Hva er Ransomware (blant annet WannaCry) og hvordan du beskytter deg selv

Hva er Ransomware (blant annet WannaCry) og hvordan du beskytter deg selv | Sikkerhet 2024
Hva er Ransomware (blant annet WannaCry) og hvordan du beskytter deg selv | Sikkerhet 2024

I en verden der vi befinner oss mer og mer online (hver dag med mer kraft) hvor mange av oss føler oss veldig komfortable med måten vi kan utføre våre daglige oppgaver på digitalt. Vi må forstå at alt dette forandrer livene til oss alle fordi vi er helt avhengige av denne digitale verden på alle nivåer som næringslivet, grunnleggende offentlige systemer som er nødvendige for ethvert land og til og med personlig hjemmefra.

På godt og vondt må vi være klar over farene som truer oss, siden det for eksempel i dag ikke er nødvendig å gå til et bankkontor for å gjøre bevegelser, men alt gjøres gjennom enhetens plattform. Vi bruker ikke lenger korrespondanse tjenester siden vi bruker sosiale nettverk, chat -meldinger og e -post, og er tilkoblet 24 timer i døgnet via mobiltelefoner og datamaskiner.

Alt henger sammen med et klikk for å bli oppdatert, slik at folk vet hva, hvordan eller hvor vi er, blant andre funksjoner og oppgaver. Det vi ikke spør oss selv er, Hvor trygge er vi i denne online verdenen?, svaret er enkelt, veldig lite sikkert.

Grunnen til dette er at etter hvert som alternativene for å gjøre alt på nettet vokser, inkludert våre daglige oppgaver, så øker inntrengere, angrep, datavirus, etc. Alle blir mottatt på forskjellige måter og på flere plattformer, der selv om vi ikke har millioner av euro eller dollar på bankkontoen vår eller vi blir anerkjent over hele verden, er vi tilbøyelige til å bli angrepet på forskjellige måter.

Det er derfor vi i dag på Solvetic fokuserer på å forklare en av truslene som er på alles lepper på grunn av angrepene over hele verden, som selv om det ikke er nytt som mange tror, ​​tar en boom med stormskritt og som vi må være oppmerksom på all nødvendig omsorg.

Denne trusselen kalles Ransomware og vi håper at øyeblikket du leser denne artikkelen fra din side ikke er fordi du allerede har falt inn i det, spesielt slik at du kan beskytte deg selv litt mer, enten du er et selskap eller en normal person som ønsker å unngå så mye som mulig denne og andre lignende trusler.

Målet vårt er at hver bruker eller selskap skal ta de nødvendige tiltakene for å unngå å bli offer for dette angrepet og alltid være ansvarlig for alt vi gjør på nettverket.

Hva er RansomwarePå samme måte som det er kidnapping av mennesker for økonomiske formål, i IT -verdenen ransomware har blitt et datakaprerangrep Siden dette angrepet i utgangspunktet får tilgang til datamaskinen vår, krypterer all informasjon og krever en viss sum penger for gjenoppretting, er det så enkelt.

Opprinnelsen til navnet "Ransomware" kommer fra kombinasjonen av to ord:

  • Løsepenger (kidnapping)
  • ware (programvare)

Dette angrepet, også kjent som rogueware eller scareware, har påvirket brukere siden 2005. Selv om det har utviklet seg, vises forskjellige typer, perfeksjonerer og finner svakheter der det lett kan spre seg. Vi gir deg en video som forklarer det for deg på en eksepsjonell måte for å forstå det på alle nivåer.

Hvordan Ransomware fungererRansomware bruker en rekke trinn der dessverre den første blir gitt av offeret når den utføres, disse trinnene er:

  • Systemskanning via USB -stasjoner, svindel -e -post, etc.
  • Installasjon på systemet når den infiserte filen kjører.
  • Valg av filer som skal krypteres.
  • Kryptering av utvalgte data som for tiden bruker 2048-biters RSA.
  • Meldinger til offeret ved å bruke forskjellige alternativer fra e -post til talemeldinger
  • Venter på betaling med blant annet bitcoins, MoneyPak, Ukash og cashU.
  • Sender krypteringsnøklene til offeret, men dette er ikke 100% sikkert. (Vi kan si at de IKKE sender det til deg, vi anbefaler ikke å betale).

Som vi kan se, er det en kjede som vi selv kan bryte fra begynnelsen. I verden av internett og digital bør folk bli lært at det er mye bedre å alltid tenke dårlig, og du vil ha rett. Vær forsiktig og ikke vær en av dem som med glede åpner et vedlegg du mottar, eller går inn på et nettsted og installerer et program uten å nøle.

1. Typer Ransomware -angrep


Det er noen typer angrep kjent over hele verden, for eksempel:

WannaCry ransomwareDette er I det siste mer kjent ransomware fordi den har utført angrep på mange lag med selskaper og mennesker over hele verden. Det er en kryptografisk ransomware, men det er verdt å katalogisere det på sidelinjen, siden det har kommet ut som du vet i nyhetene over hele verden, på grunn av angrep utført i mange forskjellige land. Det er viktig å kommentere at dette ikke er nytt som mange tror, ​​siden det har vært matlaging i mange lag lenge. Du kan se på bildet nedenfor hvor de blir utført.

Det er mange farlige virus og angrep på Internett, men WannaCry ransomware er en av de verste.

I utgangspunktet kan vi si at vi anser det som et av de verste fordi det utfører en ren kryptering av flere veldig viktige filer med en kraftig algoritme og nøkkel, noe som gjør det veldig vanskelig å ha dem igjen. Det er også viktig å påpeke den enkle utførelsen den må overføre og kjøre den på alle nettverksstasjoner.

