domicile l'Internet

WannaCry : Comment vaincre le nouveau ransomware ? Découverte d'un nouveau rançongiciel similaire à WannaCry

Cette cyberattaque a déjà été qualifiée de plus importante de l'histoire. Plus de 70 pays, des dizaines de milliers d'ordinateurs infectés. Le virus rançongiciel nommé Wanna Cry ("Je veux pleurer") n'épargne personne. Les hôpitaux attaqués les chemins de fer, organismes gouvernementaux.

En Russie, l'attaque a été la plus massive. Les messages qui arrivent maintenant rappellent les rapports des fronts informatiques. Du dernier : les chemins de fer russes ont déclaré que le virus avait tenté de pénétrer dans leur système informatique, qu'il avait déjà été localisé et qu'ils tentaient de le détruire. En outre, des tentatives de piratage ont été discutées à la Banque centrale, au ministère de l'Intérieur, au ministère des Situations d'urgence et dans des entreprises de communication.

Voici à quoi ressemble un virus qui a paralysé des dizaines de milliers d'ordinateurs dans le monde. Interface claire et texte traduit dans des dizaines de langues - "vous n'avez que trois jours pour payer". Un programme malveillant qui crypte des fichiers nécessite, selon diverses sources, de 300 à 600 dollars pour les déverrouiller. Uniquement en cyber-monnaie. Le chantage est littéralement au bord de la vie ou de la mort.

"J'étais tout à fait prêt pour l'opération, même le goutte-à-goutte était déjà mis en place, puis le chirurgien vient et dit qu'il a des problèmes avec l'équipement à cause d'une cyberattaque", explique Patrick Ward.

Les vaccins de virus informatique ni dans les quarante cliniques britanniques qui ont été attaquées en premier, ni dans la plus grande entreprise de télécommunications espagnole, Telefonika. Trace, selon les experts, l'un des plus grands attaques de pirates dans l'histoire du monde, même sur le tableau de bord des gares en Allemagne. Dans l'un des sept centres de contrôle du transporteur ferroviaire allemand Deutsche Bahn, le système de contrôle est tombé en panne. Les conséquences pourraient être catastrophiques.

Au total, 74 pays ont déjà été victimes de cyberattaques. Seules l'Afrique et plusieurs États d'Asie et Amérique latine. C'est juste pour le moment ?

« Tout cela est fait pour obtenir de l'argent du crime organisé. Il n'y a pas d'arrière-plan politique ni d'arrière-pensées. Pur chantage », déclare l'expert antivirus de la société informatique Ben Rapp.

Les médias britanniques, cependant, ont immédiatement trouvé un arrière-plan politique. Et ils ont blâmé les pirates informatiques russes pour tout, cependant, sans aucune preuve, liant la cyberattaque à la frappe aérienne américaine en Syrie. Apparemment, le virus ransomware est devenu la revanche de Moscou. Dans le même temps, selon les mêmes médias britanniques, la Russie a le plus souffert de cette attaque. Et il est difficile de discuter avec cela, c'est sûr. Plus d'un millier d'ordinateurs ont été attaqués au sein du seul ministère de l'Intérieur. Cependant, sans succès.

Nous avons repoussé les attaques au ministère des Situations d'urgence et au ministère de la Santé, à Sberbank et à Megafon. L'opérateur de téléphonie mobile a même suspendu le travail du centre d'appels pendant un certain temps.

«Le décret présidentiel sur la création du segment russe du réseau est un Internet fermé autour des représentants du gouvernement. La défense est depuis longtemps derrière ce bouclier. Très probablement, je pense, de simples ordinateurs d'employés ordinaires ont souffert. Il est peu probable que l'accès aux bases de données ait souffert - elles se trouvent généralement sur d'autres systèmes d'exploitation et sont généralement situées chez des fournisseurs », a déclaré German Klimenko, conseiller du président russe pour le développement d'Internet.

Le programme, selon les développeurs d'antivirus, infecte l'ordinateur si l'utilisateur ouvre un e-mail suspect sans mettre à jour Windows. Cela se voit clairement en Chine, qui a été gravement touchée - les habitants du Céleste Empire, comme vous le savez, ont un amour particulier pour les systèmes d'exploitation piratés. Mais vaut-il la peine de payer, en cliquant sans réfléchir sur la souris, ils se demandent dans le monde entier

« Si une entreprise n'a pas de sauvegarde, elle peut perdre l'accès aux données. C'est-à-dire, par exemple, si une base de données de patients hospitalisés est stockée avec des historiques de cas en une seule copie sur ce serveur où le virus est arrivé, alors l'hôpital ne restaurera plus ces données de quelque manière que ce soit », déclare l'expert en cybersécurité Ilya Skachkov.

