Ransomware di virus informatici. Un virus ransomware: cos'è, perché è pericoloso. Come recuperare i file dopo l'infezione

Un'ondata del nuovo virus ransomware WannaCry (altri nomi Wana Decrypt0r, Wana Decryptor, WanaCrypt0r) ha fatto il giro del mondo, che crittografa i documenti su un computer ed estorce 300-600 USD per decodificarli. Come faccio a sapere se il mio computer è infetto? Cosa si dovrebbe fare per evitare di diventare una vittima? E cosa fare per recuperare?

Dopo aver installato gli aggiornamenti, il computer dovrà essere riavviato.

Come recuperare dal virus ransomware Wana Decrypt0r?

Quando l'utilità antivirus rileva un virus, lo rimuoverà immediatamente o ti chiederà di trattarlo o no? La risposta è guarire.

Come recuperare i file crittografati da Wana Decryptor?

Niente di confortante questo momento non possiamo segnalare. Finora, non è stato creato alcuno strumento di decrittazione dei file. Per ora non resta che attendere lo sviluppo del decryptor.

Secondo Brian Krebs, un esperto di sicurezza informatica, al momento i criminali hanno ricevuto solo 26.000 dollari, ovvero solo circa 58 persone hanno accettato di pagare il riscatto al ransomware. Se hanno ripristinato i loro documenti contemporaneamente, nessuno lo sa.

Come fermare la diffusione del virus in rete?

Nel caso di WannaCry, la soluzione al problema potrebbe essere il blocco della porta 445 sul firewall ( firewall) attraverso il quale procede l'infezione.

Il 12 aprile 2017, sono apparse informazioni sulla rapida diffusione di un virus ransomware chiamato WannaCry, che può essere tradotto come "Voglio piangere", in tutto il mondo. Gli utenti hanno domande sull'aggiornamento di Windows dal virus WannaCry.

Il virus sullo schermo del computer ha questo aspetto:

Il brutto virus WannaCry che cripta tutto

Il virus crittografa tutti i file sul computer e richiede un riscatto per il portafoglio Bitcoin per un importo di $ 300 o $ 600 per decrittare presumibilmente il computer. I computer in 150 paesi del mondo sono stati infettati, il più colpito è la Russia.

Megafon, le ferrovie russe, il Ministero degli affari interni, il Ministero della salute e altre società si sono trovate faccia a faccia con questo virus. Tra le vittime ci sono anche normali utenti di Internet.

Quasi tutti sono uguali prima del virus. La differenza, forse, è che nelle aziende il virus si diffonde ovunque rete locale all'interno dell'organizzazione e infetta istantaneamente il maggior numero possibile di computer.

Il virus WannaCry crittografa i file sui computer che eseguono Windows. Nel marzo 2017, Microsoft ha rilasciato gli aggiornamenti MS17-010 per vari Versioni di Windows XP, Vista, 7, 8, 10.

Si scopre che coloro che hanno aggiornamento automatico Windows è fuori dalla zona a rischio per il virus, perché ha ricevuto l'aggiornamento in modo tempestivo ed è stato in grado di evitarlo. Non ho la presunzione di dire che è davvero così.

Riso. 3. Messaggio durante l'installazione dell'aggiornamento KB4012212

L'aggiornamento di KB4012212 dopo l'installazione ha richiesto un riavvio del laptop, cosa che non mi è piaciuta molto, perché non so come potrebbe finire, ma dove dovrebbe andare l'utente? Tuttavia, il riavvio è andato bene. Ciò significa che vivremo in pace fino al prossimo attacco di virus e che tali attacchi saranno - ahimè, non c'è motivo di dubitare.

In ogni caso, è importante avere un luogo da cui riprendersi. sistema operativo e i tuoi file

Aggiornamento di Windows 8 da WannaCry

Per un laptop con Windows 8 con licenza, è stato installato l'aggiornamento KB 4012598, perché

Le moderne tecnologie consentono agli hacker di migliorare costantemente i metodi di frode in relazione agli utenti ordinari. Di norma, per questi scopi, viene utilizzato un software antivirus che penetra nel computer. I virus ransomware sono considerati particolarmente pericolosi. La minaccia risiede nel fatto che il virus si diffonde molto rapidamente, crittografando i file (l'utente semplicemente non può aprire alcun documento). E se è abbastanza semplice, è molto più difficile decifrare i dati.

