WannaCry: Kako pobijediti novi ransomware? Otkriven novi ransomware sličan WannaCryju

Ovaj sajber napad je već nazvan najvećim u istoriji. Više od 70 zemalja, desetine hiljada zaraženih računara. Virus ransomware pod nazivom Wanna Cry („Želim da plačem“) ne štedi nikoga. Bolnice na udaru željeznice, vladine agencije.

U Rusiji je napad bio najmasovniji. Poruke koje sada stižu podsjećaju na izvještaje sa kompjuterskih frontova. Od posljednjeg: Ruske željeznice kažu da je virus pokušao prodrijeti u njihov IT sistem, već je lokaliziran i pokušavaju ga uništiti. Takođe, o pokušajima hakovanja razgovaralo se i u Centralnoj banci, Ministarstvu unutrašnjih poslova, Ministarstvu za vanredne situacije i komunikacionim kompanijama.

Ovako izgleda virus koji je paralizirao desetine hiljada kompjutera širom svijeta. Jasno sučelje i tekst preveden na desetine jezika - "imate samo tri dana da platite." Zlonamjerni program koji šifrira datoteke zahtijeva, prema različitim izvorima, od 300 do 600 dolara da ih otključa. Samo u sajber valuti. Ucjena je bukvalno na ivici života i smrti.

"Bio sam potpuno spreman za operaciju, čak je i drip već stavljen, a onda dolazi hirurg i kaže da imaju problema sa opremom zbog sajber napada", kaže Patrik Vord.

Vakcine iz kompjuterski virus nije pronađen ni u četrdesetak britanskih klinika koje su prve napadnute, niti u najvećoj španskoj telekomunikacionoj kompaniji Telefonika. Tragovi, prema mišljenju stručnjaka, jedan od najvećih hakerski napadi u svjetskoj istoriji, čak i na semaforu željezničkih stanica u Njemačkoj. U jednom od sedam kontrolnih centara njemačkog željezničkog prijevoznika Deutsche Bahn otkazao je kontrolni sistem. Posljedice bi mogle biti katastrofalne.

Ukupno su 74 zemlje već postale žrtve sajber napada. Samo Afrika i nekoliko država u Aziji i Latinska amerika. Je li to samo za sada?

“Ovo se sve radi da bi se dobio novac od organizovanog kriminala. Nema političke pozadine ili skrivenih motiva. Čista ucjena”, kaže stručnjak za antivirusne programe IT kompanije Ben Rapp.

Britanski mediji su, međutim, odmah pronašli političku pozadinu. A za sve su okrivili ruske hakere, međutim, bez ikakvih dokaza, povezujući sajber napad s američkim zračnim napadom u Siriji. Navodno je virus ransomware postao osveta Moskve. Istovremeno, prema pisanju istih britanskih medija, u ovom napadu najviše je stradala Rusija. I sa tim je teško raspravljati, sigurno. Samo u Ministarstvu unutrašnjih poslova napadnuto je više od hiljadu računara. Međutim, bez uspjeha.

Odbili smo napade u Ministarstvu za vanredne situacije i Ministarstvu zdravlja, u Sberbanci i Megafonu. Mobilni operater je čak na neko vrijeme obustavio rad call centra.

“Predsjednički dekret o stvaranju ruskog segmenta Mreže je zatvoreni internet oko vladinih službenika. Odbrana je dugo bila iza ovog štita. Najvjerovatnije su, mislim, stradali jednostavni računari običnih zaposlenika. Malo je vjerovatno da je pristup bazama podataka pretrpio - one su, u pravilu, na drugim operativnim sistemima i obično se nalaze kod provajdera “, rekao je German Klimenko, savjetnik predsjednika Rusije za razvoj interneta.

Program, prema antivirusnim programerima, inficira računar ako je korisnik otvorio sumnjivo pismo, pa čak i nije ažurirao Windows. To se jasno vidi na primjeru ozbiljno pogođene Kine - stanovnici Nebeskog carstva, kao što znate, gaje posebnu ljubav prema piratskim operativnim sistemima. Ali isplati li se platiti, bezobzirno klikćući mišem, pitaju se širom svijeta

“Ako kompanija nema rezervnu kopiju, mogla bi izgubiti pristup podacima. Odnosno, na primjer, ako se baza podataka bolničkih pacijenata zajedno s historijama bolesti pohrani u jednoj kopiji na ovom serveru na koji je virus došao, tada bolnica više neće obnavljati te podatke ni na koji način”, kaže stručnjak za kibernetičku sigurnost Ilja Skačkov.