Jusqu'à présent, comme les blogueurs l'ont découvert, il n'y a pas plus de quatre mille dollars dans le portefeuille électronique des escrocs. Une bagatelle, compte tenu de la liste des victimes - les coûts du piratage de leurs disques durs ne sont clairement pas comparables. L'édition britannique du Financial Times a suggéré que le virus ransomware n'est rien de plus qu'un virus modifié par les cybercriminels malware Agences la sécurité nationale ETATS-UNIS. Une fois qu'il a été créé afin de pénétrer les systèmes américains fermés. Cela a également été confirmé par son ancien employé Edward Snowden.

Du Twitter de Snowden : "Wow, la décision de la NSA de créer des outils pour attaquer l'Américain Logiciel mettant désormais en danger la vie des patients hospitalisés.

WikiLeaks, cependant, a également averti à plusieurs reprises qu'en raison du désir maniaque de surveiller le monde entier, les agences de renseignement américaines distribuent des logiciels malveillants. Mais même si ce n'est pas le cas, la question se pose de savoir comment les programmes de la NSA tombent entre de mauvaises mains. Intéressant et autre chose. Sauvez le monde du virus propose une autre agence de renseignement américaine - le Department of Homeland Security.

Quoi qu'il en soit, la véritable ampleur de cette attaque n'a pas encore été évaluée. L'infection des ordinateurs dans le monde continue. Il n'y a qu'un seul "vaccin" - prudence et prévoyance. Il est important de ne pas ouvrir les pièces jointes suspectes. Dans le même temps, les experts préviennent qu'il y aura plus à venir. La fréquence et l'ampleur des cyberattaques ne feront qu'augmenter.

Bonjour chers amis. Aujourd'hui, je veux vous parler de qu'est-ce qu'un virus rançongiciel comment ne pas l'attraper et quelques mots sur la façon de s'en débarrasser. Pendant longtemps, j'allais écrire un article sur cette boue, car ces virus l'ont déjà. Et je veux vous dire ce que c'est.

Depuis que je fais un peu de réparation informatique, je rencontre souvent des virus rançongiciels. On les appelle aussi extorqueurs de SMS, mais désormais ces virus nécessitent un paiement non seulement par SMS, mais aussi via différents terminaux.

Virus rançongiciel, qu'est-ce que c'est ?

virus ransomware - il s'agit d'un programme malveillant qui, après être entré sur l'ordinateur, bloque complètement son travail et vous oblige à envoyer des SMS ou à payer autrement un code qui déverrouille l'ordinateur. Sinon, il menace de détruire toutes les données. Il existe plusieurs types de rançongiciels. Il y a ceux qui bloquent certains sites, de sorte qu'ils bloquent le navigateur. Mais dans cet article, nous examinerons les virus qui bloquent le système d'exploitation. Puisqu'ils sont les plus terribles :), et s'en débarrasser est plus difficile.

Ils ressemblent à ceci :

Ce n'est bien sûr pas tout, il y en a beaucoup et ils sont tous différents, ils nécessitent tous des sommes différentes et ont des menaces différentes. Au fait, j'ai récemment rencontré un virus sur mon ordinateur similaire au dernier sur la photo. Il a donc déjà une nouvelle fonctionnalité, avant que je ne voie des virus qui bloquaient déjà Windows lors de son chargement, c'est-à-dire que le bureau était en arrière-plan. Et ce virus apparaît immédiatement au démarrage de l'ordinateur, c'est-à-dire dès que système opérateur commence à courir. Il a l'air encore plus effrayant et son texte de chantage est parfait :). Je n'ai pu le vaincre qu'en réinstallant Windows.

Quels que soient ces virus, ils ont un objectif. Faites-vous peur et obtenez votre argent. Et il me semble que beaucoup courent et paient pour nettoyer ces déchets. Sinon, c'est dommage, un tel texte est écrit, et du coup des proches vont le voir, c'est même dommage de l'emmener en réparation. Mes amis qui ont eu affaire à ce virus ne m'ont même pas contacté, je l'ai découvert plus tard. Et je comprends parfaitement, mais tout cela est fait pour presser la victime et la faire payer.

Ce qui est plus intéressant, l'envoi de SMS ne donne généralement rien, c'est-à-dire que vous ne dépenserez probablement que de l'argent et ne recevrez aucune clé. Donc en aucun cas n'envoyez pas d'argent, cela ne sauvera pas la situation.

Comment ne pas attraper un virus ransomware ?

Habituellement, cette boue se trouve n'importe où, et pas seulement sur des sites pour adultes, comme tout le monde le pensait. En règle générale, un tel virus peut se cacher dans des fichiers zip, rar, exe, etc.. Il peut même se déguiser en lecteur flash, après l'installation duquel le système d'exploitation est bloqué. Vous pouvez en être infecté à la fois via un support amovible et via le réseau.