Cosa fare se un virus ha file crittografati sul tuo computer

Chiunque può essere attaccato da un ransomware, anche gli utenti che dispongono di un potente software antivirus non sono assicurati. Presentati trojan per la crittografia dei file codice diverso, che potrebbe essere al di là della potenza dell'antivirus. Gli hacker riescono ad attaccare in questo modo anche grandi aziende, che non si sono prese cura della necessaria protezione delle loro informazioni. Quindi, dopo aver "raccolto" il programma ransomware online, è necessario prendere una serie di misure.

I principali segni di infezione sono - lavoro lento computer e modificando i nomi dei documenti (visibili sul desktop).

Riavvia il computer per interrompere la crittografia. Se abilitato, non confermare l'avvio di programmi sconosciuti.
Esegui il tuo antivirus se non è stato attaccato da un ransomware.
In alcuni casi, le copie shadow ti aiuteranno a recuperare le informazioni. Per trovarli, apri le "Proprietà" del documento crittografato. Questo metodo funziona con i dati crittografati dell'estensione Vault, di cui sono disponibili informazioni sul portale.
Scarica l'utilità ultima versione per combattere i virus ransomware. I più efficaci sono offerti da Kaspersky Lab.

Virus ransomware nel 2016: esempi

Quando si combatte un attacco di virus, è importante capire che il codice cambia molto spesso, integrato da una nuova protezione antivirus. Naturalmente, i programmi di protezione richiedono un po' di tempo prima che lo sviluppatore aggiorni i database. Abbiamo selezionato i virus ransomware più pericolosi degli ultimi tempi.

Ishtar ransomware

Ishtar è un ransomware che estorce denaro all'utente. Il virus è stato notato nell'autunno del 2016, infettando un numero enorme di computer di utenti provenienti dalla Russia e da molti altri paesi. Viene distribuito utilizzando una distribuzione e-mail con documenti allegati (installatori, documenti, ecc.). Ai dati infettati dal ransomware Ishtar viene assegnato il prefisso "ISHTAR" nel nome. Nel processo, viene creato un documento di prova, che indica dove andare per ottenere una password. Gli aggressori chiedono da 3000 a 15000 rubli per questo.

Il pericolo del virus Ishtar è che oggi non esiste un decryptor che possa aiutare gli utenti. Le aziende di software antivirus impiegano del tempo per decifrare tutto il codice. Ora puoi solo isolare le informazioni importanti (se sono di particolare importanza) su un supporto separato, in attesa del rilascio di un'utilità in grado di decrittare i documenti. Si consiglia di reinstallare il sistema operativo.

Neitrino

Il ransomware Neitrino è apparso su Internet nel 2015. Per il principio dell'attacco, è simile ad altri virus di una categoria simile. Modifica i nomi di cartelle e file aggiungendo "Neitrino" o "Neutrino". Il virus è difficile da decifrare: non tutti i rappresentanti delle società di antivirus lo intraprendono, riferendosi a un codice molto complesso. Alcuni utenti potrebbero trovare utile ripristinare una copia shadow. Per fare ciò, fare clic su clic destro mouse sul documento crittografato, andare su "Proprietà", scheda "Versioni precedenti", fare clic su "Ripristina". Non sarà superfluo utilizzare un'utilità gratuita di Kaspersky Lab.

Portafoglio o .portafoglio.

Il virus ransomware Wallet è apparso alla fine del 2016. Nel processo di infezione, cambia il nome dei dati in "Nome..portafoglio" o qualcosa di simile. Come la maggior parte dei virus ransomware, entra nel sistema tramite allegati di posta elettronica inviati dai criminali informatici. Poiché la minaccia è apparsa di recente, i programmi antivirus non se ne accorgono. Dopo la crittografia, crea un documento in cui il truffatore specifica la posta per la comunicazione. Attualmente, gli sviluppatori di software antivirus stanno lavorando per decifrare il codice del ransomware [e-mail protetta] Gli utenti attaccati possono solo aspettare. Se i dati sono importanti, si consiglia di salvarli in archiviazione esterna cancellando il sistema.

