S'il apparaît sur votre ordinateur message texte, qui indique que vos fichiers sont cryptés, alors ne paniquez pas. Quels sont les symptômes du cryptage de fichiers ? L'extension habituelle devient *.vault, *.xtbl, * [email protégé] _XO101, etc. Les fichiers ne peuvent pas être ouverts - une clé est requise, qui peut être achetée en envoyant une lettre à l'adresse indiquée dans le message.
D'où avez-vous obtenu les fichiers cryptés ?
L'ordinateur a attrapé un virus qui a bloqué l'accès aux informations. Les programmes antivirus les oublient souvent, car ce programme est généralement basé sur des logiciels inoffensifs. utilitaire gratuit chiffrement. Vous supprimerez le virus lui-même assez rapidement, mais de graves problèmes peuvent survenir lors du décryptage des informations.
Le support technique de Kaspersky Lab, Dr.Web et d'autres sociétés bien connues développant des logiciels antivirus, en réponse aux demandes des utilisateurs pour décrypter les données, rapporte qu'il est impossible de le faire dans un délai acceptable. Il existe plusieurs programmes capables de récupérer le code, mais ils ne peuvent fonctionner qu'avec des virus préalablement étudiés. Si vous rencontrez une nouvelle modification, les chances de restaurer l'accès aux informations sont extrêmement faibles.
Comment un virus ransomware pénètre-t-il dans un ordinateur ?
Dans 90% des cas, les utilisateurs activent eux-mêmes le virus sur leur ordinateur, ouvrant des lettres inconnues. Ensuite, un message est envoyé par e-mail avec un sujet provocateur - "Citation à comparaître", "Dette du prêt", "Notification du bureau des impôts", etc. À l'intérieur de la fausse lettre se trouve une pièce jointe, après téléchargement, le ransomware pénètre dans l'ordinateur et commence à bloquer progressivement l'accès aux fichiers.
Le cryptage ne se produit pas instantanément, les utilisateurs ont donc le temps de supprimer le virus avant que toutes les informations ne soient cryptées. Vous pouvez détruire un script malveillant à l'aide des utilitaires de nettoyage Dr.Web CureIt, Kaspersky Internet Security et Malwarebytes Antimalware.
Méthodes de récupération de fichiers
Si la protection du système a été activée sur votre ordinateur, même après l'effet d'un virus ransomware, il est possible de ramener les fichiers à leur état normal à l'aide de clichés instantanés de fichiers. Les ransomwares tentent généralement de les supprimer, mais parfois ils n’y parviennent pas en raison du manque de droits d’administrateur.
Restaurer une version précédente :
Pour que les versions précédentes soient enregistrées, vous devez activer la protection du système.
Important : la protection du système doit être activée avant l'apparition du ransomware, après quoi elle ne sera plus utile.
- Ouvrez les propriétés de l'ordinateur.
- Dans le menu de gauche, sélectionnez Protection du système.
- Sélectionnez le lecteur C et cliquez sur "Configurer".
- Choisissez de restaurer les paramètres et les versions précédentes des fichiers. Appliquez les modifications en cliquant sur "Ok".
Si vous avez suivi ces étapes avant l'apparition d'un virus de cryptage de fichiers, après avoir nettoyé votre ordinateur code malicieux vous aurez de bonnes chances de récupérer vos informations.
Utiliser des utilitaires spéciaux
Kaspersky Lab a préparé plusieurs utilitaires pour vous aider à ouvrir les fichiers cryptés après avoir supprimé le virus. Le premier décrypteur que vous devriez essayer est Kaspersky RectorDecryptor.
- Téléchargez le programme sur le site officiel de Kaspersky Lab.
- Ensuite, exécutez l'utilitaire et cliquez sur « Démarrer l'analyse ». Spécifiez le chemin d'accès à n'importe quel fichier crypté.
Si le programme malveillant n'a pas modifié l'extension des fichiers, pour les décrypter, vous devez les collecter dans un dossier séparé. Si l'utilitaire est RectorDecryptor, téléchargez deux autres programmes sur le site officiel de Kaspersky : XoristDecryptor et RakhniDecryptor. 
Le dernier utilitaire de Kaspersky Lab s'appelle Ransomware Decryptor. Il permet de décrypter les fichiers après le virus CoinVault, qui n'est pas encore très répandu sur RuNet, mais qui pourrait bientôt remplacer d'autres chevaux de Troie.
