WannaCry: Kako pobijediti novi ransomware? Otkriven novi ransomware sličan WannaCryju

Ovaj cyber napad već je prozvan najvećim u povijesti. Više od 70 zemalja, deseci tisuća zaraženih računala. Ransomware virus imena Wanna Cry (“Želim plakati”) ne štedi nikoga. Bolnice pod napadom željeznice, vladine agencije.

U Rusiji je napad bio najmasovniji. Poruke koje sada stižu podsjećaju na izvještaje s računalnih frontova. Od posljednjeg: Ruske željeznice su rekle da je virus pokušao prodrijeti u njihov IT sustav, već je lokaliziran i pokušavaju ga uništiti. Također, raspravljalo se o pokušajima hakiranja u Središnjoj banci, Ministarstvu unutarnjih poslova, Ministarstvu za hitne situacije i komunikacijskim tvrtkama.

Ovako izgleda virus koji je paralizirao desetke tisuća računala diljem svijeta. Jasno sučelje i tekst preveden na desetke jezika - "imate samo tri dana za plaćanje." Maliciozni program koji šifrira datoteke zahtijeva, prema različitim izvorima, od 300 do 600 dolara za njihovo otključavanje. Samo u cyber valuti. Ucjena je doslovno na rubu života i smrti.

“Bio sam potpuno spreman za operaciju, čak je i drip već bio stavljen, a onda dolazi kirurg i kaže da imaju problema s opremom zbog cyber napada”, kaže Patrick Ward.

Cjepiva od računalni virus niti je pronađen u četrdesetak britanskih klinika koje su prve napadnute, niti u najvećoj španjolskoj telekomunikacijskoj tvrtki Telefonika. Tragovi, prema stručnjacima, jedan od najvećih hakerski napadi u svjetskoj povijesti, čak i na semaforu željezničkih stanica u Njemačkoj. U jednom od sedam kontrolnih centara njemačkog željezničkog prijevoznika Deutsche Bahna otkazao je kontrolni sustav. Posljedice bi mogle biti katastrofalne.

Ukupno su 74 zemlje već postale žrtve kibernetičkih napada. Samo Afrika i nekoliko država u Aziji i Latinska Amerika. Je li to samo za sada?

“Sve se to radi kako bi se dobio novac od organiziranog kriminala. Nema nikakve političke pozadine niti skrivenih motiva. Čista ucjena”, kaže stručnjak za antivirusne programe IT tvrtke Ben Rapp.

Britanski mediji su, međutim, odmah pronašli političku pozadinu. I za sve su okrivili ruske hakere, međutim, bez ikakvih dokaza, povezujući kibernetički napad s američkim zračnim udarom u Siriji. Navodno je ransomware virus postao osveta Moskve. Istovremeno, prema istim britanskim medijima, Rusija je najviše stradala u ovom napadu. I teško je raspravljati s tim, sigurno. Samo u Ministarstvu unutarnjih poslova napadnuto je više od tisuću računala. Međutim, bez uspjeha.

Odbili smo napade u Ministarstvu za hitne situacije i Ministarstvu zdravlja, u Sberbanku iu Megafonu. Mobilni operater je čak na neko vrijeme obustavio rad call centra.

“Predsjednički dekret o stvaranju ruskog segmenta mreže je zatvoreni internet oko vladinih dužnosnika. Obrana je odavno iza ovog štita. Najvjerojatnije, mislim, patila su jednostavna računala običnih zaposlenika. Malo je vjerojatno da je pristup bazama podataka pretrpio - one su, u pravilu, na drugim operativnim sustavima i obično se nalaze kod pružatelja usluga ”, rekao je German Klimenko, savjetnik ruskog predsjednika za razvoj interneta.

Program, prema antivirusnim programerima, zarazi računalo ako korisnik otvori sumnjivu e-poštu bez ažuriranja Windowsa. To se jasno vidi u Kini, koja je ozbiljno pogođena - stanovnici Nebeskog Carstva, kao što znate, gaje posebnu ljubav prema piratskim operativnim sustavima. Ali isplati li se plaćati, bez razmišljanja klikajući mišem, pitaju se diljem svijeta

“Ako tvrtka nema sigurnosnu kopiju, mogla bi izgubiti pristup podacima. To jest, na primjer, ako je baza podataka bolničkih pacijenata pohranjena zajedno s poviješću bolesti u jednoj kopiji na ovom poslužitelju na koji je virus stigao, tada bolnica više neće ni na koji način vraćati te podatke”, kaže stručnjak za kibernetičku sigurnost Ilya Skachkov.