Enigma

Il virus ransomware Enigma ha iniziato a infettare i computer degli utenti russi alla fine di aprile 2016. Il modello di crittografia utilizzato è AES-RSA, che si trova oggi nella maggior parte dei virus ransomware. Il virus entra nel computer utilizzando uno script che l'utente stesso lancia aprendo file da un'e-mail sospetta. Non esiste ancora uno strumento universale per combattere il ransomware Enigma. Gli utenti con una licenza antivirus possono chiedere aiuto sul sito Web ufficiale dello sviluppatore. È stata trovata anche una piccola "scappatoia": Windows UAC. Se l'utente fa clic su "No" nella finestra che appare durante l'infezione da virus, potrà successivamente recuperare le informazioni utilizzando copie shadow.

Granito

Il nuovo virus ransomware Granit è apparso sul Web nell'autunno del 2016. L'infezione si verifica secondo il seguente scenario: l'utente avvia il programma di installazione, che infetta e crittografa tutti i dati sul PC, nonché sulle unità collegate. Combattere il virus è difficile. Per rimuovere puoi usare utilità speciali da Kaspersky, ma il codice non è stato ancora decifrato. Forse il ripristino delle versioni precedenti dei dati sarà d'aiuto. Inoltre, uno specialista con una vasta esperienza può decifrare, ma il servizio è costoso.

Tyson

È stato avvistato di recente. È un'estensione del noto ransomware no_more_ransom, che puoi conoscere sul nostro sito web. Arriva ai personal computer dalla posta elettronica. Molti PC aziendali sono stati attaccati. Il virus crea Documento di testo con le istruzioni per lo sblocco, offrendo di pagare un riscatto. Il ransomware Tyson è apparso di recente, quindi non esiste ancora una chiave per sbloccarlo. L'unico modo per recuperare le informazioni è tornare versione precedente se non sono stati rimossi da un virus. Puoi, ovviamente, correre il rischio trasferendo denaro sul conto indicato dagli aggressori, ma non c'è alcuna garanzia che riceverai una password.

Spora

All'inizio del 2017, un certo numero di utenti è caduto vittima del nuovo ransomware Spora. Secondo il principio di funzionamento, non differisce molto dalle sue controparti, ma può vantare prestazioni più professionali: le istruzioni per ottenere una password sono compilate meglio, il sito Web sembra più carino. È stato creato un virus ransomware Spora in C, utilizzando una combinazione di RSA e AES per crittografare i dati della vittima. Di norma, sono stati attaccati i computer su cui viene utilizzato attivamente il software di contabilità 1C. Il virus, che si nasconde sotto le spoglie di una semplice fattura .pdf, lo fa lanciare dai dipendenti dell'azienda. Nessuna cura è stata ancora trovata.

1C.Drop.1

Questo virus ransomware per 1C è apparso nell'estate del 2016, interrompendo il lavoro di molti reparti contabili. Progettato specificamente per i computer che utilizzano Software 1C. Passando attraverso un file in una e-mail su un PC, invita il proprietario ad aggiornare il programma. Qualunque sia il pulsante premuto dall'utente, il virus inizierà a crittografare i file. Gli specialisti di Dr.Web stanno lavorando su strumenti di decrittazione, ma non sono ancora state trovate soluzioni. Ciò è dovuto al codice complesso, che può essere in diverse modifiche. La protezione contro 1C.Drop.1 è solo la vigilanza degli utenti e l'archiviazione regolare di documenti importanti.

da_vinci_code

Nuovo ransomware con un nome insolito. Il virus è apparso nella primavera del 2016. Si differenzia dai suoi predecessori per il codice migliorato e la modalità di crittografia avanzata. da_vinci_code infetta un computer grazie a un'applicazione esecutiva (solitamente allegata a un'e-mail), che l'utente avvia da solo. Il codice da vinci copia il corpo nella directory di sistema e nel registro, fornendo avvio automatico a accensione di Windows... Al computer di ogni vittima viene assegnato un ID univoco (aiuta a ottenere una password). È quasi impossibile decifrare i dati. Puoi pagare soldi ai criminali informatici, ma nessuno garantisce che riceverai una password.