Do sada, kako su blogeri saznali, u elektronskom novčaniku prevaranata nema više od četiri hiljade dolara. Sitnica, s obzirom na listu žrtava - troškovi hakovanja njihovih hard diskova očigledno nisu uporedivi. Britansko izdanje Financial Timesa sugerira da virus ransomware nije ništa drugo nego modificiran od strane cyber kriminalaca malware Agencije nacionalna bezbednost SAD. Nekada je stvoren da prodre u zatvorene američke sisteme. To je potvrdio i njegov bivši zaposlenik Edward Snowden.

Sa Snowdenovog Twittera: „Vau, odluka NSA da stvori alate za napad na Amerikanca softvera sada ugrožavajući živote bolničkih pacijenata.”

WikiLeaks je, međutim, više puta upozoravao da zbog manijakalne želje da nadziru cijeli svijet, američke obavještajne agencije distribuiraju zlonamjerni softver. Ali čak i ako to nije slučaj, postavlja se pitanje kako programi NSA dospiju u pogrešne ruke. Zanimljivo i još nešto. Spasiti svijet od virusa nudi još jedna američka obavještajna agencija - Ministarstvo domovinske sigurnosti.

Kako god bilo, pravi razmjeri ovog napada tek treba da se procijene. Infekcija kompjutera širom svijeta se nastavlja. Postoji samo jedna "vakcina" - oprez i predviđanje. Važno je ne otvarati sumnjive priloge. Istovremeno, stručnjaci upozoravaju da će ih biti još. Učestalost i razmjer cyber napada će se samo povećavati.

Zdravo dragi prijatelji. Danas želim da vam pričam o tome šta je ransomware virus kako ga ne uhvatiti i par riječi o tome kako ga se riješiti. Dugo sam htela da pišem članak o ovoj prljavštini, pošto su je ovi virusi već dobili. I želim da vam kažem šta je to.

Pošto malo popravljam računare, često se susrećem sa ransomware virusima. Zovu ih i SMS iznuđivači, ali sada ovi virusi zahtijevaju plaćanje ne samo SMS-om, već i putem različitih terminala.

Ransomware virus, šta je to?

ransomware virus - ovo je zlonamjerni program koji nakon ulaska na računar u potpunosti blokira njegov rad i zahtijeva od vas da pošaljete SMS ili na drugi način platite kod za otključavanje računara. U suprotnom, prijeti uništenjem svih podataka. Postoji nekoliko vrsta ransomwarea. Postoje oni koji blokiraju neke sajtove, tako da blokiraju pretraživač. Ali u ovom članku ćemo razmotriti viruse koji blokiraju operativni sistem. Pošto su oni najstrašniji :), a i riješiti ih se teže.

izgledaju ovako:



To, naravno, nije sve, ima ih puno i svi su različiti, svi zahtijevaju različite sume i imaju različite prijetnje. Inače, nedavno sam na svom kompjuteru sreo virus sličan onom posljednjem na slici. Dakle, on već ima novu funkciju, prije nego što sam vidio viruse koji su blokirali Windows već kada se učitao, odnosno desktop je bio u pozadini. I ovaj virus se pojavljuje odmah kada se računar pokrene, odnosno čim se operativni sistem počinje da trči. Izgleda još strašnije i njegov tekst ucjene je savršen :). Uspio sam ga pobijediti samo ponovnom instalacijom Windowsa.

Kakvi god da su ovi virusi, oni imaju jedan cilj. Uplašite se i uzmite svoj novac. I čini mi se da mnogi trče i plaćaju da očiste ovo smeće. Inače šteta, takav tekst je napisan, a rodbina će ga odjednom vidjeti, čak je šteta odnijeti ga na popravku. Moji prijatelji koji su se nosili sa ovim virusom mi se nisu ni javili, saznao sam kasnije. I hehe savršeno razumijem, ali sve se to radi kako bi se žrtva stisnula i natjerala da plati.

Što je još interesantnije, slanje SMS-a obično ne daje ništa, odnosno najverovatnije ćete samo potrošiti novac i nećete dobiti nikakav ključ. Dakle, ni u kom slučaju ne šaljite novac, to neće spasiti situaciju.

Kako ne uhvatiti ransomware virus?

Obično se ovo blato nalazi bilo gdje, a ne samo na stranicama za odrasle, kako su svi mislili. Po pravilu, takav virus se može sakriti u zip, rar, exe fajlovima itd. Može se čak i maskirati kao flash player, nakon instaliranja kojeg se operativni sistem blokira. Njime se možete zaraziti i putem prenosivih medija i preko mreže.