Depuis des décennies, les cybercriminels exploitent avec succès les failles et les vulnérabilités de World Wide Web. Cependant, ces dernières années, on a assisté à une nette augmentation du nombre d'attaques, ainsi qu'à une augmentation de leur niveau : les attaquants sont de plus en plus dangereux et les logiciels malveillants se propagent à un rythme jamais vu auparavant.
Introduction
Nous parlons des ransomwares, qui ont fait un bond incroyable en 2017, causant des dommages à des milliers d’organisations à travers le monde. Par exemple, en Australie, les attaques de ransomwares telles que WannaCry et NotPetya ont même suscité des inquiétudes au niveau gouvernemental.
Pour résumer les « succès » des ransomwares cette année, nous examinerons les 10 plus dangereux qui ont causé le plus de dégâts aux organisations. Espérons que l'année prochaine nous tirerons les leçons et éviterons que ce type de problème n'entre dans nos réseaux.
PasPetya
Cette attaque de ransomware a commencé avec Programme ukrainien États financiers M.E.Doc, qui a remplacé 1C, interdit en Ukraine. En quelques jours seulement, NotPetya a infecté des centaines de milliers d’ordinateurs dans plus de 100 pays. Ce malware est une variante de l'ancien ransomware Petya, la seule différence étant que les attaques NotPetya utilisaient le même exploit que les attaques WannaCry.
La propagation de NotPetya a touché plusieurs organisations en Australie, comme la chocolaterie Cadbury en Tasmanie, qui a dû temporairement fermer l'ensemble de son système informatique. Ce ransomware a également réussi à infiltrer le plus grand porte-conteneurs du monde, appartenant à l'entreprise Maersk, qui aurait perdu jusqu'à 300 millions de dollars de revenus.
Vouloir pleurer
Ce ransomware, terrible par son ampleur, a pratiquement conquis le monde entier. Ses attaques ont utilisé le fameux exploit EternalBlue, qui exploite une vulnérabilité du protocole. Serveur Microsoft Bloc de messages (SMB).
WannaCry a infecté des victimes dans 150 pays et plus de 200 000 machines dès le premier jour. Nous avons publié ce malware sensationnel.
Verrouillage
Locky était le ransomware le plus populaire en 2016, mais il est resté actif en 2017. De nouvelles variantes de Locky, baptisées Diablo et Lukitus, sont apparues cette année en utilisant le même vecteur d'attaque (phishing) pour lancer des exploits.
C'est Locky qui était à l'origine du scandale de fraude par courrier électronique à Australia Post. Selon la Commission australienne de la concurrence et de la consommation, les citoyens ont perdu plus de 80 000 dollars à cause de cette arnaque.
CrySis
Cette instance se distinguait par son utilisation magistrale du protocole RDP (Remote Desktop Protocol). RDP est l’une des méthodes les plus populaires de distribution de ransomwares, car elle permet aux cybercriminels de compromettre les machines qui contrôlent des organisations entières.
Les victimes de CrySis ont été contraintes de payer entre 455 et 1 022 dollars pour récupérer leurs fichiers.
Némucod
Nemucod est distribué à l'aide d'un e-mail de phishing qui ressemble à une facture de services de transport. Ce ransomware télécharge des fichiers malveillants stockés sur des sites Web piratés.
En termes d'utilisation d'e-mails de phishing, Nemucod est juste derrière Locky.
Jaffa
Jaff est similaire à Locky et utilise des techniques similaires. Ce ransomware ne se distingue pas par ses méthodes originales de diffusion ou de cryptage de fichiers, mais au contraire, il regroupe les pratiques les plus performantes.
Les attaquants à l’origine de cette opération ont exigé jusqu’à 3 700 dollars pour accéder aux fichiers cryptés.
Spora
Pour diffuser ce type de ransomware, les cybercriminels piratent des sites Web légitimes en y ajoutant du code JavaScript. Les utilisateurs qui accèdent à un tel site verront un avertissement contextuel les invitant à mettre à jour. Navigateur Chrome pour continuer à naviguer sur le site. Après avoir téléchargé le Chrome Font Pack, les utilisateurs ont été infectés par Spora.