[e-mail protetta] / [e-mail protetta]

Due indirizzi e-mail che sono stati frequentemente associati a virus ransomware nel 2016. Sono loro che servono a collegare la vittima con l'attaccante. In allegato c'erano indirizzi per vari tipi di virus: da_vinci_code, no_more_ransom e così via. È altamente sconsigliato contattare e trasferire denaro a truffatori. Nella maggior parte dei casi, gli utenti rimangono senza password. Quindi, dimostrando che il ransomware dei criminali informatici sta lavorando per generare entrate.

Breaking Bad

È apparso all'inizio del 2015, ma si è diffuso attivamente solo un anno dopo. Il principio dell'infezione è identico ad altri ransomware: installazione di un file da un'e-mail, crittografia dei dati. Gli antivirus regolari di solito non notano il virus Breaking Bad. Alcuni codici non possono ignorare l'UAC di Windows, quindi l'utente ha la possibilità di ripristinare le versioni precedenti dei documenti. Nessuna società di software antivirus ha ancora fornito un decodificatore.

XTBL

Un ransomware molto comune che ha causato problemi a molti utenti. Una volta su un PC, il virus cambia l'estensione del file in .xtbl in pochi minuti. Viene creato un documento in cui un utente malintenzionato estorce denaro. Alcune varianti del virus XTBL non possono distruggere i file di Ripristino configurazione di sistema, consentendo la restituzione di documenti importanti. Il virus stesso può essere rimosso da molti programmi, ma è molto difficile decifrare i documenti. Se sei il proprietario di un antivirus con licenza, utilizza il supporto tecnico allegando campioni di dati infetti.

Kukaracha

Il ransomware "Cucaracha" è stato individuato nel dicembre 2016. virus con nome interessante nasconde i file utente utilizzando l'algoritmo RSA-2048, che è altamente resiliente. Kaspersky Anti-Virus lo ha designato come Trojan-Ransom.Win32.Scatter.lb. Kukaracha può essere rimosso dal tuo computer per evitare che altri documenti vengano infettati. Tuttavia, gli infetti oggi sono quasi impossibili da decifrare (algoritmo molto potente).

Come funziona un virus ransomware

Esiste un numero enorme di ransomware, ma funzionano tutti secondo un principio simile.

colpisci Personal computer... In genere, grazie a un allegato di posta elettronica. L'installazione viene avviata dall'utente stesso aprendo il documento.
Infezione da file. Quasi tutti i tipi di file sono crittografati (a seconda del virus). Viene creato un documento di testo che contiene i contatti per la comunicazione con gli aggressori.
Tutto quanto. L'utente non può accedere ad alcun documento.

Rimedi di controllo da laboratori popolari

L'uso diffuso di ransomware, che sono riconosciuti come le minacce più pericolose per i dati degli utenti, è diventato l'impulso per molti laboratori antivirus. Ogni azienda famosa fornisce ai suoi utenti programmi che li aiutano a combattere il ransomware. Inoltre, molti di loro aiutano con la decrittazione dei documenti proteggendo il sistema.

Kaspersky e virus ransomware

Uno dei laboratori antivirus più famosi in Russia e nel mondo offre oggi i mezzi più efficaci per combattere i virus ransomware. Il primo ostacolo per il virus ransomware sarà Kaspersky Endpoint Security 10 con gli ultimi aggiornamenti. L'antivirus semplicemente non consentirà alla minaccia di entrare nel computer (anche se le nuove versioni potrebbero non essere in grado di fermarlo). Per decrittografare le informazioni, lo sviluppatore presenta diverse utilità gratuite contemporaneamente: XoristDecryptor, RakhniDecryptor e Ransomware Decryptor. Aiutano a trovare il virus e indovinare la password.

Dott. Web e ransomware

Questo laboratorio consiglia di utilizzarli programma antivirus, la cui caratteristica principale è il backup dei file. L'archiviazione con copie di documenti è inoltre protetta da accessi non autorizzati da parte di intrusi. I proprietari del prodotto concesso in licenza Dr. Web, c'è una funzione per chiedere aiuto in supporto tecnico... È vero, anche gli specialisti esperti non sono sempre in grado di resistere a questo tipo di minaccia.

ESET Nod 32 e ransomware

Anche questa azienda non si è fatta da parte, fornendo ai suoi utenti una buona protezione contro i virus che entrano nel computer. Inoltre, il laboratorio ha recentemente rilasciato un'utilità gratuita con database aggiornati: Eset Crysis Decryptor. Gli sviluppatori affermano che aiuterà nella lotta anche contro il ransomware più recente.