Quelques conseils pour vous aider à vous protéger au maximum des ransomwares.

Bien sûr, un programme antivirus, même gratuit. Un antivirus doit être installé sur l'ordinateur et constamment mis à jour. Il n'est même pas nécessaire d'acheter un programme antivirus payant, vous pouvez en utiliser un gratuit. Analysez de temps en temps l'intégralité de votre ordinateur à la recherche de virus. Mais n'oubliez pas qu'aucun antivirus ne vous protégera à 100 % de tous les virus.
Si vous avez besoin d'un programme ou d'un pilote, essayez de les télécharger à partir des sites officiels. N'allez nulle part, certains sites sont préférables à contourner, maintenant les moteurs de recherche avertissent que le site peut être dangereux pour votre ordinateur, alors n'ignorez pas ce message et fermez ce site. Ne cliquez pas sur des liens étranges qui arrivent sur votre messagerie, ou dans réseau social. Un tel lien peut mener vers un site malveillant.
Analysez tous les supports amovibles que vous connectez immédiatement avec un programme antivirus, puis ouvrez-les seulement.

Comment se débarrasser du virus ransomware, j'écrirai dans les articles suivants, car il s'agit d'une histoire distincte. Permettez-moi de dire que j'analyse toujours l'ordinateur en premier avec une disquette de démarrage, ou. Eh bien, si ces deux disques ne trouvent rien, je réinstalle très probablement Windows. Je parle maintenant des virus qui bloquent le système d'exploitation. Bonne chance!

Mise à jour:

Par Ces derniers temps J'ai écrit plusieurs articles dans lesquels j'ai expliqué comment vous pouvez supprimer le virus ransomware. Je pense qu'il te faudra :

S'il est déjà arrivé que vous "attrapiez" un virus ransomware, ou si vous avez d'autres problèmes avec votre ordinateur portable, contactez les gars qui réparent les ordinateurs portables à Moscou. Je pense qu'ils pourront vous aider non seulement avec les virus, mais aussi, par exemple, pour remplacer la matrice d'un ordinateur portable.

La panique s'est emparée des utilisateurs de PC du monde entier : les experts ont déjà enregistré 45 000 tentatives de pirates informatiques pour attaquer des ordinateurs à l'aide d'un virus de cryptage appelé WannaCry (Wanna Decryptor).

Les premières victimes du virus ont été les serveurs de grandes organisations auxquelles les attaquants avaient l'intention de voler de l'argent. En fait, il est assez simple de se protéger d'un virus, et il est possible de se débarrasser des conséquences d'une « maladie informatique ».

Quel est le danger de Wana Decryptor ?

Lorsqu'il pénètre dans un ordinateur, le cheval de Troie analyse tous les fichiers stockés sur l'appareil, en leur ajoutant l'extension WNCRY. De cette façon, les utilisateurs perdent l'accès à leurs photos ou musique, documents et fichiers système.

Chaque victime de ransomware voit une offre pour décrypter certains fichiers gratuitement et payer pour restaurer l'accès à tout le reste. Cependant, il n'y a aucune garantie que l'accès sera rétabli après le paiement.

Le principal problème est qu'à chaque fois le virus fait quelque chose de différent : parfois, après avoir créé des copies cryptées, il supprime les originaux. Cela conduit au fait que même si l'antivirus bloque l'application après coup, les fichiers sont déjà cryptés.

Comment un ordinateur est-il infecté par Wana Decryptor ?

Un logiciel malveillant peut arriver par e-mail, ou l'utilisateur risque de le télécharger lui-même accidentellement - par exemple, en téléchargeant quelque chose de piraté à partir de torrents, en ouvrant une fenêtre avec une fausse mise à jour et en téléchargeant de faux fichiers d'installation.

Le plus souvent, un utilisateur est infecté en cliquant sur une pièce jointe malveillante dans un e-mail. Nous parlons de fichiers avec les extensions js et exe, ainsi que de documents avec des macros malveillantes (par exemple, des fichiers Microsoft Word).
Comment protéger votre PC d'un virus ?

Les utilisateurs de macOS et des versions antérieures de Windows peuvent pousser un soupir de soulagement car le virus infecte Windows Vista, 7, 8, 8.1 et 10, ainsi que Windows Server 2008/2012/2016.

Microsoft a signalé la fermeture de cette vulnérabilité il y a deux mois, car tous ceux qui ont attrapé le virus n'ont tout simplement pas eu le temps de se mettre à jour. Depuis le site Web de Microsoft, vous pouvez télécharger le correctif MS17-010, qui fermera la vulnérabilité.