Vil gråte Decryptor trenger inn i datamaskinen din, spesielt via e -post, og når du kjører den uten å innse den, krypterer den informasjonen. Det alvorlige er at når alle filene på datamaskinen er kryptert, blir de replikert over nettverket til andre servere, datamaskiner, etc. Alt du har koblet til nettverksstasjoner kan også krypteres. Så det er normalt at når en datamaskin er infisert, sprer den seg til praktisk talt alle på nettverket.

For replikering drar den fordel av hull i systemene, spesielt i Windows. Så det anbefales at du alltid holder dem oppdatert med alle oppdateringene, for å unngå at det er så enkelt å replikere fra den ene siden til den andre.

Denne oppførselen forklarer hvorfor det anbefales å koble fra datamaskinene slik at den ikke fortsetter å kryptere og spre seg. Av denne grunn, i tilfelle de blir infisert internt, er det første som bedrifter generelt ber om å slå av og koble fra alle datamaskiner, alt slik at de ikke fortsetter å kryptere filer og øke problemet. De må finne kilden og gjenopprette alle berørte datamaskiner og servere.

Kryptering av filene dine er en svært etterspurt teknikk for å beskytte personvernet til dine mest konfidensielle filer. Dette angrepet bruker veldig sterke krypteringsalgoritmer, som ikke kan brytes hvis du ikke har nøkkelen. Nå senere går vi dypere inn på denne typen Ransomware.

Crypto ransomwareDenne typen angrep bruker avanserte nivåalgoritmer, og hovedfunksjonen er å blokkere systemfiler hvor vi må betale en sum, noen ganger høy, penger for å få tilgang til dem.

Innenfor denne typen finner vi CryptoLocker, Locky, TorrentLocker, også WannaCry etc.

MBR ransomwareVi vet at MBR (Master Boot Record) administrerer oppstarten av operativsystemet, og denne typen angrep er ansvarlig for å endre verdiene for oppstartssektorene for å forhindre at brukeren starter operativsystemet normalt.

WinlockerDette angrepet er basert på SMS, tekstmeldinger, der det krever sending av en tekstmelding til et betalingssted med en tildelt kode for å låse opp filene.

StikksagDette angrepet er ansvarlig for periodisk sletting av filer slik at offeret føler presset til å betale løsepenger for ikke å miste mer verdifull informasjon.

Med dette angrepet hver time elimineres en fil fra datamaskinen til betalingen er utført, og som en ekstra, men ikke oppmuntrende detalj, fjerner stikksag opptil tusen filer fra systemet hver gang datamaskinen starter på nytt og får tilgang til operativsystemet.

KimcilwareMed dette angrepet blir vi ofre for datakryptering på våre webservere, og for dette bruker det sårbarhetene til serveren og krypterer dermed databaser og filer som ligger der, og fastslår ikke-aktivitet på nettstedet.

MaktubDette er et angrep som sprer seg gjennom uredelige e -poster og komprimerer de berørte filene før de krypteres.

Dens utseende er som en PDF- eller tekstfil, men når den kjøres, i bakgrunnen uten at vi er klar over det, er det installert på datamaskinen, og det kreves vanligvis store summer for datagjenoppretting.

SimpleLocker, Linux.Encoder.1 og KeRangerDisse angrepene oppfyller i utgangspunktet sin rolle på mobile og PC -enheter for å blokkere innholdet. SimpleLocker påvirker SD -kortet til Android -enheter ved å kryptere filer. Linux.Encoder.1 og KeRanger håndterer datakryptering på Linux- og Mac OS -operativsystemer.

CerberDet kan være en av de mest fryktsomme brukerne, spesielt Windows -systemer, siden dette angrepet får tilgang til lyden fra operativsystemet for å sende ut meldinger, og ikke riktig motiverende eller de siste nyhetene fra Microsoft.

Dette angrepet genererer en VBS -fil kalt " # DECRYPT MY FILES # .vbs" som er på 12 forskjellige språk og sender ut truende meldinger og ber om betaling for datagjenoppretting.

Som du kan se, finner vi forskjellige typer ransomware -angrep (Husk at det er og vil være mange flere typer) som gjør det til en latent trussel, og hvis vi fortsatt ikke tror det, la oss se på disse dataene, vil det fortsette å stige veldig raskt:

  • Det er rundt 500 000 ofre for Cryptolocker -angrepet i verden.
  • En organisasjon i Sør -Amerika betalte rundt 2500 dollar for å hente dataene sine.
  • 1,44% av TorrentLocker -offerbrukerne har betalt løsepenger.
  • Over hele verden pågår angrep med WannaCry-typen, hvor mengden som er samlet inn så langt sies å ligge på mellom rundt 7.500-25.000 dollar. (Ikke betal).

Slik sa vi i begynnelsen Vi anbefaler ikke å betale denne løsepengen for krypteringsnøkkelen som brukes. Det er ikke 100% bekreftet at de kommer til å gi det til deg, og husk at du vil oppmuntre flere cyberkriminelle til å dukke opp når du ser at det er en saftig "virksomhet" for dem. Husk også at det kan være visse mer praktiske løsninger som vi forklarer i de følgende avsnittene.

Vi har snakket om teknologiens fremskritt, men ransomware har også utviklet seg, siden det i dag er angrepet PHP Ransomware eller WannaCry Ransomware, som krypterer alle viktige data og i noen tilfeller uten å be om løsepenger eller betaling for de krypterte dataene, blant annet filer med følgende utvidelser:

zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso blant annet som vi beskriver i de følgende avsnittene.

Husk at de vil øke eller variere, og derfor er det ikke godt å tro at en bestemt filtype er gratis for å bli "kapret".