Facebook

Twitter

Odnoklassniki

Telegramma

Scienze naturali

WannaCry virus ransomware: cosa fare?

Il tuo computer è stato infettato dal ransomware Wana Decryptor?

Dopo aver installato gli aggiornamenti, il computer dovrà essere riavviato - ora il virus ransomware non ti penetrerà.

Come recuperare dal virus ransomware Wana Decrypt0r?

Quando l'utilità antivirus rileva un virus, lo rimuoverà immediatamente o ti chiederà: dovrebbe essere curato o no? La risposta è guarire.

Come recuperare i file crittografati da Wana Decryptor?

Non possiamo riportare nulla di confortante al momento. Finora, non è stato creato alcuno strumento di decrittazione dei file. Non resta che attendere lo sviluppo del decryptor.

virus informatico

Aggiungi "E Vesti" alle tue fonti preferite

Navigazione post

Ultime notizie della sezione

Rachel Bronson, capo della newsletter Atomic Scientists for Peace, ha annunciato che l'orologio del Doomsday è stato spostato in avanti di 20 secondi. Secondo lei, sono rimasti solo 100 condizionali ...

WannaCry, Petya, Mischa e altri virus ransomware non ti minacceranno se segui questi semplici consigli per prevenire le infezioni del PC!

La scorsa settimana, l'intera Internet è stata scossa dalla notizia di un nuovo virus ransomware. Ha innescato un'epidemia molto più grande in molti paesi del mondo rispetto al famigerato WannaCry, che ha colpito nel maggio di quest'anno. Il nuovo virus ha molti nomi: Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, tuttavia, il più delle volte appare semplicemente come Petya.

Gli attacchi continuano questa settimana. Anche il nostro ufficio ha ricevuto una lettera abilmente camuffata da un mitico aggiornamento del software! Fortunatamente, nessuno ha pensato di aprire l'archivio senza di me :) Pertanto, vorrei dedicare l'articolo di oggi alla domanda su come proteggere il tuo computer dai virus ransomware e non diventare vittima di Petya o di qualche altro ransomware.

Cosa fanno i virus ransomware?

I primi virus ransomware sono comparsi intorno ai primi anni 2000. Molti di coloro che hanno utilizzato Internet in quegli anni probabilmente ricordano Trojan.WinLock. Ha bloccato l'avvio del computer e, per ricevere il codice di sblocco, ha chiesto di trasferire una certa somma su un portafoglio WebMoney o su un conto di telefonia mobile:

I primi blocchi di Windows erano abbastanza innocui. La loro finestra con il testo sulla necessità di trasferire fondi all'inizio potrebbe essere semplicemente "inchiodata" tramite il Task Manager. Poi sono apparse versioni più sofisticate del Trojan, che hanno apportato modifiche a livello di registro e persino all'MBR. Ma anche questo potrebbe essere "curato" se si sapesse cosa fare.

I moderni virus ransomware sono diventati cose molto pericolose. Non solo bloccano il funzionamento del sistema, ma crittografano anche il contenuto disco rigido(incluso il record di avvio principale MBR). Per sbloccare il sistema e decifrare i file, gli aggressori ora prendono una commissione in BitCoin "ah, equivalente all'importo da 200 a 1000 dollari USA! Inoltre, anche se trasferisci i fondi concordati nel portafoglio specificato, ciò non garantirà che gli hacker ti mando la chiave di sblocco...

Il punto importante è che oggi non ci sono praticamente modi operativi per sbarazzarsi del virus e recuperare i tuoi file. Pertanto, secondo me, è meglio inizialmente non cadere in ogni sorta di trucchi e proteggere più o meno in modo affidabile il tuo computer da potenziali attacchi.

Come evitare di diventare vittima del virus

I virus ransomware di solito si diffondono in due modi. I primi exploit vari vulnerabilità tecniche in Windows. Ad esempio, WannaCry ha utilizzato l'exploit EternalBlue, che ha consentito l'accesso al computer tramite il protocollo SMB. E il nuovo ransomware Petya può penetrare nel sistema attraverso le porte TCP aperte 1024-1035, 135 e 445. Il metodo di infezione più comune è phishing... In poche parole, gli stessi utenti infettano un PC aprendo file dannosi inviati per posta!

