarebytes 3.0: Stáhnout
- OSHI Defender: Stáhnout
- Hitman Pro: Stáhnout
- BitDefender Anti-Crypto. Stažení
- Odemknutí obrazovky Trendmicro Ransomware: Stažení
- Microsoft Enhanced mitigation and experience toolkit (EMET): Download
Také vám ponecháme anti-malware pro Linux a Mac:
- LMD / Clamav (Linux)
- Nejlepší anti-malware (Mac)
Jako další nástroj zaměřený na ochrana před ransomwarem WannaCry, doporučujeme Nástroj NoMoreCry od nástroje CCN-CERT protože to umožňuje zabránit spuštění WannaCry Ransomware.
Musíme jim poděkovat za tento skvělý příspěvek CCN-CERT (CNI).
Tento nástroj funguje na všech verzích systému Windows a je k dispozici všem společnostem. To, co dělá, je vytvořit mutex (algoritmus vzájemného vyloučení) v počítači, kam jej nainstalujete, a zabrání spuštění škodlivého kódu WannaCry 2.0.
Nástroj CCN-CERT NoMoreCry se nachází v cloudu CCN-CERT, LORETO. Najdete doplňkový skript, který zabrání spuštění malwaru na počítačích se systémem Windows (všechny verze, anglické i španělské).
Jednoduše soubor stáhneme NoMoreCry_mutex Y NoMoreCry-v0.4.exe (verze budou aktualizovány). A oba soubory musí být ve stejné složce.
Při jeho provádění se zobrazí následující zpráva:
Pamatujte, že při každém přihlášení jej musíte znovu spustit. CCN-CERT označuje, že nástroj by měl být spuštěn po každém restartu. Doporučujeme jej tedy zahrnout při spuštění systému Windows (pokud je pro někoho s osobním počítačem). Jednoduše by bylo přidat tento nástroj s jeho spustitelnou zkratkou do složky spouštěcích programů:
- + R.
- Píše: shell: spuštění a stiskněte Enter.
- Zde vložte zkratku pro tento nástroj.
Máte to také v .MSI, abyste to vložili do GPO. (To pro sysadminy). Tento proces lze také automatizovat úpravou registru systému Windows nebo implementací zásad GPO v doméně.
Jako konečné doporučení ochranných nástrojů. Samozřejmě nezapomeňme mít nainstalovaný antivirus v různých operačních systémech, které máme, v těchto odkazech uvádíme to nejlepší z tohoto roku a především zdarma, pokud se nechráníte, je to proto, že nechcete.
- Zdarma antivirový systém Windows
- Zdarma Linux Antivirus
- Zdarma antivirus pro Mac
Cílem bezpečnostních nástrojů je chránit naše informace před ransomwarem, ale zásadně první krok ochrany je v nás protože nové viry, trojské koně, malware, útoky atd. se budou stále zobrazovat.
Pamatujte a znovu zmiňujeme, že ve většině těchto ransomware po zašifrování vašich souborů také odstranit originál, takže v případě, že některá technika nefunguje a byli jste málo zodpovědní v případě, že nemáte záložní kopie svých dat, je možné zkusit obnovit smazané soubory z vašeho počítače (jakmile bude ransomware odstraněn, jak je vysvětleno v následujícím textu kapitola níže).
Za tímto účelem doporučujeme mít po ruce tento další tutoriál se sbírkou bezplatných programů pro obnovu smazaných souborů.
5. Jak odebrat a chránit útok WannaCry Ransomware
WannaCry je jedním z nejnovějších ransomware, který se ve světě šíří a ovlivňuje jak organizace, tak běžné uživatele šifrováním jejich dat a vyžadováním velkých částek peněz. V tomto tutoriálu jsme o tomto typu ransomwaru hodně hovořili, ale v této části se zaměříme na to, jak jej odstranit, jakmile jsme jím byli nakaženi.