Les utilisateurs de l'antivirus Windows Defender sont également complètement protégés contre le virus. Pour les antivirus tiers comme Kaspersky ou Symantec, il vaut également la peine de télécharger la dernière version.
Dans l'antivirus, vous devez activer le composant "System Monitor". Ensuite, vous devez vérifier le système : en cas de détection d'attaques malveillantes (MEM:Trojan.Win64.EquationDrug.gen), redémarrez à nouveau le système et assurez-vous que le correctif MS17-010 est installé.
Que faire si l'ordinateur est déjà infecté ?

1. Il vaut la peine d'activer le mode sans échec avec le chargement des pilotes réseau. Sous Windows 7, cela peut être fait lorsque le système redémarre après avoir appuyé sur la touche F8. Il existe également des instructions pour effectuer cette étape pour les autres versions, y compris Windows 8 et Windows 10.
2. Vous pouvez supprimer vous-même les applications indésirables via "Supprimer des programmes". Cependant, pour éviter le risque d'erreur et de dommages accidentels au système, il vaut la peine d'utiliser programmes antivirus comme SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware ou STOPZilla.

Pour restaurer des fichiers, vous pouvez utiliser des décrypteurs, ainsi que l'utilitaire Shadow Explorer (il renverra des clichés instantanés des fichiers et l'état d'origine des fichiers cryptés) ou Stellar Phoenix Windows Data Recovery. Pour les résidents des pays ex-URSS il existe une solution R.saver gratuite (pour une utilisation non commerciale) de développeurs russophones.

Selon Kaspersky Labs et Dr.Web, les virus rançongiciels étaient les plus courants parmi les programmes malveillants l'année dernière et battent tous les records cette année. Vous avez beaucoup de chance si votre ordinateur est bien protégé et n'a pas encore reçu un tel "invité".

Qu'est-ce qu'un virus ransomware ?

Il s'agit d'un programme malveillant, généralement un cheval de Troie, qui bloque votre ordinateur et vous propose de rétablir le statu quo si vous envoyez un SMS payant à un numéro court.
La chose la plus intéressante est que l'envoi de ce message n'a le plus souvent aucune conséquence, c'est-à-dire que vous dépenserez de l'argent, mais vous n'obtiendrez aucun résultat. De plus, très souvent les SMS coûtent bien plus que le montant indiqué.
Il existe plusieurs types de virus rançongiciels. Certains - restreignent l'accès aux sites Web ou fonctionnent avec le navigateur. D'autres chiffrent les fichiers de l'utilisateur. D'autres encore bloquent l'accès aux ressources du système d'exploitation ou restreignent les actions qu'il contient. Ces virus se cachent généralement parmi les fichiers avec les extensions zip, rar, exe, bat, com.

Comment éviter d'être victime d'un virus rançongiciel ?

1. Bien sûr, vous ne pouvez pas vous en passer. Avec les dernières bases de données constamment mises à jour. La protection contre les virus peut très bien être assurée à la fois par des antivirus gratuit. Dans tous les cas, vous appréciez vous-même l'importance d'un fonctionnement stable et de la protection des données sur votre ordinateur. Économiser sur la protection n'est pas la meilleure option.
2. Parmi les actions obligatoires qui doivent être attribuées à votre programme antivirus - complètes pour la présence de virus. Encore une fois, vous déterminez vous-même la fréquence de la vérification, mais cela vaut la peine de faire une telle vérification au moins une fois par semaine.
Les sociétés de protection antivirus proposent également d'analyser les fichiers directement sur leurs sites Web, ce sont les scanners dits en ligne. Si vous avez des doutes sur certains fichiers de votre ordinateur, vous pouvez les vérifier à nouveau, un par un :