Protezione tecnica contro virus ransomware

Sebbene le infezioni virali dirette non siano così comuni, si verificano. Pertanto, è meglio eliminare in anticipo le potenziali falle di sicurezza già note. Innanzitutto, devi aggiornare il tuo antivirus o installarlo (ad esempio, il 360 Total Security gratuito fa un buon lavoro nel riconoscere i virus ransomware). In secondo luogo, devi assolutamente installare Ultimi aggiornamenti Finestre.

Quindi, per eliminare un bug potenzialmente pericoloso in Protocollo PMI Microsoft ha rilasciato aggiornamenti fuori servizio per tutti i sistemi a partire da Windows XP. Puoi scaricarli per la tua versione del sistema operativo.

Per proteggersi da Petya, si consiglia di chiudere un certo numero di porte sul computer. Per fare ciò, il modo più semplice è utilizzare lo standard firewall... Aprilo nel Pannello di controllo e seleziona la sezione nella barra laterale "Opzioni aggiuntive"... Si aprirà la finestra per la gestione delle regole di filtraggio. Si prega di selezionare "Regole per le connessioni in entrata" e sul lato destro clicca "Crea regola"... Si aprirà una procedura guidata speciale in cui è necessario creare una regola "Per il porto" e poi seleziona l'opzione "Porte locali specifiche" e scrivi quanto segue: 1024-1035, 135, 445 :

Dopo aver aggiunto l'elenco delle porte, imposta l'opzione nella schermata successiva "Blocca connessione" per tutti i profili e impostare un nome (descrizione facoltativa) per la nuova regola. Se credi alle raccomandazioni su Internet, questo impedirà al virus di scaricare i file di cui ha bisogno, anche se arriva al tuo computer.

Inoltre, se vieni dall'Ucraina e utilizzi il software di contabilità Me.Doc, potresti installare aggiornamenti che contengono backdoor. Queste backdoor sono state utilizzate per infettare i computer su larga scala con il virus Petya.A. Tra quelli analizzati oggi si conoscono almeno tre aggiornamenti con vulnerabilità di sicurezza:

10.01.175-10.01.176 del 14 aprile;
10.01.180-10.01.181 del 15 maggio;
10.01.188-10.01.189 del 22 giugno.

Se hai installato questi aggiornamenti, sei a rischio!

Protezione dal phishing

Come già accennato, il fattore umano è responsabile della maggior parte delle infezioni. Hacker e spammer hanno lanciato una massiccia campagna di phishing in tutto il mondo. All'interno del suo quadro, hanno inviato email presumibilmente da organizzazioni ufficiali con vari investimenti emessi per account, aggiornamenti software o altri dati "importanti". Bastava che l'utente aprisse il travestito file dannoso come ha installato un virus sul computer che ha crittografato tutti i dati!

Come distinguere un'email di phishing da una reale. Questo è molto facile da fare se segui il buon senso e le seguenti linee guida:

Da chi arriva la lettera? Prima di tutto, prestiamo attenzione al mittente. Gli hacker possono firmare una lettera, anche con il nome di tua nonna! Tuttavia, c'è un punto importante. Dovresti conoscere l'e-mail della "nonna" e il mittente di un'e-mail di phishing sarà solitamente un insieme di caratteri indefinito. Qualcosa di simile a: " [e-mail protetta]". E un'altra sfumatura: il nome del mittente e il suo indirizzo, se questa è una lettera ufficiale, di solito sono correlati tra loro. Ad esempio, un'e-mail di una certa azienda" Pupkin and Co "potrebbe sembrare" [e-mail protetta]"ma è improbabile che assomigli" [e-mail protetta]" :)
Di cosa parla la lettera? In genere, le e-mail di phishing contengono un invito all'azione o un suggerimento al riguardo nella riga dell'oggetto. In questo caso, il corpo della lettera di solito non dice nulla o viene fornita una motivazione aggiuntiva per aprire i file allegati. Le parole "URGENTE!", "Fattura di servizio" o "Aggiornamento critico" nelle lettere di mittenti sconosciuti possono essere un ottimo esempio di qualcuno che cerca di hackerarti. Pensa logicamente! Se non hai richiesto fatture, aggiornamenti o altri documenti a una determinata azienda, è probabile che si tratti del 99% di phishing...
Cosa c'è nella lettera? L'elemento principale di un'e-mail di phishing sono i suoi allegati. Il tipo più ovvio di allegato potrebbe essere un file EXE con un falso "aggiornamento" o "programma". Tali attaccamenti sono un falso piuttosto grossolano, ma si verificano.
Modi più "graziosi" per ingannare l'utente sono mascherare lo script che scarica il virus sotto Documento Excel o Parola. Il travestimento può essere di due tipi. Nella prima variante, lo script stesso si presenta come un documento d'ufficio ed è riconoscibile dall'estensione del nome "doppia", ad esempio "Account .xls.js"o" Sommario .doc.vbs". Nel secondo caso, l'allegato può essere costituito da due file: un documento reale e un file con uno script che viene chiamato come macro dall'ufficio Documento Word o Excel.
In ogni caso, non dovresti aprire tali documenti, anche se il "mittente" ti chiede di farlo! Se anche all'improvviso c'è qualcuno tra i tuoi clienti che potrebbe teoricamente inviarti una lettera con un contenuto simile, è meglio che ti prendi la briga di contattarlo direttamente e chiarire se ti ha inviato dei documenti. Un movimento eccessivo del corpo in questo caso può salvarti da inutili problemi!

