Вълна от нов ransomware вирус WannaCry (други имена Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) обхвана целия свят, който криптира документи на компютър и изнудва 300-600 USD за тяхното декодиране. Как да разбера дали компютърът ми е заразен? Какво трябва да се направи, за да не стане жертва? И какво да направите, за да се възстановите?

След като инсталирате актуализациите, компютърът ще трябва да се рестартира.

Как да се възстановя от вируса на ransomware Wana Decrypt0r?

Когато антивирусната програма открие вирус, тя или ще го премахне незабавно, или ще ви помоли да го лекувате или не? Отговорът е да се лекува.

Как да възстановим файлове, криптирани от Wana Decryptor?

Нищо утешително този моментне можем да докладваме. Досега не е създаден инструмент за декриптиране на файлове. Засега остава само да изчакаме разработването на декриптора.

Според Брайън Кребс, експерт по компютърна сигурност, в момента престъпниците са получили само 26 000 щатски долара, тоест само около 58 души са се съгласили да платят откупа на рансъмуера. Дали са възстановили документите си едновременно, никой не знае.

Как да спрем разпространението на вируса в мрежата?

В случай на WannaCry, решението на проблема може да бъде блокиране на порт 445 на защитната стена ( защитна стена), през които протича инфекцията.

На 12 април 2017 г. се появи информация за бързото разпространение на вируса от ransomware, наречен WannaCry, който може да бъде преведен като „Искам да плача“, по целия свят. Потребителите имат въпроси относно актуализацията на Windows от вируса WannaCry.

Вирусът на екрана на компютъра изглежда така:

Лошият вирус WannaCry, който криптира всичко

Вирусът криптира всички файлове на компютъра и изисква откуп за портфейла на Bitcoin в размер на $ 300 или $ 600 за предполагаемо декриптиране на компютъра. Компютрите в 150 страни по света бяха заразени, най -засегната е Русия.

Мегафон, Руските железници, Министерството на вътрешните работи, Министерството на здравеопазването и други компании са се изправили лице в лице с този вирус. Сред жертвите има и обикновени потребители на интернет.

Почти всички са равни преди вируса. Може би разликата е, че в компаниите вирусът се разпространява навсякъде локална мрежав рамките на организацията и незабавно заразява възможно най -много компютри.

Вирусът WannaCry криптира файлове на компютри, работещи под Windows. Още през март 2017 г. Microsoft пусна актуализации на MS17-010 за различни Версии на Windows XP, Vista, 7, 8, 10.

Оказва се, че тези, които са конфигурирани автоматична актуализация Windows са извън рисковата зона за вируса, тъй като са получили актуализацията своевременно и са успели да я избегнат. Не смятам да твърдя, че наистина е така.

Ориз. 3. Съобщение при инсталиране на актуализация KB4012212

Актуализирането на KB4012212 след инсталацията изисква рестартиране на лаптоп, което не ми хареса, защото не знам как може да завърши, но къде трябва да отиде потребителят? Рестартирането обаче мина добре. Това означава, че живеем в мир до следващата вирусна атака и че такива атаки ще бъдат - уви, няма причина за съмнение.

Във всеки случай е важно да има къде да се възстановите. операционна системаи вашите файлове.

Актуализация на Windows 8 от WannaCry

За лаптоп с лицензиран Windows 8 е инсталирана актуализация KB 4012598, защото

Съвременните технологии позволяват на хакерите постоянно да подобряват методите на измама по отношение на обикновените потребители. Като правило за тези цели се използва вирусен софтуер, който прониква в компютъра. Вирусите на Ransomware се считат за особено опасни. Заплахата се крие във факта, че вирусът се разпространява много бързо, криптирайки файлове (потребителят просто не може да отвори нито един документ). И ако е съвсем просто, тогава е много по -трудно да се дешифрират данните.