Pokud jste jedním z těch, kterým se najednou objeví okno s výše uvedenou zprávou, jste nakaženi:
WannaCry Ransomware Message (anglicky)
Jejda, vaše soubory byly zašifrovány!
Co se stalo s mým počítačem?
Vaše důležité soubory jsou šifrovány.
Mnoho vašich dokumentů, fotografií, videí, databází a dalších souborů již není přístupných, protože byly zašifrovány. Možná jste zaneprázdněni hledáním způsobu, jak obnovit soubory, ale neztrácejte čas. Nikdo nemůže obnovit vaše soubory bez dešifrovací služby.
Mohu obnovit své soubory?
Tak určitě. Zaručujeme, že můžete všechny své soubory bezpečně a snadno obnovit. (Ale nemáte tolik času). Můžete se pokusit zdarma dešifrovat některé soubory. Zkuste to nyní kliknutím. Pokud chcete dešifrovat všechny soubory, musíte zaplatit.
Na odeslání platby máte pouze 3 dny. Poté se cena zdvojnásobí. Pokud nezaplatíte do 7 dnů, nebudete moci soubory obnovit navždy.
WannaCry Ransomware Message (španělsky)
Jejda, vaše soubory byly zašifrovány!
Co se stalo s mým počítačem?
Vaše důležité soubory jsou šifrovány.
Mnoho vašich dokumentů, fotografií, videí, databází a dalších souborů již není přístupných, protože byly zašifrovány. Možná jste zaneprázdněni hledáním způsobu, jak získat soubory zpět, ale neztrácejte čas. Nikdo nemůže získat vaše soubory zpět bez dešifrovací služby.
Mohu dostat své soubory zpět?
Samozřejmě. Zaručujeme, že můžete všechny své soubory bezpečně a snadno obnovit. (Ale nemáte dost času). Můžete se pokusit zdarma dešifrovat některé soubory. Zkuste to nyní kliknutím. Pokud chcete dešifrovat všechny soubory, budete muset zaplatit.
Na odeslání platby máte pouze 3 dny. Poté se cena zdvojnásobí. Také pokud nezaplatíte do 7 dnů, nebudete moci své soubory vrátit navždy.
Pokud zjistíte, že vaše společnost nebo počítače mají tento ransomware, budete muset zastavit všechny počítače, aby nebyly replikovány, ani pokračovat v šifrování dalších souborů. Odpojte počítače od sítě a zkontrolujte jejich původ dotykem.
Abychom tento malware odstranili v prostředí Windows 10, provedeme následující postup.
PozornostPokud nejste na pokročilé úrovni, je nejlepší přeinstalovat systém a obnovit data ze záložní kopie, abyste se ujistili, že nejste stále infikováni.
Krok 1
Nejprve musíme přistupovat v nouzovém režimu, abychom se vyhnuli spuštění některých služeb a procesů. Abychom zjistili, jak přistupovat v nouzovém režimu, můžeme přejít na následující odkaz:
Krok 2
Za druhé, musíme se dostat do správce úloh kliknutím pravým tlačítkem na hlavní panel a výběrem odpovídající možnosti „Správce úloh“.
Jakmile jsme tam, přejdeme na kartu Procesy a musíme se podívat na ty procesy, které se nám nezdají normální, jakmile je uvidíme, klikneme na ně pravým tlačítkem a vybereme možnost „Otevřít umístění souboru“.
Tento soubor lze naskenovat pomocí našeho antivirového a / nebo antimalwarového softwaru, protože cestu již známe a máme tedy pochybnosti. Až do tohoto okamžiku můžeme určit integritu a spolehlivost souboru.
V případě, že nedostanete výsledky, můžeme přejít do souboru hostitelů systému a tam zkontrolovat, zda jsme obětmi.