Nekoliko savjeta koji će vam pomoći da se zaštitite od ransomwarea što je više moguće.

  1. Naravno, antivirusni program, čak i besplatan. Antivirus mora biti instaliran na računaru i stalno ažuriran. Nije potrebno čak ni kupiti plaćeni antivirusni program, možete koristiti besplatni. S vremena na vrijeme skenirajte cijeli računar na viruse. Ali zapamtite da vas nijedan antivirus neće 100% zaštititi od svih virusa.
  2. Ako vam treba neka vrsta programa ili drajvera, pokušajte ih preuzeti sa službenih stranica. Ne idite nigdje, neke stranice je bolje zaobići, sada pretraživači upozoravaju da stranica može biti opasna za vaš računar, stoga nemojte zanemariti ovu poruku i zatvorite ovu stranicu. Nemojte klikati na čudne linkove koji dolaze na vašu poštu ili u socijalna mreža. Takav link može dovesti do zlonamjerne stranice.
  3. Skenirajte sve prenosive medije koje odmah povežete sa antivirusnim programom i tek onda ih otvorite.

Kako se riješiti ransomware virusa pisat ću u sljedećim člancima, jer je ovo posebna priča. Samo da kažem da uvek prvo skeniram računar sa diskom za pokretanje, ili. Pa, ako ova dva diska ne pronađu ništa, onda ću najvjerovatnije ponovo instalirati Windows. Sada govorim o virusima koji blokiraju operativni sistem. Sretno!

Ažuriranje:

Iza U poslednje vreme Napisao sam nekoliko članaka u kojima sam govorio o tome kako možete ukloniti ransomware virus. Mislim da će vam trebati:

Ako se već dogodilo da ste "uhvatili" ransomware virus ili imate drugih problema sa laptopom, onda se obratite momcima koji popravljaju laptop u Moskvi. Mislim da će vam moći pomoći ne samo kod virusa, već i da, na primjer, zamijenite matricu u laptopu.

Panika je zahvatila korisnike računara širom sveta: stručnjaci su već registrovali 45.000 pokušaja hakera da napadnu računare koristeći virus za šifrovanje pod nazivom WannaCry (Wanna Decryptor).

Prve žrtve virusa bili su serveri velikih organizacija sa kojih su napadači namjeravali ukrasti novac. Zapravo, vrlo je jednostavno zaštititi se od virusa, a moguće je i riješiti se posljedica “kompjuterske bolesti”.

Koja je opasnost od Wana Decryptor?

Kada uđe u računar, trojanac skenira sve datoteke pohranjene na uređaju, dodajući im ekstenziju WNCRY. Na ovaj način korisnici gube pristup svojim fotografijama ili muzici, dokumentima i sistemske datoteke.

Svaka žrtva ransomwarea vidi ponudu da besplatno dešifruje neke fajlove i plati da vrati pristup svemu ostalom. Međutim, ne postoji garancija da će pristup biti vraćen nakon uplate.

Glavni problem je što svaki put virus radi nešto drugačije: ponekad, nakon kreiranja šifriranih kopija, izbriše originale. To dovodi do činjenice da čak i ako antivirus blokira aplikaciju nakon činjenice, datoteke su već šifrirane.

Kako se računar inficira sa Wana Decryptor?

Zlonamjerni softver može doći putem e-pošte ili korisnik rizikuje da ga sam slučajno preuzme - na primjer, preuzimanjem nečeg piratskog s torrenta, otvaranjem prozora s lažnim ažuriranjem i preuzimanjem lažnih instalacionih datoteka.

Najčešće se korisnik zarazi klikom na zlonamjerni prilog u e-poruci. Riječ je o datotekama sa ekstenzijama js i exe, kao i o dokumentima sa zlonamjernim makroima (na primjer, Microsoft Word datoteke).
Kako zaštititi svoj računar od virusa?

Korisnici macOS-a i ranijih verzija Windows-a mogu odahnuti jer virus inficira Windows Vista, 7, 8, 8.1 i 10, kao i Windows Server 2008/2012/2016.

Microsoft je prije dva mjeseca izvijestio o zatvaranju ove ranjivosti, jer svi koji su uhvatili virus sada jednostavno nisu imali vremena za ažuriranje. Sa Microsoft web stranice možete preuzeti zakrpu MS17-010, koja će zatvoriti ranjivost.