Scanner en ligne Dr.Web
http://vms.drweb.com/online/

Analyseur en ligne Kaspersky
http://www.kaspersky.com/scanforvirus

Dr.Web propose également sa propre solution - Dr.Web LinkChecker. Il s'agit d'un ensemble de plug-ins pour trois navigateurs ( MozillaFirefox, Opera et Internet Explorer), après l'installation, toutes les pages que vous ouvrez et les fichiers téléchargés sur Internet seront préalablement vérifiés pour détecter les logiciels malveillants, c'est-à-dire. avant d'ouvrir ou de télécharger quoi que ce soit.
3. Vaut-il la peine de répéter une fois de plus qu'il vaut mieux contourner certaines ressources par la dixième route. On parle de sites prometteurs, de beaucoup de porno gratuit, etc. Soit dit en passant, les ressources qui offrent toutes sortes de cracks, de programmes de piratage, de clés et de logiciels similaires sont également potentiellement dangereuses pour votre ordinateur. Soit dit en passant, tous les programmes - qu'il s'agisse d'une visionneuse de photos ordinaire, d'un client de messagerie instantanée ou même d'un ensemble standard de codecs - je recommande aux lecteurs de MirSovetov de les télécharger à partir de sites officiels. Au minimum, la ressource doit être fiable et vérifiée.
Les grands sites de recherche (par exemple, Yandex, Google) ont déjà appris à reconnaître les sites où vous pouvez obtenir un virus en récompense et à en avertir. Mais si vous n'êtes pas sûr de la fiabilité du site (même les sites officiels peuvent parfois être porteurs d'une menace d'infection), vous pouvez le vérifier vous-même. Cela se fait facilement sur la page du même scanner en ligne Dr.Web, où en cliquant sur le lien "Vérifier le lien (URL)" et en entrant l'adresse de la page du site, vous saurez si la ressource qui vous intéresse contient virus.
Il ne sera pas superflu de mettre des protections supplémentaires pour vérifier les sites visités avant leur ouverture. Par exemple, vous pouvez utiliser le Dr.Web LinkChecker gratuit (http://www.freedrweb.com/linkchecker/), qui est intégré à tous les navigateurs les plus populaires : Mozilla Firefox, Opera, Internet Explorer.
4. N'ouvrez pas les e-mails ou les fichiers de personnes que vous ne connaissez pas, et ne suivez pas les liens d'inconnus. Le plus souvent, c'est là que sont contenus les virus rançongiciels, et pas seulement eux.
5. Il est recommandé de stocker séparément les mots de passe et les identifiants qui sont importants pour vous.
6. Tous les disques, lecteurs flash, cartes mémoire et autres supports amovibles que vous connectez à votre ordinateur vérifient immédiatement la présence de logiciels malveillants et ne commencent alors à travailler avec. De plus, mieux vaut désactiver complètement l'exécution automatique des supports amovibles (ouverture automatique à la connexion), les virus peuvent s'y cacher également. Pour désactiver l'exécution automatique, consultez l'aide de votre système d'exploitation.
Dans le cas où le programme qui fonctionnait précédemment ne démarre pas, les fichiers avec lesquels vous avez récemment travaillé tranquillement ne s'ouvrent pas, vous ne pouvez pas accéder à Internet ou il est impossible de travailler avec l'ordinateur du tout ... quand au lieu de tout cela un fenêtre apparaît vous demandant d'envoyer des SMS, vous avez certainement dû vous familiariser avec l'un des types de virus rançongiciels. Bien sûr, nous ne recommandons pas d'envoyer des messages n'importe où, il n'y aura aucun résultat. Mais il est possible et nécessaire de lutter contre le virus.
Pour ce faire, il est souhaitable de disposer d'un ensemble d'utilitaires permettant de traiter votre ordinateur de tels virus. Nous en parlerons plus loin. Mais si vous n'êtes pas sûr de pouvoir gérer vous-même le traitement de votre ordinateur, il est préférable de demander l'aide d'un spécialiste.

Comment se débarrasser d'un virus rançongiciel

Que faire si un virus rançongiciel pénètre dans votre ordinateur ? Tout d'abord, ne paniquez pas. Malgré le fait que les virus rançongiciels évoluent rapidement, ils peuvent toujours être combattus. Vous avez juste besoin de vous ressaisir et de prendre un certain nombre de mesures.
Pour réussir dans la lutte contre les ransomwares, vous devez d'abord déterminer quel invité vous a visité, vous et votre ordinateur.
1. Virus qui bloquent l'accès à Internet. Si vous ne pouvez pas accéder à Internet ou accéder à la plupart des sites et que vous voyez devant vous une bannière vous invitant à envoyer un SMS payant, vous avez très probablement été visité par l'un de ces virus : Trojan-Ransom.BAT.Agent.c ou Trojan- Ransom.Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator).
Le premier, comme son nom l'indique, a l'extension chauve-souris. Ce virus modifie le fichier Hosts situé dans le répertoire racine du lecteur système (Windows-95/98/ME) ou dans le dossier WindowsSystem32driversetc (Windows NT/2000/XP/Vista). Vous devez ouvrir ce fichier avec n'importe quel éditeur de texte et supprimer toutes les lignes sauf 127.0.0.1 localhost.