Какво да направите, ако вирусът е шифровал файлове на вашия компютър

Всеки може да бъде атакуван от ransomware, дори потребителите, които имат мощен антивирусен софтуер, не са застраховани. Представени са троянски файлове за криптиране на файлове различен код, което може да е извън силите на антивируса. Хакерите дори успяват да атакуват по този начин големи компании, които не са се погрижили за необходимата защита на тяхната информация. Така че, след като „взехме“ програмата за ransomware онлайн, е необходимо да се предприемат редица мерки.

Основните признаци на инфекция са - бавна работакомпютър и промяна на имената на документи (може да се види на работния плот).

1. Рестартирайте компютъра, за да прекъснете шифроването. Когато е активирано, не потвърждавайте стартирането на неизвестни програми.
2. Пуснете вашия антивирус, ако не е бил атакуван от ransomware.
3. В някои случаи копията в сянка ще ви помогнат да възстановите информацията. За да ги намерите, отворете „Свойства“ на шифрования документ. Този метод работи с криптирани данни от разширението Vault, за което има информация на портала.
4. Изтеглете помощната програма последна версияза борба с вирусите от ransomware. Най -ефективните от тях се предлагат от Лаборатория Касперски.

Вируси от рансъмуер през 2016 г.: примери

Когато се борите с всяка вирусна атака, е важно да разберете, че кодът се променя много често, допълнен с нова антивирусна защита. Разбира се, програмите за защита се нуждаят от известно време, докато разработчикът актуализира базите данни. Избрахме най -опасните вируси от ransomware за последно време.

Ishtar Ransomware

Ishtar е софтуер за откуп, който изнудва пари от потребителя. Вирусът е забелязан през есента на 2016 г., заразявайки огромен брой компютри на потребители от Русия и няколко други страни. Той се разпространява чрез разпространение по имейл с прикачени документи (инсталатори, документи и т.н.). Данните, заразени с ransomware Ishtar, получават префикс „ISHTAR“ в името си. В процеса се създава тестов документ, който посочва къде да отидете, за да получите парола. Нападателите изискват от 3000 до 15000 рубли за него.

Опасността от вируса Ishtar е, че днес няма декриптор, който да помогне на потребителите. Компаниите за антивирусен софтуер отнемат време, за да дешифрират целия код. Сега можете само да изолирате важна информация (ако те са от особено значение) на отделен носител, в очакване на пускането на помощна програма, която може да декриптира документи. Препоръчително е да преинсталирате операционната система.

Нейтрино

Rantomware Neitrino се появи в интернет през 2015 г. По принципа на атака той е подобен на други вируси от подобна категория. Променя имената на папки и файлове, като добавя „Neitrino“ или „Neutrino“. Вирусът е труден за декриптиране - не всички представители на антивирусни компании предприемат това, позовавайки се на много сложен код. Някои потребители може да намерят за полезно да възстановят сенчесто копие. За да направите това, щракнете върху Кликнете с десния бутонс мишката върху криптиран документ, отидете на "Свойства", раздел "Предишни версии", щракнете върху "Възстановяване". Няма да е излишно да използвате безплатна помощна програма от Kaspersky Lab.

Портфейл или. Портфейл.

Вирусът за откуп на Wallet се появи в края на 2016 г. В процеса на заразяване променя името на данните на „Име..портфейл“ или нещо подобно. Подобно на повечето вируси от ransomware, той влиза в системата чрез прикачени файлове към имейл, изпратени от киберпрестъпници. Тъй като заплахата се появи съвсем наскоро, антивирусните програми не я забелязват. След криптиране той създава документ, в който измамникът посочва пощата за комуникация. В момента разработчиците на антивирусен софтуер работят по дешифриране на кода на рансъмуера [защитен имейл]Атакуваните потребители могат само да чакат. Ако данните са важни, се препоръчва да ги запишете в външно хранилищечрез изчистване на системата.