2. Ransomware -mål


Selv om mange ransomware -angrep forekommer på organisasjonsnivå der informasjonen er mye mer sensitiv og konfidensiell, setter ikke angriperne som lager disse virusene grenser, hjemmebrukere er også et svakt punkt av årsaker som:
  • Lite eller ingen kunnskap om datasikkerhet.
  • Har ikke antivirusprogrammer på operativsystemene.
  • Ha åpne og usikre nettverk.
  • Ikke opprett konstant sikkerhetskopiering av informasjonen.
  • Ikke oppdater operativsystemet og sikkerhetsprogrammene med jevne mellomrom.
  • For feil bruk av internettjenester.

Vi har kanskje ikke verdifull informasjon, men hvis vi har det ofre for kryptering av informasjonen vår Uten tvil vil vi være ofre der det vil påvirke oss å kunne fortsette vår daglige drift på en normal måte, for eksempel på utdannings-, personlig eller forretningsnivå.

Skaperne av ransomware har heller ikke blitt glemt, faktisk er de nummer 1 -målet, siden de med seg får følgende fordeler:

  • De er der de kan gjøre mest skade, med et saftig økonomisk potensial for dem å betale løsepenger.
  • Økt ustabilitet ved kryptering av sensitiv lønn, økonomi, HR, etc.
  • Mulighet for å påvirke et større antall utstyr og tjenester.
  • Sårbarheter presentert på serverne eller klientdatamaskinene.
  • For å destabilisere viktige punkter i land, og hvis du ikke tror dette, kan du se på de siste nyhetene der London sykehus, selskaper som Telefónica i Spania etc. har blitt påvirket.

Vi kan bekrefte at dette er nytt verdenskrigsformatDet er ikke skyting av bomber, men det kan være det samme eller mer smertefullt enn vi forestiller oss.

Teknikker for å spre RansomwareSom vi har sett tidligere, er det forskjellige typer ransomware -angrep, og noen av teknikkene som brukes for å spre dem er:

  • Sender falske e -poster.
  • Nettdirigering til falske nettsteder.
  • Tekstmeldinger.
  • Sårbarheter funnet på sikkerhetsnivå på servere eller klientdatamaskiner.
  • Ondsinnede annonsekampanjer.
  • Juridiske nettsteder som har ondsinnet kode i innholdet.
  • Automatisk forplantning mellom enheter.

3. Anbefalinger for å beskytte oss mot Ransomware malware


Gitt at ransomware tar så mye kraft og det er veldig lett å være ofre, er det en rekke alternativer som vil hjelpe oss til å være oppmerksomme på denne typen angrep og unngå å være et annet offer. Noen tips er:

Lag en sikkerhetskopiVi kan fortelle deg at det er det viktigste å gjøre både i organisasjoner og på et personlig plan. Å ha en sikkerhetskopi, redder oss fra problemer, ikke bare fra skadelig programvare, virus og angrep, det beskytter oss også mot fysiske maskinvarefeil som kan oppstå på disker, datamaskiner, servere, etc. Derfor sikkerhetskopiering er nødvendig og viktig.

Det er en løsning som skal implementeres kontinuerlig og om mulig på disker og eksterne stasjoner, eller du har muligheten (på et personlig nivå) til å gjøre det på steder som skyen, Dropbox, OneDrive, etc., men hva vi anbefaler de fleste er også servere eller eksterne stasjoner vi vil alltid ha tilgjengeligheten og integriteten til filene.

Det er viktig å fortelle deg at det bør tas i betraktning at denne malware (ormen) Ransomware perfekt angriper og også krypterer i enhetene du har koblet til i det øyeblikket, inkludert de i skyen, så husk å koble fra tilkoblingen og ikke alltid ha den tilkoblet hvis ikke Du bruker den.

Vi har sett hvordan dette angrepet av WannaCry ransomware (og andre tidligere versjoner) vil utføre en kryptering av tilkoblinger i skyen til datamaskinene som ble infisert. De ble replikert i Dropbox-, Google Drive- eller OneDrive -kontoene, fordi det å være tilkoblet som en nettverksstasjon perfekt også kunne se disse filene og derfor også bli kryptert og slettet. Den gode delen er at i disse systemene har du muligheten til også å gjenopprette dataene, siden dataene dine først var kryptert i skyen, slettet de også de originale filene, så hvis du har blitt infisert i skyen, ikke bekymre deg, det er mulig å gjenopprette dem ved å følge denne opplæringen.

Vi lar deg her de beste måtene å ta sikkerhetskopier, sikkerhetskopier i de forskjellige systemene vi kan ha. Informasjonen din kommer først, tenk deg hva som ville skje i tilfelle du mister den. Hvis det er viktig, ikke nøl med og ta hyppige sikkerhetskopier.

Vi gir deg flere gratis alternativer for sikkerhetskopieringsprogrammer på Windows, Linux eller Mac.

Se filtypeneDette er et grunnleggende aspekt siden de infiserte filene er kjørbare, .exe og er kamuflert som PDF-, DOC-, XLS -filer, etc., slik at når vi aktiverer alternativet for å se utvidelsene, vet vi om en fil er Solvetic.pdf eller Solvetic. Pdf.exe (infisert).

Ikke åpne mistenkelige eller ukjente e -posterDessverre lar vi oss rive med av opptredener og åpne falske e -postmeldinger fra banken vår, sosiale nettverk, fakturaer med PDF eller Excel -vedlegg med makroer, etc. og bak den kommer den infiserte filen.

Mange ganger mottar vi meldinger fra offisielle enheter som indikerer at vi har juridiske problemer, eller fra banken som ber om oppføring av informasjonen, andre indikerer at vi har talemeldinger osv., Men alle har et vedlegg som de forventer at vi klikker på på, i bakgrunnen, infisere datamaskinen.

