Une vague d'un nouveau virus de cryptage, WannaCry (autres noms Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a déferlé sur le monde, qui crypte les documents sur un ordinateur et extorque 300 à 600 USD pour les décoder. Comment savoir si votre ordinateur est infecté ? Que faire pour éviter de devenir une victime ? Et que faire pour récupérer ?

Après avoir installé les mises à jour, vous devrez redémarrer votre ordinateur.

Comment se remettre du virus ransomware Wana Decrypt0r ?

Quand utilitaire antivirus, détecte un virus, soit elle le supprimera immédiatement, soit vous demandera si vous devez le traiter ou non ? La réponse est de traiter.

Comment récupérer des fichiers cryptés par Wana Decryptor ?

On ne peut rien dire de rassurant pour le moment. Aucun outil de décryptage de fichiers n'a encore été créé. Pour l’instant, il ne reste plus qu’à attendre que le décrypteur soit développé.

Selon Brian Krebs, un expert en sécurité informatique, à l'heure actuelle, les criminels n'ont reçu que 26 000 dollars, c'est-à-dire que seulement 58 personnes environ ont accepté de payer la rançon aux extorqueurs. Personne ne sait s'ils ont restauré leurs documents.

Comment stopper la propagation d’un virus en ligne ?

Dans le cas de WannaCry, la solution au problème peut être de bloquer le port 445 sur le Firewall ( pare-feu), par lequel se produit l’infection.

Il y a environ une semaine ou deux, un autre hack de créateurs de virus modernes est apparu sur Internet, qui crypte tous les fichiers de l'utilisateur. Encore une fois, j'examinerai la question de savoir comment guérir un ordinateur après un virus ransomware chiffré000007 et récupérer des fichiers cryptés. Dans ce cas, rien de nouveau ou d’unique n’est apparu, juste une modification de la version précédente.

Décryptage garanti des fichiers après un virus ransomware - dr-shifro.ru. Les détails du travail et le schéma d'interaction avec le client sont ci-dessous dans mon article ou sur le site Internet dans la rubrique « Procédure de travail ».

Description du virus rançongiciel CRYPTED000007

Le chiffreur CRYPTED000007 n'est pas fondamentalement différent de ses prédécesseurs. Cela fonctionne presque exactement de la même manière. Mais il existe néanmoins plusieurs nuances qui le distinguent. Je vais vous raconter tout dans l'ordre.

Il arrive, comme ses analogues, par courrier. Des techniques d'ingénierie sociale sont utilisées pour garantir que l'utilisateur s'intéresse à la lettre et l'ouvre. Dans mon cas, la lettre parlait d'une sorte de tribunal et une information important sur le dossier en pièce jointe. Après avoir lancé la pièce jointe, l'utilisateur ouvre un document Word avec un extrait du tribunal d'arbitrage de Moscou.

Parallèlement à l'ouverture du document, le cryptage des fichiers démarre. Un message d'information du système de contrôle de compte d'utilisateur Windows commence à apparaître constamment.

Si vous acceptez la proposition, les copies de sauvegarde des fichiers dans les clichés instantanés de Windows seront supprimées et la restauration des informations sera très difficile. Il est évident que vous ne pouvez en aucun cas être d’accord avec la proposition. Dans ce chiffreur, ces demandes apparaissent constamment, les unes après les autres et ne s'arrêtent pas, obligeant l'utilisateur à accepter et à supprimer les copies de sauvegarde. C'est la principale différence par rapport aux modifications précédentes des chiffreurs. Je n'ai jamais rencontré de demandes de suppression de clichés instantanés sans m'arrêter. Habituellement, après 5 à 10 offres, ils s’arrêtaient.

Je donnerai immédiatement une recommandation pour l'avenir. Il est très courant que les gens désactivent les avertissements du contrôle de compte d’utilisateur. Il n'est pas nécessaire de faire cela. Ce mécanisme peut vraiment aider à résister aux virus. Le deuxième conseil évident est de ne pas travailler constamment sous compte administrateur informatique, à moins qu'il n'y ait un besoin objectif. Dans ce cas, le virus n’aura pas la possibilité de faire beaucoup de mal. Vous aurez plus de chance de lui résister.

Mais même si vous avez toujours répondu négativement aux demandes du ransomware, toutes vos données sont déjà cryptées. Une fois le processus de cryptage terminé, vous verrez une image sur votre bureau.

En même temps, il y aura beaucoup fichiers texte avec le même contenu.

Vos fichiers ont été cryptés. Pour décrypter ux, vous devez envoyer le code : 329D54752553ED978F94|0 à l'adresse email [email protégé]. Ensuite, vous recevrez toutes les instructions nécessaires. Les tentatives de déchiffrement par vous-même ne mèneront à rien d'autre qu'à un nombre irrévocable d'informations. Si vous souhaitez quand même essayer, faites d'abord des copies de sauvegarde des fichiers, sinon, en cas de modification, le décryptage deviendra en aucun cas impossible. Si vous n'avez pas reçu de notification à l'adresse ci-dessus dans les 48 heures (uniquement dans ce cas !), utilisez le formulaire de contact. Cela peut être fait de deux manières : 1) Téléchargez et installez Navigateur Tor via le lien : https://www.torproject.org/download/download-easy.html.en Dans la zone d'adresse du navigateur Tor, saisissez l'adresse : http://cryptsen7fo43rr6.onion/ et appuyez sur Entrée. La page avec le formulaire de contact se chargera. 2) Dans n'importe quel navigateur, rendez-vous à l'une des adresses : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ Tous les fichiers importants de votre ordinateur ont été cryptés. Pour décrypter les fichiers, vous devez envoyer le code suivant : 329D54752553ED978F94|0 à l'adresse e-mail [email protégé]. Vous recevrez ensuite toutes les instructions nécessaires. Toutes les tentatives de décryptage par vous-même n’entraîneront qu’une perte irrévocable de vos données. Si vous souhaitez quand même essayer de les décrypter par vous-même, veuillez d'abord effectuer une sauvegarde car le décryptage deviendra impossible en cas de modification dans les fichiers. Si vous n'avez pas reçu de réponse à l'e-mail susmentionné pendant plus de 48 heures (et seulement dans ce cas !), utilisez le formulaire de commentaires. Vous pouvez le faire de deux manières : 1) Téléchargez le navigateur Tor à partir d'ici : https://www.torproject.org/download/download-easy.html.en Installez-le et saisissez l'adresse suivante dans la barre d'adresse : http:/ /cryptsen7fo43rr6.onion/ Appuyez sur Entrée, puis la page avec le formulaire de commentaires sera chargée. 2) Accédez à l'une des adresses suivantes dans n'importe quel navigateur : http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

Adresse postale peut changer. Je suis également tombé sur les adresses suivantes :

• [email protégé]
• [email protégé]

Les adresses sont constamment mises à jour et peuvent donc être complètement différentes.

Dès que vous découvrez que vos fichiers sont cryptés, éteignez immédiatement votre ordinateur. Cela doit être fait pour interrompre le processus de cryptage comme dans ordinateur local, et sur les lecteurs réseau. Un virus de chiffrement peut chiffrer toutes les informations qu'il peut atteindre, y compris sur les lecteurs réseau. Mais s'il y a une grande quantité d'informations, cela lui prendra beaucoup de temps. Parfois, même en quelques heures, le ransomware n'avait pas le temps de tout crypter sur un lecteur réseau d'une capacité d'environ 100 gigaoctets.