Za tímto účelem otevřete nabídku Spustit: (+ R.) a zadejte následující řádek:
poznámkový blok% windir% / system32 / Drivers / etc / hostsTím se zobrazí soubor hosts. Pokud si všimnete, že se v dolní části objevují nové položky na externí IP adresy jiné než 127.0.0.1 a neznáte je, budou vypadat, jako by byly přidány ransomwarovým červem.
Krok 3
Kromě toho to můžeme konzultovat programy nebo aplikace se při spuštění systému přihlašují, protože některý infikovaný soubor může být od začátku, abychom to zkontrolovali, přejdeme ve Správci úloh na kartu Po spuštění a podrobně zkontrolujeme, které aplikace začínají v systému Windows 10:
Pokud vidíte něco neobvyklého, vyberte jej a klikněte na tlačítko Zakázat. Doporučujeme vám vidět tutoriál, který jsme pro vás připravili, protože vás naučí, jak jej spravovat.
Krok 4
Později přistoupíme k editoru registru Windows 10 pomocí kombinace kláves + R. a zadáním příkazu regedit.
Tam jdeme na Upravit / Hledat nebo použít klávesy Ctrl + F a v zobrazeném okně budeme hledat název ransomwaru:
ZVĚTŠIT
Je důležité mít na paměti, že nesmažete nevirové registry, protože by to ovlivnilo stabilitu systému. Musíme odstranit všechny virové záznamy v následujících umístěních:
- % Data aplikací%
- % LocalAppData%
- % Programové data%
- % WinDir%
- % Temp%
V tuto chvíli by bylo zajímavé mít možnost spouštět aplikace pro analýzu našich zařízení. Doporučujeme přečíst si čtvrtou kapitolu v tomto tutoriálu “Nástroje pro ochranu nebo obnovu šifrovaných souborů z ransomwaru “ protože můžeme najít nástroje, které mohou pomoci najít a vyřešit tento útok. Vždy musíme vzít v úvahu komentovaná doporučení, abychom se nedostali do pasti ransomwaru.
Pokud jste jedním z těch, kteří zálohu neprovedli, mějte na paměti, že je možné obnovit smazaná data, protože tento malware nejprve zašifruje vaše soubory a poté je odstraní. Poté, co tento ransomware odstraníte, doporučujeme použít nástroje pro obnovu odstraněných souborů. Některé můžete obnovit.
6. Jak odebrat a chránit útok Wanna Decryptor 2.0 Ransomware
16. 5. 17 se i nadále setkáváme s mnoha novinkami o šíření masivního útoku Ransomware virem zvaným Wanna Decrypt0r 2.0 který je hostován na počítačích a také šifruje informace pomocí kombinace algoritmů RSA a AES-128-CBC, kde infikované soubory, které jsou šifrovány, mají automaticky přípona .WNCRY.
Když se tedy pokusíme o přístup k počítači nebo k některému z těchto souborů, dostaneme ne zrovna potěšující zprávu:
Cílem tohoto masivního útoku je dosáhnout nejvyššího počtu obětí a zatím máme tato čísla:
- Postiženo je více než 150 zemí.
- Ve svých souborech zaútočilo více než 200 000 lidí.
- Dosud bylo za vaše soubory „výkupné“ ztraceno více než 55 000 USD.
Nejhorší na tom všem je, že se obává, že hrozba bude stále narůstat. Když virus ovlivní naše soubory, můžeme vidět, že tyto, jak jsme zmínili, mají příponu .WNCRY:
Vidíme, že je vytvořen textový soubor s názvem @ Please_Read_Me @, kde uvidíme pokyny dané útočníkem:
ZVĚTŠIT
Můžeme vidět následující:
Všechno je zaměřeno na to, abychom zaplatili minimální částku, která je 300 USD za obnovení našich informací, protože klíč, který nám umožňuje dešifrovat data, není hostován lokálně, ale je na serverech útočníka.