Vi gjentar, veldig forsiktig i vedleggene som vi åpner, som standard bør du alltid være mistenksom. I den minste tvil anbefaler vi at du ikke åpner eller sjekker dette før du gjør det:

  • Se forsendelsens e -postadresse i sin helhet (ikke bare det falske navnet de legger inn).
  • Se typen og utvidelsen av vedlegget. Selv om avsenderen er kjent, kan han ha blitt infisert og videresende skadelig programvare eller virus med kontoen sin automatisk til hele kontaktlisten. (du er et mulig offer).
  • Se teksten og emnet i meldingen godt før du åpner.
  • Kontroller avsenderens IP-adresse og sjekk opprinnelseslandet for adressen, og angi IP-adressen fra et web som geografisk lokaliseres raskt og komfortabelt.

Hvis du mistro minst, må du ikke åpne den. Det er bedre å ikke være forsiktig og slette den enn å bli smittet. Vær oppmerksom på spam -meldingene som e -postbehandleren din kan gi deg.

FORSTØRRE

Filtrer .exe -utvidelser i e -postHvis du har e -postservere som tillater filtrering av filtyper, er det ideelt det La oss filtrere alle e -postmeldinger som inneholder .exe -utvidelsen siden disse kan være infiserte filer for å stjele vår personlige informasjon.

Deaktiver filer som er kjørt fra AppData eller LocalAppData -banenHvis vi bruker Windows -operativsystemer, kan vi lage regler i brannmuren og åpne eller lukke porter som forhindrer utførelse av programmer fra AppData- eller LocalAppData -banen siden det er et av nettstedene der Cryptolocker, blant andre typer Ransomware, installerer din infeksjoner. Hvis du er en Windows Server -systemadministrator, kan du bruke GPO -er på brannmurene på alle maskinene i nettverket.

Konstant systemoppdateringUtviklerne av operativsystemer og antivirus-, antimalware- og sikkerhetsprogrammer generelt, slipper med jevne mellomrom nye oppdateringer som inkluderer forbedringer i sikkerhetsfeil, og dette kan hjelpe oss med å unngå å bli ofre for ransomware.

Husk at det er nødvendig og viktig oppdater operativsystemet og også sikkerhetsprogrammene.

Hvis du er systemadministrator og du administrerer selskaper med blant annet Windows Server -servere. Husk at du kan kontrollere oppdateringene av alle datamaskinene i bedriften din via serveren med WSUS og tvinge dem til å bestemme ved å sette tidsplaner som interesserer deg for å alltid bli oppdatert.

Bruk blokkeringsprogrammer for tilleggMange ondsinnede nettsteder lager popup-vinduer som krever at du klikker på dem for å kunne lukke dem, og i denne prosessen kan vi befinne oss før nedlasting og installasjon av en latent ransomware-trussel. De er allerede integrert i de fleste nettlesere, og det er mulig å aktivere dem i sikkerhetsalternativene.

Bruken av disse programmene forhindrer at disse vinduene blir vist, og dermed oppnår vi et sikkerhetsnivå i systemene våre.

Deaktiver RDPRDP (Remote Desktop Protocol) tillater ekstern tilkobling til andre datamaskiner enten for å gi assistanse eller støtte, men Ransomware kan bruke denne protokollen, nærmere bestemt Cryptolocker, WannaCry etc. for å få tilgang til datamaskiner og infisere dem, derav viktigheten av å forhindre at denne protokollen aktiveres hvis den ikke brukes.

Denne opplæringen viser hvordan du aktiverer RDP (eksternt skrivebord) i Windows 10, 8, 7. Bare følg trinnene som forklarer det, men la det være deaktivert under kontrollen eller avkryssingen.

Koble fra nettverketVed utførelse av en mistenkelig fil, bør vi ikke vente til installasjonsprosessen er fullført siden vi ikke vet hvilket formål den vil ha, i dette tilfellet er det mest forsiktige og ansvarlige å koble fra nettverket, Wi-Fi umiddelbart eller Ethernet, med dette for å forhindre kommunikasjon med serveren som kan introdusere viruset.

Vi kan deaktivere WiFi direkte eller fjerne RJ45 -kabelen som vi har koblet til utstyret.

Deaktiver kjøring av makroer i OfficeDette er en av de vanligste måtene for ransomware å infisere og kjøre. Hvis du ikke er et avansert nivå der du bruker makroer i Microsoft Excel, Word, PowerPoint eller Outlook (I forretningsteam er det bedre å deaktivere dem som standard), anbefaler vi at du deaktiverer dem.

Disse makroene settes inn i en enkel .docx- eller .xlsx -fil eller e -postmeldinger der du ved å åpne den kan kjøre denne typen ransomware eller en annen type skadelig programvare eller virus.

Følg disse trinnene for å deaktivere dem:

  • Deaktiver Outlook -makroer
  • Deaktiver makroer Word, Excel og PowerPoint

Her gir vi deg mer offisiell Microsoft -informasjon om dette problemet og administrasjonen av Office -sikkerhetsinnstillinger.

PortblokkeringVi vet at porter i et operativsystem tillater eller ikke kommunikasjon mellom den lokale datamaskinen og det eksterne nettverket.

Det er en god praksis, hvis vi administrerer servere spesielt, å blokkere portene:

  • UDP 137, 138
  • TCP 139, 445 eller deaktiver SMBv1.

I følgende Microsoft -lenke finner vi hvordan du utfører denne prosessen trygt:

Bruk ShadowExplorerMålet med Wanna Decryptor 2.0 er å fjerne alle system snapshots så snart en .exe -fil kjøres etter infeksjon.