Енигма

Вирусът на ransomware Enigma започна да заразява компютрите на руски потребители в края на април 2016 г. Използваният модел на криптиране е AES-RSA, който се среща в повечето вируси на ransomware днес. Вирусът влиза в компютъра с помощта на скрипт, който самият потребител стартира, като отваря файлове от подозрителен имейл. Все още няма универсален инструмент за борба с рансъмуера Enigma. Потребителите с антивирусен лиценз могат да поискат помощ на официалния уебсайт на разработчика. Открита е и малка „вратичка“ - Windows UAC. Ако потребителят кликне върху „Не“ в прозореца, който се появява по време на вирусната инфекция, той ще може впоследствие да възстанови информация с помощта на сенчести копия.

Гранит

Новият вирус от ransomware Granit се появи в мрежата през есента на 2016 г. Заразяването става по следния сценарий: потребителят стартира инсталатора, който заразява и криптира всички данни на компютъра, както и на свързани устройства. Борбата с вируса е трудна. За премахване можете да използвате специални комунални услугиот Kaspersky, но кодът все още не е декриптиран. Може би възстановяването на предишни версии на данни ще помогне. Освен това специалист с богат опит може да дешифрира, но услугата е скъпа.

Тайсън

Забелязан е наскоро. Това е разширение на добре познатия ransomware no_more_ransom, за което можете да научите на нашия уебсайт. Той достига до персонални компютри от електронна поща. Много корпоративни компютри бяха атакувани. Вирусът създава Текстов документс инструкции за отключване, предлагащи да платите откуп. Наскоро се появи рансъмуерният софтуер Tyson, така че все още няма ключ за отключването му. Единственият начин да възстановите информацията е да я върнете предишни версииако не са премахнати от вирус. Разбира се, можете да поемете риска, като прехвърлите пари към сметката, посочена от нападателите, но няма гаранция, че ще получите парола.

Spora

В началото на 2017 г. редица потребители станаха жертва на новия спонсор на Spora. Според принципа на работа, той не се различава много от своите колеги, но може да се похвали с по -професионално представяне: инструкциите за получаване на парола са по -добре съставени, уебсайтът изглежда по -красив. Създаден е вирус за рансъмуер на Spora в C, използващ комбинация от RSA и AES за криптиране на данните на жертвата. Като правило бяха атакувани компютри, на които активно се използва счетоводен софтуер 1С. Вирусът, скрит под прикритието на проста .pdf фактура, кара служителите на компанията да го стартират. Все още не е намерен лек.

1C.Drop.1

Този ransomware вирус за 1С се появи през лятото на 2016 г., нарушавайки работата на много счетоводни отдели. Проектиран специално за компютри, които използват софтуер 1С. Преминавайки през файл в имейл на компютър, той кани собственика да актуализира програмата. Който и бутон да натисне потребителят, вирусът ще започне да шифрова файлове. Специалистите на Dr.Web работят по инструменти за декриптиране, но все още не са намерени решения. Това се дължи на сложния код, който може да бъде в няколко модификации. Защитата срещу 1C.Drop.1 е само бдителността на потребителите и редовното архивиране на важни документи.

da_vinci_code

Нов ransomware с необичайно име. Вирусът се появи през пролетта на 2016 г. Той се различава от предшествениците си с подобрен код и силен режим на криптиране. da_vinci_code заразява компютър благодарение на изпълнително приложение (обикновено прикачено към имейл), което потребителят стартира сам. Кодът da vinci копира тялото в системната директория и системния регистър, предоставяйки автоматично стартиранев включване на Windows... На компютъра на всяка жертва е присвоен уникален идентификатор (помага за получаване на парола). Дешифрирането на данните е почти невъзможно. Можете да плащате пари на киберпрестъпници, но никой не гарантира, че ще получите парола.

[защитен имейл] / [защитен имейл]

Два имейл адреса, които често са били свързани с вируси от ransomware през 2016 г. Те са тези, които служат за свързване на жертвата с нападателя. Прикачени бяха адреси за всякакви вируси: da_vinci_code, no_more_ransom и т.н. Не се препоръчва да се свързвате и да превеждате пари на измамници. В повечето случаи потребителите остават без пароли. По този начин показва, че рансъмуерът на киберпрестъпниците работи за генериране на доход.

