Vad är Ransomware (bland annat WannaCry) och hur du skyddar dig själv

Vad är Ransomware (bland annat WannaCry) och hur du skyddar dig själv | Säkerhet 2024
Vad är Ransomware (bland annat WannaCry) och hur du skyddar dig själv | Säkerhet 2024

I en värld där vi befinner oss mer och mer online (varje dag med mer kraft) där många av oss känner oss väldigt bekväma med hur vi kan utföra våra dagliga uppgif.webpter digitalt. Vi måste förstå att allt detta förändrar våra allas liv eftersom vi helt och hållet är beroende av denna digitala värld på alla nivåer som företag, grundläggande offentliga system som är nödvändiga för alla länder och till och med personliga hemifrån.

På gott och ont måste vi vara medvetna om de faror som hotar oss, eftersom det till exempel idag inte är nödvändigt att gå till ett bankkontor för att göra rörelser, men allt görs via enhetens plattform, Vi använder inte längre korrespondens tjänster eftersom vi använder sociala nätverk, chattmeddelanden och e -post, som är uppkopplade 24 timmar om dygnet via mobiltelefoner och datorer.

Allt är sammankopplat med ett klick på att uppdateras, så att människor vet vad, hur eller var vi är, bland andra funktioner och uppgif.webpter. Det vi inte frågar oss själva är, Hur säkra är vi i denna onlinevärld?, svaret är enkelt, väldigt lite säkert.

Anledningen till detta är att när alternativen för att göra allt online växer, inklusive våra dagliga uppgif.webpter, så ökar inkräktare, attacker, datavirus, etc. Alla tas emot på olika sätt och på flera plattformar, där även om vi inte har miljoner euro eller dollar på våra bankkonton eller om vi är erkända över hela världen, är vi benägna att bli attackerade på olika sätt.

Det är därför vi idag på Solvetic fokuserar på att förklara ett av hoten som finns på allas läppar på grund av dess attacker världen över, som även om det inte är nytt som många tror, ​​tar en boom med stormsteg och som vi måste vara uppmärksam på all nödvändig vård.

Detta hot kallas Ransomware och vi hoppas att ögonblicket när du läser den här artikeln från din sida inte beror på att du redan har fallit i den, särskilt för att du kan skydda dig själv lite mer, oavsett om du är ett företag eller en normal person som vill undvika så mycket som möjligt detta och andra liknande typer av hot.

Vårt mål är att varje användare eller företag vidtar nödvändiga åtgärder för att undvika att bli offer för denna attack och alltid vara ansvarig för allt vi gör på nätverket.

Vad är RansomwarePå samma sätt som det finns kidnappning av människor för ekonomiska ändamål, i IT -världen ransomware har blivit en datakaparattack Eftersom denna attack i princip får tillgång till vår dator, krypterar all information och kräver en viss summa pengar för återställning, är det så enkelt.

Ursprunget till namnet "Ransomware" kommer från kombinationen av två ord:

  • Ransom (kidnappning)
  • ware (programvara)

Denna attack, även känd som rogueware eller scareware, har påverkat användarna sedan 2005. Även om den har utvecklats, visas olika typer, perfekta och hitta svagheter där den lätt kan spridas. Vi lämnar en video som förklarar det för dig på ett exceptionellt sätt för att förstå det på alla nivåer.

Hur Ransomware fungerarRansomware använder sig av en serie steg där tyvärr den första ges av offret när den körs, dessa steg är:

  • Systemskanning via USB -enheter, bluffmeddelanden etc.
  • Installation på systemet när den infekterade filen körs.
  • Urval av filer som ska krypteras.
  • Kryptering av utvalda data som för närvarande använder 2048-bitars RSA.
  • Meddelanden till offret med olika alternativ från e -post till röstmeddelanden
  • Väntar på betalning med hjälp av bland annat bitcoins, MoneyPak, Ukash och cashU.
  • Skickar krypteringsnycklarna till offret, men det är inte 100% säkert. (Vi kan säga att de INTE kommer att skicka det till dig, vi rekommenderar inte att betala).

Som vi kan se är det en kedja som vi själva kan bryta från början. I en värld av internet och digital bör människor lära sig att det är mycket bättre att alltid tänka dåligt och du kommer att ha rätt. Var försiktig och var inte en av dem som med glädje öppnar bifogade bifogade filer, eller går in på någon webbplats och installerar något program utan att tveka.

1. Typer av Ransomware -attack


Det finns några typer av denna attack känd över hela världen, såsom:

WannaCry ransomwareDet här är På senare tid mer känd ransomware eftersom det har utfört attacker mot många lag av företag och människor världen över. Det är en kryptografisk ransomware men det är värt att katalogisera det på sidlinjen, eftersom det har kommit ut som du vet i nyheterna över hela världen, på grund av attacker som utförts i många olika länder. Det är viktigt att kommentera att det här inte är nytt som många tror, ​​eftersom det har lagats i många lag länge. Du kan se på följande bild var de utförs.

Det finns många farliga virus och attacker på Internet, men WannaCry ransomware är en av de värsta.

I grund och botten kan vi säga att vi anser att det är en av de värsta eftersom det utför en ren kryptering av flera mycket viktiga filer med en kraftfull algoritm och nyckel, vilket gör det mycket svårt att ha dem igen. Det är också viktigt att påpeka hur enkelt det är att köra den och köra den på alla nätverksenheter.