ShadowExplorer lar oss skjule disse øyeblikksbildene av Wanna Decryptor -angrepet og dermed ha en pålitelig sikkerhetskopi i tilfelle angrep.

Dette verktøyet kan lastes ned på følgende lenke:

4. Verktøy for å beskytte eller gjenopprette krypterte filer fra Ransomware

Microsoft har gitt ut en uttalelse om Løsesum: Win32.WannaCrypt der han kommenterer at alle brukere som bruker gratis Windows antivirusprogramvare eller har Windows Update -systemet aktivt og oppdatert til den nyeste versjonen, er beskyttet.

De anbefaler at de som har anti-malware programvare fra en hvilken som helst annen leverandør, kontakter dem for å bekrefte statusen til beskyttelsen.

En god ting er at Microsoft også har lagt ut en sikkerhetsoppdatering tidligere WannaCrypt ransomware tilgjengelig for alle som har ikke -støttede versjoner av Windows, for eksempel Windows XP, Windows 8 og Windows Server 2003. Last ned og installer nå for å beskytte deg selv!

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86

Hvis du vil se andre systemer, for eksempel Windows Vista eller Windows Server 2008, kan du sjekke denne lenken til søkemotoren for Microsoft Windows -sikkerhetsoppdateringer. Du vil se at denne oppdateringen refereres til (KB4012598).

Her er en offisiell Microsoft -guide for WannaCrypt ransomware -angrep.

I tillegg til alt dette, tilbyr utviklere av sikkerhetsprogrammer oss muligheten til å laste ned flere verktøy gratis som vil være avgjørende for å oppdage eller dekryptere krypterte filer, åpenbart ikke gyldige for alle typer Ransomware, men de vil fortsette å vokse siden de som beskytter i IT -sikkerhet de også fremme og tilbyr løsninger. Husk at den mest effektive måten er å gjenopprette filene som har kryptert oss fra sikkerhetskopien vi har tatt, men vi gir deg noen publiserte verktøy for å kunne dekryptere den:

  • Løsning for Alcatraz Ransomware: Last ned
  • Apocalypse Ransomware Solution: Last ned
  • BadBlock Ransomware -løsning: Last ned
  • Crypt888 Ransomware Solution: Last ned
  • Legion Ransomware Solution: Last ned
  • Nedlasting av Cryptolocker Ransomware -løsning

Her kan du se noen løsningsalternativer for å dekryptere flere typer Ransomware for å gjenopprette informasjonen din.

  • Karspersky Ransomware -verktøy
  • Avast verktøy for ransomware
  • Wanakiwi (verktøy som hjelper til med å dekryptere WannaCry, husk å ikke starte på nytt når du har blitt infisert og start dette verktøyet. Du vil kunne gjenopprette informasjon i Windows XP, Windows 7 og Windows Server 2003, 2008).

Som beskyttelse må vi ta hensyn til det anti-malware er en grunnleggende som alle datamaskiner bør ha bortsett fra et godt antivirus. Som en anbefaling av anti-malware-verktøy anbefaler vi:

  • Kaspersky WindowsUnlocker: Last ned
  • Malwarebytes 3.0: Last ned
  • OSHI Defender: Last ned
  • Hitman Pro: Last ned
  • BitDefender Anti-Crypto. nedlasting
  • Trendmicro Ransomware Screen Unlocker: Last ned
  • Microsoft Enhanced verktøysett for lindring og erfaring (EMET): Last ned

Vi gir deg også anti-malware for Linux og Mac:

  • LMD / Clamav (Linux)
  • Den beste anti-malware (Mac)

Som et ekstra verktøy fokusert på beskyttelse mot WannaCry Ransomware, vi anbefaler NoMoreCry Tool av CCN-CERTs verktøy fordi det tillater det forhindre utførelse av WannaCry Ransomware.

Vi må takke dem for dette flotte bidraget fra CCN-CERT (CNI).

Dette verktøyet fungerer på alle versjoner av Windows og er tilgjengelig for bruk av alle selskaper. Det den gjør er å lage en mutex (algoritme for gjensidig utelukkelse) på datamaskinen der du installerer den og forhindrer kjøring av den ondsinnede WannaCry 2.0 -koden.

CCN-CERT NoMoreCry Tool ligger i CCN-CERT-skyen, LORETO. Du finner et utfyllende script som forhindrer kjøring av skadelig programvare på Windows -datamaskiner (alle versjoner, både engelsk og spansk).

Vi laster bare ned filen NoMoreCry_mutex Y NoMoreCry-v0.4.exe (versjoner vil bli oppdatert). Og begge filene må være i samme mappe.

Når du utfører det, vises følgende melding:

Husk at hver gang du logger deg på må du kjøre den igjen. CCN-CERT indikerer at verktøyet skal kjøres etter hver omstart. Så vi anbefaler å inkludere det ved oppstart av Windows (hvis det er for noen med en personlig datamaskin). Det ville ganske enkelt være å legge til dette verktøyet med den kjørbare snarveien i oppstartsprogrammappen:

  • + R
  • Skriver: shell: oppstart og trykk Enter.
  • Lim inn snarveien for dette verktøyet her.

Du har det også i. MSI for å sette det i GPO. (Det for sysadmins). Denne prosessen kan også automatiseres ved å endre Windows -registret eller ved å implementere GPO -retningslinjer i domenet.

Som en siste anbefaling av beskyttelsesverktøy. Selvfølgelig, la oss ikke glemme å ha et antivirus installert i de forskjellige operativsystemene vi har. I disse koblingene setter vi det beste av dette året og fremfor alt gratis, hvis du ikke beskytter deg selv, er det fordi du ikke vil.