Tento virus útočí na počítače s operačními systémy Windows ve všech jeho verzích:
- Windows 7, 8.1
- Windows 10
- Windows Vista SP2
- Windows Server 2008/2012/2016
Společnost Solvetic chce tento problém hluboce analyzovat, aby každý z nich nebyl jednou další obětí tohoto masivního útoku na celém světě, a proto se snažíme pokračovat v podrobném popisu proměnných, které se objevují, a některých způsobů, jak bude možné tuto hrozbu z našeho počítače eliminovat. …
Doporučení již byla podrobně uvedena v jiných částech nad tímto manuálem, my však uvádíme ta zásadní.
- Udržujte naše operační systémy aktualizované.
- Neotvírejte podezřelé e -maily.
- Vyhněte se stahování položek z webů P2P.
- Nainstalujte si antivirové nástroje.
- Pokud máme podezření na neobvyklou aktivitu, musíme zařízení okamžitě odpojit od sítě.
Jak se Wanna Decryptor 2.0 šíří
To je základní otázka, kterou si mnoho uživatelů pokládá, protože obecně jsme opatrní s informacemi, se kterými nakládáme, nebo se stránkami, které navštěvujeme. Tento virus se šíří masivně a jako výchozí bod pomocí e -mailů.
Přestože jsme o tomto tématu hodně hovořili, je běžné a nijak se neliší, abychom se mohli nakazit, když v našem zásobníku spamu vidíme různá oznámení, například:
- Právní oznámení jakéhokoli orgánu, které uvádí, že příčinu výzvy nalezneme v příloze.
- Zprávy z našich sociálních sítí naznačující, že máme nové zprávy.
- Žádost finančních subjektů o aktualizaci informací atd.
Jak zjistit, zda je Wanna Decryptor 2.0 Ransomware
Důvod je velmi jednoduchý. Jakýkoli virus, který brání normálnímu přístupu k našim informacím nebo našemu vybavení a požaduje za přístup jakoukoli částku peněz, je klasifikován jako Ransomware.
Wanna Decryptor 2.0 útočí na následující rozšíření jejich úpravou na příponu .WNCRY. Základním cílem Wanna Decryptor je šifrování důležitých souborů, které jsou velmi užitečné pro každého uživatele nebo společnost, například následující:
- Rozšíření kancelářských aplikací: .ppt, .doc, .docx, .xlsx, .sx
- Rozšíření aplikace: .zip, .rar, .tar, .bz2, .mp4, .mkv
- Rozšíření databáze: .sql, .accdb, .mdb, .dbf, .odb, .myd
- Přípony pošty: .eml, .msg, .ost, .pst, .edb
- Rozšíření pro vývojáře: .php, .java, .cpp, .pas, .asm
- Šifrovací klíče a rozšíření certifikátů: .key, .pfx, .pem, .p12, .csr, .gpg, .aes
- Rozšíření grafického designu: vsd, .odg, .raw, .nef, .svg, .psd
- Rozšíření virtuálních počítačů: .vmx, .vmdk, .vdi
Jak vidíme, hrozba je skrytá a široká. Zejména se zabýváme těmi, které ovlivňují hlavní servery, jako jsou databázová rozšíření, virtuální stroje, důležité serverové soubory jako .php, .java atd. To může způsobit zastavení možná ještě rozsáhlejší než obnovení nejjednodušších souborů, jako jsou xlsx, pdf, docx atd.
Opakujeme, že se to bude i nadále vyvíjet a zlepšovat. Nikdy tedy nepodceňme váš postup.
Podrobně vysvětlíme, jaký proces Wanna Decryptor 2.0 provádí, aby převzal kontrolu nad našimi soubory.
- Virus nejprve zapíše složku s náhodnými znaky do cesty C: \ ProgramData s názvem tasksche.exe nebo v cestě C: \ Windows s názvem mssecsvc.exe a tyaskche.exe.