Vill gråta Decryptor tränger in i din dator, särskilt via e -post, och när du kör det utan att inse det, krypterar det informationen. Det allvarliga är att när alla filer på datorn är krypterade replikeras de över nätverket till andra servrar, datorer etc. Allt du har anslutit till nätverksenheter kan också krypteras. Så det är normalt att när en dator är infekterad sprids den till praktiskt taget alla i nätverket.

För sin replikering drar den fördel av luckor i systemen, särskilt i Windows. Så det rekommenderas att du alltid håller dem uppdaterade med alla patchar, för att undvika att det är så enkelt att replikera från ena sidan till den andra.

Detta beteende förklarar varför det rekommenderas att koppla bort datorerna så att de inte fortsätter att kryptera och sprida sig. Av denna anledning, för att bli infekterade internt, är det första som företag i allmänhet frågar att stänga av och koppla bort alla datorer, allt så att de inte fortsätter att kryptera filer och öka problemet. De måste hitta källan och återställa alla berörda datorer och servrar.

Kryptering av dina filer är en mycket efterfrågad teknik för att skydda sekretessen för dina mest konfidentiella filer. Denna attack använder mycket starka krypteringsalgoritmer, som inte kan brytas om du inte har nyckeln. Nu senare går vi djupare in på denna typ av Ransomware.

Crypto ransomwareDenna typ av attack använder avancerade algoritmer och dess huvudsakliga funktion är att blockera systemfiler där vi måste betala en summa, ibland hög, pengar för att komma åt dem.

Inom denna typ hittar vi CryptoLocker, Locky, TorrentLocker, även WannaCry etc.

MBR -ransomwareVi vet att MBR (Master Boot Record) hanterar start av operativsystemet och denna typ av attack är ansvarig för att ändra värdena för startsektorerna för att förhindra att användaren startar sitt operativsystem normalt.

WinlockerDenna attack baseras på SMS, textmeddelanden, genom vilka det kräver att ett textmeddelande skickas till en betalningsplats med en tilldelad kod för att låsa upp filerna.

KontursågDenna attack är ansvarig för att periodiskt radera filer så att offret känner pressen att betala lösen för att inte förlora mer värdefull information.

Med denna attack varje timme elimineras en fil från datorn tills betalningen görs, och som en extra men inte uppmuntrande detalj tar pussel bort upp till tusen filer från systemet varje gång datorn startar om och öppnar operativsystemet.

KimcilwareMed denna attack är vi offer för datakryptering på våra webbservrar och för detta använder den sig av serverns sårbarheter och krypterar därmed databaser och filer som finns där, vilket fastställer webbplatsens icke-aktivitet.

MaktubDetta är en attack som sprids genom bedrägliga e -postmeddelanden och komprimerar de drabbade filerna innan de krypteras.

Dess utseende är som en PDF- eller textfil, men när den körs i bakgrunden utan att vi är medvetna om att den är installerad på datorn och vanligtvis krävs stora summor pengar för dataåterställning.

SimpleLocker, Linux.Encoder.1 och KeRangerDessa attacker uppfyller i princip sin roll på mobila och PC -enheter för att blockera deras innehåll. SimpleLocker påverkar SD -kortet på Android -enheter genom att kryptera filer. Linux.Encoder.1 och KeRanger hanterar datakryptering på Linux- och Mac OS -operativsystem.

CerberDet kan vara en av de mest fruktansvärda användarna, särskilt Windows -system, eftersom denna attack har åtkomst till operativsystemets ljud för att avge meddelanden, och inte korrekt motiverande eller de senaste nyheterna från Microsoft.

Denna attack genererar en VBS -fil som heter " # DECRYPT MY FILES # .vbs" som finns på 12 olika språk och avger hotfulla meddelanden och begär betalning för dataåterställning.

Som ni ser hittar vi olika typer av ransomware -attacker (Tänk på att det finns och kommer att finnas många fler typer) som gör det till ett latent hot och om vi fortfarande inte tror det, låt oss titta på dessa data, det kommer att fortsätta att stiga mycket snabbt:

  • Det finns cirka 500 000 offer för Cryptolocker -attacken i världen.
  • En organisation i Sydamerika betalade cirka 2500 USD för att hämta sin data.
  • 1,44% av TorrentLocker -offrets användare har betalat lösen.
  • Attacker pågår världen över med WannaCry-typen där beloppet som samlats in hittills uppges ligga mellan cirka 7500-25000 USD. (Betala inte).

Hur vi sa i början, vi rekommenderar inte att betala denna lösen för den använda krypteringsnyckeln. Det är inte 100% verifierat att de kommer att ge det till dig och tänk på att du kommer att uppmuntra fler cyberbrottslingar att dyka upp när du ser att det finns ett saftigt "företag" för dem. Tänk också på att det kan finnas vissa mer praktiska lösningar som vi förklarar i följande avsnitt.

Vi har pratat om teknikens framsteg, men ransomware har också utvecklats, eftersom det idag är attacken PHP Ransomware eller WannaCry Ransomware, som krypterar alla viktiga data och i vissa fall utan att be om lösen eller betalning för de krypterade uppgif.webpterna, bland annat filer med följande tillägg:

zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso bland annat som vi beskriver i följande avsnitt.

Tänk på att de kommer att öka eller variera, och därför är det inte bra att tro att en viss typ av fil är gratis att "kapas".