  • Gratis antivirus -Windows
  • Gratis Linux Antivirus
  • Gratis Mac Antivirus

Sikkerhetsverktøyene har som mål å beskytte informasjonen vår mot ransomware, men grunnleggende det første trinnet i beskyttelsen er i oss fordi nye virus, trojanere, skadelig programvare, angrep osv. alltid vil vises.

Husk, og vi nevner igjen at i de fleste av disse ransomware etter å ha kryptert filene dine, slett også originalen, så hvis noen teknikker ikke fungerer og du har vært lite ansvarlig der du ikke har sikkerhetskopier av dataene dine, er det mulig å prøve å gjenopprette slettede filer fra datamaskinen din (når ransomware er eliminert som forklart i det følgende kapittel nedenfor).

For dette anbefaler vi at du har denne andre opplæringen med en samling gratis programmer for å gjenopprette slettede filer.

5. Slik fjerner og beskytter WannaCry Ransomware Attack

WannaCry er en av de siste ransomware som har spredt seg i verden og påvirker både organisasjoner og vanlige brukere ved å kryptere dataene sine og kreve store summer. Vi har snakket mye i denne opplæringen om denne typen ransomware, men i denne delen fokuserer vi på hvordan du kan eliminere det når vi har blitt infisert med det.

Hvis du er en av dem som plutselig viser vinduet med meldingen ovenfor, er du infisert:

WannaCry Ransomware Message (engelsk)
Oi, filene dine har blitt kryptert!

Hva skjedde med Min datamaskin?

Dine viktige filer er kryptert.

Mange av dine dokumenter, bilder, videoer, databaser og andre filer er ikke lenger tilgjengelige fordi de er kryptert. Kanskje du er opptatt av å lete etter en måte å gjenopprette filene dine, men ikke kast bort tiden din. Ingen kan gjenopprette filene dine uten dekrypteringstjeneste.

Kan jeg gjenopprette filene mine?

Sikker. Vi garanterer at du kan gjenopprette alle filene dine trygt og enkelt. (Men du har ikke så nok tid). Du kan prøve å dekryptere noen av filene dine gratis. Prøv nå ved å klikke. Hvis du vil dekryptere alle filene dine, må du betale.

Du har bare 3 dager på å sende inn betalingen. Etter det vil prisen bli doblet. Hvis du ikke betaler på 7 dager, vil du ikke kunne gjenopprette filene dine for alltid.

WannaCry Ransomware Message (spansk)
Oi, filene dine har blitt kryptert!

Hva skjedde med min PC?

Dine viktige filer er kryptert.

Mange av dine dokumenter, bilder, videoer, databaser og andre filer er ikke lenger tilgjengelige fordi de er kryptert. Kanskje du er opptatt av å lete etter en måte å få filene dine tilbake, men ikke kast bort tiden din. Ingen kan få filene dine tilbake uten dekrypteringstjenesten.

Kan jeg få filene mine tilbake?

Selvfølgelig. Vi garanterer at du kan gjenopprette alle filene dine trygt og enkelt. (Men du har ikke nok tid). Du kan prøve å dekryptere noen av filene dine gratis. Prøv nå ved å klikke. Hvis du vil dekryptere alle filene dine, må du betale.

Du har bare 3 dager på deg til å sende betalingen. Etter det vil prisen doble seg. Hvis du ikke betaler på 7 dager, vil du ikke kunne få filene dine tilbake for alltid.

Hvis du ser at din bedrift eller datamaskiner har denne ransomware, er det du må gjøre å stoppe alle datamaskinene slik at den ikke replikeres, og den fortsetter heller ikke å kryptere flere filer. Koble datamaskinene fra nettverket og trykk på Se dem for å oppdage opprinnelsen.

For å eliminere denne skadelige programvaren i et Windows 10 -miljø, vil vi utføre følgende prosess.

Merk følgendeHvis du ikke er på et avansert nivå, er det best å installere systemet på nytt og gjenopprette dataene fra en sikkerhetskopi for å sikre at du ikke fortsatt er infisert.

Trinn 1
Først av alt må vi få tilgang i sikker modus for å unngå oppstart av noen tjenester og prosesser, for å se hvordan vi får tilgang i sikker modus kan vi gå til følgende lenke:

Steg 2
For det andre må vi få tilgang til oppgavebehandling ved å høyreklikke på oppgavelinjen og velge det tilsvarende alternativet "Oppgavebehandling".

Når vi er der går vi til kategorien Prosesser, og vi må se på de prosessene som ikke virker normale for oss. Når vi har sett det, vil vi høyreklikke på det og velge alternativet "Åpne filplassering".

Denne filen kan skannes med antivirus- og / eller antimalware -programvaren vår fordi vi allerede kjenner banen, og derfor har vi tvil. Frem til dette punktet kan vi bestemme integriteten og påliteligheten til filen.

Hvis vi ikke oppnår resultater, kan vi gå til systemets hosts -fil og sjekke om vi er ofre.

For dette åpner vi Kjør -menyen: (+ R) og skriv inn følgende linje: 

 notisblokk% windir% / system32 / Drivers / etc / hosts
Dette vil vise vertsfilen. Hvis du merker at nye oppføringer vises nederst på andre eksterne IP -adresser enn 127.0.0.1 og du ikke kjenner dem, vil de se ut som de ble lagt til av ransomware -ormen.

Trinn 3
I tillegg til dette kan vi konsultere det programmer eller applikasjoner logger på systemoppstartSiden noen infiserte filer kan være fra starten, går vi til Startup -fanen i Oppgavebehandling og sjekker i detalj hvilke applikasjoner som starter med Windows 10:

Hvis du ser noe unormalt, bare velg det og klikk på Deaktiver -knappen. Vi anbefaler at du ser veiledningen som vi har lagt for deg fordi den lærer deg hvordan du håndterer den.