Do sada, kako su saznali blogeri, u elektroničkom novčaniku prevaranata nema više od četiri tisuće dolara. Sitnica, s obzirom na popis žrtava - troškovi hakiranja njihovih tvrdih diskova očito nisu usporedivi. Britansko izdanje Financial Timesa sugeriralo je da virus ransomware nije ništa drugo nego modificirani virus kibernetičkih kriminalaca malware Agencije nacionalna sigurnost SAD. Jednom je stvorena kako bi prodrla u zatvorene američke sustave. To je potvrdio i njegov bivši zaposlenik Edward Snowden.

Sa Snowdenovog Twittera: "Vau, odluka NSA da stvori alate za napad na Amerikanca softver sada ugrožava živote bolničkih pacijenata.”

WikiLeaks je, međutim, također više puta upozorio da američke obavještajne službe zbog manijakalne želje da nadziru cijeli svijet distribuiraju malware. Ali čak i ako to nije slučaj, postavlja se pitanje kako NSA programi dospijevaju u krive ruke. Zanimljivo i još nešto. Spasiti svijet od virusa nudi još jedna američka obavještajna agencija - Ministarstvo domovinske sigurnosti.

Bilo kako bilo, stvarne razmjere ovog napada tek treba procijeniti. Zaraza računala diljem svijeta se nastavlja. Postoji samo jedno “cjepivo” – oprez i dalekovidnost. Važno je ne otvarati sumnjive privitke. Pritom stručnjaci upozoravaju da će ih biti još. Učestalost i razmjer kibernetičkih napada samo će rasti.

Pozdrav dragi prijatelji. Danas vam želim reći o što je ransomware virus kako ga ne uhvatiti i nekoliko riječi o tome kako ga se riješiti. Dugo sam namjeravao napisati članak o ovom blatu, jer su ga ovi virusi već uhvatili. I želim ti reći što je to.

Budući da malo popravljam računala, često se susrećem s ransomware virusima. Nazivaju ih i SMS iznuđivačima, ali sada ti virusi zahtijevaju plaćanje ne samo SMS-om, već i putem različitih terminala.

Ransomware virus, što je to?

ransomware virus - radi se o zlonamjernom programu koji nakon ulaska u računalo potpuno blokira njegov rad i od vas zahtijeva da pošaljete SMS ili na drugi način platite kod za otključavanje računala. U suprotnom, prijeti uništenjem svih podataka. Postoji nekoliko vrsta ransomwarea. Postoje oni koji blokiraju neke stranice, kao što je blokiranje preglednika. Ali u ovom ćemo članku razmotriti viruse koji blokiraju operativni sustav. Budući da su najstrašniji :), a riješiti ih se teže.

Izgledaju ovako:



To, naravno, nije sve, ima ih puno i svi su različiti, svi traže različite iznose i imaju različite prijetnje. Usput, nedavno sam na svom računalu susreo virus sličan ovom zadnjem na slici. Dakle, on već ima novu značajku, prije sam vidio viruse koji su blokirali Windows već kad se učitao, odnosno desktop je bio u pozadini. A ovaj virus se pojavljuje odmah pri pokretanju računala, odnosno čim operacijski sustav počinje trčati. Izgleda još strašnije i njegov ucjenjivački tekst je savršen :). Uspio sam ga pobijediti samo ponovnom instalacijom Windowsa.

Što god ovi virusi bili, imaju jedan cilj. Uplašiti te i dobiti svoj novac. A čini mi se da mnogi trče i plaćaju da počiste ovo smeće. Inače je šteta, takav tekst je napisan i odjednom će ga rodbina vidjeti, čak je šteta odnijeti ga na popravak. Prijatelji koji su se nosili s tim virusom nisu me ni kontaktirali, kasnije sam saznao. I savršeno razumijem, ali sve se to radi da bi se žrtva stisnula i natjerala da plati.

Što je još zanimljivije, slanjem SMS-a najčešće ne dobivate ništa, odnosno najvjerojatnije ćete samo potrošiti novac, a nećete dobiti nikakav ključ. Stoga ni u kojem slučaju ne šaljite novac, to neće spasiti situaciju.

Kako se ne zaraziti ransomware virusom?

Obično se ovo smeće nalazi bilo gdje, a ne samo na stranicama za odrasle, kako su svi mislili. U pravilu se takav virus može sakriti u zip, rar, exe datotekama itd. Može se čak maskirati i kao flash player nakon čije instalacije se operativni sustav blokira. Njime se možete zaraziti putem prijenosnih medija i putem mreže.