- Jakmile budou tyto složky zapsány, virus dá těmto souborům plnou kontrolu provedením následujícího:
Icacls. / udělit všem: F / T / C / Q
- Pro jeho provedení pak použijte následující skript: XXXXXXXXXXXXXXX.bat (Změňte X pro čísla a / nebo písmena)
- Bude používat své hash nebo kryptografické algoritmy z Wanna Decryptor 2.0. V tuto chvíli můžeme použít nástroje, jako je antivirus nebo antimalware, k vyhledání těchto hashů a k jejich odstranění ze systému.
- Chcete -li převzít plnou kontrolu, Wanna Decryptor 2.0 používá skryté služby TOR s příponou .onion následujícím způsobem:
jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onionTímto způsobem uvidíme, jak analyzuje všechny naše dostupné jednotky, dokud nenajdeme výše uvedené přípony souborů a nebudeme pokračovat v jejich šifrování a příslušné platbě. Jak jsme řekli v jiných verzích o tom, zda je možné dešifrovat soubory šifrované pomocí Wanna Decryptor 2.0 … znovu vám řekneme, že odpověď je ne vzhledem k úrovni šifrování použitého v procesu AES-265 s metodou šifrování RSA což je úplné a neexistuje žádný nástroj, včetně hrubé síly, schopný data dešifrovat.
Proto, jak jsme již řekli v jiných částech, jsme nuceni obnovit informace jinými způsoby, například:
- Obnovte informace, které byly zašifrovány z dříve vytvořených záložních kopií.
- Obnovte původní informace, které byly odstraněny po šifrování rádiem decryptor 2.0. Když na nás zaútočil Wanna Decryptor 2.0, nejprve vytvoří kopii souborů, poté je zašifruje a později odstraní původní, přičemž bude mít plnou kontrolu. (Viz část o nástrojích pro ochranu a obnovu dat)
- Použijte dříve Shadow Explorer a budeme mít možnost zachránit smazané soubory z chráněných svazků (Odkaz na stažení máte v sekci doporučení, abyste se ochránili před ransomwarem).
Při eliminaci postupujte podle schématu vysvětleného dříve v části WannaCry, vstupte do nouzového režimu, zkontrolujte určité složky, ve kterých je hostován, eliminujte provádění služeb a programů při spuštění systému Windows a analyzujte pomocí nejmodernějšího nástroje proti malwaru, který se vám líbí (MalwareBytes „Hitman Pro, Windows Defender Offline je několik z mnoha, které máme pro toto skenování k dispozici).
Konečně, pokud chcete v reálném čase vědět, jaký je aktuální stav Wanna Decryptor 2.0, a být si vědomi průběhu tohoto útoku s podrobnostmi, jako jsou infikované počítače a uživatelé, země, kde byl virus mimo jiné hostován, můžeme přejděte na následující odkaz:
Budeme sledovat toto:
ZVĚTŠIT
Tam uvidíme graf s příslušnými ovlivněnými weby, celkově ovlivněnými počítači atd. Ve spodní části uvidíme grafy toho, jak se tento útok celosvětově zvýšil:
ZVĚTŠIT
Doporučujeme dodržovat tyto tipy a udržovat záložní kopie nejrelevantnějších informací aktuální.
Viděli jsme, jak jsme v nejistém světě, který může kdykoli ovlivnit náš život, ale pokud budeme opatrní a opatrní, určitě nebudeme další obětí ransomwaru, protože veškerá naše bezpečnost závisí na nás.
Zde najdete další návody a články o zabezpečení. Žádáme pouze, abyste sdíleli tento návod, abychom byli všichni ve střehu a trochu bezpečnější tváří v tvář hrozbám, kterým jsme denně vystaveni při používání internetu. Budeme pokračovat v každodenních cvičeních pro vás všechny. Buďte ve společnosti Solvetic pozorní v oblasti IT a technologických řešení, nejen z hlediska zabezpečení, ale ve všech oborech a úrovních.