Effectuez ensuite une analyse antivirus complète de votre ordinateur. Après vérification, redémarrez votre ordinateur. Le problème devrait avoir disparu.
Quant aux virus du groupe Trojan-Ransom.Win32.Digitala, tout est beaucoup plus compliqué. Ces logiciels malveillants peuvent se faire passer pour des logiciels légitimes. Ils sont beaucoup plus complexes et savent se cacher. Ainsi, vous avez devant vous une fenêtre haineuse exigeant une rançon pour remettre votre ordinateur en état de marche. Peut-être que la première chose que vous pouvez essayer de faire pour vous débarrasser des virus qui nécessitent l'introduction d'un code d'activation par l'envoi de SMS est d'essayer de trouver ce même code. Pour ce faire, à l'aide d'un autre ordinateur (dans les cas extrêmes, avec téléphone mobile) vous devez vous rendre sur le site Web de l'un des fabricants de logiciels antivirus (les liens sont indiqués ci-dessous), sur la page avec le service de désactivation des rançongiciels :

Service de désactivation du bloqueur de rançongiciels de Kaspersky Lab
http://support.kaspersky.com/viruses/deblocker

Prise en charge d'ESET NOD32 : déverrouiller Windows
http://www.esetnod32.ru/.support/winlock/

Dr.Web : Déverrouiller Windows par Trojan.Winlock
http://www.drweb.com/unlocker/

Il vous suffit de remplir quelques champs et le système vous donnera un code avec lequel vous pourrez déverrouiller votre ordinateur. Si le code numérique qui vous a été fourni a aidé et que l'ordinateur a recommencé à fonctionner, ne vous arrêtez pas là ! Très probablement, il y a des traces d'un virus nuisible quelque part dans le système d'exploitation. Ils peuvent se faire connaître un peu plus tard avec des dysfonctionnements fréquents, et éventuellement des blocages répétés. Pour éviter que cela ne se produise, je recommande aux lecteurs de MirSovetov de vérifier le système d'exploitation avec un antivirus, n'oubliez pas de mettre à jour ses bases de données avant cela.
Si le code de déverrouillage n'a pas aidé, vous pouvez essayer de guérir votre ordinateur en utilisant l'utilitaire Digita_Cure (un produit de Kaspersky Lab), qui est spécialement conçu pour traiter les virus rançongiciels du groupe Trojan-Ransom.Win32.Digitala, ou le programme CureIt (un produit de Dr.Web), qui détecte et d'autres types de virus. Ils sont téléchargeables gratuitement sur les sites internet de ces laboratoires :

Utilitaire Digita_Cure
Page programme : http://www.kaspersky.ru/support/viruses/solutions?print=true&qid=208637303
Lien de téléchargement: http://www.kaspersky.com/support/downloads/utils/digita_cure.zip

Utilitaire CureIt
Page programme : http://www.freedrweb.com/cureit/
Lien de téléchargement: http://www.freedrweb.com/download+cureit/gr/

Avant de commencer le traitement contre un virus, vous devez fermer l'accès à Internet et redémarrer votre ordinateur en mode sans échec en appuyant sur le bouton F8 immédiatement après l'avoir allumé et en sélectionnant "Démarrer en mode sans échec". Ensuite, vous devrez exécuter une clé USB ou un disque avec l'utilitaire Digita_Cure (ou CureIt) et effectuer une analyse complète de l'ordinateur. Alternativement, vous pouvez utiliser un disque dur amovible avec un programme antivirus alternatif. Après le traitement, l'ordinateur devra être redémarré en mode normal. Le virus rançongiciel doit être supprimé après cette procédure.
2. Virus bloquant le navigateur. Si vous surfez sur le World Wide Web à l'aide d'Internet Explorer et que lorsque vous accédez à un site, vous voyez une bannière de contenu très franc à l'écran, sur laquelle un numéro court et une note de rançon sont écrits, vous devez savoir que Trojan-Ransom. Win32.Hexzone ou Trojan vous rend visite. -Ransom.Win32.BHO. Ces virus ne bloquent pas le fonctionnement de l'ensemble de l'ordinateur, mais ne vivent que dans .

Ils utilisent le mécanisme complémentaire BHO (browser helper object). Vous pouvez résoudre le problème manuellement en utilisant l'algorithme suivant. Ouvrez Internet Explorer, recherchez l'élément de menu "Outils", puis sélectionnez "Modules complémentaires" (gérer les modules complémentaires) > "Activer ou désactiver les paramètres". En cliquant sur le dernier élément, vous verrez tous les add-ons installés dans le navigateur. Votre tâche consiste à vérifier tous les modules complémentaires qui n'ont pas d'entrée dans la colonne "Editeur" ou qui disent "Non vérifié".