Trinn 4
Senere får vi tilgang til Windows 10 registerredigering ved hjelp av tastekombinasjonen + R og skriver inn kommandoen regedit.

Der går vi til Rediger / Søk eller bruker tastene Ctrl + F og i det viste vinduet vil vi se etter ransomware navn:

FORSTØRRE

Det er viktig å huske på å ikke slette ikke-virusregistre, da dette vil påvirke systemets stabilitet. Vi må slette alle virusposter på følgende steder:

  • % AppData%
  • % LocalAppData%
  • % ProgramData%
  • % WinDir%
  • % Temp%

På dette tidspunktet ville det være interessant å kunne kjøre applikasjoner for å analysere utstyret vårt. Vi anbefaler å gå gjennom det fjerde kapitlet i denne opplæringen "Verktøy for å beskytte eller gjenopprette krypterte filer fra Ransomware " siden vi kan finne verktøy som kan hjelpe til med å finne og løse dette angrepet. Vi må alltid ta hensyn til de kommenterte anbefalingene for å unngå å falle i fellen til en Ransomware.

Hvis du er en av dem som ikke har tatt en sikkerhetskopi, må du huske på at det kan være mulig å gjenopprette slettede data, fordi denne skadelige programvaren først krypterer filene dine og deretter sletter dem. Etter at du har fjernet denne ransomware, anbefaler vi å bruke slettede filgjenopprettingsverktøy. Noen kan du gjenopprette.

6. Slik fjerner og beskytter Wanna Decryptor 2.0 Ransomware -angrep


Fra 05/16/17 fortsetter vi å se mange nyheter om spredningen av det massive Ransomware -angrepet med et virus kalt Vil dekryptere0r 2.0 som ligger på datamaskinene og også krypterer informasjonen ved hjelp av en kombinasjon av RSA- og AES-128-CBC-algoritmer der de infiserte filene, som er kryptert, automatisk har utvidelse .WNCRY.

Så når vi prøver å få tilgang til datamaskinen eller noen av disse filene, vil vi motta en ikke så gledelig melding:

Målet med dette massive angrepet er å nå det høyeste antallet ofre, og så langt har vi disse tallene:

  • Mer enn 150 land er berørt.
  • Mer enn 200 000 mennesker angrep i sine filer.
  • Så langt har mer enn USD 55 000 gått tapt ved å betale "løsepenger" for filene dine.

Det verste med alt dette er at man frykter at trusselen vil fortsette å vokse. Når viruset påvirker filene våre, kan vi se at disse, som vi har nevnt, har utvidelsen .WNCRY:

Vi kan se at en tekstfil som heter @ Please_Read_Me @ er opprettet der vi vil se instruksjonene gitt av angriperen:

FORSTØRRE

Vi kan se følgende:

Alt er rettet mot at vi skal betale minimumsbeløpet, som er USD 300 for å gjenopprette informasjonen vår, siden nøkkelen som lar oss dekryptere dataene ikke er lokalisert, men er på angriperens servere.

Dette viruset angriper datamaskiner med Windows -operativsystemer i alle sine versjoner:

  • Windows 7, 8.1
  • Windows 10
  • Windows Vista SP2
  • Windows Server 2008/2012/2016

Solvetic ønsker å grundig analysere dette problemet for å forhindre at hver enkelt blir et offer for dette massive angrepet verden over, og det er derfor vi prøver å fortsette å detaljere variablene som vises og noen måter på hvordan det vil være mulig å eliminere denne trusselen fra datamaskinen vår …

Anbefalingene har allerede blitt gitt i detalj i andre seksjoner ovenfor denne håndboken, men vi angir de grunnleggende.

  • Hold operativsystemene våre oppdaterte.
  • Ikke åpne mistenkelige e -poster.
  • Unngå å laste ned varer fra P2P -sider.
  • Installer antivirusverktøy.
  • Hvis vi mistenker noen uvanlig aktivitet, må vi koble utstyret fra nettverket umiddelbart.

Hvordan Wanna Decryptor 2.0 sprer seg
Dette er det grunnleggende spørsmålet som mange brukere stiller oss selv siden vi generelt er forsiktige med informasjonen vi håndterer eller nettstedene vi besøker. Dette viruset sprer seg massivt, og som en grunnlinje, ved hjelp av e -post.

Selv om vi har snakket mye om emnet, er det vanlig og varierer ikke mye for å kunne bli smittet når vi ser forskjellige varsler i søppelpostbrettet vårt, for eksempel:

  • Juridiske varsler fra enhver myndighet som indikerer at vi finner årsaken til innkallingen vedlagt.
  • Meldinger fra våre sosiale nettverk som indikerer at vi har nye meldinger.
  • Forespørsel fra finansielle enheter om å oppdatere informasjon osv.

Hvordan vite om Wanna Decryptor 2.0 er Ransomware
Årsaken er veldig enkel, ethvert virus som forhindrer normal tilgang til informasjonen vår eller utstyret vårt og ber om et beløp for tilgang, er klassifisert som Ransomware.