Nekoliko savjeta koji će vam pomoći da se zaštitite od ransomwarea što je više moguće.

  1. Naravno, antivirusni program, čak i besplatan. Antivirusni program mora biti instaliran na računalu i stalno ažuriran. Nije čak ni potrebno kupiti plaćeni antivirusni program, možete koristiti besplatni. S vremena na vrijeme skenirajte cijelo računalo na viruse. No zapamtite da vas niti jedan antivirus neće 100% zaštititi od svih virusa.
  2. Ako trebate neku vrstu programa ili upravljačkog programa, pokušajte ih preuzeti sa službenih stranica. Ne idite nikamo, neke stranice je bolje zaobići, sada tražilice upozoravaju da bi stranica mogla biti opasna za vaše računalo, stoga nemojte ignorirati ovu poruku i zatvoriti ovu stranicu. Nemojte klikati na čudne poveznice koje dolaze na vašu poštu ili u društvena mreža. Takva veza može dovesti do zlonamjerne stranice.
  3. Skenirajte sve prijenosne medije koje spojite odmah antivirusnim programom i tek ih onda otvorite.

Kako se riješiti ransomware virusa napisat ću u sljedećim člancima, budući da je ovo posebna priča. Samo da kažem da uvijek prvo skeniram računalo boot diskom, odn. Pa, ako ova dva diska ne pronađu ništa, onda ću najvjerojatnije ponovno instalirati Windows. Sada govorim o virusima koji blokiraju operativni sustav. Sretno!

Ažuriraj:

Po novije vrijeme Napisao sam nekoliko članaka u kojima sam govorio o tome kako možete ukloniti ransomware virus. Mislim da će vam trebati:

Ako se već dogodilo da ste "uhvatili" ransomware virus ili imate drugih problema s prijenosnim računalom, obratite se momcima koji popravljaju prijenosna računala u Moskvi. Mislim da će vam moći pomoći ne samo s virusima, već i, na primjer, zamijeniti matricu u prijenosnom računalu.

Panika je zahvatila korisnike osobnih računala diljem svijeta: stručnjaci su registrirali već 45.000 pokušaja hakerskog napada na računala virusom za šifriranje WannaCry (Wanna Decryptor).

Prve žrtve virusa bili su serveri velikih organizacija s kojih su napadači namjeravali ukrasti novac. Zapravo, vrlo je jednostavno zaštititi se od virusa, a moguće je riješiti se posljedica “kompjuterske bolesti”.

Koja je opasnost od Wana Decryptora?

Kada uđe u računalo, trojanac skenira sve datoteke pohranjene na uređaju, dodajući im ekstenziju WNCRY. Na taj način korisnici gube pristup svojim fotografijama ili glazbi, dokumentima i sistemske datoteke.

Svaka žrtva ransomwarea vidi ponudu za besplatno dešifriranje nekih datoteka i plaćanje za vraćanje pristupa svemu ostalom. Međutim, ne postoji jamstvo da će pristup biti vraćen nakon plaćanja.

Glavni problem je što svaki put virus radi nešto drugačije: ponekad, nakon što stvori šifrirane kopije, izbriše originale. To dovodi do činjenice da čak i ako antivirusni program naknadno blokira aplikaciju, datoteke su već šifrirane.

Kako se računalo zarazi Wana Decryptorom?

Zlonamjerni softver može doći putem e-pošte ili korisnik riskira da ga sam slučajno preuzme - na primjer, preuzimanjem nečeg piratskog s torrenta, otvaranjem prozora s lažnim ažuriranjem i preuzimanjem lažnih instalacijskih datoteka.

Najčešće se korisnik zarazi klikom na zlonamjerni privitak u e-poruci. Riječ je o datotekama s ekstenzijama js i exe, kao i dokumentima sa zlonamjernim makronaredbama (na primjer, Microsoft Word datoteke).
Kako zaštititi svoje računalo od virusa?

Korisnici macOS-a i ranijih verzija Windowsa mogu odahnuti jer je virus zarazio Windows Vista, 7, 8, 8.1 i 10, kao i Windows Server 2008/2012/2016.

Microsoft je izvijestio o zatvaranju ove ranjivosti prije dva mjeseca, jer svi koji su sada uhvatili virus jednostavno nisu imali vremena za ažuriranje. S web stranice Microsofta možete preuzeti zakrpu MS17-010 koja će zatvoriti ranjivost.