Korisnici Windows Defender antivirusa također su potpuno zaštićeni od virusa. Za antiviruse treće strane kao što su Kaspersky ili Symantec, također vrijedi preuzeti najnoviju verziju.
U antivirusnom programu morate omogućiti komponentu "System Monitor". Zatim morate provjeriti sistem: u slučaju otkrivanja zlonamjernih napada (MEM:Trojan.Win64.EquationDrug.gen), ponovo pokrenite sistem i uvjerite se da je zakrpa MS17-010 instalirana.
Šta učiniti ako je računar već zaražen?

1. Vrijedi omogućiti siguran način rada sa učitavanjem mrežnih drajvera. U operativnom sistemu Windows 7 to se može uraditi kada se sistem ponovo pokrene nakon pritiska na taster F8. Postoje i upute za dovršavanje ovog koraka za druge verzije, uključujući Windows 8 i Windows 10.
2. Možete sami ukloniti neželjene aplikacije putem "Ukloni programe". Međutim, da biste izbjegli rizik od greške i slučajnog oštećenja sistema, vrijedi ga koristiti antivirusni programi kao što su SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware ili STOPZilla.

Da biste vratili datoteke, možete koristiti dešifratore, kao i uslužni program Shadow Explorer (vratiće zasjenjene kopije datoteka i originalno stanje šifriranih datoteka) ili Stellar Phoenix Windows Data Recovery. Za stanovnike zemalja bivši SSSR postoji besplatno (za nekomercijalnu upotrebu) R.saver rješenje od programera koji govore ruski.

Prema Kaspersky Labs-u i Dr.Web-u, virusi ransomware-a bili su najčešći među zlonamjernim programima prošle godine, a ove godine obaraju sve rekorde. Imate veliku sreću ako je vaš računar sigurno zaštićen i još nije primio takvog "gosta".

Šta je ransomware virus?

Ovo je zlonamjerni program, obično trojanac, koji blokira vaš računar i nudi vraćanje statusa quo ako pošaljete plaćeni SMS na kratki broj.
Najzanimljivije je da slanje ove poruke najčešće nema posledice, odnosno potrošićete novac, ali nećete dobiti nikakav rezultat. Štaviše, vrlo često SMS košta mnogo više od naznačenog iznosa.
Postoji nekoliko vrsta ransomware virusa. Neki - ograničavaju pristup web stranicama ili rade s preglednikom. Drugi šifriraju korisničke fajlove. Drugi pak blokiraju pristup resursima operativnog sistema ili ograničavaju radnje u njemu. Takvi se virusi obično kriju među datotekama sa ekstenzijama zip, rar, exe, bat, com.

Kako izbjeći da postanete žrtva ransomware virusa?