Wanna Decryptor 2.0 angriper følgende utvidelser ved å endre dem til .WNCRY -utvidelsen. Det grunnleggende målet med Wanna Decryptor er å kryptere viktige filer som er veldig nyttige for hver bruker eller selskap, for eksempel følgende:

  • Utvidelser for Office -applikasjoner: .ppt, .doc, .docx, .xlsx, .sx
  • Applikasjonsutvidelser: .zip, .rar, .tar, .bz2, .mp4, .mkv
  • Databaseutvidelser: .sql, .accdb, .mdb, .dbf, .odb, .myd
  • Mailutvidelser: .eml, .msg, .ost, .pst, .edb
  • Utviklerutvidelser: .php, .java, .cpp, .pas, .asm
  • Krypteringsnøkler og sertifikatutvidelser: .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Utvidelser for grafisk design: vsd, .odg, .raw, .nef, .svg, .psd
  • Utvidelser for virtuelle maskiner: .vmx, .vmdk, .vdi

Som vi kan se, er trusselen latent og bred. Vi er spesielt opptatt av de som påvirker hovedserverne, for eksempel databaseutvidelser, virtuelle maskiner, viktige serverfiler som .php, .java etc. Det kan føre til et stopp kanskje enda mer omfattende enn de enkleste filene å gjenopprette, for eksempel xlsx, pdf, docx etc.

Vi gjentar at dette vil fortsette å utvikle seg og bli bedre. Så la oss aldri undervurdere din fremgang.

Vi vil forklare i detalj hvilken prosess Wanna Decryptor 2.0 utfører for å ta kontroll over filene våre.

  • Først skriver viruset en mappe med tilfeldige tegn i banen C: \ ProgramData med navnet taskche.exe eller i banen C: \ Windows med navnet mssecsvc.exe og duaskche.exe.
  • Når disse mappene er skrevet, vil viruset gi disse filene full kontroll ved å utføre følgende:
 Icacls. / gi alle: F / T / C / Q
  • Bruk deretter følgende skript for utførelsen: XXXXXXXXXXXXXX.bat (Endre X for tall og / eller bokstaver)
  • Den vil bruke hashes, eller krypto -algoritmer, fra Wanna Decryptor 2.0. På dette tidspunktet kan vi bruke verktøy som antivirus eller antimalware for å finne disse hasjene og fortsette med fjerningen fra systemet.
  • For å ta full kontroll bruker Wanna Decryptor 2.0 skjulte TOR -tjenester med .onion -utvidelsen som følger:
 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion
På denne måten vil vi se hvordan den analyserer alle våre tilgjengelige enheter til vi finner de nevnte filutvidelsene og fortsetter med deres kryptering og respektive betaling. Som vi sa i andre versjoner om det er mulig å dekryptere filer kryptert av Wanna Decryptor 2.0 … forteller vi deg igjen at svaret er nei på grunn av krypteringsnivået som ble brukt i prosessen med AES-265 med en RSA-krypteringsmetode som er komplett og det ikke er noe verktøy, inkludert brute force, som er i stand til å dekryptere dataene.

Derfor, som vi allerede har sagt i andre seksjoner, er vi tvunget til å gjenopprette informasjonen på andre måter, for eksempel:

  • Gjenopprett informasjonen som ble kryptert fra tidligere laget sikkerhetskopier.
  • Gjenopprett den opprinnelige informasjonen som er slettet etter kryptering av wanna decryptor 2.0. Når vi har blitt angrepet av Wanna Decryptor 2.0, oppretter den først en kopi av filene, deretter krypterer de dem og sletter senere de originale, og tar full kontroll. (Se avsnittet om databeskyttelses- og gjenopprettingsverktøy)
  • Bruk Shadow Explorer tidligere, så har vi muligheten til å redde slettede filer fra beskyttede volumer (Du har nedlastingskoblingen i anbefalingsdelen for å beskytte deg mot ransomware).

Som en eliminasjonsprosess følger du mønsteret som er forklart tidligere i WannaCry -delen, går inn i sikkermodus, sjekker bestemte mapper der den er plassert, eliminerer utførelsen av tjenester og programmer ved oppstart av Windows og analyserer med det mest antimalware -verktøyet du liker (MalwareBytes , Hitman Pro, Windows Defender Offline er flere av de mange vi har tilgjengelig for denne skanningen).

Til slutt, hvis du vil vite i sanntid hva som er nåværende status for Wanna Decryptor 2.0 og være klar over fremdriften for dette angrepet med detaljer som infiserte datamaskiner og brukere, land der viruset har vært blant annet, kan vi gå til følgende lenke:

Dette er det vi observerer:

FORSTØRRE

Der vil vi se grafen med de respektive berørte nettstedene, totalt berørte datamaskiner, etc. Nederst vil vi se grafene over hvordan dette angrepet har økt verden over:

FORSTØRRE

Vi anbefaler at du følger disse tipsene og holder sikkerhetskopier av den mest relevante informasjonen oppdatert.

Vi har sett hvordan vi er i en usikker verden som kan påvirke livene våre når som helst, men hvis vi er forsiktige og forsiktige, vil vi absolutt ikke være et nytt offer for ransomware siden all vår sikkerhet er avhengig av oss.

Her er flere opplæringsprogrammer og artikler om sikkerhet. Vi ber deg bare om å dele denne opplæringen slik at vi alle kan være på vakt og litt mer sikre i møte med truslene vi daglig utsettes for i bruk av Internett. Vi fortsetter daglige opplæringsprogrammer for dere alle. Vær oppmerksom på Solvetic for IT- og teknologiløsninger, ikke bare for sikkerhet, men for alle felt og nivåer.

wave wave wave wave wave

Populære Innlegg

wave
1
post-title
Triks for å spare og forlenge batterilevetiden på Android
2
post-title
Hvordan beskytte Android og vite om jeg blir spionert på
3
post-title
▷ Steam åpnes ikke og fungerer ikke ✔️ LØSNING 2021
4
post-title
Konverter e -bøker online
5
post-title
▷ FORHÅND EXCEL ✔️ Windows 10 - Aktiver eller deaktiver

Anbefalt

wave
- Sponsored Ad -

Redaksjonens

wave
- Sponsored Ad -