Ensuite, vous devez bien réfléchir à la manière d’agir. Si vous avez besoin à tout prix d'informations sur votre ordinateur et que vous ne disposez pas de copies de sauvegarde, alors il vaut mieux à ce moment se tourner vers des spécialistes. Pas forcément pour de l'argent pour certaines entreprises. Tu as juste besoin de quelqu'un qui sait bien systèmes d'information. Il est nécessaire d’évaluer l’ampleur de la catastrophe, d’éliminer le virus et de collecter toutes les informations disponibles sur la situation afin de comprendre comment procéder.

Des actions incorrectes à ce stade peuvent compliquer considérablement le processus de décryptage ou de restauration des fichiers. Dans le pire des cas, ils peuvent rendre cela impossible. Alors prenez votre temps, soyez prudent et cohérent.

Comment le virus ransomware CRYPTED000007 crypte les fichiers

Une fois le virus lancé et terminé son activité, tous les fichiers utiles seront cryptés, renommés de extension.crypted000007. De plus, non seulement l’extension du fichier sera remplacée, mais également le nom du fichier, de sorte que vous ne saurez pas exactement de quel type de fichiers vous aviez si vous ne vous en souvenez pas. Cela ressemblera à ceci.

Dans une telle situation, il sera difficile d'évaluer l'ampleur du drame, puisque vous ne pourrez pas vous souvenir pleinement de ce que vous aviez dans différents dossiers. Cela a été fait spécifiquement pour semer la confusion chez les gens et les encourager à payer pour le décryptage des fichiers.

Et si vous aviez chiffré et dossiers réseau et il n'y a pas de sauvegardes complètes, cela peut arrêter complètement le travail de toute l'organisation. Il vous faudra un certain temps pour comprendre ce qui a finalement été perdu afin de commencer la restauration.

Comment traiter votre ordinateur et supprimer le ransomware CRYPTED000007

Le virus CRYPTED000007 est déjà présent sur votre ordinateur. La première et la plus importante question est de savoir comment désinfecter un ordinateur et comment en supprimer un virus afin d'empêcher un cryptage ultérieur s'il n'est pas encore terminé. Je voudrais immédiatement attirer votre attention sur le fait qu'une fois que vous avez vous-même commencé à effectuer certaines actions avec votre ordinateur, les chances de décrypter les données diminuent. Si vous avez besoin à tout prix de récupérer des fichiers, ne touchez pas à votre ordinateur, mais contactez immédiatement des professionnels. Ci-dessous, je vais en parler, fournir un lien vers le site et décrire leur fonctionnement.

En attendant, nous continuerons à traiter l'ordinateur de manière indépendante et à supprimer le virus. Traditionnellement, les ransomwares sont facilement supprimés d'un ordinateur, car le virus n'a pas pour tâche de rester à tout prix sur l'ordinateur. Après avoir complètement crypté les fichiers, il est encore plus rentable pour lui de se supprimer et de disparaître, de sorte qu'il est plus difficile d'enquêter sur l'incident et de décrypter les fichiers.

Il est difficile de décrire comment supprimer manuellement un virus, même si j'ai déjà essayé de le faire, mais je vois que le plus souvent cela n'a aucun sens. Les noms de fichiers et les chemins de placement des virus changent constamment. Ce que j'ai vu n'est plus d'actualité dans une semaine ou deux. Habituellement, les virus sont envoyés par courrier par vagues, et à chaque fois il y a une nouvelle modification qui n'est pas encore détectée par les antivirus. Des outils universels qui vérifient le démarrage et détectent les activités suspectes dans les dossiers système aident.

Pour supprimer le virus CRYPTED000007, vous pouvez utiliser les programmes suivants :

1. Virus Kaspersky Outil de suppression- un utilitaire de Kaspersky http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - un produit similaire provenant d'un autre site Web http://free.drweb.ru/cureit.
3. Si les deux premiers utilitaires ne vous aident pas, essayez MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

Très probablement, l'un de ces produits effacera votre ordinateur du ransomware CRYPTED000007. S'il arrive soudainement qu'ils ne vous aident pas, essayez de supprimer le virus manuellement. J'ai donné un exemple de la méthode de suppression et vous pouvez le voir ici. En bref, étape par étape, vous devez agir comme ceci :

1. Nous examinons la liste des processus, après avoir ajouté plusieurs colonnes supplémentaires au gestionnaire de tâches.
2. Nous trouvons le processus viral, ouvrons le dossier dans lequel il se trouve et le supprimons.
3. Nous effaçons la mention du processus viral par nom de fichier dans le registre.
4. Nous redémarrons et veillons à ce que le virus CRYPTED000007 ne figure pas dans la liste des processus en cours d'exécution.

Où télécharger le décrypteur CRYPTED000007

La question d’un décrypteur simple et fiable se pose en premier lorsqu’il s’agit d’un virus ransomware. La première chose que je recommande est d'utiliser le service https://www.nomoreransom.org. Et si vous avez de la chance et qu'ils ont un décrypteur pour votre version du chiffreur CRYPTED000007. Je dirai tout de suite que vous n'avez pas beaucoup de chances, mais essayer n'est pas une torture. Sur la page principale, cliquez sur Oui :

Téléchargez ensuite quelques fichiers cryptés et cliquez sur Go ! Découvrir:

Au moment de la rédaction de cet article, il n'y avait pas de décrypteur sur le site.

Peut-être aurez-vous plus de chance. Vous pouvez également consulter la liste des décrypteurs à télécharger sur page séparée- https://www.nomoreransom.org/decryption-tools.html. Il y a peut-être quelque chose d'utile là-dedans. Lorsque le virus est complètement frais, il y a peu de chances que cela se produise, mais avec le temps, quelque chose peut apparaître. Il existe des exemples où des décrypteurs pour certaines modifications de chiffreurs sont apparus sur Internet. Et ces exemples se trouvent sur la page spécifiée.

Je ne sais pas où trouver un décodeur. Il est peu probable qu'il existe réellement, compte tenu des particularités du travail des chiffreurs modernes. Seuls les auteurs du virus peuvent disposer d’un décrypteur à part entière.

Comment décrypter et récupérer des fichiers après le virus CRYPTED000007

Que faire lorsque le virus CRYPTED000007 a crypté vos fichiers ? La mise en œuvre technique du cryptage ne permet pas de décrypter des fichiers sans clé ni décrypteur, dont seul l'auteur du crypteur dispose. Il existe peut-être un autre moyen de l'obtenir, mais je n'ai pas cette information. Nous ne pouvons essayer de récupérer des fichiers qu'en utilisant des méthodes improvisées. Ceux-ci inclus:

• Outil clichés instantanés les fenêtres.
• Programmes de récupération de données supprimées

Tout d’abord, vérifions si les clichés instantanés sont activés. Cet outil fonctionne par défaut sous Windows 7 et versions ultérieures, sauf si vous le désactivez manuellement. Pour vérifier, ouvrez les propriétés de l'ordinateur et accédez à la section protection du système.