В обувките на Сатаната

Той се появи в началото на 2015 г., но се разпространи активно само година по -късно. Принципът на заразяване е идентичен с други ransomware: инсталиране на файл от имейл, криптиране на данни. Редовните антивируси обикновено не забелязват вируса Breaking Bad. Някои кодове не могат да заобиколят UAC на Windows, така че потребителят има възможност да възстанови предишните версии на документи. Никоя компания за антивирусен софтуер все още не е предоставила декодер.

XTBL

Много често срещан ransomware, който е причинил проблеми на много потребители. Веднъж на компютър, вирусът променя файловото разширение на .xtbl за няколко минути. Създава се документ, в който нападателят изнудва пари. Някои варианти на вируса XTBL не могат да унищожат файлове за възстановяване на системата, което позволява връщане на важни документи. Самият вирус може да бъде премахнат от много програми, но е много трудно да се дешифрират документи. Ако сте собственик на лицензиран антивирус, използвайте техническа поддръжка, като прикачите мостри от заразени данни.

Кукарача

Ransomware "Cucaracha" е забелязан през декември 2016 г. Вирус с интересно имескрива потребителски файлове, използвайки алгоритъма RSA-2048, който е много устойчив. Антивирус на Касперскиопредели го като Trojan-Ransom.Win32.Scatter.lb. Kukaracha може да бъде премахнат от компютъра ви, така че други документи да не бъдат заразени. Заразените днес обаче са почти невъзможни за декриптиране (много мощен алгоритъм).

Как работи вируса на ransomware

Има огромен брой шифроващ рансъмуер, но всички те работят на подобен принцип.

1. Удари Персонален компютър... Обикновено, благодарение на прикачен файл към имейл. Инсталацията се инициира от самия потребител чрез отваряне на документа.
2. Файлова инфекция. Почти всички типове файлове са криптирани (в зависимост от вируса). Създава се текстов документ, който съдържа контакти за комуникация с нападателите.
3. Всичко. Потребителят няма достъп до никакъв документ.

Контролни средства от популярни лаборатории

Широкото използване на ransomware, които са признати за най -опасните заплахи за потребителските данни, се превърна в тласък за много антивирусни лаборатории. Всяка популярна компания предоставя на своите потребители програми, които им помагат в борбата срещу рансъмуера. Освен това много от тях помагат при дешифрирането на документи, като защитават системата.

Вируси на Kaspersky и ransomware

Една от най -известните антивирусни лаборатории в Русия и света днес предлага най -ефективните средства за борба с вирусите на ransomware. Първото препятствие за вируса на ransomware ще бъде Kaspersky Endpoint Security 10 с най -новите актуализации. Антивирусът просто няма да пусне заплахата върху компютъра (въпреки че новите версии може да не успеят да я спрат). За декриптиране на информация разработчикът представя няколко безплатни помощни програми едновременно: XoristDecryptor, RakhniDecryptor и Ransomware Decryptor. Те помагат да се намери вируса и да се познае паролата.

Д -р Мрежа и софтуер за изкупуване

Тази лаборатория препоръчва използването им антивирусна програма, чиято основна характеристика е архивирането на файлове. Съхранението с копия на документи също е защитено от неоторизиран достъп от нарушители. Собствениците на лицензирания продукт Dr. Web, има функция да поиска помощ техническа поддръжка... Вярно е, че дори опитни специалисти не винаги са в състояние да устоят на този вид заплахи.

ESET Nod 32 и ransomware

Тази компания също не остана настрана, осигурявайки на своите потребители добра защита срещу вируси, проникващи в компютъра. Освен това лабораторията наскоро пусна безплатна помощна програма с актуални бази данни-Eset Crysis Decryptor. Разработчиците твърдят, че това ще помогне в борбата дори срещу най -новия ransomware.

Facebook

Twitter

ВК

Однокласници

Телеграма

Естествени науки

WannaCry ransomware вирус: какво да правя?