Cerbère
L'un des nombreux vecteurs d'attaque utilisés par Cerber s'appelle RaaS (Ransomware-as-a-Service). Selon ce schéma, les attaquants proposent de payer pour la distribution du cheval de Troie, en promettant un pourcentage de l'argent reçu. Grâce à ce « service », les cybercriminels envoient des ransomwares et fournissent ensuite à d’autres attaquants les outils nécessaires pour les diffuser.
Cryptomix
Il s’agit de l’un des rares ransomwares à ne pas disposer d’un type spécifique de portail de paiement disponible sur le dark web. Les utilisateurs concernés doivent attendre que les cybercriminels leur envoient des instructions par courrier électronique.
Des utilisateurs de 29 pays ont été victimes de Cryptomix ; ils ont été contraints de payer jusqu'à 3 000 $.
Scie sauteuse
Un autre malware de la liste qui a commencé son activité en 2016. Jigsaw insère une image du clown de la série de films Saw dans les courriers indésirables. Dès que l’utilisateur clique sur l’image, le ransomware non seulement crypte, mais supprime également les fichiers si l’utilisateur paie trop tard la rançon de 150 $.
conclusions
Comme nous le constatons, les menaces modernes utilisent des exploits de plus en plus sophistiqués contre des réseaux bien protégés. Même si une sensibilisation accrue des employés peut aider à gérer l’impact des infections, les entreprises doivent aller au-delà des normes de base en matière de cybersécurité pour se protéger. Se défendre contre les menaces actuelles nécessite des approches proactives qui exploitent des analyses en temps réel alimentées par un moteur d'apprentissage qui inclut la compréhension du comportement et du contexte des menaces.
Une vague d'un nouveau virus de cryptage, WannaCry (autres noms Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), a déferlé sur le monde, qui crypte les documents sur un ordinateur et extorque 300 à 600 USD pour les décoder. Comment savoir si votre ordinateur est infecté ? Que faire pour éviter de devenir une victime ? Et que faire pour récupérer ?
Votre ordinateur est-il infecté par le virus ransomware Wana Decryptor ?
Après avoir installé les mises à jour, vous devrez redémarrer votre ordinateur - le virus ransomware ne vous pénétrera plus.
Comment se remettre du virus ransomware Wana Decrypt0r ?
Lorsque l'utilitaire antivirus détecte un virus, il le supprime immédiatement ou vous demande si vous devez le traiter ou non ? La réponse est de traiter.
Comment récupérer des fichiers cryptés par Wana Decryptor ?
Rien de réconfortant ce moment nous ne pouvons pas le dire. Aucun outil de décryptage de fichiers n'a encore été créé. Il ne reste plus qu'à attendre que le décrypteur soit développé.
Selon Brian Krebs, expert en sécurité informatique, les criminels n'ont reçu que 26 000 dollars à l'heure actuelle, c'est-à-dire que seulement 58 personnes environ ont accepté de payer la rançon aux extorqueurs. Personne ne sait s'ils ont restauré leurs documents.
Navigation des articles
Dernières actualités de la rubrique
Un rapport publié la semaine dernière par le Groupe d'experts intergouvernemental sur l'évolution du climat contient des informations décevantes pour les gourmets. Si les scientifiques soutenus par les jeunes...
Des scientifiques de Moscou Université d'État(MSU du nom de M.V. Lomonossov) sous la direction de la directrice de l'Institut de cardiologie expérimentale, Centre national de recherche médicale en cardiologie, Elena Parfyonova, en collaboration avec l'Institution budgétaire de l'État fédéral, le Centre national de recherche médicale en cardiologie et l'Université...
Populaire cette semaine
Le système de qualité russe (Roskachestvo) a mené une étude sur un autre groupe de produits et a établi une évaluation de l'eau en bouteille. A cet effet, les spécialistes de l'organisation ont acheté environ 60 échantillons d'eau plate...
Le comportement des acheteurs sur le marché immobilier de Moscou a impressionné les spécialistes de la société Inkom-Real Estate, qui ont partagé avec E-Vesti les résultats de leur étude sur la demande sur le marché secondaire du logement. Juillet 2019...
est un programme malveillant qui, lorsqu'il est activé, crypte tous les fichiers personnels, tels que les documents, photos, etc. Quantité programmes similaires très grande et elle augmente chaque jour. Ce n'est que récemment que nous avons rencontré des dizaines de variantes de ransomwares : CryptoLocker, Crypt0l0cker, Alpha Crypt, TeslaCrypt, CoinVault, Bit Crypt, CTB-Locker, TorrentLocker, HydraCrypt, better_call_saul, crittt, .da_vinci_code, toste, fff, etc. Le but de ces virus de cryptage est de forcer les utilisateurs à acheter, souvent pour une grosse somme d'argent, le programme et la clé nécessaires pour décrypter leurs propres fichiers.