Si, lors de l'infection, vous n'avez pas confirmé la demande de l'UAC de suppression de fichiers dans les clichés instantanés, certaines données devraient y rester. J'ai parlé plus en détail de cette demande au début de l'histoire, lorsque j'ai parlé du travail du virus.

Pour récupération pratique fichiers à partir de clichés instantanés, je suggère d'utiliser programme gratuità cet effet - ShadowExplorer. Téléchargez l'archive, décompressez le programme et exécutez-le.

La dernière copie des fichiers s'ouvrira et la racine du lecteur C. Dans le coin supérieur gauche, vous pouvez sélectionner une copie de sauvegarde si vous en avez plusieurs. Vérifiez différentes copies pour les fichiers requis. Comparez par dates, où plus dernière version. Dans mon exemple ci-dessous, j'ai trouvé 2 fichiers sur mon bureau datant d'il y a trois mois lors de leur dernière modification.

J'ai pu récupérer ces fichiers. Pour ce faire, je les ai sélectionnés, j'ai cliqué clic-droit souris, sélectionné Exporter et indiqué le dossier où les restaurer.

Vous pouvez restaurer des dossiers immédiatement en utilisant le même principe. Si vos clichés instantanés fonctionnaient et ne les supprimaient pas, vous avez de bonnes chances de récupérer tous, ou presque, tous les fichiers cryptés par le virus. Peut-être que certains d'entre eux seront plus ancienne version, que nous le souhaiterions, mais néanmoins, c'est mieux que rien.

Si, pour une raison quelconque, vous n'avez pas de clichés instantanés de vos fichiers, votre seule chance d'obtenir au moins quelque chose des fichiers cryptés est de les restaurer à l'aide d'outils de récupération. fichiers supprimés. Pour ce faire, je suggère d'utiliser le programme gratuit Photorec.

Lancez le programme et sélectionnez le disque sur lequel vous restaurerez les fichiers. Le lancement de la version graphique du programme exécute le fichier qphotorec_win.exe. Vous devez sélectionner un dossier dans lequel les fichiers trouvés seront placés. Il est préférable que ce dossier ne se trouve pas sur le même lecteur que celui sur lequel nous recherchons. Connectez un lecteur flash ou externe Disque dur pour ça.

Le processus de recherche prendra beaucoup de temps. À la fin, vous verrez des statistiques. Vous pouvez maintenant accéder au dossier spécifié précédemment et voir ce qui s'y trouve. Il y aura probablement beaucoup de fichiers et la plupart d'entre eux seront soit endommagés, soit il s'agira d'une sorte de système et de fichiers inutiles. Néanmoins, quelques fichiers utiles peuvent être trouvés dans cette liste. Il n’y a aucune garantie ici ; ce que vous trouvez est ce que vous trouverez. Les images sont généralement mieux restaurées.

Si le résultat ne vous satisfait pas, il existe également des programmes permettant de récupérer des fichiers supprimés. Vous trouverez ci-dessous une liste de programmes que j'utilise habituellement lorsque j'ai besoin de restaurer quantité maximale des dossiers:

• R. économiseur
• Récupération de fichiers Starus
• Récupération JPEG Pro
• Professionnel de la récupération de fichiers actifs

Ces programmes ne sont pas gratuits, je ne fournirai donc pas de liens. Si vous le souhaitez vraiment, vous pouvez les trouver vous-même sur Internet.

L'ensemble du processus de récupération de fichiers est présenté en détail dans la vidéo à la toute fin de l'article.

Kaspersky, eset nod32 et d'autres dans la lutte contre le chiffreur Filecoder.ED

Les antivirus populaires détectent le ransomware CRYPTED000007 comme Codeur de fichiers.ED et puis il peut y avoir une autre désignation. J'ai parcouru les principaux forums antivirus et je n'y ai rien vu d'utile. Malheureusement, comme d’habitude, les logiciels antivirus se sont révélés mal préparés à l’invasion d’une nouvelle vague de ransomwares. Voici un message du forum Kaspersky.

Les antivirus ignorent généralement les nouvelles modifications des chevaux de Troie ransomware. Néanmoins, je recommande de les utiliser. Si vous avez de la chance et recevez un e-mail de ransomware non pas lors de la première vague d'infections, mais un peu plus tard, il est possible que l'antivirus vous aide. Ils travaillent tous à un pas derrière les attaquants. Une nouvelle version du ransomware est publiée, mais les antivirus n'y répondent pas. Dès qu'une certaine quantité de matériel de recherche sur un nouveau virus s'accumule, le logiciel antivirus publie une mise à jour et commence à y répondre.

Je ne comprends pas ce qui empêche les antivirus de répondre immédiatement à tout processus de cryptage du système. Il existe peut-être des nuances techniques à ce sujet qui ne nous permettent pas de réagir de manière adéquate et d'empêcher le cryptage des fichiers des utilisateurs. Il me semble qu'il serait possible d'afficher au moins un avertissement indiquant que quelqu'un crypte vos fichiers et de proposer d'arrêter le processus.

Où aller pour un décryptage garanti

Il m'est arrivé de rencontrer une entreprise qui décrypte les données après le travail de divers virus de cryptage, dont CRYPTED000007. Leur adresse est http://www.dr-shifro.ru. Paiement uniquement après décryptage complet et votre vérification. Voici un plan de travail approximatif :

1. Un spécialiste de l'entreprise se déplace à votre bureau ou à votre domicile et signe avec vous une convention qui précise le coût des travaux.
2. Lance le décrypteur et décrypte tous les fichiers.
3. Vous vous assurez que tous les dossiers sont ouverts et signez le certificat de livraison/réception des travaux terminés.
4. Le paiement est effectué uniquement en cas de résultats de décryptage réussis.

Je vais être honnête, je ne sais pas comment ils font, mais vous ne risquez rien. Paiement uniquement après démonstration du fonctionnement du décodeur. Veuillez rédiger un avis sur votre expérience avec cette entreprise.

Méthodes de protection contre le virus CRYPTED000007

Comment se protéger des ransomwares et éviter des dommages matériels et moraux ? Il existe quelques astuces simples et efficaces :

1. Sauvegarde! Copie de sauvegarde toutes les données importantes. Et pas seulement une sauvegarde, mais une sauvegarde pour laquelle il n'y a pas accès permanent. Sinon, le virus peut infecter à la fois vos documents et vos copies de sauvegarde.
2. Antivirus sous licence. Bien qu’ils n’offrent pas une garantie à 100 %, ils augmentent les chances d’éviter le cryptage. Le plus souvent, ils ne sont pas prêts pour les nouvelles versions du chiffreur, mais après 3 à 4 jours, ils commencent à réagir. Cela augmente vos chances d’éviter l’infection si vous n’avez pas été inclus dans la première vague de distribution d’une nouvelle modification du ransomware.
3. N'ouvrez pas les pièces jointes suspectes dans le courrier. Il n'y a rien à commenter ici. Tous les ransomwares que je connais ont atteint les utilisateurs par courrier électronique. De plus, à chaque fois de nouvelles astuces sont inventées pour tromper la victime.
4. N'ouvrez pas sans réfléchir les liens qui vous sont envoyés par vos amis via réseaux sociaux ou messagers. C’est aussi ainsi que les virus se propagent parfois.
5. Allumer affichage des fenêtres extensions de fichiers. Comment procéder est facile à trouver sur Internet. Cela vous permettra de remarquer l'extension du fichier sur le virus. Le plus souvent ce sera .exe, .vbs, .src. Dans votre travail quotidien avec des documents, il est peu probable que vous rencontriez de telles extensions de fichiers.