2. Ransomware -mål


Även om många ransomware -attacker förekommer på organisationsnivå där informationen är mycket mer känslig och konfidentiell, sätter angriparna som skapar dessa virus inga gränser, hemanvändare är också en svag punkt av skäl som:
  • Lite eller ingen kunskap om datasäkerhet.
  • Har inte antivirusprogram på sina operativsystem.
  • Ha öppna och osäkra nätverk.
  • Skapa inte konstant säkerhetskopiering av informationen.
  • Uppdatera inte operativsystemet och säkerhetsapplikationerna regelbundet.
  • För felaktig användning av internettjänster.

Vi kanske inte har värdefull information, men om vi har det offer för kryptering av vår information Utan tvekan kommer vi att bli offer där det kommer att påverka oss att kunna fortsätta vår dagliga verksamhet på ett normalt sätt, till exempel på utbildnings-, personlig eller affärsnivå.

Skaparna av ransomware har inte heller glömts bort, de är faktiskt mål 1, eftersom de med dem får följande fördelar:

  • De är där de kan göra mest skada, med saftig ekonomisk potential för dem att betala lösen.
  • Ökad instabilitet vid kryptering av känsliga löner, ekonomi, HR, etc.
  • Möjlighet att påverka ett större antal utrustning och tjänster.
  • Sårbarheter som presenteras på servrar eller klientdatorer.
  • För att destabilisera viktiga punkter i länder, och om du inte tror detta, titta på de senaste nyheterna där Londons sjukhus, företag som Telefónica i Spanien etc. har påverkats.

Vi kan intyga att detta är nytt världskrigsformatDet är inte att skjuta bomber men det kan vara samma eller mer smärtsamt än vi föreställer oss.

Tekniker för att sprida RansomwareSom vi har sett tidigare finns det olika typer av ransomware -attack och några av de tekniker som används för att sprida dem är:

  • Skicka bedrägliga mejl.
  • Webbstyrning till falska webbplatser.
  • Textmeddelanden.
  • Sårbarheter som finns på säkerhetsnivå på servrar eller klientdatorer.
  • Skadliga reklamkampanjer.
  • Juridiska webbplatser som har skadlig kod i sitt innehåll.
  • Automatisk spridning mellan enheter.

3. Rekommendationer för att skydda oss mot Ransomware -skadlig kod


Med tanke på att ransomware tar så mycket kraft och det är väldigt lätt att vara offer finns det en rad alternativ som hjälper oss att vara uppmärksamma på den här typen av attacker och undvika att vara ett annat offer. Några tips är:

Gör en säkerhetskopiaVi kan berätta att det är det viktigaste att göra både i organisationer och på det personliga planet. Med en säkerhetskopia, räddar vi oss från problem inte bara från skadlig kod, virus och attacker, det skyddar oss också från fysiska maskinvarufel som kan uppstå på diskar, datorer, servrar etc. Därmed säkerhetskopiering är nödvändig och viktig.

Det är en lösning som ska implementeras ständigt och om möjligt på diskar och externa enheter, eller om du har möjlighet (på personlig nivå) att göra det på platser som molnet, Dropbox, OneDrive, etc., men vad vi rekommenderar de flesta är servrar eller externa enheter också vi kommer alltid att ha filernas tillgänglighet och integritet.

Det är viktigt att berätta för dig att det bör beaktas att denna skadliga programvara (mask) Ransomware perfekt angriper och krypterar också de enheter som du har anslutit just nu, inklusive dem i molnet, så kom ihåg att koppla bort den anslutningen och inte alltid ha den ansluten om inte Du använder den.

Vi har sett hur denna attack av WannaCry ransomware (och andra tidigare versioner) kommer att utföra en kryptering av anslutningar i molnet på datorerna som infekterades. De replikerades i Dropbox-, Google Drive- eller OneDrive -konton, eftersom att vara ansluten som en nätverksenhet perfekt också kunde se dessa filer och därför också kan krypteras och raderas. Den goda delen är att du inom dessa system har möjlighet att också återställa data, eftersom när dina data var krypterade i molnet raderade de också de ursprungliga filerna, så om du har blivit infekterad i molnet, oroa dig inte, det är är möjligt att återställa dem genom att följa denna handledning.

Vi lämnar dig här de bästa sätten att göra säkerhetskopior, säkerhetskopior i de olika systemen som vi kan ha. Din information kommer först, tänk dig vad som skulle hända om du förlorar den, om det är viktigt, tveka inte och gör ofta säkerhetskopior.

Vi lämnar dig fler gratisalternativ för säkerhetskopieringsprogram på Windows, Linux eller Mac.

Visa filtilläggDetta är en grundläggande aspekt eftersom de infekterade filerna är körbara, .exe och kamoufleras som PDF-, DOC-, XLS -filer etc. Solvetic. Pdf.exe (infekterad).

Öppna inte misstänkta eller okända mejlTyvärr dras vi med på utseenden och öppnar falska mejl från vår bank, sociala nätverk, fakturor med PDF eller Excel -bilagor med makron, etc. och bakom den kommer den infekterade filen.

Många gånger får vi meddelanden från officiella enheter som indikerar att vi har juridiska problem, eller från banken som begär in information, andra som anger att vi har röstmeddelanden etc., men alla har en bilaga som de förväntar oss att klicka på på, i bakgrunden, infektera datorn.