Bien entendu, vous pouvez restaurer les fichiers cryptés simplement en suivant les instructions que les créateurs du virus laissent sur l'ordinateur infecté. Mais le plus souvent, le coût du décryptage est très important, et il faut également savoir que certains virus ransomware chiffrent les fichiers de telle manière qu'il est tout simplement impossible de les décrypter par la suite. Et bien sûr, c'est tout simplement ennuyeux de payer pour restaurer ses propres fichiers.
Ci-dessous, nous parlerons plus en détail des virus de cryptage, de la manière dont ils pénètrent dans l’ordinateur de la victime, ainsi que de la manière de supprimer le virus de cryptage et de restaurer les fichiers cryptés par celui-ci.
Comment un virus ransomware pénètre-t-il dans un ordinateur ?
Un virus ransomware se propage généralement via E-mail. La lettre contient des documents infectés. Ces lettres sont envoyées à une énorme base de données d’adresses e-mail. Les auteurs de ce virus utilisent des en-têtes et des contenus de lettres trompeurs, essayant d'inciter l'utilisateur à ouvrir un document joint à la lettre. Certaines lettres informent de la nécessité de payer une facture, d'autres proposent de consulter la dernière liste de prix, d'autres proposent d'ouvrir une photo amusante, etc. Dans tous les cas, l’ouverture du fichier joint entraînera l’infection de votre ordinateur par un virus de cryptage.
Qu'est-ce qu'un virus ransomware ?
Un virus ransomware est un programme malveillant qui affecte les versions modernes de systèmes d'exploitation Famille Windows, comme Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10. Ces virus tentent d'utiliser les modes de cryptage les plus puissants possibles, par exemple RSA-2048 avec une longueur de clé de 2048 bits, ce qui élimine pratiquement la possibilité de sélectionner un clé pour décrypter les fichiers vous-même.
Lors de l'infection d'un ordinateur, le virus ransomware utilise le répertoire système %APPDATA% pour stocker ses propres fichiers. Pour démarrage automatique lui-même lorsque vous allumez l'ordinateur, le ransomware crée une entrée dans Registre Windows: sections HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, HKCU\Software\Microsoft\Windows\CurrentVersion\Run, HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce.
Immédiatement après le lancement, le virus analyse tout lecteurs disponibles, y compris le réseau et stockage en ligne, pour déterminer quels fichiers seront chiffrés. Un virus ransomware utilise une extension de nom de fichier pour identifier un groupe de fichiers qui seront cryptés. Presque tous les types de fichiers sont cryptés, y compris les plus courants tels que :
0, .1, .1st, .2bp, .3dm, .3ds, .sql, .mp4, .7z, .rar, .m4a, .wma, .avi, .wmv, .csv, .d3dbsp, .zip, .sie, .sum, .ibank, .t13, .t12, .qdf, .gdb, .tax, .pkpass, .bc6, .bc7, .bkp, .qic, .bkf, .sidn, .sidd, .mddata , .itl, .itdb, .icxs, .hvpl, .hplg, .hkdb, .mdbackup, .syncdb, .gho, .cas, .svg, .map, .wmo, .itm, .sb, .fos, . mov, .vdf, .ztmp, .sis, .sid, .ncf, .menu, .layout, .dmp, .blob, .esm, .vcf, .vtf, .dazip, .fpk, .mlx, .kf, .iwd, .vpk, .tor, .psk, .rim, .w3x, .fsh, .ntl, .arch00, .lvl, .snx, .cfr, .ff, .vpp_pc, .lrf, .m2, .mcmeta , .vfs0, .mpqge, .kdb, .db0, .dba, .rofl, .hkx, .bar, .upk, .das, .iwi, .litemod, .asset, .forge, .ltx, .bsa, . apk, .re4, .sav, .lbf, .slm, .bik, .epk, .rgss3a, .pak, .big, portefeuille, .wotreplay, .xxx, .desc, .py, .m3u, .flv, . js, .css, .rb, .png, .jpeg, .txt, .p7c, .p7b, .p12, .pfx, .pem, .crt, .cer, .der, .x3f, .srw, .pef, .ptx, .r3d, .rw2, .rwl, .raw, .raf, .orf, .nrw, .mrwref, .mef, .erf, .kdc, .dcr, .cr2, .crw, .bay, .sr2 , .srf, .arw, .3fr, .dng, .jpe, .jpg, .cdr, .indd, .ai, .eps, .pdf, .pdd, .psd, .dbf, .mdf, .wb2, . rtf, .wpd, .dxg, .xf, .dwg, .pst, .accdb, .mdb, .pptm, .pptx, .ppt, .xlk, .xlsb, .xlsm, .xlsx, .xls, .wps, .docm, .docx, .doc, .odb, .odc, .odm, .odp, .ods, .odt, .wav, .wbc, .wbd, .wbk, .wbm, .wbmp, .wbz, .wcf , .wdb, .wdp, .webdoc, .webp, .wgz, .wire, .wm, .wma, .wmd, .wmf, .wmv, .wn, .wot, .wp, .wp4, .wp5, . wp6, .wp7, .wpa, .wpb, .wpd, .wpe, .wpg, .wpl, .wps, .wpt, .wpw, .wri, .ws, .wsc, .wsd, .wsh, .x, .x3d, .x3f, .xar, .xbdoc, .xbplate, .xdb, .xdl, .xld, .xlgc, .xll, .xls, .xlsm, .xlsx, .xmind, .xml, .xmmap, .xpm , .xwp, .xx, .xy3, .xyp, .xyw, .y, .yal, .ybk, .yml, .ysp, .z, .z3d, .zabw, .zdb, .zdc, .zi, . zif, .zip, .zw
Immédiatement après le chiffrement du fichier, il reçoit une nouvelle extension, qui peut souvent être utilisée pour identifier le nom ou le type du ransomware. Certains types de ces logiciels malveillants peuvent également modifier les noms des fichiers cryptés. Le virus crée alors document texte avec des noms comme HELP_YOUR_FILES, README, qui contient des instructions pour décrypter les fichiers cryptés.
Au cours de son fonctionnement, le virus de cryptage tente de bloquer la possibilité de restaurer des fichiers à l'aide du système SVC (shadow copy of files). Pour ce faire, le virus en mode commande appelle l'utilitaire d'administration des clichés instantanés de fichiers avec une clé qui démarre la procédure suppression complète. Ainsi, il est presque toujours impossible de restaurer des fichiers en utilisant leurs clichés instantanés.
Le virus ransomware utilise activement des tactiques d'intimidation en donnant à la victime un lien vers une description de l'algorithme de cryptage et en affichant un message menaçant sur le bureau. Il tente ainsi de forcer l’utilisateur de l’ordinateur infecté, sans hésitation, à envoyer l’identifiant de l’ordinateur à l’adresse email de l’auteur du virus afin de tenter de récupérer ses fichiers. La réponse à un tel message est le plus souvent le montant de la rançon et l’adresse du portefeuille électronique.
Mon ordinateur est-il infecté par un virus ransomware ?
Il est assez simple de déterminer si un ordinateur est infecté ou non par un virus de cryptage. Faites attention aux extensions de vos fichiers personnels, comme les documents, photos, musiques, etc. Si l'extension a changé ou si vos fichiers personnels ont disparu, laissant derrière eux de nombreux fichiers aux noms inconnus, alors votre ordinateur est infecté. De plus, un signe d'infection est la présence d'un fichier nommé HELP_YOUR_FILES ou README dans vos répertoires. Ce fichier contiendra des instructions pour décrypter les fichiers.
Si vous pensez avoir ouvert un e-mail infecté par un virus ransomware, mais que vous ne présentez encore aucun symptôme d'infection, n'éteignez pas et ne redémarrez pas votre ordinateur. Suivez les étapes décrites dans la section de ce manuel. Je le répète encore une fois, il est très important de ne pas éteindre l'ordinateur ; dans certains types de ransomwares, le processus de cryptage des fichiers est activé la première fois que vous allumez l'ordinateur après l'infection !
Comment décrypter des fichiers cryptés avec un virus ransomware ?