J'ai essayé de compléter ce que j'ai déjà écrit dans chaque article sur le virus ransomware. En attendant, je vous dis au revoir. Je serais heureux de recevoir des commentaires utiles sur l'article et sur le virus ransomware CRYPTED000007 en général.

Vidéo sur le décryptage et la récupération de fichiers

Voici un exemple d'une modification précédente du virus, mais la vidéo est tout à fait pertinente pour CRYPTED000007.

Outre Interfax, deux autres médias russes ont été touchés par le virus du cryptage, dont le journal de Saint-Pétersbourg Fontanka, comme le sait le groupe IB.

Le rédacteur en chef de Fontanka, Alexander Gorshkov, a déclaré à Vedomosti que les serveurs de Fontanka avaient été attaqués par des attaquants inconnus. Mais Gorshkov assure qu'il n'est pas question d'une attaque par un virus ransomware sur Fontanka : les ordinateurs de la rédaction fonctionnent, et le serveur chargé du fonctionnement du site a été piraté.

Les divisions d'Interfax au Royaume-Uni, en Azerbaïdjan, en Biélorussie et en Ukraine, ainsi que le site Internet Interfax-religion, continuent de fonctionner, a déclaré Pogorely à Vedomosti. On ne sait pas pourquoi les dégâts n'ont pas touché d'autres divisions ; cela est peut-être dû à la topologie du réseau Interfax, où sont géographiquement situés les serveurs, et système opérateur, qui est installé sur eux, dit-il.

Le journal ukrainien Interfax a fait état mardi après-midi d'une attaque de pirate informatique contre l'aéroport international d'Odessa. L'aéroport a présenté ses excuses aux passagers sur son site Internet « pour l'augmentation forcée du temps de service », mais à en juger par son tableau de bord en ligne, il a quand même continué à envoyer et à recevoir des avions mardi.

Le métro de Kiev a également signalé la cyberattaque sur son compte Facebook – il y a eu des problèmes pour payer les billets. cartes bancaires. Front News a rapporté que le métro avait été attaqué par un virus de cryptage.

Le Groupe-IB conclut à l'existence d'une nouvelle épidémie. Ces derniers mois, deux vagues d'attaques de ransomwares ont déjà déferlé sur le monde : le 12 mai, Virus WannaCry, et le 27 juin – Virus Petya(alias NotPetya et ExPetr). Ils ont pénétré des ordinateurs dotés de systèmes d'exploitation Système Windows, là où les mises à jour n'étaient pas installées, le contenu était crypté disques durs et a exigé 300 $ pour le décryptage. Il s’est avéré plus tard que Petya n’avait même pas pensé à décrypter les ordinateurs des victimes. La première attaque a touché des centaines de milliers d’ordinateurs dans plus de 150 pays, la seconde a touché 12 500 ordinateurs dans 65 pays. Les sociétés russes Megafon, Evraz, Gazprom et Rosneft ont également été victimes des attentats. Les centres médicaux In vitro ont également souffert du virus, car ils n’ont pas accepté les tests des patients pendant plusieurs jours.

Petya n'a réussi à collecter que 18 000 dollars en près d'un mois et demi, mais les dégâts ont été incomparablement plus importants. L'une des victimes, le géant danois de la logistique Moller-Maersk, a estimé la perte de revenus due à la cyberattaque entre 200 et 300 millions de dollars.

Parmi les divisions de Moller-Maersk, le coup principal est tombé sur Maersk Line, spécialisée dans le transport maritime de conteneurs (en 2016, Maersk Line a gagné un total de 20,7 milliards de dollars, la division emploie 31 900 personnes).

Les entreprises se sont rapidement remises de l’attaque, mais les entreprises et les régulateurs sont restés prudents. Ainsi, en août, la Federal Grid Company UES (qui gère le réseau panrusse) réseau électrique), et quelques jours plus tard, les banques russes ont reçu un avertissement similaire de la part du FinCERT (la structure de la Banque centrale chargée de la cybersécurité).

La nouvelle attaque du virus de cryptage a également été remarquée par Kaspersky Lab, selon lequel la plupart des victimes de l'attaque se trouvent en Russie, mais il y a des infections en Ukraine, en Turquie et en Allemagne. Tous les signes indiquent qu'il s'agit d'une attaque ciblée contre les réseaux d'entreprise, explique Vyacheslav Zakorzhevsky, chef du département de recherche antivirus de Kaspersky Lab : des méthodes similaires aux outils ExPetr sont utilisées, mais aucun lien avec ce virus ne peut être retracé.

Et selon la société antivirus Eset, le ransomware est toujours un parent de Petya. L'attaque a utilisé le malware Diskcoder.D, une nouvelle modification du chiffreur.

Pogorely a rapporté que les ordinateurs Interfax avaient Antivirus Symantec. Les représentants de Symantec n'ont pas répondu hier à la demande de Vedomosti.

Attaques de virus de cryptage, fuites d'outils de piratage des agences de renseignement américaines, tests de solidité des installations énergétiques, attaques contre les ICO et premier vol réussi d'argent dans une banque russe avec le système SWIFT - l'année 2017 a été pleine de mauvaises surprises. Tout le monde n’était pas prêt à les accueillir. Bien au contraire. La cybercriminalité devient de plus en plus rapide et de plus en plus répandue. Les hackers pro-gouvernementaux ne sont plus seulement des espions, ils volent de l’argent et commettent des cybersabotages.
Toute lutte contre les cybermenaces est toujours une compétition entre blindage et projectile. Et les événements de cette année ont montré que de nombreuses entreprises et même des États succombent aux cybercriminels. Parce qu’ils ne savent pas qui est l’ennemi, comment il agit et où attendre le prochain coup. La plupart des attaques doivent être évitées dès le stade de leur préparation grâce aux technologies d’alerte précoce de Threat Intelligence. Garder quelques longueurs d’avance sur les cybercriminels signifie économiser votre argent, vos informations et votre réputation.

Virus rançongiciels

Les plus répandues, tant en termes de propagation que de dégâts, en 2017 ont été les cyberattaques utilisant des virus ransomware. Derrière eux se trouvent des hackers pro-gouvernementaux. Souvenons-nous d'eux par leur nom.

Conséquences de l'attaque WonnaCry : supermarché Rost, Kharkov, Ukraine.