1. Naravno, ne možete bez. Sa najnovijim, stalno ažuriranim bazama podataka. Zaštitu od virusa mogu pružiti i plaćeni i besplatni antivirus. U svakom slučaju, sami procjenjujete važnost stabilnog rada i zaštite podataka na vašem računaru. Ušteda na zaštiti nije najbolja opcija.
2. Od obaveznih radnji koje treba dodijeliti vašem antivirusnom programu - završiti za prisustvo virusa. Opet, sami određujete učestalost provjera, ali vrijedi napraviti takvu provjeru barem jednom tjedno.
Kompanije za zaštitu od virusa također nude skeniranje datoteka direktno na svojim web stranicama, to su takozvani online skeneri. Ako sumnjate u neke datoteke na svom računaru, možete ih ponovo provjeriti, jednu po jednu:
Dr.Web Online skener
http://vms.drweb.com/online/
Kaspersky Online Scanner
http://www.kaspersky.com/scanforvirus
Dr.Web nudi i svoje rješenje - Dr.Web LinkChecker. Ovo je set dodataka za tri pretraživača ( Mozilla Firefox, Opera i Internet Explorer), nakon instalacije kojih će sve stranice koje otvorite i fajlovi preuzeti sa interneta biti unaprijed provjereni na malver, tj. prije nego što otvorite ili preuzmete bilo šta.
3. Vrijedi li još jednom ponoviti da je bolje zaobići neke resurse desetim putem. Govorimo o stranicama koje obećavaju, puno besplatnih pornografija itd. Inače, resursi koji nude razne vrste krekova, hakerskih programa, ključeva i sličnog softvera također su potencijalno opasni za vaš računar. Usput, bilo koji program - bilo da se radi o običnom pregledniku fotografija, IM klijentu ili čak o standardnom skupu kodeka - preporučujem čitateljima MirSovetov da ih preuzmu sa službenih stranica. U najmanju ruku, resurs bi trebao biti pouzdan i provjeren.
Velike stranice za pretraživanje (na primjer, Yandex, Google) već su naučile prepoznati stranice na kojima možete dobiti virus kao nagradu i upozoriti na to. Ali ako niste sigurni u pouzdanost stranice (čak i službene stranice ponekad mogu nositi prijetnju zaraze), možete to sami provjeriti. To se lako radi na stranici istog Dr.Web online skenera, gdje ćete klikom na link "Provjeri vezu (URL)" i unošenjem adrese stranice stranice saznati sadrži li izvor koji vas zanima virusi.
Neće biti suvišno staviti dodatnu zaštitu za provjeru posjećenih lokacija prije nego što se otvore. Na primjer, možete koristiti besplatni Dr.Web LinkChecker (http://www.freedrweb.com/linkchecker/), koji je ugrađen u sve najpopularnije pretraživače: Mozilla Firefox, Opera, Internet Explorer.
4. Ne otvarajte mejlove ili fajlove od ljudi koje ne poznajete, niti pratite linkove od stranaca. Češće se tamo nalaze ransomware virusi, i to ne samo oni.
5. Lozinke i prijave koje su vam važne preporučuje se da se pohranjuju zasebno.
6. Sve diskove, fleš diskove, memorijske kartice i druge prenosive medije koje povežete sa računarom, odmah proverite da li ima malvera i tek onda počnite da radite sa njim. Osim toga, bolje je potpuno onemogućiti automatsko pokretanje prijenosnih medija (automatsko otvaranje nakon povezivanja), virusi se također mogu sakriti tamo. Da biste onemogućili automatsko pokretanje, pogledajte pomoć za svoj operativni sistem.
U slučaju da se program koji je prethodno radio ne pokrene, ne otvaraju se fajlovi sa kojima ste nedavno tiho radili, ne možete pristupiti Internetu ili je uopšte nemoguće raditi sa računarom... kada je umesto svega ovoga pojavi se prozor u kojem se od vas traži da pošaljete SMS, gotovo sigurno ste morali da se upoznate sa jednom od vrsta ransomware virusa. Naravno, ne preporučujemo slanje poruka bilo gdje, neće biti rezultata. Ali je moguće i potrebno boriti se protiv virusa.
Da biste to učinili, poželjno je imati skup uslužnih programa za liječenje vašeg računala od takvih virusa. O njima ćemo dalje pričati. Ali ako niste sigurni da se sami možete nositi s liječenjem vašeg računala, bolje je potražiti pomoć od stručnjaka.

Kako se riješiti ransomware virusa

Šta učiniti ako virus ransomware uđe u vaš računar? Prvo, ne paničite. Unatoč činjenici da se ransomware virusi brzo razvijaju, protiv njih se još uvijek može boriti. Samo se trebate sabrati i preduzeti niz mjera.
Da biste uspjeli u borbi protiv ransomwarea, prvo morate odrediti koji je gost posjetio vas i vaš računar.
1. Virusi koji blokiraju pristup Internetu. Ako ne možete pristupiti Internetu ili pristupiti većini stranica i vidite baner ispred sebe koji zahtijeva da pošaljete plaćeni SMS, najvjerovatnije vas je posjetio jedan od ovih virusa: Trojan-Ransom.BAT.Agent.c ili Trojan- Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator).
Prvi, kao što ime govori, ima ekstenziju šišmiša. Ovaj virus mijenja datoteku Hosts koja se nalazi u korijenskom direktoriju sistemskog diska (Windows-95/98/ME) ili u fascikli WindowsSystem32driversetc (Windows NT/2000/XP/Vista). Morate otvoriti ovu datoteku bilo kojim uređivačem teksta i izbrisati sve linije osim 127.0.0.1 localhost.