Si cette catastrophe se produit, il n’y a pas lieu de paniquer ! Mais il faut savoir que dans la plupart des cas, il n’existe pas de décrypteur gratuit. Cela est dû aux algorithmes de cryptage puissants utilisés par ces malware. Cela signifie que sans clé privée, il est presque impossible de décrypter les fichiers. L'utilisation de la méthode de sélection de clé n'est pas non plus une option, en raison de la grande longueur de la clé. Par conséquent, malheureusement, payer uniquement aux auteurs du virus la totalité du montant demandé est le seul moyen d’essayer d’obtenir la clé de décryptage.
Bien entendu, rien ne garantit qu’après le paiement, les auteurs du virus vous contacteront et vous fourniront la clé nécessaire pour décrypter vos fichiers. De plus, vous devez comprendre qu'en payant de l'argent aux développeurs de virus, vous les encouragez vous-même à créer de nouveaux virus.
Comment supprimer un virus ransomware ?
Avant de commencer, vous devez savoir que lorsque vous commencez à supprimer un virus et à essayer de auto-récupération fichiers, vous bloquez la possibilité de décrypter les fichiers en payant aux auteurs du virus le montant qu’ils ont demandé.
Outil de suppression de virus Kaspersky et Malwarebytes Anti-Malware peut détecter différents types virus ransomware actifs et les supprimera facilement de votre ordinateur, MAIS ils ne peuvent pas restaurer les fichiers cryptés.
5.1. Supprimez les ransomwares à l'aide de Kaspersky Virus Removal Tool
Par défaut, le programme est configuré pour récupérer tous les types de fichiers, mais pour accélérer le travail, il est recommandé de ne laisser que les types de fichiers dont vous avez besoin pour récupérer. Lorsque vous avez terminé votre sélection, cliquez sur OK.
Au bas de la fenêtre du programme QPhotoRec, recherchez le bouton Parcourir et cliquez dessus. Vous devez sélectionner le répertoire dans lequel les fichiers récupérés seront enregistrés. Il est conseillé d'utiliser un disque qui ne contient pas de fichiers cryptés nécessitant une récupération (vous pouvez utiliser un lecteur flash ou un lecteur externe).
Pour lancer la procédure de recherche et de restauration des copies originales des fichiers cryptés, cliquez sur le bouton Rechercher. Ce processus prend beaucoup de temps, alors soyez patient.
Une fois la recherche terminée, cliquez sur le bouton Quitter. Ouvrez maintenant le dossier que vous avez choisi pour enregistrer les fichiers récupérés.
Le dossier contiendra des répertoires nommés recup_dir.1, recup_dir.2, recup_dir.3, etc. Comment plus de fichiers seront trouvés par le programme, plus il y aura de catalogues. Pour trouver les fichiers dont vous avez besoin, vérifiez tous les répertoires un par un. Pour faciliter la recherche du fichier dont vous avez besoin parmi un grand nombre de fichiers récupérés, utilisez le système intégré Recherche Windows(par contenu du fichier), et n'oubliez pas non plus la fonction de tri des fichiers dans les répertoires. Vous pouvez sélectionner la date à laquelle le fichier a été modifié comme option de tri, car QPhotoRec tente de restaurer cette propriété lors de la restauration d'un fichier.
Comment empêcher un virus ransomware d’infecter votre ordinateur ?
La plupart des programmes antivirus modernes disposent déjà d'un système de protection intégré contre la pénétration et l'activation de virus de cryptage. Par conséquent, si votre ordinateur ne dispose pas programme antivirus, alors assurez-vous de l'installer. Vous pouvez découvrir comment le choisir en lisant ceci.
De plus, il existe des programmes de protection spécialisés. Par exemple, voici CryptoPrevent, plus de détails.
Quelques derniers mots
En suivant ces instructions, votre ordinateur sera débarrassé du virus ransomware. Si vous avez des questions ou avez besoin d'aide, veuillez nous contacter.
Il poursuit sa progression oppressive sur Internet, infectant les ordinateurs et cryptant des données importantes. Comment vous protéger contre les ransomwares, protéger Windows contre les ransomwares - des correctifs ont-ils été publiés pour décrypter et désinfecter les fichiers ?
Nouveau virus ransomware 2017 Wanna Cry continue d’infecter les PC d’entreprise et privés. U Les dégâts causés par une attaque virale s'élèvent à 1 milliard de dollars. En 2 semaines, le virus ransomware a infecté au moins 300 mille ordinateurs, malgré les avertissements et les mesures de sécurité.