Désactivez-les un par un en redémarrant Internet Explorer à chaque fois. Ce module complémentaire, après avoir désactivé la bannière porno qui disparaîtra, est malveillant et devra être désactivé.
Vous pouvez également supprimer ce type de ransomware à l'aide de l'utilitaire AVPTool de Kaspersky (http://support.kaspersky.ru/viruses/avptool2010?level=2) ou CureIT de Dr.Web (http://www.freedrweb.com/ cureit/).
3. Virus qui bloquent l'accès au système d'exploitation. Si aucun programme ne s'exécute sur votre ordinateur, à l'exception d'Internet Explorer et d'Outlook Express, et que vous voyez une fenêtre demandant une rançon, alors vous avez un virus qui bloque le système d'exploitation, l'un d'entre eux est Trojan-Ransom.Win32.Krotten.

Pour débarrasser votre ordinateur d'un virus ransomware de ce groupe, vous pouvez également contacter le service de déverrouillage gratuit (les liens vers les pages des services de déverrouillage ont été donnés ci-dessus). Après le déverrouillage, n'oubliez pas d'effectuer une analyse approfondie de votre ordinateur avec un programme antivirus sous licence avec de nouvelles bases de données.
En cas d'échec, vous devrez utiliser le LiveCD de Dr.Web, conçu pour la récupération d'urgence du système.

Page programme : http://www.freedrweb.com/livecd/
Lien de téléchargement des images : ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso

Vous devrez télécharger et graver l'image sur le disque, la rendant amorçable (cela peut être fait à l'aide du programme CDBurnerXP, en définissant l'option "Rendre le disque amorçable" lors de la gravure). Ensuite, en définissant le premier périphérique de démarrage du BIOS :, démarrez l'ordinateur à partir de ce disque. Le LiveCD de Dr.Web contient déjà des outils pour guérir et supprimer les virus, mais dans ce cas, le malware peut interférer avec le lancement des utilitaires intégrés au disque de démarrage.

Et, très probablement, vous aurez besoin de l'aide d'autres utilitaires antivirus enregistrés sur un lecteur flash. Ils devront être renommés en "iexplore.exe", après quoi ils pourront être lancés. Et des outils tels que AVPTool de Kaspersky (la description du produit peut être trouvée ici http://support.kaspersky.ru/viruses/avptool2010?level=2) ou l'utilitaire AVZ (http://z-oleg.com/secur/avz/ download.php), cependant, des scripts sont nécessaires pour travailler avec. Pour les compiler, vous pouvez contacter des forums spécialisés, par exemple VirusInfo. Avant d'utiliser les services des spécialistes du forum, lisez attentivement les règles, lisez la FAQ et inscrivez-vous. Vous recevrez un script conçu spécifiquement pour votre cas. Ensuite, vous devrez copier le script, sélectionner "Fichier - Exécuter le script" dans le menu du programme, coller le script dans la fenêtre qui s'ouvre et cliquer sur "Exécuter". Encore une fois, si vous n'êtes pas sûr de pouvoir tout faire vous-même, il est préférable de contacter un spécialiste.

Il a été remarqué que certains virus qui bloquent l'accès aux ressources du système d'exploitation sont supprimés d'eux-mêmes exactement 2 heures après leur pénétration dans l'ordinateur. Pour se débarrasser du virus, il s'avère suffisant d'avancer l'horloge dans le BIOS "e de plus de quelques heures. Après le redémarrage, la fenêtre avec l'obligation d'envoyer des SMS disparaît, ainsi que des traces de la présence du virus. Néanmoins, une analyse antivirus complète est recommandée pour la prévention.

4. Virus de chiffrement. Une place distincte est occupée par les virus qui cryptent les données stockées sur votre ordinateur : Trojan-Ransom.Win32.GPCode, Trojan-Ransom.Win32.Encore, Trojan.Ramvicrype. En règle générale, les fichiers avec des extensions txt, xls, doc souffrent. Vous pouvez découvrir que votre ordinateur est infecté en raison du manque d'accès aux informations et à une fenêtre sur le bureau ou à un document texte joint à un répertoire contenant des fichiers cryptés.
Le ransomware est peut-être le ransomware le plus redouté. Pour leur traitement, jusqu'à récemment, il n'y avait pas méthodes standard. Aujourd'hui, le laboratoire Dr.Web propose des utilitaires conçus spécifiquement pour traiter les virus de ce type (http://www.freedrweb.com/aid_admin/). Vous pouvez télécharger une série d'utilitaires pour lutter contre les virus comme Trojan-Ransom.Win32.Encore en utilisant le lien fourni. Ils sont fournis gratuitement.
Vous pouvez également utiliser les utilitaires gratuits PhotoRec (créé par Christophe Grenier, distribué sous licence GPL) et StopGpcode2 (un produit de Kaspersky Lab). Leur mode d'emploi est décrit de manière très détaillée et accessible sur la page du site securelist.com :
http://www.securelist.com/ru/viruses/encyclopedia?virusid=313444#doc2
Symantec a développé un utilitaire qui combat le virus rançongiciel Ramvicrype. Ce virus crypte les fichiers dans le dossier système avec l'extension .vicrypt. En règle générale, aucun programme ne s'exécute sur un ordinateur infecté par ce virus. Vous pouvez télécharger gratuitement l'outil de suppression Trojan.Ramvicrype sur le site Web officiel de Symantec :
http://www.symantec.com/en/uk/business/security_response/writeup.jsp?docid=2009-102921-3210-99
Avant d'exécuter l'utilitaire antivirus de Symantec, vous devez fermer tous les programmes, déconnecter l'ordinateur du réseau. Attention : dans les instructions d'utilisation de l'utilitaire, il est également recommandé de désactiver le service de restauration du système. Après avoir vérifié l'ordinateur, vous devez redémarrer et revérifier. Ce n'est qu'après ces étapes que vous devez restaurer la connexion réseau et réactiver le service de récupération.