Zatim izvršite potpuno antivirusno skeniranje vašeg računara. Nakon provjere, ponovo pokrenite računar. Problem bi trebao nestati.
Što se tiče virusa grupe Trojan-Ransom.Win32.Digitala, sve je mnogo komplikovanije. Ovaj zlonamjerni softver može se maskirati kao legitiman softver. Oni su mnogo složeniji i znaju se sakriti. Dakle, pred vama je mrski prozor koji traži otkupninu za vraćanje vašeg računara u ispravno stanje. Možda prva stvar koju možete pokušati učiniti da biste se riješili virusa koji zahtijevaju uvođenje aktivacijskog koda slanjem SMS-a jeste da pokušate saznati upravo ovaj kod. Da biste to učinili, koristite drugi računar (u ekstremnim slučajevima, sa mobilni telefon) trebate otići na web stranicu jednog od proizvođača antivirusnog softvera (linkovi su dati u nastavku), na stranicu sa uslugom deaktivacije ransomwarea:
Usluga deaktivacije Ransomware-blokera kompanije Kaspersky Lab
http://support.kaspersky.com/viruses/deblocker
Podrška za ESET NOD32: Otključajte Windows
http://www.esetnod32.ru/.support/winlock/
Dr.Web: Otključajte Windows pomoću Trojan.Winlock
http://www.drweb.com/unlocker/
Potrebno je samo da popunite nekoliko polja, a sistem će vam dati kod sa kojim možete otključati računar. Ako vam je numerički kod koji ste dobili pomogao, a računar je ponovo počeo da radi, nemojte stati na tome! Najvjerovatnije se negdje unutar operativnog sistema nalaze tragovi štetnog virusa. Mogu se javiti nešto kasnije čestim kvarovima, a moguće i ponovljenim blokiranjima. Da se to ne bi dogodilo, preporučujem čitateljima MirSovetova da provjere operativni sistem antivirusom, ne zaboravite prije toga ažurirati njegove baze podataka.
Ako kod za otključavanje nije pomogao, možete pokušati izliječiti svoj računar koristeći Digita_Cure uslužni program (proizvod Kaspersky Lab), koji je posebno dizajniran za liječenje ransomware virusa grupe Trojan-Ransom.Win32.Digitala ili programa CureIt (proizvod Dr.Web), koji detektuje i druge vrste virusa. Mogu se besplatno preuzeti na web stranicama ovih laboratorija:
Digita_Cure Utility
Programska stranica: http://www.kaspersky.ru/support/viruses/solutions?print=true&qid=208637303
Link za preuzimanje: http://www.kaspersky.com/support/downloads/utils/digita_cure.zip
CureIt Utility
Programska stranica: http://www.freedrweb.com/cureit/
Link za preuzimanje: http://www.freedrweb.com/download+cureit/gr/
Prije nego što započnete liječenje od virusa, potrebno je zatvoriti pristup Internetu i ponovo pokrenuti računar u sigurnom načinu rada pritiskom na tipku F8 odmah nakon uključivanja i odabirom "Pokreni u sigurnom načinu rada". Zatim ćete morati da pokrenete USB fleš disk ili disk sa uslužnim programom Digita_Cure (ili CureIt) i izvršite potpuno skeniranje računara. Alternativno, možete koristiti uklonjivi tvrdi disk sa alternativnim antivirusnim programom. Nakon tretmana, računar će se morati ponovo pokrenuti u normalnom načinu rada. Virus ransomware mora biti uklonjen nakon ove procedure.
2. Virusi koji blokiraju pretraživač. Ako surfujete po World Wide Webu koristeći Internet Explorer i kada odete na bilo koju stranicu na ekranu vidite baner vrlo otvorenog sadržaja, na kojem je ispisan kratak broj i poruka o otkupnini, trebali biste znati da je Trojan-Ransom. Win32.Hexzone ili Trojanac vas posjećuje.-Ransom.Win32.BHO. Ovi virusi ne blokiraju rad cijelog računala, već žive samo u .

Oni koriste mehanizam dodataka BHO (pomoćni objekat pretraživača). Problem možete riješiti ručno koristeći sljedeći algoritam. Otvorite Internet Explorer, pronađite stavku menija "Alati", zatim odaberite "Dodaci" (upravljanje dodacima) > "Uključi ili isključi postavke". Klikom na posljednju stavku, vidjet ćete sve dodatke instalirane u pretraživaču. Vaš zadatak je provjeriti sve dodatke koji nemaju unos u koloni "Izdavač" ili reći "Nije potvrđeno".

Onemogućite ih jednu po jednu, svaki put ponovo pokrenite Internet Explorer. Taj dodatak, nakon deaktiviranja kojeg će porno baner nestati, je zlonamjeran i morat će ga onemogućiti.
Ovu vrstu ransomware-a možete ukloniti i korištenjem AVPTool uslužnog programa kompanije Kaspersky (http://support.kaspersky.ru/viruses/avptool2010?level=2) ili CureIT sa Dr.Web-a (http://www.freedrweb.com/ cureit/).
3. Virusi koji blokiraju pristup OS-u. Ako na vašem računaru ne radi nijedan program, osim Internet Explorer-a i Outlook Express-a, a vidite prozor sa zahtjevom za otkupninom, onda imate virus koji blokira operativni sistem, jedan od njih je Trojan-Ransom.Win32.Krotten.