Vi upprepar, mycket försiktiga i bilagorna som vi öppnar, som standard bör du alltid vara misstänksam. I det minsta tvivel rekommenderar vi att du inte öppnar eller kontrollerar detta innan du gör det:

  • Se väl avsändarens e -postadress i sin helhet (inte bara det falska namnet de anger).
  • Visa typ och förlängning av bilagan. Även om avsändaren är känd kan han ha smittats och automatiskt vidarebefordra skadlig programvara eller virus med sitt konto till hela sin kontaktlista. (du är ett möjligt offer).
  • Se väl texten och ämnet för meddelandet innan du öppnar.
  • Kontrollera avsändarens IP-adress och kontrollera adressens ursprungsland, ange IP-adressen från en webb som snabbt och bekvämt geografiskt lokaliseras.

Om du misstro minst, öppna inte den, hellre att inte vara försiktig och radera den än att bli smittad. Var uppmärksam på skräppostmeddelandena som din e -posthanterare kan ge dig.

FÖRSTORA

Filtrera .exe -tillägg i e -postOm du har e -postservrar som tillåter filtrering av filtyper är det perfekt att Låt oss filtrera alla e -postmeddelanden som innehåller .exe -tillägget eftersom dessa kan vara infekterade filer för att stjäla vår personliga information.

Inaktivera filer som körs från AppData eller LocalAppData -sökvägenOm vi ​​använder Windows -operativsystem kan vi skapa regler i brandväggen och öppna eller stänga portar som förhindrar körning av program från AppData- eller LocalAppData -vägen eftersom det därifrån är en av de platser där Cryptolocker, bland andra typer av Ransomware, installerar din infektioner. Om du är systemadministratör för Windows Server kan du tillämpa GPO på brandväggarna på alla datorer i nätverket.

Konstant systemuppdateringUtvecklarna av operativsystem och antivirus-, antimalware- och säkerhetsprogram i allmänhet släpper regelbundet nya uppdateringar som inkluderar förbättringar av säkerhetsbrister och detta kan hjälpa oss att undvika att bli offer för ransomware.

Kom ihåg att det är nödvändigt och viktigt uppdatera operativsystemet och även säkerhetsapplikationerna.

Om du är systemadministratör och hanterar företag med bland annat Windows Server -servrar. Kom ihåg att du kan styra uppdateringarna för alla företagets datorer via servern med WSUS och tvinga dem att bestämma genom att ange scheman som intresserar dig att alltid uppdateras.

Använd blockeringsprogram för tilläggMånga skadliga webbplatser skapar popup-fönster som kräver att du klickar på dem för att kunna stänga dem och i den här processen kan vi befinna oss innan nedladdning och installation av ett latent hot mot ransomware. De är redan integrerade i de flesta webbläsare och det är möjligt att aktivera dem i säkerhetsalternativen.

Användningen av dessa program förhindrar att dessa fönster visas och därmed får vi en säkerhetsnivå i våra system.

Inaktivera RDPRDP (Remote Desktop Protocol) tillåter fjärranslutning till andra datorer antingen för att ge hjälp eller stöd, men Ransomware kan använda detta protokoll, närmare bestämt Cryptolocker, WannaCry etc. för att komma åt datorer och infektera dem, därav vikten av att förhindra att detta protokoll aktiveras om det inte används.

Den här självstudien visar hur du aktiverar RDP (fjärrskrivbord) i Windows 10, 8, 7. Följ bara stegen som förklarar det, men lämna det inaktiverat för att kontrollera eller avmarkera.

Koppla från nätverketOm en misstänkt fil körs ska vi inte vänta tills installationsprocessen är klar eftersom vi inte vet vilket syfte den kommer att ha, i det här fallet är det mest försiktiga och ansvarsfulla att omedelbart koppla från nätverket, Wi-Fi eller Ethernet, med detta för att förhindra kommunikation med servern som kan introducera viruset.

Vi kan direkt inaktivera WiFi eller ta bort RJ45 -kabeln som vi har anslutit till utrustningen.

Inaktivera körning av makron i OfficeDetta är ett av de vanligaste sätten för ransomware att infektera och köra. Om du inte är en avancerad nivå där du använder makron i Microsoft Excel, Word, PowerPoint eller Outlook (i företagsteam är det bättre att inaktivera dem som standard), rekommenderar vi att du inaktiverar dem.

Dessa makron infogas i en enkel .docx- eller .xlsx -fil eller e -postmeddelanden där du helt enkelt kan öppna den här typen av ransomware eller annan typ av skadlig kod eller virus.

Följ dessa steg för att inaktivera dem:

  • Inaktivera Outlook -makron
  • Inaktivera makron Word, Excel och PowerPoint

Här lämnar vi mer officiell Microsoft -information om detta problem och hanteringen av Office -säkerhetsinställningar.

PortblockeringVi vet att portar i ett operativsystem tillåter eller inte kommunikation mellan den lokala datorn och det externa nätverket.

Det är en bra metod, om vi hanterar servrar särskilt, att blockera portarna:

  • UDP 137, 138
  • TCP 139, 445 eller inaktivera SMBv1.

I följande Microsoft -länk hittar vi hur du utför denna process på ett säkert sätt:

Använd ShadowExplorerMålet med Wanna Decryptor 2.0 är att ta bort alla system snapshots så snart en .exe -fil körs efter infektion.