Lazarus (également connu sous le nom de Dark Seoul Gang) est le nom d'un groupe de hackers nord-coréens qui seraient à l'origine du Bureau 121, l'une des divisions de la Direction du renseignement de l'état-major général de l'APK (RPDC), chargée de mener des cyberattaques. opérations. Pendant de nombreuses années, les pirates informatiques du groupe nord-coréen Lazarus ont espionné les ennemis idéologiques du régime – agences gouvernementales et entreprises privées aux États-Unis et en Corée du Sud. Lazarus attaque désormais les banques et les institutions financières du monde entier : ils sont responsables d'une tentative de vol de près d'un milliard de dollars à la banque centrale du Bangladesh en février 2016, d'attaques contre des banques en Pologne, ainsi que d'employés de la Banque centrale de Russie. Fédération, la Banque centrale du Venezuela, la Banque centrale du Brésil, la Banque centrale du Chili et une tentative de retrait de 60 millions de dollars de la Far Eastern International Bank (voir section «Attaques ciblées contre les banques»). Fin 2017, des pirates nord-coréens ont été repérés lors d'attaques contre des services de cryptomonnaie et d'attaques utilisant des chevaux de Troie mobiles.

Tendance de l'année

Le 24 octobre, une cyberattaque à grande échelle utilisant le virus ransomware BadRabbit s'est produite en Ukraine et en Russie. Le virus a attaqué les ordinateurs et les serveurs du métro de Kiev, du ministère de l'Infrastructure et de l'aéroport international d'Odessa. Plusieurs victimes se sont également retrouvées en Russie : à la suite de l'attaque, les rédactions des médias fédéraux ont été endommagées et des tentatives d'infection des infrastructures bancaires ont également été enregistrées. Comme Group-IB l’a établi, le groupe Black Energy est à l’origine de l’attaque.

Attaques ciblées contre les banques

Les groupes criminels qui ont attaqué les banques russes au printemps et à l’été 2017 ont tourné leur attention vers d’autres pays et régions : les États-Unis, l’Europe, l’Amérique latine, l’Asie et le Moyen-Orient. À la fin de l’année, ils ont recommencé à travailler en Russie.

En 2017, les pirates informatiques pro-gouvernementaux ont changé leurs objectifs : ils ont commencé à mener des cybersabotages contre le secteur financier. Pour espionner ou voler de l'argent, les pirates tentent d'accéder à SWIFT, le traitement des cartes. Ce printemps, le groupe BlackEnergy a piraté un intégrateur en Ukraine et a accédé à un réseau de banques ukrainiennes. Quelques mois plus tard, l'épidémie de WannyCry et NotPetya a commencé, derrière laquelle se tenaient les groupes Lazarus et BlackEnergy.

Cependant, début octobre, lorsque l'équipe du Groupe-IB a remis son rapport annuel, nous étions pleins d'un optimisme prudent : les attaques ciblées contre les banques en Russie ont diminué de 33 %. Tous les groupes criminels qui ont attaqué les banques russes ont progressivement tourné leur attention vers d'autres pays et régions : les États-Unis, l'Europe, l'Amérique latine, l'Asie et le Moyen-Orient. La fin de l'année a gâché les statistiques : nous avons enregistré un certain nombre de cyberattaques contre des banques ; en décembre, la première attaque réussie contre une banque russe avec SWIFT a eu lieu, menée par le groupe Cobalt.

Attaques contre SWIFT

En octobre, la Banque internationale d'Extrême-Orient à Taiwan a été cambriolée. Ayant atteint le système de virements interbancaires internationaux (SWIFT), auquel la banque était connectée, les pirates ont pu retirer près de 60 millions de dollars sur des comptes au Sri Lanka, au Cambodge et aux États-Unis. Le groupe Lazarus serait à l’origine de l’attaque. En novembre, la plus grande banque non étatique du Népal, NIC Asia Bank, a été la cible de cybercriminels qui ont eu accès au système SWIFT et ont retiré 4,4 millions de dollars sur des comptes aux États-Unis, au Royaume-Uni, au Japon et à Singapour.

À la mi-décembre, on a appris qu'une attaque réussie contre une banque russe utilisant SWIFT ( système international transmission d’informations financières). Rappelons qu'auparavant en Russie, des attaques ciblées avaient lieu à l'aide de systèmes de traitement de cartes, de distributeurs automatiques de billets et de postes de travail automatisés du KBR (automatisé lieu de travail client de la Banque de Russie).

Le groupe Cobalt est probablement impliqué dans l'attaque. L'intrusion dans la banque s'est produite grâce à un malware distribué par le groupe aux banques il y a plusieurs semaines - ce type d'attaque est typique de Cobalt. Les médias ont rapporté que les criminels avaient tenté de voler environ 1 million de dollars, mais avaient réussi à en retirer environ 10 %. FinCERT, une division structurelle de la Banque centrale pour la sécurité de l'information, a désigné dans son rapport le groupe Cobalt comme la principale menace pour les établissements de crédit.

Selon Group-IB, le groupe a mené avec succès au moins 50 attaques contre des banques dans le monde : en Russie, Grande-Bretagne, Pays-Bas, Espagne, Roumanie, Biélorussie, Pologne, Estonie, Bulgarie, Géorgie, Moldavie, Kirghizistan, Arménie. , Taiwan et la Malaisie . Tout l'été et l'automne, ils ont attaqué des banques du monde entier, testé de nouveaux outils et systèmes, et à la fin de l'année, ils n'ont pas ralenti - presque chaque semaine, nous enregistrons leurs e-mails contenant des programmes malveillants.

L'incorporéité et les scripts malveillants constituent un nouveau principe (et désormais fondamental) des attaques. Les pirates tentent de ne pas être détectés et pour ce faire, ils utilisent des programmes « désincarnés » qui fonctionnent uniquement dans la RAM et sont détruits après un redémarrage. De plus, des scripts en PowerShell, VBS, PHP les aident à assurer la persistance (ancrage) dans le système, ainsi qu'à automatiser certaines étapes de l'attaque. On remarque également que les hackers n'attaquent pas les banques de front, mais par l'intermédiaire de partenaires de confiance - intégrateurs, sous-traitants. Ils attaquent les employés lorsqu'ils sont chez eux, vérifiant courrier personnel, réseau social

Tendance de l'année

Découverte de l'année : MoneyTaker

10 faits intéressantsÀ propos de MoneyTaker

• Leurs victimes étaient de petites banques – régionales en Russie, et des banques communautaires peu protégées aux États-Unis. Les pirates ont pénétré dans l'une des banques russes via ordinateur de famille administrateur du système.
• L'une des banques américaines a été piratée à deux reprises.
• Après avoir mené une attaque réussie, ils ont continué à espionner les employés de la banque en transmettant les lettres entrantes aux adresses Yandex et Mail.ru.
• Ce groupe détruisait toujours les traces après une attaque.
• Ils ont essayé de retirer de l'argent d'une banque russe via des distributeurs automatiques, mais cela n'a pas fonctionné ; peu de temps avant, la Banque centrale avait retiré la licence à leur propriétaire. Retrait d'argent via le lieu de travail automatisé du CBD.
• Non seulement de l’argent a été volé, mais également des documents internes, des instructions, des réglementations et des journaux de transactions. À en juger par les documents volés liés au travail de SWIFT, les pirates informatiques préparent des attaques contre des cibles en Amérique latine.
• Dans certains cas, les pirates ont modifié le code du programme à la volée, juste pendant l'attaque.
• Les pirates ont utilisé le fichier SLRSideChannelAttack.exe., qui a été rendu public par les chercheurs.
• MoneyTaker a utilisé des outils accessibles au public et a délibérément caché tout élément d'attribution, préférant rester dans l'ombre. Les programmes n'ont qu'un seul auteur - cela se voit aux erreurs typiques qui migrent d'un programme auto-écrit à un autre.