Вълна от нов ransomware вирус WannaCry (други имена Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) обхвана целия свят, който криптира документи на компютър и изнудва 300-600 USD за тяхното декодиране. Как да разбера дали компютърът ми е заразен? Какво трябва да се направи, за да не стане жертва? И какво да направите, за да се възстановите?

Компютърът ви заразен ли е с откупващ софтуер Wana Decryptor?

След като инсталирате актуализациите, компютърът ще трябва да се рестартира - сега вирусът на ransomware няма да проникне във вас.

Как да се възстановя от вируса на ransomware Wana Decrypt0r?

Когато антивирусната програма открие вирус, тя или ще го премахне незабавно, или ще ви попита дали да го излекувате или не? Отговорът е да се лекува.

Как да възстановим файлове, криптирани от Wana Decryptor?

В момента не можем да съобщим нищо утешително. Досега не е създаден инструмент за декриптиране на файлове. Остава само да изчакаме декрипторът да бъде разработен.

Според Брайън Кребс, експерт по компютърна сигурност, в момента престъпниците са получили само 26 000 щатски долара, тоест само около 58 души са се съгласили да платят откупа на рансъмуера. Дали са възстановили документите си едновременно, никой не знае.

компютърен вирус

Добавете „E Vesti“ към любимите си източници

Пост навигация

Последни новини от раздела

Рейчъл Бронсън, ръководител на бюлетина „Атомни учени за мир“, обяви, че часовникът на Страшния съд е преместен с 20 секунди напред. Според нея остават само условни 100 ...

WannaCry, Petya, Mischa и други вируси от ransomware няма да ви заплашват, ако следвате тези прости препоръки за предотвратяване на PC инфекции!

Миналата седмица целият интернет беше разтърсен от новината за нов вирус от ransomware. Това предизвика много по -голяма епидемия в много страни по света от скандалната WannaCry, която удари през май тази година. Новият вирус има много имена: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, но най -често се появява просто като Петя.

Нападенията продължават и тази седмица. Дори нашият офис получи писмо, умело прикрито като някаква митична актуализация на софтуера! За щастие никой не се сети да отвори архива без мен :) Затова бих искал да посветя днешната статия на въпроса как да защитите компютъра си от вируси от ransomware и да не станете жертва на Petya или някакъв друг ransomware.

Какво правят вирусите на ransomware?

Първите вируси от ransomware се появяват около началото на 2000 -те. Мнозина, използвали интернет през тези години, вероятно си спомнят Trojan.WinLock. Той блокира зареждането на компютъра и, за да получи кода за отключване, поиска да преведе определена сума в портфейл на WebMoney или в акаунт на мобилен телефон:

Първите блокери на Windows бяха доста безобидни. Прозорецът им с текста за необходимостта от прехвърляне на средства в началото би могъл просто да бъде "закован" чрез диспечера на задачите. Тогава се появиха по -сложни версии на троянския кон, които направиха промени на ниво регистър и дори MBR. Но дори и това би могло да бъде „излекувано“, ако човек знаеше какво да прави.

Съвременните вируси от ransomware са станали много опасни неща. Те не само блокират работата на системата, но и криптират съдържанието твърд диск(включително основния зареждащ запис MBR). За отключване на системата и декриптиране на файлове, нападателите сега взимат такса в BitCoin "ах, еквивалентна на сумата от 200 до 1000 щатски долара! Освен това, дори ако прехвърлите договорените средства в посочения портфейл, това няма да гарантира, че хакерите ще изпращам ви ключа за отключване. ...

Важен момент е, че днес практически няма работещи начини да се отървете от вируса и да върнете файловете си. Затова според мен е по -добре първоначално да не попадате на всякакви трикове и повече или по -малко надеждно да предпазвате компютъра си от потенциални атаки.

Как да не станем жертва на вируса

Вирусите на Ransomware обикновено се разпространяват по два начина. Първите експлоатират различни технически уязвимости в Windows.Например WannaCry използва експлоатацията на EternalBlue, която позволява достъп до компютъра чрез SMB протокола. А новият ransomware Petya може да проникне в системата през отворените TCP портове 1024-1035, 135 и 445. По-често срещаният метод за заразяване е фишинг... Просто казано, самите потребители заразяват компютър, като отварят злонамерени файлове, изпратени по пощата!