ShadowExplorer låter oss dölja dessa ögonblicksbilder av Wanna Decryptor -attacken och därmed ha en pålitlig säkerhetskopia vid attack.

Detta verktyg kan laddas ner på följande länk:

4. Verktyg för att skydda eller återställa krypterade filer från Ransomware

Microsoft har släppt ett uttalande om Lösenord: Win32.WannaCrypt där han kommenterar att alla användare som använder gratis Windows antivirusprogram eller har Windows Update -systemet aktivt och uppdaterat till den senaste versionen, är skyddade.

De rekommenderar att de som har anti-malware program från någon annan leverantör, kontaktar dem för att bekräfta statusen för deras skydd.

En bra sak är att Microsoft också har lagt en säkerhetsuppdatering tidigare WannaCrypt ransomware tillgänglig för alla som har versioner av Windows som inte stöds, till exempel Windows XP, Windows 8 och Windows Server 2003. Ladda ner och installera nu för att skydda dig själv!

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86

Om du vill se andra system som Windows Vista eller Windows Server 2008, kolla den här länken till sökmotorn för Microsoft Windows säkerhetsuppdatering. Du kommer att se att denna patch refereras (KB4012598).

Här är en officiell Microsoft -guide till WannaCrypt -ransomware -attack.

Utöver allt detta erbjuder utvecklare av säkerhetsprogram oss möjligheten att ladda ner flera verktyg gratis som är avgörande för att upptäcka eller dekryptera krypterade filer, uppenbarligen inte giltiga för alla typer av Ransomware, men de kommer att fortsätta att växa eftersom de som skyddar i IT -säkerhet de avancerar också och erbjuder lösningar. Kom ihåg att det mest effektiva sättet är att återställa filerna som har krypterat oss från den säkerhetskopia vi har gjort, men vi lämnar några publicerade verktyg för att kunna dekryptera det:

  • Alcatraz Ransomware Solution: Ladda ner
  • Apocalypse Ransomware Solution: Ladda ner
  • BadBlock Ransomware -lösning: Ladda ner
  • Crypt888 Ransomware Solution: Ladda ner
  • Legion Ransomware Solution: Ladda ner
  • Cryptolocker Ransomware Solution Download

Här kan du se några lösningsalternativ för att dekryptera fler typer av Ransomware för att återställa din information.

  • Karspersky Ransomware -verktyg
  • Avast verktyg för ransomware
  • Wanakiwi (verktyg som hjälper till att dekryptera WannaCry, kom ihåg att inte starta om när du har blivit infekterad och startar det här verktyget. Du kommer att kunna återställa information i Windows XP, Windows 7 och Windows Server 2003, 2008).

Som skydd måste vi ta hänsyn till det anti-malware är en grundläggande som alla datorer bör ha förutom ett bra antivirus. Som rekommendation av anti-malware-verktyg rekommenderar vi:

  • Kaspersky WindowsUnlocker: Ladda ner
  • Malwarebytes 3.0: Ladda ner
  • OSHI Defender: Ladda ner
  • Hitman Pro: Ladda ner
  • BitDefender Anti-Crypto. Ladda ner
  • Trendmicro Ransomware Screen Unlocker: Ladda ner
  • Verktygslåda för förbättrad lindring och erfarenhet (EMET): Ladda ner

Vi lämnar dig också anti-malware för Linux och Mac:

  • LMD / Clamav (Linux)
  • Den bästa anti-malware (Mac)

Som ett extra verktyg fokuserat på skydd mot WannaCry Ransomware, vi rekommenderar NoMoreCry Tool av CCN-CERTs verktyg eftersom det tillåter förhindra körning av WannaCry Ransomware.

Vi måste tacka dem för detta fantastiska bidrag från CCN-CERT (CNI).

Detta verktyg fungerar på alla versioner av Windows och är tillgängligt för alla företag. Vad den gör är att skapa en mutex (algoritm för ömsesidig uteslutning) på datorn där du installerar den och förhindrar körning av den skadliga WannaCry 2.0 -koden.

CCN-CERT NoMoreCry Tool ligger i CCN-CERT-molnet, LORETO. Du hittar ett kompletterande skript som förhindrar körning av skadlig kod på Windows -datorer (alla versioner, både engelska och spanska).

Vi laddar bara ner filen NoMoreCry_mutex Y NoMoreCry-v0.4.exe (versioner kommer att uppdateras). Och båda filerna måste vara i samma mapp.

När det körs visas följande meddelande:

Kom ihåg att varje gång du loggar in måste du köra det igen. CCN-CERT indikerar att verktyget ska köras efter varje omstart. Så vi rekommenderar att du inkluderar det vid Windows -start (om det är för någon med en persondator). Det skulle helt enkelt vara att lägga till det här verktyget med dess körbara genväg i mappen för startprogram:

  • + R
  • Skriver: skal: start och tryck Enter.
  • Klistra in genvägen för det här verktyget här.

Du har också den i .MSI för att lägga den i GPO. (Det för sysadminer). Denna process kan också automatiseras genom att ändra Windows -registret eller genom att implementera GPO -policyer i domänen.

Som en sista rekommendation av skyddsverktyg. Naturligtvis, låt oss inte glömma att ha ett antivirusprogram installerat i de olika operativsystem som vi har, i dessa länkar sätter vi det bästa av detta år och framför allt gratis, om du inte skyddar dig är det för att du inte vill.