Fuites d'outils de piratage du renseignement

Les exploits issus des fuites de la NSA et de la CIA ont commencé à être activement utilisés pour mener des attaques ciblées. Ils sont déjà inclus dans les principaux outils permettant de réaliser des tests d'intrusion contre des pirates informatiques à motivation financière et pro-gouvernementaux.

WikiLeaks et Vault7

Tout au long de l'année, WikiLeaks a méthodiquement révélé les secrets de la CIA, en publiant des informations sur les outils de piratage des services de renseignement dans le cadre du projet Vault 7. L'un d'eux - CherryBlossom («Cherry Blossom») vous permet de suivre la localisation et l'activité Internet des utilisateurs connectés à routeur sans fil Wifi. De tels appareils sont largement utilisés dans les maisons, les bureaux, les restaurants, les bars, les hôtels, les aéroports et les agences gouvernementales. WikiLeaks a même révélé la technologie utilisée par la CIA pour espionner ses collègues du FBI, du DHS et de la NSA. Contrôle services techniques(OTS) de la CIA a développé le logiciel espion ExpressLane pour extraire secrètement des données du système de renseignement biométrique que la CIA distribue à ses homologues de la communauté du renseignement américain. Un peu plus tôt, WikiLeaks avait divulgué des informations sur le malware Pandemic, conçu pour pirater les ordinateurs avec dossiers partagés, et sur le programme ELSA, qui suit également la géolocalisation des appareils compatibles Wi-Fi et vous permet de suivre les habitudes des utilisateurs. Wikileaks a lancé la série de publications Vault-7 en février 2017. Les fuites contenaient des informations décrivant des vulnérabilités dans logiciel, échantillons malware et techniques attaques informatiques.

Outils de piratage provenant d'une autre source tout aussi populaire - Fuites de la NSA, publiés par le groupe Shadow Brokers, étaient non seulement très demandés, mais ont également été améliorés et affinés. Un script est apparu sur des forums clandestins pour automatiser la recherche de machines présentant des vulnérabilités du protocole SMB, basé sur des utilitaires des agences de renseignement américaines publiés par le groupe Shadow Brokers en avril de cette année. À la suite de la fuite, l'utilitaire fuzzbunch et l'exploit ETERNALBLUE se sont retrouvés dans accès libre, mais après modification, un produit entièrement fini permet aux attaquants d'attaquer plus facilement.

Rappelons que c'est le protocole SMB qui a été utilisé par le rançongiciel WannaCry pour infecter des centaines de milliers d'ordinateurs dans 150 pays. Il y a un mois, le créateur du moteur de recherche Shodan, John Matherly, a déclaré que 2 306 820 appareils dotés de ports ouverts pour l'accès via le protocole SMB avaient été trouvés sur Internet. 42 % (environ 970 000) d'entre eux offrent un accès invité, c'est-à-dire que toute personne utilisant le protocole SMB peut accéder aux données sans autorisation.

Cet été, le groupe Shadow Brokers a promis de publier chaque mois de nouveaux exploits pour ses abonnés, notamment concernant les routeurs, les navigateurs, les appareils mobiles, les données compromises des réseaux bancaires et SWIFT, des informations sur les programmes nucléaires et de missiles. Inspiré par cette attention, Shadow Brokers a augmenté le prix d'abonnement initial de 100 pièces Zcash (environ 30 000 $) à 200 pièces Zcash (environ 60 000 $). Le statut d'abonné VIP coûte 400 pièces Zcash et vous permet de recevoir des exploits personnalisés.

Attaques contre les infrastructures critiques

Le secteur de l’énergie est devenu un terrain d’essai pour la recherche de nouvelles cyber-armes. Le groupe criminel BlackEnergy continue d'attaquer les sociétés financières et énergétiques. Les outils à leur disposition leur permettent de contrôler à distance les unités terminales distantes (RTU), chargées de l'ouverture/fermeture physique du réseau électrique.

Le premier virus capable de désactiver un équipement était Stuxnet, utilisé par le groupe Equation (Five Eyes/Tilded Team). En 2010, le virus a pénétré dans le système de l'usine iranienne d'enrichissement d'uranium de Nathan et a infecté les contrôleurs Siemens SIMATIC S7 qui faisaient tourner les centrifugeuses avec de l'uranium à une fréquence de 1 000 tours par seconde. Stuxnet a accéléré les rotors de la centrifugeuse jusqu'à 1 400 tr/min, à tel point qu'ils ont commencé à vibrer et à s'effondrer. Sur les 5 000 centrifugeuses installées dans le hall, environ 1 000 étaient hors service. Le programme nucléaire iranien a reculé de quelques années.

Après cette attaque, le calme régna pendant plusieurs années. Il s'est avéré que pendant tout ce temps, les pirates cherchaient une opportunité d'influencer le système ICS et de le désactiver si nécessaire. Le groupe qui a progressé dans cette direction est Black Energy, également connu sous le nom de Sandworm.

Leur attaque test contre une sous-station ukrainienne à la fin de l’année dernière a montré ce qu’un nouvel ensemble d’outils, baptisé Industroyer ou CRASHOVERRIDE, peut faire. Lors de la conférence Black Hat, le logiciel Industroyer a été qualifié de « plus grande menace pour les systèmes de contrôle industriels depuis Stuxnet ». Par exemple, les outils BlackEnergy vous permettent de contrôler à distance les unités terminales distantes (RTU), qui sont responsables de l'ouverture/fermeture physique du réseau électrique. Armés de tels outils, les hackers peuvent en faire une redoutable cyber-arme qui leur permettra de laisser des villes entières sans eau ni lumière.

Les problèmes ne peuvent pas survenir uniquement en Ukraine : de nouvelles attaques contre les systèmes énergétiques ont été enregistrées au Royaume-Uni et en Irlande en juillet. Il n'y a eu aucune perturbation du réseau électrique, mais les experts estiment que des pirates informatiques pourraient avoir volé les mots de passe des systèmes de sécurité. Aux États-Unis, après l’envoi de courriels malveillants à des employés d’entreprises énergétiques, le FBI a mis en garde les entreprises contre d’éventuelles cyberattaques.

Attaques contre les ICO

Depuis longtemps, les banques et leurs clients sont la principale cible des cybercriminels. Mais ils ont désormais de puissants concurrents sous la forme d'ICO et de startups blockchain - tout ce qui touche aux crypto-monnaies attire l'attention des pirates.

ICO (Initial Coin Offer - la procédure de placement initial des jetons) est le rêve de tout hacker. Une attaque ultra-rapide et souvent assez simple contre les services de crypto-monnaie et les startups blockchain rapporte des millions de dollars de profit avec un risque minimal pour les criminels. Selon Chainalysis, les pirates ont réussi à voler 10 % de tous les fonds investis dans des projets ICO en 2017 sur Ethereum. Le préjudice total s'élève à près de 225 millions de dollars, et 30 000 investisseurs ont perdu en moyenne 7 500 dollars.