Penso che se chiudi tutte le lacune tecniche nel tuo computer e non soccomberai alle provocazioni degli spammer, allora non avrai paura di nessun virus!

Come recuperare i file dopo l'infezione

E, tuttavia, sei riuscito a infettare il tuo computer con un virus di crittografia ... NON SPEGNERE IL PC DOPO LA VISUALIZZAZIONE DEL MESSAGGIO DI CRITTOGRAFIA !!!

Il fatto è che a causa di una serie di errori nel codice dei virus stessi, prima di riavviare il computer, c'è la possibilità di estrarre la chiave dalla memoria, necessaria per decrittografare i file! Ad esempio, per ottenere la chiave Decrittazione di WannaCry l'utility wannakiwi lo farà. Ahimè, per il recupero dei file dopo Petya attacca Non esistono soluzioni del genere, ma puoi provare a estrarli dalle copie shadow dei dati (se hai attivato l'opzione per crearli su una partizione del disco rigido) utilizzando il programma ShadowExplorer in miniatura:

Se hai già riavviato il computer o i suggerimenti di cui sopra non sono stati utili, puoi recuperare i file solo con l'aiuto di programmi di recupero dati. Di norma, i virus ransomware funzionano secondo il seguente schema: creano una copia crittografata di un file ed eliminano l'originale senza sovrascriverlo. Cioè, in effetti, viene eliminato solo il contrassegno del file e i dati stessi vengono salvati e possono essere ripristinati. Ci sono due programmi sul nostro sito: più adatto per rianimare file multimediali e foto e R.Saver gestisce bene documenti e archivi.

Naturalmente, il virus stesso deve essere rimosso dal sistema. Se Windows si avvia, Malwarebytes Anti-Malware è una buona scelta. Se il virus ha bloccato il download, sarai aiutato disco di avvio Dr.Web LiveCD con un'utilità collaudata per combattere vari malware Dr.Web CureIt a bordo. In quest'ultimo caso, dovrai occuparti anche del ripristino dell'MBR. Poiché il LiveCD di Dr.Web è basato su Linux, penso che le istruzioni di Habr su questo argomento ti saranno utili.

conclusioni

Il problema dei virus su Windows è rilevante da molti anni. E ogni anno vediamo che gli autori di virus inventano forme sempre più sofisticate per danneggiare i computer degli utenti. Le ultime epidemie di virus ransomware ci mostrano che i criminali informatici si stanno gradualmente trasformando in estorsioni attive!

Sfortunatamente, anche se paghi, è improbabile che tu riceva alcuna risposta. Molto probabilmente, dovrai ripristinare i tuoi dati da solo. Pertanto, è meglio essere vigili in tempo e prevenire l'infezione piuttosto che pasticciare con l'eliminazione delle sue conseguenze per molto tempo!

P.S. È consentito copiare e citare liberamente questo articolo, a condizione che sia indicato un collegamento attivo aperto alla fonte e sia preservata la paternità di Ruslan Tertyshny.