  • Gratis Windows -antivirusprogram
  • Gratis Linux Antivirus
  • Gratis Mac Antivirus

Säkerhetsverktygen har som mål att skydda vår information mot ransomware men i grunden det första steget i skyddet är i oss eftersom nya virus, trojaner, skadlig kod, attacker etc. alltid kommer att dyka upp.

Kom ihåg och vi nämner igen att i de flesta av dessa ransomware efter att ha krypterat dina filer, ta också bort originalet, så om någon teknik inte fungerar och du har varit lite ansvarig där du inte har säkerhetskopior av dina data, är det möjligt att försöka återställa raderade filer från din dator (när ransomware har eliminerats enligt förklaringen i följande kapitel nedan).

För detta rekommenderar vi att du har till hands denna andra handledning med en samling gratisprogram för att återställa raderade filer.

5. Så här tar du bort och skyddar WannaCry Ransomware Attack

WannaCry är en av de senaste ransomware som har spridit sig i världen och påverkar både organisationer och vanliga användare genom att kryptera deras data och kräva stora summor pengar. Vi har pratat mycket i den här självstudien om denna typ av ransomware, men i det här avsnittet fokuserar vi på hur vi kan eliminera det när vi har blivit infekterade med det.

Om du är en av dem som plötsligt dyker upp i fönstret med ovanstående meddelande, är du infekterad:

WannaCry Ransomware Message (engelska)
Oj, dina filer har krypterats!

Vad hände med Min dator?

Dina viktiga filer är krypterade.

Många av dina dokument, foton, videor, databaser och andra filer är inte längre tillgängliga eftersom de har krypterats. Du kanske är upptagen med att leta efter ett sätt att återställa dina filer, men slösa inte bort din tid. Ingen kan återställa dina filer utan dekrypteringstjänst.

Kan jag återställa mina filer?

Säker. Vi garanterar att du kan återställa alla dina filer säkert och enkelt. (Men du har inte tillräckligt med tid). Du kan försöka dekryptera några av dina filer gratis. Prova nu genom att klicka. Om du vill dekryptera alla dina filer måste du betala.

Du har bara 3 dagar på dig att skicka in betalningen. Efter det kommer priset att fördubblas. Om du inte betalar på sju dagar kommer du inte att kunna återställa dina filer för alltid.

WannaCry Ransomware Message (spanska)
Oj, dina filer har krypterats!

Vad hände med min dator?

Dina viktiga filer är krypterade.

Många av dina dokument, foton, videor, databaser och andra filer är inte längre tillgängliga eftersom de har krypterats. Du kanske är upptagen med att leta efter ett sätt att få tillbaka dina filer, men slösa inte bort din tid. Ingen kan få tillbaka dina filer utan dekrypteringstjänsten.

Kan jag få tillbaka mina filer?

Självklart. Vi garanterar att du kan återställa alla dina filer säkert och enkelt. (Men du har inte tillräckligt med tid). Du kan försöka dekryptera några av dina filer gratis. Prova nu genom att klicka. Om du vill dekryptera alla dina filer måste du betala.

Du har bara 3 dagar på dig att skicka betalningen. Efter det kommer priset att fördubblas. Om du inte betalar på 7 dagar kommer du inte att kunna få tillbaka dina filer för alltid.

Om du ser att ditt företag eller datorer har denna ransomware, vad du behöver göra är att stoppa alla datorer så att det inte replikeras, och det fortsätter inte att kryptera fler filer. Koppla bort datorerna från nätverket och tryck på granska dem för att upptäcka ursprunget.

För att eliminera denna skadliga programvara i en Windows 10 -miljö kommer vi att utföra följande process.

UppmärksamhetOm du inte är på avancerad nivå är det bäst att installera om systemet och återställa dina data från en säkerhetskopia för att säkerställa att du inte fortfarande är infekterad.

Steg 1
Först och främst måste vi komma åt i säkert läge för att undvika att vissa tjänster och processer startas, för att se hur vi får åtkomst i säkert läge kan vi gå till följande länk:

Steg 2
För det andra måste vi komma åt aktivitetshanteraren genom att högerklicka på aktivitetsfältet och välja motsvarande alternativ "Aktivitetshanterare".

Väl där går vi till fliken Processer och vi måste titta på de processer som inte verkar normala för oss. När vi väl sett högerklickar vi på den och väljer alternativet "Öppna filplats".

Den här filen kan skannas med vårt antivirus- och / eller antimalware -program eftersom vi redan känner till vägen och därför har vi tvivel. Fram till denna punkt kan vi bestämma integriteten och tillförlitligheten för filen.

Om vi ​​inte får resultat kan vi gå till systemets hosts -fil och där kontrollera om vi är offer.

För detta öppnar vi menyn Kör: (+ R) och ange följande rad: 

 anteckningsblock% windir% / system32 / Drivers / etc / hosts
Detta visar värdfilen. Om du märker att nya poster visas längst ner till andra externa IP -adresser än 127.0.0.1 och du inte känner dem, kommer de att se ut som om de har lagts till av ransomware -masken.

Steg 3
Utöver detta kan vi konsultera det program eller applikationer loggar in vid systemstarteftersom en infekterad fil kan vara från början går vi till fliken Start i Aktivitetshanteraren och kontrollerar i detalj vilka program som startar med Windows 10:

Om du ser något onormalt väljer du det och klickar på knappen Inaktivera. Vi rekommenderar att du ser handledningen som vi har lagt till dig eftersom den lär dig hur du hanterar den.