Virus Ransomware 2017, qu’est-ce que c’est ?- en règle générale, vous pouvez « récupérer » sur les sites apparemment les plus inoffensifs, par exemple les serveurs bancaires avec accès utilisateur. Une fois sur Disque dur victimes, le ransomware « s’installe » dossier système Système32. À partir de là, le programme désactive immédiatement l'antivirus et va dans "Autorun"" Après chaque redémarrage, un ransomware court dans le registre, commençant son sale boulot. Le ransomware commence à télécharger des copies similaires de programmes comme Ransom et Trojan. Cela arrive aussi souvent auto-réplication du ransomware. Ce processus peut être momentané ou prendre des semaines avant que la victime ne remarque que quelque chose ne va pas.
Le ransomware se déguise souvent en images ordinaires, fichiers texte , mais l'essence est toujours la même - il s'agit d'un fichier exécutable avec l'extension .exe, .drv, .xvd; Parfois - bibliothèques.dll. Le plus souvent, le fichier porte un nom totalement anodin, par exemple « document. doc", ou " image.jpg", où l'extension est écrite manuellement, et le vrai type de fichier est masqué.
Une fois le cryptage terminé, l'utilisateur voit, au lieu des fichiers familiers, un ensemble de caractères « aléatoires » dans le nom et à l'intérieur, et l'extension devient une extension jusqu'alors inconnue - .NO_MORE_RANSOM, .xdata et d'autres.
Virus ransomware Wanna Cry 2017 – comment vous protéger. Je voudrais immédiatement noter que Wanna Cry est plutôt un terme collectif désignant tous les virus de cryptage et de ransomware, car récemment, il a infecté le plus souvent les ordinateurs. Alors, nous parlerons de Protégez-vous des ransomwares Ransom Ware, qui sont très nombreux : Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry.
Comment protéger Windows contre les ransomwares. – EternalBlue via le protocole de port SMB.
Protéger Windows contre les ransomwares 2017 – règles de base :
- Mise à jour Windows, transition rapide vers un système d'exploitation sous licence (remarque : la version XP n'est pas mise à jour)
- mise à jour des bases antivirus et des pare-feu à la demande
- une extrême prudence lors du téléchargement de fichiers (de jolis « sceaux » peuvent entraîner la perte de toutes les données)
- sauvegarde une information important sur un support amovible.
Virus Ransomware 2017 : comment désinfecter et décrypter les fichiers.
En vous appuyant sur un logiciel antivirus, vous pouvez oublier le décrypteur pendant un moment. Dans les laboratoires Kaspersky, Dr. Web, Avast! et d'autres antivirus pour l'instant aucune solution pour traiter les fichiers infectés n'a été trouvée. À l'heure actuelle, il est possible de supprimer le virus à l'aide d'un antivirus, mais il n'existe pas encore d'algorithmes permettant de tout ramener « à la normale ».
Certains essaient d'utiliser des décrypteurs comme l'utilitaire RectorDecryptor, mais cela n'aidera pas : un algorithme pour décrypter les nouveaux virus n'a pas encore été compilé. On ne sait absolument pas non plus comment le virus se comportera s'il n'est pas supprimé après l'utilisation de tels programmes. Souvent, cela peut entraîner l'effacement de tous les fichiers - pour avertir ceux qui ne veulent pas payer les attaquants, les auteurs du virus.
Pour le moment le plus façon efficace récupérer les données perdues signifie contacter le support technique. l'assistance du fournisseur du programme antivirus que vous utilisez. Pour ce faire, envoyez un courrier ou utilisez le formulaire pour retour sur le site du fabricant. Assurez-vous d'ajouter le fichier crypté et, si disponible, une copie de l'original à la pièce jointe. Cela aidera les programmeurs à composer l'algorithme. Malheureusement, pour beaucoup, une attaque de virus est une surprise totale et aucune copie n'est trouvée, ce qui complique grandement la situation.
Méthodes cardiaques pour traiter Windows contre les ransomwares. Malheureusement, il faut parfois recourir à un formatage complet du disque dur, ce qui implique quart de travail complet Système d'exploitation. Beaucoup penseront à restaurer le système, mais ce n'est pas une option - même un « rollback » éliminera le virus, mais les fichiers resteront toujours cryptés.