Korisnici antivirusnog programa Windows Defender također su potpuno zaštićeni od virusa. Za antivirusne programe trećih strana kao što su Kaspersky ili Symantec također se isplati preuzeti najnoviju verziju.
U antivirusnom programu morate omogućiti komponentu "System Monitor". Zatim morate provjeriti sustav: ako se otkriju zlonamjerni napadi (MEM:Trojan.Win64.EquationDrug.gen), ponovno pokrenite sustav i provjerite je li instalirana zakrpa MS17-010.
Što učiniti ako je računalo već zaraženo?

1. Vrijedno je omogućiti siguran način rada s učitavanjem mrežnih upravljačkih programa. U sustavu Windows 7 to se može učiniti kada se sustav ponovno pokrene nakon pritiska tipke F8. Također postoje upute za dovršetak ovog koraka za druge verzije, uključujući Windows 8 i Windows 10.
2. Neželjene aplikacije možete sami ukloniti putem "Ukloni programe". Međutim, kako biste izbjegli rizik od pogreške i slučajnog oštećenja sustava, vrijedi ga koristiti antivirusni programi poput SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware ili STOPZilla.

Za vraćanje datoteka možete koristiti dekriptore, kao i uslužni program Shadow Explorer (vratit će kopije datoteka u sjeni i izvorno stanje šifriranih datoteka) ili Stellar Phoenix Windows Data Recovery. Za stanovnike zemalja bivši SSSR postoji besplatno (za nekomercijalnu upotrebu) R.saver rješenje programera koji govore ruski.

Prema podacima Kaspersky Labsa i Dr.Weba, ransomware virusi bili su najčešći među malicioznim programima prošle godine i ove godine ruše sve rekorde. Vrlo ste sretni ako je vaše računalo sigurno zaštićeno i još nije primilo takvog "gosta".

Što je ransomware virus?

Ovo je zloćudni program, obično trojanac, koji blokira vaše računalo i nudi vraćanje statusa quo ako pošaljete plaćeni SMS na kratki broj.
Najzanimljivije je to što slanje ove poruke najčešće nema nikakvih posljedica, odnosno potrošit ćete novac, ali nećete dobiti nikakav rezultat. Štoviše, vrlo često SMS košta puno više od navedenog iznosa.
Postoji nekoliko vrsta ransomware virusa. Neki - ograničavaju pristup web stranicama ili rade s preglednikom. Drugi šifriraju korisničke datoteke. Treći blokiraju pristup resursima operativnog sustava ili ograničavaju radnje u njemu. Takvi se virusi obično skrivaju među datotekama s ekstenzijama zip, rar, exe, bat, com.

Kako izbjeći da postanete žrtva ransomware virusa?

1. Naravno, ne možete bez. S najnovijim, stalno ažuriranim bazama podataka. Zaštitu od virusa mogu pružiti i plaćeni i besplatni antivirus. U svakom slučaju, i sami cijenite važnost stabilnog rada i zaštite podataka na vašem računalu. Štednja na zaštiti nije najbolja opcija.
2. Od obveznih radnji koje treba dodijeliti vašem antivirusnom programu - dovršite prisutnost virusa. Opet, sami određujete učestalost provjere, ali vrijedi izvršiti takvu provjeru barem jednom tjedno.
Tvrtke za zaštitu od virusa također nude skeniranje datoteka izravno na svojim web stranicama, to su takozvani mrežni skeneri. Ako imate nedoumica oko nekih datoteka na računalu, možete ih ponovo provjeriti, jednu po jednu:
Dr.Web online skener
http://vms.drweb.com/online/
Kaspersky Online Scanner
http://www.kaspersky.com/scanforvirus
Dr.Web nudi i vlastito rješenje - Dr.Web LinkChecker. Ovo je skup dodataka za tri preglednika ( Mozilla Firefox, Opera i Internet Explorer), nakon čije instalacije će sve stranice koje otvorite i datoteke preuzete s interneta biti unaprijed provjerene na zlonamjerni softver, tj. prije nego što bilo što otvorite ili preuzmete.
3. Vrijedi li još jednom ponoviti da je neke resurse bolje zaobilaziti desetom cestom. Govorimo o stranicama koje obećavaju, puno besplatne pornografije itd. Usput, izvori koji nude sve vrste crackova, programa za hakiranje, ključeva i sličnog softvera također su potencijalno opasni za vaše računalo. Usput, bilo koji program - bilo da se radi o običnom pregledniku fotografija, IM klijentu ili čak standardnom skupu kodeka - preporučujem čitateljima MirSovetov da ih preuzmu sa službenih stranica. U najmanju ruku, izvor bi trebao biti pouzdan i provjeren.
Velike tražilice (na primjer, Yandex, Google) već su naučile prepoznati stranice na kojima možete dobiti virus kao nagradu i upozoriti na to. Ali ako niste sigurni u pouzdanost stranice (čak i službene stranice ponekad mogu nositi prijetnju infekcije), možete to sami provjeriti. To se lako može učiniti na stranici istog mrežnog skenera Dr.Web, gdje ćete klikom na vezu "Provjeri vezu (URL)" i unosom adrese stranice web mjesta saznati je li resurs koji vas zanima sadrži viruse.
Neće biti suvišno staviti dodatnu zaštitu za provjeru posjećenih stranica prije nego što se otvore. Na primjer, možete koristiti besplatni Dr.Web LinkChecker (http://www.freedrweb.com/linkchecker/), koji je ugrađen u sve najpopularnije preglednike: Mozilla Firefox, Opera, Internet Explorer.
4. Ne otvarajte e-poštu ili datoteke od ljudi koje ne poznajete, niti slijedite poveznice od stranaca. Češće se tamo nalaze ransomware virusi, i ne samo oni.
5. Lozinke i prijave koje su vam važne preporuča se pohraniti odvojeno.
6. Sve diskove, flash pogone, memorijske kartice i druge prijenosne medije koje spojite na računalo odmah provjerite na malware i tek tada počnite raditi s njim. Osim toga, bolje je potpuno isključiti automatsko pokretanje prijenosnog medija (automatsko otvaranje kada je spojen), virusi se također mogu sakriti tamo. Da biste onemogućili automatsko pokretanje, pogledajte pomoć za svoj operativni sustav.
U slučaju kada se program koji je prethodno radio ne pokreće, datoteke s kojima ste nedavno tiho radili se ne otvaraju, ne možete pristupiti internetu ili je uopće nemoguće raditi s računalom... kada se umjesto svega toga pojavi prozor pojavi zahtjev da pošaljete SMS, gotovo sigurno ste se morali upoznati s nekom od vrsta ransomware virusa. Naravno, ne preporučamo slanje poruka bilo gdje, neće biti rezultata. Ali moguće je i potrebno boriti se protiv virusa.
Da biste to učinili, poželjno je imati skup uslužnih programa za liječenje vašeg računala od takvih virusa. O njima ćemo dalje reći. Ali ako niste sigurni da se možete sami nositi s liječenjem računala, bolje je potražiti pomoć stručnjaka.

Kako se riješiti ransomware virusa

Što učiniti ako ransomware virus ipak uđe u vaše računalo? Prvo, nemojte paničariti. Unatoč činjenici da se ransomware virusi brzo razvijaju, protiv njih se još uvijek može boriti. Samo se trebate sabrati i poduzeti niz mjera.
Da biste uspjeli u borbi protiv ransomwarea, prvo morate utvrditi koji je gost posjetio vas i vaše računalo.
1. Virusi koji blokiraju pristup internetu. Ako ne možete pristupiti internetu ili pristupiti većini stranica i ispred sebe vidite banner koji zahtijeva slanje plaćenog SMS-a, najvjerojatnije vas je posjetio jedan od ovih virusa: Trojan-Ransom.BAT.Agent.c ili Trojan-Ransom .Win32.Digitala (Get Accelerator, Digital Access, Get Access, Download Manager v1.34, Ilite Net Accelerator).
Prvi, kao što naziv implicira, ima nastavak šišmiša. Ovaj virus mijenja datoteku Hosts koja se nalazi u korijenskom direktoriju pogona sustava (Windows-95/98/ME) ili u mapi WindowsSystem32driversetc (Windows NT/2000/XP/Vista). Morate otvoriti ovu datoteku bilo kojim uređivačem teksta i izbrisati sve retke osim 127.0.0.1 localhost.

Zatim potpuno antivirusno skenirajte svoje računalo. Nakon provjere ponovno pokrenite računalo. Problem bi trebao nestati.
Što se tiče virusa grupe Trojan-Ransom.Win32.Digitala, sve je mnogo kompliciranije. Ovaj zlonamjerni softver može se maskirati u legitiman softver. Puno su kompleksniji i znaju se sakriti. Dakle, pred vama je mrski prozor u kojem se traži otkupnina za vraćanje vašeg računala u ispravno stanje. Možda prva stvar koju možete pokušati učiniti kako biste se riješili virusa koji zahtijevaju uvođenje aktivacijskog koda slanjem SMS-a jest pokušati saznati upravo taj kod. Da biste to učinili, koristite drugo računalo (u ekstremnim slučajevima, s mobitel) trebate otići na web stranicu jednog od proizvođača antivirusnog softvera (veze su navedene u nastavku), na stranicu s uslugom deaktivacije ransomwarea:
Usluga deaktivacije blokatora ransomwarea tvrtke Kaspersky Lab
http://support.kaspersky.com/viruses/deblocker
Podrška za ESET NOD32: Otključajte Windows
http://www.esetnod32.ru/.support/winlock/
Dr.Web: Otključajte Windows pomoću Trojan.Winlock
http://www.drweb.com/unlocker/
Dovoljno je ispuniti nekoliko polja, a sustav će vam dati šifru kojom možete otključati svoje računalo. Ako vam je numerički kod koji ste dobili pomogao i računalo je ponovno počelo raditi, nemojte tu stati! Najvjerojatnije postoje tragovi štetnog virusa negdje unutar operativnog sustava. Mogu se javiti malo kasnije čestim kvarovima, a možda i ponovljenim blokiranjem. Kako se to ne bi dogodilo, preporučujem čitateljima MirSovetov da provjere operativni sustav antivirusom, ne zaboravite ažurirati njegove baze podataka prije toga.
Ako kod za otključavanje nije pomogao, možete pokušati izliječiti svoje računalo pomoću uslužnog programa Digita_Cure (proizvod tvrtke Kaspersky Lab), koji je posebno dizajniran za liječenje ransomware virusa grupe Trojan-Ransom.Win32.Digitala ili programa CureIt (proizvod Dr.Weba), koji otkriva i druge vrste virusa. Mogu se besplatno preuzeti na stranicama ovih laboratorija:
Uslužni program Digita_Cure
Stranica programa: http://www.kaspersky.ru/support/viruses/solutions?print=true&qid=208637303
Poveznica za skidanje: http://www.kaspersky.com/support/downloads/utils/digita_cure.zip
CureIt Utility
Stranica programa: http://www.freedrweb.com/cureit/
Poveznica za skidanje: http://www.freedrweb.com/download+cureit/gr/
Prije nego što počnete s liječenjem virusa, morate zatvoriti pristup Internetu i ponovno pokrenuti računalo u sigurnom načinu rada pritiskom na gumb F8 odmah nakon uključivanja i odabirom stavke "Pokretanje u sigurnom načinu". Zatim ćete morati pokrenuti USB flash pogon ili disk s uslužnim programom Digita_Cure (ili CureIt) i provesti potpuno skeniranje računala. Alternativno, možete koristiti prijenosni tvrdi disk s alternativnim antivirusnim programom. Nakon tretmana, računalo će se morati ponovno pokrenuti u normalnom načinu rada. Nakon ovog postupka potrebno je ukloniti ransomware virus.
2. Virusi koji blokiraju preglednik. Ako surfate World Wide Webom koristeći Internet Explorer i kada posjetite bilo koju stranicu vidite vrlo eksplicitan natpis na zaslonu s kratkim brojem i napomenom o otkupnini, trebali biste znati da je Trojan-Ransom.Win32.Hexzone ili Trojan vaš gost. -Ransom.Win32.BHO. Ovi virusi ne blokiraju rad cijelog računala, već žive samo u .

Koriste mehanizam dodatka BHO (pomoćni objekt preglednika). Problem možete riješiti ručno pomoću sljedećeg algoritma. Otvorite Internet Explorer, pronađite stavku izbornika "Alati", zatim odaberite "Dodaci" (upravljanje dodacima) > "Uključi ili isključi postavke". Klikom na posljednju stavku vidjet ćete sve dodatke instalirane u pregledniku. Vaš zadatak je provjeriti sve dodatke koji nemaju unos u stupcu "Izdavač" ili kažu "Nije potvrđeno".

Onemogućite ih jednu po jednu, svaki put ponovno pokrećući Internet Explorer. Taj dodatak, nakon čijeg isključivanja nestaje pornografski banner, zlonamjeran je i morat će ga se onemogućiti.
Također možete ukloniti ovu vrstu ransomwarea pomoću uslužnog programa AVPTool tvrtke Kaspersky (http://support.kaspersky.ru/viruses/avptool2010?level=2) ili CureIT tvrtke Dr.Web (http://www.freedrweb.com/ cureit/).
3. Virusi koji blokiraju pristup OS-u. Ako se na vašem računalu ne pokreće nijedan program, osim Internet Explorera i Outlook Expressa, a vidite prozor u kojem se traži otkupnina, tada imate virus koji blokira operativni sustav, jedan od njih je Trojan-Ransom.Win32.Krotten.

Da biste svoje računalo riješili ransomware virusa iz ove grupe, također se možete obratiti besplatnoj usluzi za otključavanje (veze na stranice usluga za otključavanje navedene su gore). Nakon otključavanja ne zaboravite izvršiti dubinsko skeniranje računala s licenciranim antivirusnim programom sa svježim bazama podataka.
U slučaju kvara, morat ćete koristiti LiveCD iz Dr.Weba, dizajniran za hitan oporavak sustava.

Stranica programa: http://www.freedrweb.com/livecd/
Link za preuzimanje slike: ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-5.0.1.iso
Morat ćete preuzeti i snimiti sliku na disk, čineći je bootabilnom (to se može učiniti pomoću programa CDBurnerXP, postavljanjem opcije "Make disk bootable" prilikom snimanja). Zatim, postavljajući BIOS-ov First Boot Device:, pokrenite računalo s ovog diska. Dr.Webov LiveCD već sadrži alate za liječenje i uklanjanje virusa, ali u ovom slučaju zlonamjerni softver može ometati pokretanje uslužnih programa ugrađenih u disk za pokretanje.

I najvjerojatnije će vam trebati pomoć drugih antivirusnih uslužnih programa snimljenih na flash pogonu. Trebat će ih preimenovati u "iexplore.exe", nakon čega se mogu pokrenuti. I takve alate kao što je AVPTool tvrtke Kaspersky (opis proizvoda možete pronaći ovdje http://support.kaspersky.ru/viruses/avptool2010?level=2) ili uslužni program AVZ (http://z-oleg.com/secur/avz /download.php), međutim, potrebne su skripte za rad s njim. Da biste ih sastavili, možete kontaktirati specijalizirane forume, na primjer, VirusInfo. Prije korištenja usluga forumskih stručnjaka pažljivo pročitajte pravila, pročitajte FAQ i registrirajte se. Dobit ćete skriptu dizajniranu posebno za vaš slučaj. Zatim ćete morati kopirati skriptu, odabrati "Datoteka - Pokreni skriptu" u izborniku programa, zalijepiti skriptu u prozor koji se otvori i kliknuti "Pokreni". Još jednom, ako niste sigurni da možete sami učiniti sve kako treba, bolje je kontaktirati stručnjaka.
Primijećeno je da se neki virusi koji blokiraju pristup resursima operativnog sustava sami uklanjaju točno 2 sata nakon što prodru u računalo. Da biste se riješili virusa, pokazalo se da je dovoljno postaviti sat u BIOS-u "e unaprijed za više od nekoliko sati. Nakon ponovnog pokretanja, prozor sa zahtjevom za slanje SMS-a nestaje, kao i tragovi prisutnost virusa. Ipak, za prevenciju se preporučuje potpuno antivirusno skeniranje.
4. Virusi za šifriranje. Posebno mjesto zauzimaju virusi koji kriptiraju podatke pohranjene na računalu: Trojan-Ransom.Win32.GPCode, Trojan-Ransom.Win32.Encore, Trojan.Ramvicrype. U pravilu pate datoteke s ekstenzijama txt, xls, doc. Moći ćete saznati da je vaše računalo zaraženo zbog nedostatka pristupa informacijama i prozora na radnoj površini ili tekstualnog dokumenta priloženog direktoriju s šifriranim datotekama.
Ransomware je možda najstrašniji ransomware. Za njihovo liječenje donedavno nije bilo standardne metode. Danas laboratorij Dr.Web nudi uslužne programe dizajnirane posebno za liječenje virusa ove vrste (http://www.freedrweb.com/aid_admin/). Možete preuzeti niz uslužnih programa za borbu protiv virusa kao što je Trojan-Ransom.Win32.Encore pomoću navedene veze. Daju se besplatno.
Također možete koristiti besplatne uslužne programe PhotoRec (kreirao Christophe Grenier, distribuira se pod GPL licencom) i StopGpcode2 (proizvod Kaspersky Laba). Upute za njihovo korištenje vrlo su detaljno i pristupačno opisane na web stranici securelist.com:
http://www.securelist.com/ru/viruses/encyclopedia?virusid=313444#doc2
Symantec je razvio uslužni program koji se bori protiv Ramvicrype ransomware virusa. Ovaj virus šifrira datoteke u sistemskoj mapi s ekstenzijom .vicrypt. U pravilu se na računalu zaraženom ovim virusom ne pokreću programi. Besplatan Alat za uklanjanje Trojan.Ramvicrype možete preuzeti na službenoj web stranici Symanteca:
http://www.symantec.com/en/uk/business/security_response/writeup.jsp?docid=2009-102921-3210-99
Prije pokretanja Symantecovog antivirusnog programa, morate zatvoriti sve programe, odspojiti računalo s mreže. Pažnja: u uputama za korištenje uslužnog programa također se preporučuje da onemogućite uslugu vraćanja sustava. Nakon provjere računala morate ga ponovno pokrenuti i provjeriti. Tek nakon ovih koraka trebate vratiti mrežnu vezu i ponovno omogućiti uslugu oporavka.

Ako vam nijedna od gore navedenih metoda nije pomogla, morat ćete se obratiti stručnjacima za tehničku podršku web stranice proizvođača vašeg antivirusnog softvera.
Na kraju želim napomenuti da je uvijek bolje spriječiti nego liječiti. Stoga se uvijek pridržavajte pravila internetske sigurnosti i ne štedite na zaštiti svog računala – koristite licencirane antivirusne programe. Pa ipak, najbolje je pohraniti vrlo važne datoteke ne samo na tvrdi disk računala, već i na neki drugi medij, na primjer, duplicirati ih na CD, DVD ili USB flash pogon.

Snimak zaslona s WCry porukom

Kompanije u najmanje 12 zemalja diljem svijeta napadnute su ransomware virusom WannaCrypt, koji se naziva i WCry. Prema pisanju Meduze, pozivajući se na direktora MegaFonovih odnosa s javnošću Petra Lidova, zaražena su neka računala te tvrtke. U Rusiji su virusom pogođena i računala Ministarstva unutarnjih poslova. Beeline tvrdi da su stručnjaci uspjeli odbiti napad.

Do danas je WCry zarazio preko 123.000 računala diljem svijeta. Istodobno, stručnjaci su primijetili nagli pad u širenju virusa. Činjenica je da je virus prilikom zaraze provjeravao prisutnost određene domene na mreži, a ako je nije pronašao, uključivao je enkripciju. Stručnjaci za sigurnost registrirali su na mreži domenu koja traži virus, što je uzrokovalo usporavanje stope zaraze.

WannaCrypt je softver koji zaključava računalo korisnika i kriptira sve podatke na njemu. Nakon poraza na ekranu se prikazuje poruka kojom se traži novac za otključavanje, a screensaver ima funkciju odabira jezika na kojem će se poruka prikazati. Potrebna otkupnina je 300 dolara u bitcoinima.

Ransomware virus daje korisniku tri dana da prebaci sredstva na račune napadača. Ako propustite ovaj rok, iznos tražene otkupnine će se udvostručiti.

Širenje virusa WCry, čija se prva verzija pojavila još u veljači Trenutna godina, započeo je eksplozivnom brzinom 12. svibnja 2017. godine. Nova verzija Virus navodno koristi SMB exploit koji je razvila američka Agencija za nacionalnu sigurnost, a koji je u travnju ove godine ukrala i objavila hakerska skupina The Shadow Brokers.

Virus za zarazu koristi SMB mrežni protokol daljinski pristup na datoteke i uređaje na istoj mreži. Danas ovaj protokol koriste sustavi u obitelji Windows koji su postali ranjivi na WCry. Kako javlja Engadget, američka tvrtka Microsoft već je objavila zakrpu za operativni sustav Windows XP i preporuke za zaštitu vašeg računala od ransomwarea.

Kao prve korake u zaštiti od novog virusa Microsoft predlaže onemogućavanje SMBv1 protokola, kao i blokiranje porta 445 na ruteru (ako oprema to dopušta) za dolazni SMB promet. Ako je operativni sustav Windows (osim XP, 8 i Windows Server 2003) primio ažuriranje (objavljeno u ožujku ove godine), tada nije ranjiv na WCry.

Prošlog studenog, HDDCrypto ransomware virus proširio se mrežom. Konkretno, on je automat za prodaju karata tramvajskog sustava Muni Metro u San Franciscu. Kao rezultat toga, automati za prodaju karata nisu radili gotovo jedan dan, a svo to vrijeme mogli su se besplatno koristiti tramvaji San Francisca. Virus je tražio sto bitcoina za uklanjanje blokade.

Vasilij Sičev

Slični postovi