Da biste riješili svoj računar od ransomware virusa ove grupe, možete kontaktirati i besplatnu uslugu za otključavanje (linkovi na stranice servisa za otključavanje su dati iznad). Nakon otključavanja, ne zaboravite izvršiti dubinsko skeniranje vašeg računala licenciranim antivirusnim programom sa svježim bazama podataka.
U slučaju kvara, moraćete da koristite LiveCD sa Dr.Web-a, dizajniran za hitan oporavak sistema.

Programska stranica: http://www.freedrweb.com/livecd/
Link za preuzimanje slike: ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso
Morat ćete preuzeti i narezati sliku na disk, čineći je pokretačkom (ovo se može učiniti pomoću programa CDBurnerXP, postavljanjem opcije "Napravi disk za pokretanje" prilikom snimanja). Zatim, postavljanjem BIOS-ovog First Boot Device:, pokrenite računar sa ovog diska. Dr.Webov LiveCD već sadrži alate za liječenje i uklanjanje virusa, ali u ovom slučaju zlonamjerni softver može ometati pokretanje uslužnih programa ugrađenih u disk za pokretanje.

I, najvjerovatnije, trebat će vam pomoć drugih antivirusnih programa snimljenih na fleš disk. Trebaće ih preimenovati u "iexplore.exe", nakon čega se mogu pokrenuti. I alati kao što je AVPTool kompanije Kaspersky (opis proizvoda možete pronaći ovdje http://support.kaspersky.ru/viruses/avptool2010?level=2) ili AVZ uslužni program (http://z-oleg.com/secur/avz /download.php), međutim, potrebne su skripte za rad s njim. Da biste ih sastavili, možete kontaktirati specijalizirane forume, na primjer, VirusInfo. Prije korištenja usluga forumskih stručnjaka, pažljivo pročitajte pravila, pročitajte FAQ i registrirajte se. Dobit ćete skriptu dizajniranu posebno za vaš slučaj. Zatim ćete morati kopirati skriptu, u izborniku programa odabrati "File - Run Script", zalijepiti skriptu u prozor koji se otvori i kliknuti na "Pokreni". Još jednom, ako niste sigurni da sve možete učiniti kako treba, bolje je kontaktirati stručnjaka.
Uočeno je da se neki virusi koji blokiraju pristup resursima operativnog sistema sami uklanjaju tačno 2 sata nakon što prodru u računar. Da biste se riješili virusa, pokazalo se da je dovoljno podesiti sat u BIOS-u "e unaprijed za više od par sati. Nakon ponovnog pokretanja, prozor sa zahtjevom za slanje SMS-a nestaje, kao i tragovi prisutnost virusa. Ipak, za prevenciju se preporučuje potpuno antivirusno skeniranje.
4. Enkripcijski virusi. Posebno mjesto zauzimaju virusi koji šifriraju podatke pohranjene na vašem računalu: Trojan-Ransom.Win32.GPCode, Trojan-Ransom.Win32.Encore, Trojan.Ramvicrype. Po pravilu trpe datoteke sa ekstenzijama txt, xls, doc. Možete saznati da je vaš računar zaražen zbog nedostatka pristupa informacijama i prozora na radnoj površini ili tekstualnog dokumenta prikačenog na direktorij sa šifriranim datotekama.
Ransomware je možda najstrašniji ransomware. Za njihovo liječenje do nedavno nije bilo standardne metode. Danas, Dr.Web laboratorija nudi uslužne programe dizajnirane posebno za liječenje virusa ovog tipa (http://www.freedrweb.com/aid_admin/). Možete preuzeti niz uslužnih programa za borbu protiv virusa kao što je Trojan-Ransom.Win32.Encore koristeći danu vezu. Oni se pružaju besplatno.
Takođe možete koristiti besplatne uslužne programe PhotoRec (kreirao Christophe Grenier, distribuiran pod GPL licencom) i StopGpcode2 (proizvod Kaspersky Lab-a). Upute za njihovo korištenje detaljno su i na pristupačan način opisane na web stranici securelist.com:
http://www.securelist.com/ru/viruses/encyclopedia?virusid=313444#doc2
Symantec je razvio uslužni program koji se bori protiv Ramvicrype ransomware virusa. Ovaj virus šifrira datoteke u sistemskoj fascikli sa ekstenzijom .vicrypt. Na računaru zaraženom ovim virusom po pravilu se ne pokreću nijedan program. Možete preuzeti besplatni alat za uklanjanje Trojan.Ramvicrype na službenoj Symantec web stranici:
http://www.symantec.com/en/uk/business/security_response/writeup.jsp?docid=2009-102921-3210-99
Prije pokretanja antivirusnog uslužnog programa iz Symanteca, morate zatvoriti sve programe, isključiti računar iz mreže. Pažnja: u uputama za korištenje uslužnog programa također se preporučuje da onemogućite uslugu vraćanja sistema. Nakon provjere računara, potrebno je ponovo pokrenuti i ponovo provjeriti. Tek nakon ovih koraka trebate vratiti mrežnu vezu i ponovo omogućiti uslugu oporavka.