Nous avons analysé une centaine d'attaques contre des projets blockchain (bourses, échangeurs, portefeuilles, fonds) et sommes arrivés à la conclusion que l'essentiel des problèmes réside dans la vulnérabilité des crypto-services eux-mêmes qui utilisent la technologie blockchain. Dans le cas d'Ethereum, des problèmes ont été observés non pas avec la plateforme elle-même, mais avec les services de cryptographie : ils ont rencontré des vulnérabilités dans leurs propres contrats intelligents, des dégradations, des compromissions de comptes d'administrateur (Slack, Telegram), des sites de phishing copiant le contenu des sites Web. des entreprises entrant dans l’ICO.

Il existe plusieurs vulnérabilités :

• Sites de phishing - clones de la ressource officielle
• Vulnérabilités du site/application Web
• Attaques contre des employés de l'entreprise
• Attaques contre l'infrastructure informatique

On nous demande souvent à quoi faire attention, que vérifier en premier ? Il y a trois grands éléments auxquels il faut prêter attention : protéger les personnes, protéger les processus et protéger les infrastructures.

Voler de l'argent à l'aide de chevaux de Troie Android

Le marché des chevaux de Troie Android bancaires s'est avéré être le plus dynamique et le plus en croissance. Les dommages causés par les chevaux de Troie bancaires pour Android en Russie ont augmenté de 136 % (ils s'élèvent à 13,7 millions de dollars) et couvrent les dommages causés par les chevaux de Troie pour Android. Ordinateur personnel de 30%.

Nous avions prédit cette croissance l'année dernière, à mesure que les infections par logiciels malveillants deviendront de plus en plus indétectables et que les vols seront automatisés à l'aide de la méthode de remplissage automatique. Selon nos estimations, les dégâts causés par ce type d'attaque en Russie au cours de l'année écoulée se sont élevés à 13,7 millions de dollars.

Détention de membres du groupe criminel Cron

WannaCry, Petya, Mischa et autres virus ransomware ne vous menaceront pas si vous suivez des recommandations simples pour prévenir l'infection du PC !

La semaine dernière, l’Internet tout entier a été secoué par l’annonce d’un nouveau virus de chiffrement. Cela a provoqué une épidémie bien plus importante dans de nombreux pays du monde que le tristement célèbre WannaCry, dont la vague s'est produite en mai de cette année. Le nouveau virus porte de nombreux noms : Petya.A, ExPetr, NotPetya, GoldenEye, Trojan.Ransom.Petya, PetrWrap, DiskCoder.C, mais le plus souvent il apparaît simplement sous le nom de Petya.

Les attaques se poursuivent cette semaine. Même notre bureau a reçu une lettre astucieusement déguisée en mise à jour logicielle mythique ! Heureusement, personne n'a pensé à ouvrir l'archive envoyée sans moi :) Par conséquent, je voudrais consacrer l'article d'aujourd'hui à la question de savoir comment protéger votre ordinateur contre les virus ransomware et ne pas devenir victime de Petya ou d'un autre crypteur.

Que font les virus ransomwares ?

Les premiers virus ransomware sont apparus au début des années 2000. Beaucoup de ceux qui ont utilisé Internet au fil des années se souviennent probablement de Trojan.WinLock. Il bloquait le démarrage de l'ordinateur et, pour recevoir un code de déverrouillage, nécessitait le transfert d'un certain montant vers un portefeuille WebMoney ou un compte de téléphone mobile :

Les premiers bloqueurs de Windows étaient plutôt inoffensifs. Leur fenêtre avec le texte sur la nécessité de transférer des fonds dans un premier temps pourrait simplement être « clouée » via le gestionnaire de tâches. Puis sont apparues des versions plus complexes du cheval de Troie, qui apportaient des modifications au niveau du registre et même du MBR. Mais même cela pourrait être « guéri » si vous saviez quoi faire.

Les virus ransomware modernes sont devenus des choses très dangereuses. Ils bloquent non seulement le fonctionnement du système, mais chiffrent également le contenu du disque dur (y compris l'enregistrement de démarrage principal MBR). Pour déverrouiller le système et décrypter les fichiers, les attaquants facturent désormais des frais en BitCoins, équivalents à un montant de 200 à 1 000 dollars américains ! De plus, même si vous transférez les fonds convenus vers le portefeuille spécifié, cela ne garantit pas du tout que les pirates informatiques le feront. je vous envoie la clé de déverrouillage.

Le point important est qu'aujourd'hui, il n'existe pratiquement aucun moyen efficace de se débarrasser du virus et de récupérer vos fichiers. Par conséquent, à mon avis, il est préférable de ne pas se laisser prendre à toutes sortes d'astuces au départ et de protéger votre ordinateur de manière plus ou moins fiable contre les attaques potentielles.

Comment éviter d'être victime du virus

Les virus Ransomware se propagent généralement de deux manières. Le premier exploite divers Vulnérabilités techniques de Windows. Par exemple, WannaCry a utilisé l'exploit EternalBlue, qui permettait d'accéder à un ordinateur via le protocole SMB. Et le nouveau chiffreur Petya peut pénétrer dans le système via les ports TCP ouverts 1024-1035, 135 et 445. Une méthode d'infection plus courante est Hameçonnage. En termes simples, les utilisateurs eux-mêmes infectent leur PC en ouvrant des fichiers malveillants envoyés par mail !

Protection technique contre les virus de chiffrement

Bien que les infections directes par des virus ne soient pas si fréquentes, elles surviennent. Il est donc préférable de remédier de manière proactive aux failles de sécurité potentielles déjà connues. Tout d'abord, vous devez mettre à jour votre antivirus ou l'installer (par exemple, le logiciel gratuit 360 ​​Total Security fait un bon travail en reconnaissant les virus ransomware). Deuxièmement, vous devez installer Dernières mises à jour Les fenêtres.

Ainsi, pour éliminer un bug potentiellement dangereux dans le protocole SMB, Microsoft a publié des mises à jour extraordinaires pour tous les systèmes, à commencer par Windows XP. Vous pouvez les télécharger pour la version de votre système d'exploitation.

Pour vous protéger contre Petya, il est recommandé de fermer un certain nombre de ports sur votre ordinateur. Le moyen le plus simple de procéder consiste à utiliser la norme pare-feu. Ouvrez-le dans le Panneau de configuration et sélectionnez la section dans la barre latérale "Options supplémentaires" . La fenêtre de gestion des règles de filtrage s'ouvrira. Sélectionner "Règles pour les connexions entrantes" et sur le côté droit, cliquez "Créer une règle". Un assistant spécial s'ouvrira dans lequel vous devrez créer une règle "Pour le port", puis sélectionnez l'option "Ports locaux spécifiques" et écris ce qui suit : 1024-1035, 135, 445 :

Après avoir ajouté la liste des ports, définissez l'option sur l'écran suivant "Bloquer la connexion" pour tous les profils et spécifiez un nom (description facultative) pour la nouvelle règle. Si vous croyez aux recommandations sur Internet, cela empêchera le virus de télécharger les fichiers dont il a besoin même s'il pénètre sur votre ordinateur.