Si aucune des méthodes ci-dessus ne vous a aidé, vous devrez contacter les spécialistes du support technique du site Web du fabricant de votre logiciel antivirus.
En conclusion, je tiens à souligner qu'il vaut toujours mieux prévenir que guérir. Par conséquent, suivez toujours les règles de sécurité Internet et ne lésinez pas sur la protection de votre ordinateur - utilisez des programmes antivirus sous licence. Et pourtant, il est préférable de stocker les fichiers très importants non seulement sur le disque dur de l'ordinateur, mais également sur un autre support, par exemple en les dupliquant sur un CD, un DVD ou une clé USB.

Capture d'écran avec message WCry

Des entreprises dans au moins 12 pays à travers le monde ont été attaquées par le virus rançongiciel WannaCrypt, également appelé WCry. Selon Meduza, citant le directeur des relations publiques de MegaFon, Petr Lidov, certains ordinateurs de l'entreprise ont été infectés. En Russie, les ordinateurs du ministère de l'Intérieur ont également été touchés par le virus. Beeline affirme que les spécialistes ont réussi à repousser l'attaque.

À ce jour, WCry a infecté plus de 123 000 ordinateurs dans le monde. Dans le même temps, les experts ont noté une forte baisse de la propagation du virus. Le fait est que lorsqu'il est infecté, le virus a vérifié la présence d'un certain domaine sur le réseau, sans trouver lequel, a activé le cryptage. Des spécialistes de la sécurité ont enregistré un domaine sur le réseau qui recherche un virus, ce qui a provoqué un ralentissement du taux d'infection.

WannaCrypt est un logiciel qui verrouille l'ordinateur de l'utilisateur et crypte toutes les données qu'il contient. Après la défaite, un message s'affiche à l'écran demandant de l'argent pour débloquer, et l'économiseur d'écran a pour fonction de choisir la langue dans laquelle le message est affiché. La rançon requise est de 300 $ en bitcoins.

Le virus ransomware donne à l'utilisateur trois jours pour transférer des fonds sur les comptes des attaquants. Si vous manquez ce délai, le montant de la rançon demandée doublera.

La propagation du virus WCry, dont la première version est apparue en février année actuelle, a débuté à un rythme explosif le 12 mai 2017. Une nouvelle version Le virus utilise prétendument un exploit SMB développé par la National Security Agency des États-Unis, volé et publié en avril de cette année par le groupe de hackers The Shadow Brokers.

Le virus utilise le protocole réseau SMB pour infecter accès à distance aux fichiers et appareils sur le même réseau. Aujourd'hui, ce protocole est utilisé par les systèmes de la famille Windows devenus vulnérables à WCry. Selon Engadget, la société américaine Microsoft a déjà mis en ligne un correctif pour le système d'exploitation Windows XP et des recommandations pour protéger votre ordinateur contre les ransomwares.

Comme première étape de la protection contre le nouveau virus, Microsoft suggère de désactiver le protocole SMBv1, ainsi que de bloquer le port 445 sur le routeur (si le matériel le permet) pour le trafic SMB entrant. Si le système d'exploitation Windows (à l'exception de XP, 8 et Windows Server 2003) a reçu une mise à jour (publiée en mars de cette année), il n'est pas vulnérable à WCry.

En novembre dernier, le virus rançongiciel HDDCrypto s'est propagé sur le réseau. Il est notamment les distributeurs automatiques de billets du système de tramway Muni Metro à San Francisco. En conséquence, les distributeurs automatiques de billets n'ont pas fonctionné pendant presque une journée, et pendant tout ce temps, les tramways de San Francisco pouvaient être utilisés gratuitement. Le virus a exigé cent bitcoins pour la suppression du blocage.

Vasily Sytchev