Техническа защита срещу вируси от ransomware

Въпреки че директните вирусни инфекции не са толкова чести, те се случват. Затова е по -добре предварително да се премахнат вече известните потенциални дупки в сигурността. Първо, трябва да актуализирате антивируса си или да го инсталирате (например безплатната 360 Total Security се справя добре с разпознаването на вируси от ransomware). Второ, определено трябва да инсталирате Последни актуализации Windows.

Така че, за да се премахне потенциално опасна грешка SMB протокол Microsoft пусна извънредни актуализации за всички системи, започвайки с Windows XP. Можете да ги изтеглите за вашата версия на ОС.

За да се предпазите от Петя, се препоръчва да затворите редица портове на вашия компютър. За да направите това, най -лесният начин е да използвате стандарта защитна стена... Отворете го в контролния панел и изберете секцията в страничната лента „Допълнителни опции“... Ще се отвори прозорецът за управление на правилата за филтриране. Моля изберете "Правила за входящи връзки"и щракнете от дясната страна „Създаване на правило“... Ще се отвори специален съветник, в който трябва да направите правило "За пристанището"и след това изберете опцията „Специфични локални портове“и напишете следното: 1024-1035, 135, 445 :

След като добавите списъка с портове, задайте опцията на следващия екран „Блокиране на връзката“за всички профили и задайте име (описание по избор) за новото правило. Ако вярвате на препоръките в Интернет, това ще попречи на вируса да изтегли необходимите му файлове, дори и да стигне до вашия компютър.

Освен това, ако сте от Украйна и сте използвали счетоводен софтуер Me.Doc, можете да инсталирате актуализации, които съдържат задни врати. Тези задни врати бяха използвани за заразяване на компютри в голям мащаб с вируса Petya.A. От анализираните днес са известни поне три актуализации с уязвимости в сигурността:

• 10.01.175-10.01.176 от 14 април;
• 10.01.180-10.01.181 г. от 15 май;
• 10.01.188-10.01.189 г. от 22 юни.

Ако сте инсталирали тези актуализации, тогава сте изложени на риск!

Защита от фишинг

Както вече споменахме, човешкият фактор е виновен за повечето инфекции. Хакери и спамери стартираха мащабна фишинг кампания по целия свят. В неговите рамки бяха изпратени имейлиуж от официални организации с различни инвестиции, издадени за сметки, актуализации на софтуер или други "важни" данни. Потребителят беше достатъчно да отвори прикрития злонамерен файлкак е инсталирал вирус на компютъра, който шифрова всички данни!

Как да различим фишинг имейл от истински. Това е много лесно да се направи, ако следвате здравия разум и следните указания:

1. От кого е писмото?На първо място обръщаме внимание на подателя. Хакерите могат да подпишат писмо, дори с името на баба ви! Има обаче важен момент. Трябва да знаете имейла на „бабата“, а подателят на фишинг имейл обикновено ще бъде неопределен набор от знаци. Нещо като: " [защитен имейл]". И още един нюанс: името на подателя и неговият адрес, ако това е официално писмо, обикновено корелират помежду си. Например, електронна поща от определена компания" Pupkin and Co "може да изглежда като" [защитен имейл]"но е малко вероятно да изглежда така" [защитен имейл]" :)
2. За какво е писмото?Обикновено имейлите за фишинг съдържат призив за действие или намек за него в темата. В този случай тялото на писмото обикновено или не казва нищо, или се дава допълнителна мотивация за отваряне на приложените файлове. Думите „СПЕШНО!“, „Сметка за услуги“ или „Критична актуализация“ в писма от неизвестни податели могат да бъдат отличен пример за някой, който се опитва да ви хакне. Мислете логично! Ако не сте искали никакви фактури, актуализации или други документи от определена компания, тогава е 99% вероятност да бъде фишинг ...
3. Какво има в писмото?Основният елемент на фишинг имейла са неговите прикачени файлове. Най -очевидният тип прикачен файл може да бъде EXE файл с фалшива „актуализация“ или „програма“. Такива прикачени файлове са доста груб фалшификат, но се случват.