De plus, si vous résidez en Ukraine et utilisez le logiciel de comptabilité Me.Doc, vous pouvez installer des mises à jour contenant des portes dérobées. Ces portes dérobées ont été utilisées pour infecter des ordinateurs à grande échelle avec le virus Petya.A. Parmi celles analysées aujourd’hui, au moins trois mises à jour présentant des failles de sécurité sont connues :

• 10.01.175-10.01.176 du 14 avril ;
• 10.01.180-10.01.181 à partir du 15 mai ;
• 10.01.188-10.01.189 à partir du 22 juin.

Si vous avez installé ces mises à jour, vous courez un risque !

Protection contre le phishing

Comme nous l’avons déjà mentionné, le facteur humain reste responsable de la plupart des infections. Les pirates informatiques et les spammeurs ont lancé une campagne de phishing à grande échelle dans le monde entier. Dans ce cadre, des courriels ont été envoyés, prétendument en provenance d'organisations officielles, avec diverses pièces jointes présentées comme des factures, des mises à jour de logiciels ou d'autres données « importantes ». Il suffisait à l'utilisateur d'ouvrir un fichier malveillant déguisé et il a installé un virus sur l'ordinateur qui a crypté toutes les données !

Comment distinguer un e-mail de phishing d'un véritable e-mail. C'est assez facile à faire si vous suivez le bon sens et les recommandations suivantes :

1. De qui est la lettre? Tout d'abord, nous prêtons attention à l'expéditeur. Les hackers peuvent signer une lettre même avec le nom de votre grand-mère ! Cependant, il y a point important. Vous devez connaître l'e-mail de la « grand-mère », et l'adresse de l'expéditeur d'un e-mail de phishing sera, en règle générale, constituée d'un ensemble de caractères indéfini. Quelque chose comme: " [email protégé]". Et une autre nuance : le nom de l'expéditeur et son adresse, s'il s'agit d'une lettre officielle, sont généralement en corrélation. Par exemple, un e-mail d'une certaine société « Pupkin and Co » peut ressembler à " [email protégé]", mais il est peu probable qu'il ressemble à " [email protégé]" :)
2. De quoi parle la lettre? En règle générale, les e-mails de phishing contiennent une sorte d’appel à l’action ou une suggestion d’action dans la ligne d’objet. Dans ce cas, le corps de la lettre ne dit généralement rien ou fournit une motivation supplémentaire pour ouvrir les fichiers joints. Les mots « URGENT ! », « Facture de services » ou « Mise à jour critique » dans les lettres d'expéditeurs inconnus peuvent apparaître un exemple brillant qu'ils essaient de vous pirater. Pensez logiquement ! Si vous n'avez demandé aucune facture, mise à jour ou autre document à une entreprise en particulier, il y a 99 % de probabilité qu'il s'agisse d'un phishing...
3. Qu'y a-t-il dans la lettre ? L’élément principal d’un e-mail de phishing réside dans ses pièces jointes. Le type de pièce jointe le plus évident serait un fichier EXE contenant une fausse « mise à jour » ou « programme ». De tels investissements sont une contrefaçon assez grossière, mais ils existent.

   Des moyens plus « élégants » de tromper l’utilisateur consistent à déguiser le script qui télécharge le virus en Document Excel ou Word. Le masquage peut être de deux types. Dans la première option, le script lui-même est présenté comme un document bureautique et peut être reconnu par la « double » extension de nom, par exemple « Facture ». .xls.js" ou " Reprendre .doc.vbs". Dans le second cas, la pièce jointe peut être constituée de deux fichiers : vrai document et un fichier avec un script qui est appelé comme macro depuis le bureau Document Word ou Excel.

   Dans tous les cas, vous ne devez pas ouvrir de tels documents, même si « l’expéditeur » vous le demande fortement ! Même si soudain parmi vos clients il y a quelqu'un qui pourrait théoriquement vous envoyer une lettre avec un contenu similaire, mieux vaut prendre la peine de le contacter directement et savoir s'il vous a envoyé des documents. Dans ce cas, des mouvements corporels supplémentaires peuvent vous éviter des tracas inutiles !

Je pense que si vous comblez toutes les lacunes techniques de votre ordinateur et ne succombez pas aux provocations des spammeurs, alors vous n'aurez peur d'aucun virus !

Comment récupérer des fichiers après une infection

Et pourtant, vous avez réussi à infecter votre ordinateur avec un virus de chiffrement... N'ÉTEIGNEZ JAMAIS VOTRE PC APRÈS L'APPARITION DU MESSAGE DE CHIFFREMENT !!!

Le fait est qu'en raison d'un certain nombre d'erreurs dans le code des virus eux-mêmes, avant de redémarrer l'ordinateur, il est possible de supprimer de la mémoire la clé nécessaire pour décrypter les fichiers ! Par exemple, pour obtenir la clé de décryptage WannaCry, l'utilitaire wannakiwi convient. Hélas, pour récupérer des fichiers après l'attaque de Petya décisions similaires non, mais vous pouvez essayer de les extraire à partir de clichés instantanés de données (si vous avez activé l'option pour les créer sur une partition du disque dur) à l'aide du programme miniature ShadowExplorer :

Si vous avez déjà redémarré votre ordinateur ou si les conseils ci-dessus ne vous ont pas aidé, vous ne pouvez récupérer des fichiers qu'à l'aide de programmes de récupération de données. En règle générale, les virus de cryptage fonctionnent selon le schéma suivant : ils créent une copie cryptée d'un fichier et suppriment l'original sans l'écraser. Autrement dit, seule l'étiquette du fichier est réellement supprimée et les données elles-mêmes sont enregistrées et peuvent être restaurées. Il existe deux programmes sur notre site Internet : il est plus adapté à la réanimation de fichiers multimédias et de photos, tandis que R.Saver s'adapte bien aux documents et archives.

Naturellement, vous devez supprimer le virus lui-même du système. Si Windows démarre, Malwarebytes Anti-Malware est un bon outil pour cela. Si un virus a bloqué le téléchargement, le disque de démarrage Dr.Web LiveCD avec un utilitaire éprouvé pour lutter contre divers logiciels malveillants Dr.Web CureIt intégré vous aidera. Dans ce dernier cas, vous devrez également commencer à restaurer le MBR. Étant donné que le LiveCD de Dr.Web est basé sur Linux, je pense que les instructions de Habr sur ce sujet vous seront utiles.

conclusions

Le problème des virus sous Windows est d'actualité depuis de nombreuses années. Et chaque année, nous constatons que les auteurs de virus inventent des méthodes de plus en plus sophistiquées pour endommager les ordinateurs des utilisateurs. Les dernières épidémies de virus de chiffrement nous montrent que les attaquants se tournent progressivement vers l'extorsion active !

Malheureusement, même si vous payez, il est peu probable que vous receviez une réponse. Très probablement, vous devrez restaurer vos données vous-même. Il vaut donc mieux être vigilant à temps et prévenir l'infection que de passer longtemps à essayer d'éliminer ses conséquences !

P.S. L'autorisation est accordée de copier et de citer librement cet article, à condition qu'un lien actif ouvert vers la source soit indiqué et que la paternité de Ruslan Tertyshny soit préservée.