Ako vam nijedna od gore navedenih metoda nije pomogla, morat ćete kontaktirati stručnjake tehničke podrške na web stranici proizvođača vašeg antivirusnog softvera.
U zaključku želim napomenuti da je uvijek bolje spriječiti nego liječiti. Stoga se uvijek pridržavajte pravila internetske sigurnosti i ne štedite na zaštiti svog računala – koristite licencne antivirusne programe. Pa ipak, najbolje je pohraniti veoma važne datoteke ne samo na hard disk računara, već i na neki drugi medij, na primjer, duplirati ih na CD, DVD ili USB fleš disk.

Snimak ekrana sa WCry porukom

Kompanije u najmanje 12 zemalja širom svijeta napadnute su virusom ransomware WannaCrypt, koji se naziva i WCry. Kako navodi Meduza, pozivajući se na PR direktora MegaFona Petra Lidova, neki od kompjutera kompanije su zaraženi. U Rusiji su virusom zahvaćeni i računari Ministarstva unutrašnjih poslova. Beeline tvrdi da su stručnjaci uspjeli odbiti napad.

Do danas, WCry je zarazio preko 123.000 računara širom svijeta. Istovremeno, stručnjaci su primijetili nagli pad širenja virusa. Činjenica je da je virus prilikom zaraze provjerio prisutnost određene domene na mreži, a ako je nije pronašao, uključio je šifriranje. Stručnjaci za sigurnost registrirali su domenu na mreži koja traži virus, što je uzrokovalo usporavanje stope zaraze.

WannaCrypt je softver koji zaključava računar korisnika i šifrira sve podatke na njemu. Nakon poraza, na ekranu se prikazuje poruka koja traži novac za otključavanje, a screensaver ima funkciju izbora jezika na kojem će se poruka prikazati. Potrebna otkupnina je 300 dolara u bitcoinima.

Virus ransomware daje korisniku tri dana da prebaci sredstva na račune napadača. Ako propustite ovaj rok, iznos tražene otkupnine će se udvostručiti.

Širenje virusa WCry, čija se prva verzija pojavila još u februaru tekuće godine, počela je eksplozivnim tempom 12. maja 2017. godine. Nova verzija Virus navodno koristi SMB eksploataciju koju je razvila američka Agencija za nacionalnu sigurnost, a ukrala je i objavila u aprilu ove godine hakerska grupa The Shadow Brokers.

Virus koristi SMB mrežni protokol za zarazu daljinski pristup na datoteke i uređaje na istoj mreži. Danas ovaj protokol koriste sistemi iz porodice Windows koji su postali ranjivi na WCry. Prema Engadgetu, američka kompanija Microsoft je već objavila zakrpu za operativni sistem Windows XP i preporuke za zaštitu vašeg računara od ransomware-a.

Kao prve korake u zaštiti od novog virusa, Microsoft predlaže onemogućavanje SMBv1 protokola, kao i blokiranje porta 445 na ruteru (ako to hardver dozvoljava) za dolazni SMB saobraćaj. Ako je Windows operativni sistem (osim XP, 8 i Windows Server 2003) dobio ažuriranje (objavljeno još u martu ove godine), onda nije ranjiv na WCry.

Prošlog novembra, HDDCrypto ransomware virus se proširio mrežom. Konkretno, on je automat za prodaju karata tramvajskog sistema Muni Metro u San Francisku. Kao rezultat toga, automati za prodaju karata nisu radili skoro jedan dan, a sve to vrijeme tramvaji u San Francisku mogli su se koristiti besplatno. Virus je tražio sto bitcoina za uklanjanje blokade.

Vasily Sychev

Slični postovi