Steg 4
Senare öppnar vi Windows 10 -registerredigeraren med tangentkombinationen + R och anger kommandot regedit.

Där går vi till Edit / Search eller använder knapparna Ctrl + F och i fönstret som visas kommer vi att leta efter ransomware namn:

FÖRSTORA

Det är viktigt att komma ihåg att inte ta bort icke-virusregister eftersom detta skulle påverka systemets stabilitet. Vi måste ta bort alla virusposter på följande platser:

  • % Applikationsdata%
  • % LocalAppData%
  • % Programdata%
  • % WinDir%
  • % Temp%

Vid denna tidpunkt skulle det vara intressant att kunna köra applikationer för att analysera vår utrustning. Vi rekommenderar att granska det fjärde kapitlet i denna handledning "Verktyg för att skydda eller återställa krypterade filer från ransomware " eftersom vi kan hitta verktyg som kan hjälpa till att hitta och lösa denna attack. Vi måste alltid ta hänsyn till de kommenterade rekommendationerna för att undvika att falla i fällan för en Ransomware.

Om du är en av dem som inte har gjort en säkerhetskopia, kom ihåg att det kan vara möjligt att återställa raderade data, eftersom denna skadliga program först krypterar dina filer och sedan tar bort dem. När du har tagit bort denna ransomware rekommenderar vi att du använder raderade verktyg för återställning av filer. Vissa kan du återställa.

6. Hur man tar bort och skyddar Wanna Decryptor 2.0 Ransomware -attack


Från och med den 05/16/17 fortsätter vi att se många nyheter om spridningen av den massiva Ransomware -attacken med ett virus som heter Vill dekryptera0r 2.0 som finns på datorerna och också krypterar informationen med en kombination av RSA- och AES-128-CBC-algoritmer där de infekterade filerna, som är krypterade, automatiskt har förlängning .WNCRY.

Så när vi försöker komma åt datorn eller någon av dessa filer får vi ett inte så glädjande meddelande:

Målet med denna massiva attack är att nå det högsta antalet offer och hittills har vi dessa siffror:

  • Mer än 150 länder drabbade.
  • Mer än 200 000 människor attackerade i sina filer.
  • Hittills har mer än 55 000 USD gått förlorade och betalat "lösen" för dina filer.

Det värsta med allt detta är att det befaras att hotet kommer att fortsätta växa. När viruset påverkar våra filer kan vi se att dessa, som vi har nämnt, har tillägget .WNCRY:

Vi kan se att en textfil som heter @ Please_Read_Me @ skapas där vi kommer att se instruktionerna från angriparen:

FÖRSTORA

Vi kan se följande:

Allt är inriktat på att vi ska betala minimibeloppet, vilket är 300 USD för att återställa vår information eftersom nyckeln som gör att vi kan dekryptera data inte finns lokalt utan finns på angriparens servrar.

Detta virus attackerar datorer med Windows -operativsystem i alla dess versioner:

  • Windows 7, 8.1
  • Windows 10
  • Windows Vista SP2
  • Windows Server 2008/2012/2016

Solvetic vill analysera denna fråga djupt för att förhindra att var och en blir ytterligare ett offer för denna massiva attack över hela världen och det är därför vi försöker fortsätta beskriva de variabler som visas och några sätt på hur det kommer att vara möjligt att eliminera detta hot från vår dator …

Rekommendationerna har redan gjorts i detalj i andra avsnitt ovanför denna handbok, men vi anger de grundläggande.

  • Håll våra operativsystem uppdaterade.
  • Öppna inte misstänkta mejl.
  • Undvik att ladda ner objekt från P2P -webbplatser.
  • Installera antivirusverktyg.
  • Om vi ​​misstänker någon ovanlig aktivitet måste vi omedelbart koppla bort utrustningen från nätverket.

Hur Wanna Decryptor 2.0 sprider sig
Detta är den grundläggande frågan som många användare ställer sig själva eftersom vi i allmänhet är noga med informationen vi hanterar eller webbplatserna vi besöker. Tja, detta virus sprids massivt, och som en baslinje, med hjälp av e -post.

Även om vi har pratat mycket om ämnet, är det vanligt och varierar inte mycket för att kunna bli smittad när vi ser olika meddelanden i vårt skräppostfack, till exempel:

  • Juridiska meddelanden från någon myndighet som anger att vi kommer att hitta orsaken till kallelsen bifogad.
  • Meddelanden från våra sociala nätverk som indikerar att vi har nya meddelanden.
  • Begäran från finansiella enheter att uppdatera information etc.

Hur man vet om Wanna Decryptor 2.0 är Ransomware
Anledningen är mycket enkel, alla virus som förhindrar normal åtkomst till vår information eller vår utrustning och begär en summa pengar för åtkomst klassificeras som Ransomware.