   По -"грациозните" начини да измамите потребителя са да прикриете скрипта, под който изтегля вируса Документ на Excelили Word. Маскировката може да бъде два вида. При първата опция самият скрипт се издава като офис документ и може да бъде разпознат от „двойното“ разширение на името, например „Акаунт .xls.js"или" Обобщение .doc.vbs". Във втория случай прикаченият файл може да се състои от два файла: реален документ и файл със скрипт, който се извиква като макрос от офиса Документ на Wordили Excel.

   Във всеки случай не трябва да отваряте такива документи, дори и „подателят“ да ви помоли да го направите! Ако дори изведнъж сред вашите клиенти има някой, който теоретично би могъл да ви изпрати писмо с подобно съдържание, по -добре си направете труда да се свържете директно с него и да изясните дали ви е изпратил някакви документи. Прекомерното движение на тялото в този случай може да ви спаси от излишни неприятности!

Мисля, че ако затворите всички технически пропуски в компютъра си и не се поддадете на провокациите на спамерите, тогава няма да се страхувате от никакви вируси!

Как да възстановите файлове след заразяване

И, въпреки това, успяхте да заразите компютъра си с вирус за криптиране ... НЕ ИЗКЛЮЧВАЙТЕ РС -КОМЕНТА СЛЕД ПОСТОЯНЕТО НА СЪОБЩЕНИЕТО ЗА КРИПИРАНЕ !!!

Факт е, че поради редица грешки в кода на самите вируси, преди да рестартирате компютъра, има шанс да извадите ключа от паметта, който е необходим за декриптиране на файловете! Например, за да получите ключа Декриптиране на WannaCryпомощната програма wannakiwi ще направи. Уви, за възстановяване на файлове след Петя атакуваНяма такива решения, но можете да опитате да ги извлечете от сенчести копия на данни (ако сте активирали опцията за създаването им на дял на твърдия диск) с помощта на миниатюрната програма ShadowExplorer:

Ако вече сте рестартирали компютъра си или горните съвети не помогнаха, тогава можете да възстановите файлове само с помощта на програми за възстановяване на данни. По правило вирусите на ransomware работят по следната схема: създават криптирано копие на файл и изтриват оригинала, без да го презаписват. Тоест всъщност се изтрива само маркировката на файла, а самите данни се запазват и могат да бъдат възстановени. На нашия сайт има две програми: по -подходящи за реанимация на медийни файлове и снимки, а R.Saver се справя добре с документи и архиви.

Естествено, самият вирус трябва да бъде премахнат от системата. Ако Windows се зарежда, тогава Malwarebytes Anti-Malware е добър избор. Ако вирусът блокира изтеглянето, тогава ще бъдете спасени зареждащ диск Dr.Web LiveCD с доказана помощна програма за борба с различни зловредни програми Dr.Web CureIt на борда. В последния случай ще трябва да се справите и с възстановяването на MBR. Тъй като LiveCD от Dr.Web е базиран на Linux, мисля, че инструкциите от Habr по тази тема ще ви бъдат полезни.

изводи

Проблемът с вирусите в Windows е актуален от много години. И всяка година виждаме, че авторите на вируси измислят все по -сложни форми на увреждане на компютрите на потребителите. Последните епидемии от вируси от ransomware ни показват, че киберпрестъпниците постепенно се превръщат в активно изнудване!

За съжаление, дори и да плащате пари, едва ли ще получите отговор. Най -вероятно ще трябва да възстановите данните си сами. Затова е по -добре да бъдете нащрек навреме и да предотвратите инфекцията, отколкото да се забърквате с отстраняването на нейните последици за дълго време!

P.S. Разрешено е свободното копиране и цитиране на тази статия, при условие че е посочена отворена активна връзка към източника и е запазено авторството на Руслан Тертишни.