Wanna Decryptor 2.0 attackerar följande tillägg genom att ändra dem till .WNCRY -tillägget. Det grundläggande målet med Wanna Decryptor är att kryptera viktiga filer som är mycket användbara för varje användare eller företag, till exempel följande:

  • Tillägg för Office -program: .ppt, .doc, .docx, .xlsx, .sx
  • Applikationstillägg: .zip, .rar, .tar, .bz2, .mp4, .mkv
  • Databastillägg: .sql, .accdb, .mdb, .dbf, .odb, .myd
  • E -posttillägg: .eml, .msg, .ost, .pst, .edb
  • Utvecklarens tillägg: .php, .java, .cpp, .pas, .asm
  • Krypteringsnycklar och certifikattillägg: .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Tillägg för grafisk design: vsd, .odg, .raw, .nef, .svg, .psd
  • Virtuella maskintillägg: .vmx, .vmdk, .vdi

Som vi kan se är hotet latent och brett. Vi är särskilt bekymrade över de som påverkar huvudservrarna, till exempel databastillägg, virtuella datorer, viktiga serverfiler som .php, .java etc. Det kan orsaka ett stopp kanske ännu mer omfattande än de enklaste filerna att återställa, till exempel xlsx, pdf, docx etc.

Vi upprepar att detta kommer att fortsätta utvecklas och förbättras. Så låt oss aldrig underskatta ditt framsteg.

Vi kommer att förklara i detalj vilken process Wanna Decryptor 2.0 kör för att ta kontroll över våra filer.

  • Först skriver viruset en mapp med slumpmässiga tecken i sökvägen C: \ ProgramData med namnet taskche.exe eller i sökvägen C: \ Windows med namnet mssecsvc.exe och duaskche.exe.
  • När dessa mappar har skrivits kommer viruset att ge dessa filer full kontroll genom att köra följande:
 Icacls. / bevilja alla: F / T / C / Q
  • Använd sedan följande skript för dess körning: XXXXXXXXXXXXXX.bat (Ändra X för siffror och / eller bokstäver)
  • Den kommer att använda sina hashar eller kryptoalgoritmer från Wanna Decryptor 2.0. Vid denna tidpunkt kan vi använda verktyg som antivirus eller antimalware för att lokalisera dessa hashningar och fortsätta med att ta bort dem från systemet.
  • För att ta full kontroll använder Wanna Decryptor 2.0 dolda TOR -tjänster med .onion -tillägget enligt följande:
 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion
På detta sätt kommer vi att se hur den analyserar alla våra tillgängliga enheter tills vi hittar de ovannämnda filtilläggen och fortsätter med deras kryptering och respektive betalning. Som vi sa i andra versioner om huruvida det är möjligt att dekryptera filer som är krypterade av Wanna Decryptor 2.0 … säger vi igen till dig att svaret är nej på grund av krypteringsnivån som används i processen med AES-265 med en RSA-krypteringsmetod som är komplett och det finns inget verktyg, inklusive brutal kraft, som kan dekryptera data.

Därför, som vi redan har sagt i andra avsnitt, är vi tvungna att återställa informationen på andra sätt, till exempel:

  • Återställ informationen som var krypterad från tidigare säkerhetskopior.
  • Återställ den ursprungliga informationen som har raderats efter dess kryptering av wanna decryptor 2.0. När vi har blivit attackerade av Wanna Decryptor 2.0 skapar det först en kopia av filerna, krypterar dem sedan och tar bort de ursprungliga filerna och tar full kontroll. (Se avsnittet om dataskydds- och återställningsverktyg)
  • Använd Shadow Explorer tidigare så har vi möjlighet att rädda raderade filer från skyddade volymer (Du har nedladdningslänken i avsnittet med rekommendationer för att skydda dig mot ransomware).

Som en eliminationsprocess följer du mönstret som förklarades tidigare i WannaCry -avsnittet, går in i säkert läge, kontrollerar vissa mappar där det är värd, eliminerar körning av tjänster och program vid Windows -start och analyserar med det mest antimalware -verktyget du gillar (MalwareBytes , Hitman Pro, Windows Defender Offline är flera av många som vi har tillgängliga för denna genomsökning).

Slutligen, om du vill veta i realtid vad som är den nuvarande statusen för Wanna Decryptor 2.0 och vara medveten om utvecklingen av denna attack med detaljer som infekterade datorer och användare, länder där viruset har varit värd, bland annat kan vi gå till följande länk:

Detta kommer att vara vad vi observerar:

FÖRSTORA

Där kommer vi att se grafen med respektive berörda webbplatser, totalt drabbade datorer etc. Längst ner ser vi diagrammen över hur denna attack har ökat över hela världen:

FÖRSTORA

Vi rekommenderar att du följer dessa tips och håller säkerhetskopior av den mest relevanta informationen uppdaterad.

Vi har sett hur vi befinner oss i en osäker värld som kan påverka våra liv när som helst, men om vi är försiktiga och försiktiga kommer vi verkligen inte att vara ett annat offer för ransomware eftersom all vår säkerhet är beroende av oss.

Här finns fler handledning och artiklar om säkerhet. Vi ber bara att du delar denna handledning så att vi alla kan vara på larm och lite säkrare inför de hot som vi dagligen utsätts för vid användning av Internet. Vi kommer att fortsätta dagliga handledning för er alla. Var uppmärksam på Solvetic för IT- och teknologilösningar, inte bara för säkerhet utan för alla områden och nivåer.

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Hur man öppnar portar på min ETB ZTE -router
2
post-title
▷ Hur tar jag bort din Facebook -sida 2021 - Mobil eller PC
3
post-title
Så här återställer du Samsung Galaxy A50 Hard Reset
4
post-title
▷ Hur tar jag bort Yahoo sökmotor från Mozilla Firefox - Yahoo Search
5
post-title
Hur man tar en skärmdump på Mac

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -