ახალი ransomware ვირუსის განახლება. "კრიპტოგრაფიული ვირუსები" - ინსტრუქციები ჩვილებისთვის ბუღალტრული აღრიცხვის განყოფილებიდან

ეს სახელმძღვანელო არ არის განკუთვნილი ტექნიკური სპეციალისტებისთვის, ამიტომ:

1. გამარტივდა ზოგიერთი ტერმინის განმარტება;
2. ტექნიკური დეტალები არ განიხილება;
3. სისტემის დაცვის მეთოდები (განახლებების დაყენება, უსაფრთხოების სისტემების კონფიგურაცია და ა.შ.) არ განიხილება.

მე დავწერე ინსტრუქციები, რათა დავეხმარო სისტემის ადმინისტრატორებს, რომლებსაც სურთ გადაამზადონ კომპანიის თანამშრომლები, რომლებიც შორს არიან IT სექტორისგან (ბუღალტერია, HR, გაყიდვები და ა.შ.) კიბერ ჰიგიენის საფუძვლებში.

ლექსიკონი

პროგრამული უზრუნველყოფა(შემდგომში პროგრამული უზრუნველყოფა) არის პროგრამა ან პროგრამების ნაკრები, რომელიც გამოიყენება კომპიუტერის სამართავად.

დაშიფვრაარის მონაცემების გადაქცევა ფორმაში, რომელიც არ იკითხება დაშიფვრის გასაღების გარეშე.

დაშიფვრის გასაღები— ეს არის საიდუმლო ინფორმაცია, რომელიც გამოიყენება ფაილების დაშიფვრის/გაშიფვრისას.

დეკოდერი— პროგრამა, რომელიც ახორციელებს გაშიფვრის ალგორითმს.

ალგორითმი- ინსტრუქციების ნაკრები, რომელიც აღწერს შემსრულებლის მოქმედებების თანმიმდევრობას გარკვეული შედეგის მისაღწევად.

ფოსტის დანართი- ელფოსტაზე მიმაგრებული ფაილი.

გაფართოება(ფაილის სახელის გაფართოება) - სიმბოლოების თანმიმდევრობა, რომელიც დაემატა ფაილის სახელს და მიზნად ისახავს ფაილის ტიპის იდენტიფიცირებას (მაგალითად, *.doc, *.jpg). ფაილების ტიპებიდან გამომდინარე, მათი გასახსნელად გამოყენებული იქნება კონკრეტული პროგრამა. მაგალითად, თუ ფაილის გაფართოება არის *.doc, მაშინ MS Word ამოქმედდება მის გასახსნელად, თუ *.jpg, მაშინ გამოსახულების მაყურებელი გაიშვება და ა.შ.

Ბმული(ან, უფრო ზუსტად, ჰიპერბმული) არის დოკუმენტის ვებგვერდის ნაწილი, რომელიც მიუთითებს სხვა ელემენტზე (ბრძანება, ტექსტი, სათაური, შენიშვნა, სურათი) თავად დოკუმენტში ან სხვა ობიექტზე (ფაილი, დირექტორია, აპლიკაცია), რომელიც მდებარეობს ლოკალურ დისკზე ან კომპიუტერულ ქსელში.

ტექსტური ფაილი- კომპიუტერული ფაილი, რომელიც შეიცავს ტექსტურ მონაცემებს.

დაარქივებაარის შეკუმშვა, ანუ ფაილის ზომის შემცირება.

სარეზერვო ასლი- ინფორმაციის სარეზერვო ასლის შედეგად შექმნილი ფაილი ან ფაილების ჯგუფი.

სარეზერვო- მედიუმზე (მყარ დისკზე, ფლოპი დისკზე და ა.შ.) მონაცემთა ასლის შექმნის პროცესი, რომელიც განკუთვნილია დაზიანების ან განადგურების შემთხვევაში მონაცემთა ორიგინალში ან ახალ შესანახ ადგილას აღდგენისთვის.

დომენი(დომენის სახელი) - სახელი, რომელიც შესაძლებელს ხდის წვდომას ინტერნეტ კვანძებსა და მათზე განთავსებული ქსელის რესურსებზე (საიტებზე, ელ.ფოსტის სერვერებზე, სხვა სერვისებზე) ადამიანისთვის მოსახერხებელი ფორმით. მაგალითად, 172.217.18.131-ის ნაცვლად შეიყვანეთ google.com.ua, სადაც ua, com, google არის სხვადასხვა დონის დომენები.

რა არის გამოსასყიდი ვირუსი?

Ransomware ვირუსი(შემდგომში ransomware) არის მავნე პროგრამა, რომელიც შიფრავს მომხმარებლის ფაილებს და ითხოვს გამოსასყიდს გაშიფვრისთვის. ყველაზე პოპულარული ფაილის ტიპები, რომლებიც დაშიფრულია, არის MS Office დოკუმენტები და ცხრილები ( docx, xlsx), სურათები ( jpeg, png, tif), ვიდეო ფაილები ( ავი, mpeg, mkvდა ა.შ.), დოკუმენტები ფორმატში pdfდა ა.შ., ასევე მონაცემთა ბაზის ფაილები - 1C ( 1 CD, dbf), Აქცენტი ( მდფ). სისტემური ფაილები და პროგრამები, როგორც წესი, არ არის დაშიფრული, რათა Windows-მა გაუშვას და მომხმარებელს მისცეს საშუალება დაუკავშირდეს გამოსასყიდ პროგრამას. იშვიათ შემთხვევებში, მთელი დისკი დაშიფრულია და Windows ამ შემთხვევაში ვერ ჩაიტვირთება.

რა არის ასეთი ვირუსების საშიშროება?

უმეტეს შემთხვევაში, საკუთარი თავის გაშიფვრა შეუძლებელია, რადგან... გამოიყენება დაშიფვრის უკიდურესად რთული ალგორითმები. ძალიან იშვიათ შემთხვევებში, ფაილების გაშიფვრა შესაძლებელია, თუ ინფექცია მოხდა უკვე ცნობილი ტიპის ვირუსით, რომლისთვისაც ანტივირუსის მწარმოებლებმა გამოუშვეს დეშიფრატორი, მაგრამ ამ შემთხვევაშიც კი, ინფორმაციის 100% აღდგენა გარანტირებული არ არის. ზოგჯერ ვირუსს აქვს ნაკლი თავის კოდში და გაშიფვრა პრინციპში შეუძლებელი ხდება, თუნდაც მავნე პროგრამის ავტორის მიერ.

უმეტეს შემთხვევაში, კოდირების შემდეგ, შიფრატორი შლის ორიგინალ ფაილებს სპეციალური ალგორითმების გამოყენებით, რაც გამორიცხავს აღდგენის შესაძლებლობას.

ამ ტიპის ვირუსების კიდევ ერთი საშიში თვისებაა ის, რომ საკმაოდ ხშირად ისინი „უხილავი“ არიან ანტივირუსებისთვის, რადგან დაშიფვრისთვის გამოყენებული ალგორითმები ასევე გამოიყენება ბევრ ლეგალურ პროგრამაში (მაგალითად, კლიენტ-ბანკი), რის გამოც ბევრი გამოსასყიდი პროგრამა არ აღიქმება ანტივირუსების მიერ, როგორც მავნე პროგრამა.

ინფექციის გზები.

ყველაზე ხშირად, ინფექცია ხდება ელექტრონული ფოსტის დანართებით. მომხმარებელი იღებს ელ.წერილს მისთვის ცნობილი ან ორგანიზაციის სახით გადაცმული ადრესატისგან (საგადასახადო სამსახური, ბანკი). წერილი შეიძლება შეიცავდეს მოთხოვნას სააღრიცხვო შერიგების ჩატარების შესახებ, დაადასტუროს ინვოისის გადახდა, შეთავაზება გაეცნოთ ბანკში საკრედიტო დავალიანებას ან მსგავსი რამ. ანუ ინფორმაცია იქნება ისეთი, რომ აუცილებლად დააინტერესებს ან შეაშინებს მომხმარებელს და უბიძგებს მას ვირუსით გახსნას ელ.ფოსტის დანართი. ყველაზე ხშირად ის ჰგავს არქივს, რომლის შიგნით არის ფაილი გაფართოებით *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat. ასეთი ფაილის გაშვების შემდეგ, კომპიუტერზე ფაილების დაშიფვრის პროცესი იწყება დაუყოვნებლივ ან გარკვეული დროის შემდეგ. ასევე, ინფიცირებული ფაილი შეიძლება მომხმარებელს გაეგზავნოს მყისიერი შეტყობინებების ერთ-ერთ პროგრამაში (Skype, Viber და ა.შ.).

ნაკლებად ხშირად, ინფექცია ხდება გატეხილი პროგრამული უზრუნველყოფის ინსტალაციის შემდეგ ან ვებსაიტზე ან ელფოსტის სხეულში ინფიცირებულ ბმულზე დაწკაპუნების შემდეგ.

უნდა გვახსოვდეს, რომ ძალიან ხშირად, ქსელში ერთი კომპიუტერის დაინფიცირების შემდეგ, ვირუსი შეიძლება გავრცელდეს სხვა მანქანებზე Windows და/ან დაინსტალირებული პროგრამების დაუცველობის გამოყენებით.

ინფექციის ნიშნები.

1. ძალიან ხშირად წერილზე მიმაგრებული ფაილის გაშვების შემდეგ შეინიშნება მყარი დისკის მაღალი აქტივობა, პროცესორი იტვირთება 100%-მდე ე.ი. კომპიუტერი იწყებს ძალიან შენელებას.
2. ვირუსის დაწყებიდან გარკვეული დროის შემდეგ, კომპიუტერი მოულოდნელად გადაიტვირთება (უმეტეს შემთხვევაში).
3. გადატვირთვის შემდეგ, ტექსტური ფაილი იხსნება, რომელიც აცნობებს, რომ მომხმარებლის ფაილები დაშიფრულია და მიუთითებს კონტაქტებზე კომუნიკაციისთვის (ელ. ფოსტა). ზოგჯერ, ფაილის გახსნის ნაცვლად, დესკტოპის ფონი იცვლება გამოსასყიდის ტექსტით.
4. მომხმარებლის ფაილების უმეტესობა (დოკუმენტები, ფოტოები, მონაცემთა ბაზები) მთავრდება სხვა გაფართოებით (მაგალითად, *.breaking_bad, *.better_call_soul, *.vault, *.neutrino, *.xtbl და ა.შ.) ან მთლიანად გადაერქვა სახელი და არა. გახსენით პროგრამა, თუნდაც შეცვალოთ გაფართოება. ზოგჯერ მთელი მყარი დისკი დაშიფრულია. ამ შემთხვევაში, Windows საერთოდ არ ჩაიტვირთება და გამოსასყიდის შეტყობინება გამოჩნდება კომპიუტერის ჩართვისთანავე.
5. ზოგჯერ მომხმარებლის ყველა ფაილი თავსდება ერთ პაროლით დაცულ არქივში. ეს მოხდება, თუ თავდამსხმელი შეიჭრება კომპიუტერში და ხელით დაარქივებს და წაშლის ფაილებს. ანუ, როდესაც მავნე ფაილი გაშვებულია ელ.ფოსტის დანართიდან, მომხმარებლის ფაილები ავტომატურად არ არის დაშიფრული, მაგრამ დაინსტალირებულია პროგრამა, რომელიც საშუალებას აძლევს თავდამსხმელს ფარულად დაუკავშირდეს კომპიუტერს ინტერნეტის საშუალებით.

ტექსტის მაგალითი გამოსასყიდის მოთხოვნით

რა უნდა გააკეთოს, თუ ინფექცია უკვე მოხდა?

1. თუ დაშიფვრის პროცესი დაიწყო თქვენი თანდასწრებით (კომპიუტერი ძალიან ნელია; გაიხსნა ტექსტური ფაილი დაშიფვრის შესახებ შეტყობინებასთან ერთად; ფაილებმა დაიწყეს გაქრობა და მათი დაშიფრული ასლები გამოჩნდა მათ ადგილას), თქვენ უნდა სასწრაფოდგამორთეთ კომპიუტერი დენის კაბელის გამორთვით ან 5 წამის განმავლობაში დაჭერით. ჩამრთველი ღილაკი. შესაძლოა, ეს დაზოგავს ზოგიერთ ინფორმაციას. არ გადატვირთოთ კომპიუტერი! გათიშეთ მხოლოდ!
2. თუ დაშიფვრა უკვე განხორციელდა, არავითარ შემთხვევაში არ უნდა სცადოთ ინფექციის განკურნება თავად, ან წაშალოთ ან გადარქმევათ დაშიფრული ფაილები ან ფაილები, რომლებიც შექმნილია გამოსასყიდის პროგრამის მიერ.

ორივე შემთხვევაში, თქვენ დაუყოვნებლივ უნდა აცნობოთ ინციდენტს თქვენი სისტემის ადმინისტრატორს.

ᲛᲜᲘᲨᲕᲜᲔᲚᲝᲕᲐᲜᲘ!!!

ნუ ეცდებით თავდამსხმელთან მოლაპარაკებას თავად მის მიერ მოწოდებული კონტაქტებით! საუკეთესო შემთხვევაში, ეს უსარგებლოა, უარეს შემთხვევაში, მას შეუძლია გაზარდოს გამოსასყიდის თანხა გაშიფვრისთვის.

როგორ ავიცილოთ თავიდან ინფექცია ან შევამციროთ მისი შედეგები?

1. არ გახსნათ საეჭვო ელფოსტა, განსაკუთრებით დანართებით (იხილეთ ქვემოთ, როგორ ამოიცნოთ ასეთი წერილები).
2. არ დააწკაპუნოთ საეჭვო ბმულებზე ვებსაიტებზე ან გამოგზავნილ წერილებში.
3. არ ჩამოტვირთოთ ან დააინსტალიროთ პროგრამები არასანდო წყაროებიდან (საიტები გატეხილი პროგრამული უზრუნველყოფით, ტორენტ ტრეკერებით).
4. ყოველთვის შექმენით მნიშვნელოვანი ფაილების სარეზერვო ასლები. საუკეთესო ვარიანტი იქნება სარეზერვო ასლების შენახვა სხვა მედიაზე, რომელიც არ არის დაკავშირებული კომპიუტერთან (ფლეშ დრაივი, გარე დისკი, DVD) ან ღრუბელში (მაგალითად, Yandex.Disk). ხშირად ვირუსი ასევე შიფრავს საარქივო ფაილებს (zip, rar, 7z), ამიტომ სარეზერვო ასლების შენახვა იმავე კომპიუტერზე, სადაც ინახება ორიგინალი ფაილები, აზრი არ აქვს.

როგორ ამოვიცნოთ მავნე ელ.წერილი?

1. წერილის თემა და შინაარსი არ არის დაკავშირებული თქვენს პროფესიულ საქმიანობასთან. მაგალითად, ოფისის მენეჯერმა მიიღო წერილი საგადასახადო შემოწმების, ინვოისის ან რეზიუმეს შესახებ.

2. წერილი შეიცავს ინფორმაციას, რომელიც არ არის დაკავშირებული ჩვენს ქვეყანასთან, რეგიონთან ან ჩვენი კომპანიის სფეროსთან. მაგალითად, რუსეთის ფედერაციაში რეგისტრირებულ ბანკში დავალიანების დაფარვის მოთხოვნა.

3. ხშირად მავნე წერილი ყალიბდება, როგორც სავარაუდო პასუხი თქვენგან რომელიმე წერილზე. ასეთი წერილის თემის დასაწყისში არის კომბინაცია "Re:". მაგალითად, „Re: ინვოისი გადახდისთვის“, თუმცა დანამდვილებით იცით, რომ ამ მისამართზე წერილები არ გამოგიგზავნიათ.

4. წერილი სავარაუდოდ ცნობილი კომპანიისგან მოვიდა, მაგრამ გამგზავნის მისამართი შეიცავს ასოების, სიტყვების, რიცხვების და უცხო დომენების უაზრო თანმიმდევრობას, რომლებსაც არაფერი აქვთ საერთო წერილის ტექსტში მითითებულ კომპანიის ოფიციალურ მისამართებთან.

5. „To“ ველი შეიცავს უცნობ სახელს (არა თქვენს საფოსტო ყუთს), გათიშული სიმბოლოების ერთობლიობას, ან გამგზავნის საფოსტო ყუთის სახელი დუბლირებულია.

6. წერილის ტექსტში, სხვადასხვა საბაბით, მიმღებს სთხოვენ მიაწოდოს ან დაადასტუროს რაიმე პერსონალური ან ოფიციალური ინფორმაცია, გადმოწეროს ფაილი ან მიჰყევით ბმულს, ხოლო აცნობებს გადაუდებელ აუცილებლობას ან რაიმე სანქციებს დებულების შეუსრულებლობის შემთხვევაში. წერილში მითითებული მითითებები.

7. წერილზე მიმაგრებული არქივი შეიცავს ფაილებს გაფართოებით *.js, *.scr, *.exe, *.hta, *.vbs, *.cmd, *.bat, *.iso. მავნე გაფართოებების ნიღაბი ასევე ძალიან ხშირად გამოიყენება. მაგალითად, ფაილის სახელში „Accounts receivable.doc.js“ *.doc არის ცრუ გაფართოება, რომელიც არ შეიცავს რაიმე ფუნქციონირებას და *.js არის ვირუსის ფაილის რეალური გაფართოება.

8. თუ წერილი მოვიდა ცნობილი გამგზავნისგან, მაგრამ წერის სტილი და წიგნიერება ძალიან განსხვავებულია, ეს ასევე სიფრთხილის მიზეზია. ასევე არადამახასიათებელი შინაარსი - მაგალითად, კლიენტმა მიიღო მოთხოვნა გადასახადის გადახდის შესახებ. ამ შემთხვევაში, უმჯობესია დაუკავშირდეთ გამგზავნს სხვა საკომუნიკაციო არხით (ტელეფონი, სკაიპი), რადგან დიდია ალბათობა იმისა, რომ მისი კომპიუტერი გატეხილია ან დაინფიცირებულია ვირუსით.

მავნე ელფოსტის მაგალითი

15.05.2017, ორშაბათი, 13:33, მოსკოვის დროით , ტექსტი: პაველ პრიტულა

მეორე დღეს, ერთ-ერთი ყველაზე დიდი და "ხმაურიანი" კიბერშეტევა, პრესის მიხედვით ვიმსჯელებთ, მოხდა რუსეთში: რამდენიმე დეპარტამენტისა და უმსხვილესი ორგანიზაციის ქსელებს, მათ შორის შინაგან საქმეთა სამინისტროს, თავს დაესხნენ თავდამსხმელები. ვირუსმა დაშიფრა თანამშრომლების კომპიუტერების მონაცემები და გამოსძალა დიდი თანხა, რათა მათ შეეძლოთ მუშაობის გაგრძელება. ეს არის ნათელი მაგალითი იმისა, რომ არავინ არ არის დაზღვეული გამოსასყიდისგან. თუმცა, ამ საფრთხესთან გამკლავება შესაძლებელია - ჩვენ გაჩვენებთ რამდენიმე მეთოდს, რომელსაც Microsoft გვთავაზობს.

რა ვიცით გამოსასყიდის შესახებ? როგორც ჩანს, ესენი არიან კრიმინალები, რომლებიც მოგთხოვენ ფულს ან ნივთებს უარყოფითი შედეგების საფრთხის ქვეშ. ეს ხდება ბიზნესში დროდადრო და ყველას აქვს დაახლოებითი წარმოდგენა, თუ რა უნდა გააკეთოს ასეთ სიტუაციებში. მაგრამ რა უნდა გააკეთოთ, თუ გამოსასყიდი პროგრამის ვირუსი დამკვიდრდა თქვენს სამუშაო კომპიუტერებზე, დაბლოკავს თქვენს მონაცემებზე წვდომას და მოითხოვს, რომ გადარიცხოთ ფული გარკვეული ადამიანებისთვის განბლოკვის კოდის სანაცვლოდ? თქვენ უნდა დაუკავშირდეთ ინფორმაციის უსაფრთხოების სპეციალისტებს. და უმჯობესია ამის გაკეთება წინასწარ, რათა თავიდან აიცილოთ პრობლემები.

კიბერდანაშაულების რიცხვი ბოლო წლებში მასშტაბური რიგით გაიზარდა. SentinelOne-ის კვლევის თანახმად, ძირითადი ევროპის ქვეყნების კომპანიების ნახევარს თავს დაესხნენ გამოსასყიდი პროგრამა, 80%-ზე მეტი იყო სამიზნე სამჯერ ან მეტჯერ. მსგავსი სურათი შეიმჩნევა მთელ მსოფლიოში. Clearswift, კომპანია, რომელიც სპეციალიზირებულია ინფორმაციული უსაფრთხოების სფეროში, ასახელებს გამოსასყიდი პროგრამებით ყველაზე მეტად დაზარალებული ქვეყნების ერთგვარ „ტოპს“ - ransomware: აშშ, რუსეთი, გერმანია, იაპონია, დიდი ბრიტანეთი და იტალია. მცირე და საშუალო ბიზნესი განსაკუთრებით საინტერესოა თავდამსხმელებისთვის, რადგან მათ აქვთ მეტი ფული და უფრო მგრძნობიარე მონაცემები, ვიდრე კერძო პირებს და არ გააჩნიათ მსხვილი კომპანიების მძლავრი უსაფრთხოების სერვისები.

რა უნდა გავაკეთოთ და, რაც მთავარია, როგორ ავიცილოთ თავიდან გამოსასყიდი პროგრამის შეტევა? პირველ რიგში, მოდით შევაფასოთ თავად საფრთხე. თავდასხმა შეიძლება განხორციელდეს რამდენიმე გზით. ერთ-ერთი ყველაზე გავრცელებული არის ელექტრონული ფოსტა. კრიმინალები აქტიურად იყენებენ სოციალური ინჟინერიის მეთოდებს, რომელთა ეფექტურობა საერთოდ არ შემცირებულა მე-20 საუკუნის ცნობილი ჰაკერის, კევინ მიტნიკის დროიდან მოყოლებული. მათ შეუძლიათ დაურეკონ დაზარალებული კომპანიის თანამშრომელს რეალური კონტრაგენტის სახელით და საუბრის შემდეგ გაუგზავნონ ელ.წერილი დანართით, რომელიც შეიცავს მავნე ფაილს. თანამშრომელი, რა თქმა უნდა, გახსნის მას, რადგან მან მხოლოდ ტელეფონით ისაუბრა გამგზავნთან. ან ბუღალტერს შეუძლია მიიღოს წერილი აღმასრულებლის სამსახურისგან ან ბანკიდან, რომელიც ემსახურება მის კომპანიას. არავინ არ არის დაზღვეული და ეს არ არის პირველი შემთხვევა, როდესაც შინაგან საქმეთა სამინისტროც კი განიცდის ზარალს: რამდენიმე თვის წინ, ჰაკერებმა როსტელეკომისგან ყალბი ინვოისი გაუგზავნეს შინაგან საქმეთა სამინისტროს ყაზანის ხაზის დირექტორატის აღრიცხვის განყოფილებას. დაშიფვრის ვირუსი, რომელმაც დაბლოკა სააღრიცხვო სისტემის მუშაობა.

ინფექციის წყარო შეიძლება იყოს ფიშინგის საიტი, რომელსაც მომხმარებელი თაღლითური ბმულის საშუალებით მიუწვდება, ან ოფისის ერთ-ერთი ვიზიტორის მიერ „შემთხვევით დავიწყებული“ ფლეშ დრაივი. უფრო და უფრო ხშირად ინფექციები ხდება თანამშრომლების დაუცველი მობილური მოწყობილობების მეშვეობით, საიდანაც ისინი წვდებიან კორპორატიულ რესურსებს. და ანტივირუსმა შეიძლება არ იმუშაოს: ცნობილია ასობით მავნე პროგრამა, რომლებიც გვერდს უვლიან ანტივირუსებს, რომ აღარაფერი ვთქვათ „ნულოვანი დღის შეტევებზე“, რომლებიც იყენებენ ახლად აღმოჩენილ „ხვრელებს“ პროგრამულ უზრუნველყოფაში.

რა არის „კიბერ გამოსასყიდი პროგრამა“?

პროგრამა, რომელიც ცნობილია როგორც ransomware, ransomware, ბლოკავს მომხმარებლის წვდომას ოპერაციულ სისტემაზე და ჩვეულებრივ შიფრავს ყველა მონაცემს მყარ დისკზე. ეკრანზე ჩნდება შეტყობინება იმის შესახებ, რომ კომპიუტერი დაბლოკილია და მფლობელი ვალდებულია, თავდამსხმელს დიდი თანხა გადაურიცხოს, თუ მას მონაცემების კონტროლის აღდგენა სურს. ყველაზე ხშირად ეკრანზე გამოდის 2-3 დღის ათვლა, რათა მომხმარებელმა იჩქაროს, წინააღმდეგ შემთხვევაში დისკის შიგთავსი განადგურდება. კრიმინალების მადადან და კომპანიის სიდიდიდან გამომდინარე, გამოსასყიდი თანხა რუსეთში მერყეობს რამდენიმე ათიდან რამდენიმე ასეულ ათას რუბლამდე.

გამოსასყიდის პროგრამების ტიპები

წყარო: Microsoft, 2017 წ

ეს მავნე პროგრამები მრავალი წელია ცნობილია, მაგრამ ბოლო ორი-სამი წლის განმავლობაში მათ ნამდვილი ბუმი განიცადეს. რატომ? პირველ რიგში იმიტომ, რომ ხალხი იხდის თავდამსხმელებს. კასპერსკის ლაბორატორიის მონაცემებით, ამ გზით თავდასხმაში მყოფი რუსული კომპანიების 15% ირჩევს გამოსასყიდის გადახდას, ხოლო მსოფლიოში იმ კომპანიების 2/3-მა, რომლებსაც ასეთი თავდასხმა ექვემდებარება, დაკარგა კორპორატიული მონაცემების მთელი ან ნაწილი.

მეორეც, კიბერკრიმინალთა ინსტრუმენტები უფრო დახვეწილი და ხელმისაწვდომი გახდა. და მესამე, მსხვერპლის დამოუკიდებელი მცდელობები "პაროლის გამოცნობისთვის" კარგად არ მთავრდება და პოლიცია იშვიათად ახერხებს დამნაშავეების პოვნას, განსაკუთრებით უკუღმართის პერიოდში.

Ჰო მართლა. ყველა ჰაკერი არ ხარჯავს თავის დროს პაროლს მსხვერპლს, რომელმაც გადასცა მათ საჭირო თანხა.

რა არის ბიზნესის პრობლემა

რუსეთში მცირე და საშუალო ბიზნესის ინფორმაციული უსაფრთხოების სფეროში მთავარი პრობლემა არის ის, რომ მათ არ აქვთ ფული მძლავრი სპეციალიზებული ინფორმაციული უსაფრთხოების ინსტრუმენტებისთვის, მაგრამ საკმარისზე მეტია IT სისტემები და თანამშრომლები, რომლებთანაც შეიძლება მოხდეს სხვადასხვა სახის ინციდენტები. . გამოსასყიდ პროგრამებთან საბრძოლველად საკმარისი არ არის მხოლოდ კონფიგურირებული firewall, ანტივირუსული და უსაფრთხოების პოლიტიკა. თქვენ უნდა გამოიყენოთ ყველა ხელმისაწვდომი ინსტრუმენტი, უპირველეს ყოვლისა, ოპერაციული სისტემის გამყიდველის მიერ მოწოდებული, რადგან ის იაფია (ან შედის OS-ის ღირებულებაში) და 100% თავსებადია საკუთარ პროგრამულ უზრუნველყოფასთან.

კლიენტური კომპიუტერების დიდი უმრავლესობა და სერვერების მნიშვნელოვანი ნაწილი მუშაობს Microsoft Windows-ზე. ყველამ იცის ჩაშენებული უსაფრთხოების ინსტრუმენტები, როგორიცაა Windows Defender და Windows Firewall, რომლებიც OS-ის უახლეს განახლებებთან და მომხმარებლის უფლებების შეზღუდვებთან ერთად უზრუნველყოფენ უსაფრთხოების საკმარის დონეს საშუალო თანამშრომლისთვის სპეციალიზებული ხელსაწყოების არარსებობის შემთხვევაში.

მაგრამ ბიზნესისა და კიბერკრიმინალების ურთიერთობის თავისებურება ის არის, რომ პირველებმა ხშირად არ იციან, რომ ეს უკანასკნელი თავს დაესხმება. მათ სჯერათ, რომ დაცულები არიან, მაგრამ სინამდვილეში, მავნე პროგრამამ უკვე შეაღწია ქსელის პერიმეტრს და ჩუმად აკეთებს თავის საქმეს - ბოლოს და ბოლოს, ყველა მათგანი არ იქცევა ისე თავხედურად, როგორც გამოსასყიდი ტროიანები.

მაიკროსოფტმა შეცვალა უსაფრთხოებისადმი მიდგომა: ახლა მან გააფართოვა ინფორმაციული უსაფრთხოების პროდუქტების ხაზი და ასევე ყურადღებას ამახვილებს არა მხოლოდ კომპანიების მაქსიმალურ დაცვაზე თანამედროვე შეტევებისგან, არამედ იმაზეც, რომ შესაძლებელი გახდეს მათი გამოკვლევა, თუკი ინფექცია მოხდება.

ფოსტის დაცვა

ფოსტის სისტემა, როგორც კორპორატიულ ქსელში შეღწევის საფრთხეების მთავარი არხი, საჭიროებს შემდგომ დაცვას. ამისათვის Microsoft-მა შეიმუშავა Exchange ATP (Advanced Treat Protection) სისტემა, რომელიც აანალიზებს ელ.ფოსტის დანართებს ან ინტერნეტ ბმულებს და დაუყოვნებლივ რეაგირებს აღმოჩენილ შეტევებზე. ეს არის ცალკე პროდუქტი, ის ინტეგრირდება Microsoft Exchange-თან და არ საჭიროებს განთავსებას თითოეულ კლიენტის აპარატზე.

Exchange ATP-ს შეუძლია ნულოვანი დღის შეტევების აღმოჩენაც კი, რადგან ის აწარმოებს ყველა დანართს ქვიშის ყუთში, ოპერაციულ სისტემაში გათავისუფლების გარეშე და აანალიზებს მათ ქცევას. თუ ის არ შეიცავს თავდასხმის ნიშნებს, მაშინ დანართი ითვლება უსაფრთხოდ და მომხმარებელს შეუძლია გახსნას იგი. პოტენციურად მავნე ფაილი იგზავნება კარანტინში და ამის შესახებ ეცნობება ადმინისტრატორს.

რაც შეეხება ასოებით ბმულებს, ისინი ასევე შემოწმებულია. Exchange ATP ცვლის ყველა ბმულს შუალედურით. მომხმარებელი აჭერს წერილში მოცემულ ბმულს, ხვდება შუალედურ ბმულზე და ამ მომენტში სისტემა ამოწმებს მისამართს უსაფრთხოების მიზნით. გადამოწმება ხდება ისე სწრაფად, რომ მომხმარებელი ვერ ამჩნევს შეფერხებას. თუ ბმული მიდის ინფიცირებულ საიტზე ან ფაილზე, მასზე დაწკაპუნება აკრძალულია.

როგორ მუშაობს Exchange ATP

წყარო: Microsoft, 2017 წ

რატომ ხდება გადამოწმება დაწკაპუნების მომენტში და არა წერილის მიღებისას - იმიტომ რომ მაშინ მეტი დრო რჩება კვლევისთვის და, შესაბამისად, ნაკლები გამოთვლითი ძალა იქნება საჭირო? ეს გაკეთდა სპეციალურად ჰაკერების ხრიკებისგან დასაცავად, რომ შეცვალონ შინაარსი ბმულის საშუალებით. ტიპიური მაგალითი: წერილი მოდის საფოსტო ყუთში ღამით, სისტემა ამოწმებს და ვერაფერს პოულობს და დილისთვის ამ ლინკის საშუალებით უკვე განთავსებულია საიტზე ტროას ფაილი, რომელსაც მომხმარებელი წარმატებით ატვირთავს.

და Exchange ATP სერვისის მესამე ნაწილი არის ჩაშენებული ანგარიშგების სისტემა. ის საშუალებას გაძლევთ გამოიკვლიოთ მომხდარი ინციდენტები და გვაწვდით მონაცემებს კითხვებზე პასუხის გასაცემად: როდის მოხდა ინფექცია, როგორ და სად მოხდა. ეს საშუალებას გაძლევთ იპოვოთ წყარო, დაადგინოთ ზიანი და გაიგოთ, იყო ეს შემთხვევითი დარტყმა თუ მიზანმიმართული, მიზანმიმართული თავდასხმა ამ კომპანიის წინააღმდეგ.

ეს სისტემა ასევე სასარგებლოა პრევენციისთვის. მაგალითად, ადმინისტრატორს შეუძლია დაადგინოს სტატისტიკა იმის შესახებ, თუ რამდენი დაწკაპუნება განხორციელდა ბმულებზე, რომლებიც მონიშნულია, როგორც საშიში და რომელმა მომხმარებლებმა გააკეთეს ეს. მაშინაც კი, თუ ინფექცია არ მომხდარა, ამ თანამშრომლებთან ცნობიერების ამაღლების სამუშაოები მაინც უნდა ჩატარდეს.

მართალია, არის თანამშრომელთა კატეგორიები, რომელთა სამუშაო პასუხისმგებლობა აიძულებს მათ ეწვიონ სხვადასხვა საიტებს - მაგალითად, მარკეტოლოგები, რომლებიც იკვლევენ ბაზარს. მათთვის, Microsoft-ის ტექნოლოგიები საშუალებას გაძლევთ დააკონფიგურიროთ პოლიტიკა ისე, რომ ნებისმიერი გადმოწერილი ფაილი კომპიუტერში შენახვამდე შემოწმდება sandbox-ში. უფრო მეტიც, წესები მითითებულია სიტყვასიტყვით რამდენიმე დაწკაპუნებით.

რწმუნებათა სიგელების დაცვა

კიბერდანაშაულებრივი თავდასხმების ერთ-ერთი სამიზნე არის მომხმარებლის რწმუნებათა სიგელები. მომხმარებლის შესვლისა და პაროლების მოპარვის უამრავი ტექნოლოგია არსებობს და მათ უნდა დაუპირისპირდეს ძლიერი დაცვა. თავად თანამშრომლებს მცირე იმედი აქვთ: ისინი ქმნიან მარტივ პაროლებს, იყენებენ ერთ პაროლს ყველა რესურსზე წვდომისთვის და წერენ მათ მონიტორზე დამაგრებულ ჩანაწერზე. ამის წინააღმდეგ ბრძოლა შესაძლებელია ადმინისტრაციული ზომებით და პაროლის მოთხოვნების პროგრამულად დაყენებით, მაგრამ გარანტირებული ეფექტი მაინც არ იქნება.

თუ კომპანია ზრუნავს უსაფრთხოებაზე, ის განასხვავებს წვდომის უფლებებს და, მაგალითად, ინჟინერს ან გაყიდვების მენეჯერს არ შეუძლია წვდომა სააღრიცხვო სერვერზე. მაგრამ ჰაკერებს აქვთ კიდევ ერთი ხრიკი: მათ შეუძლიათ გაგზავნონ წერილი ჩვეულებრივი თანამშრომლის დატყვევებული ანგარიშიდან მიზანმიმართულ სპეციალისტთან, რომელსაც აქვს საჭირო ინფორმაცია (ფინანსური მონაცემები ან სავაჭრო საიდუმლოებები). „კოლეგისგან“ წერილის მიღების შემდეგ, მიმღები აუცილებლად გახსნის მას და გაუშვებს დანართს. და გამოსასყიდი მიიღებს წვდომას კომპანიისთვის ღირებულ მონაცემებზე, რომელთა დაბრუნებისთვის კომპანიას შეუძლია გადაიხადოს დიდი თანხა.

იმის უზრუნველსაყოფად, რომ დატყვევებული ანგარიში არ აძლევს თავდამსხმელებს კორპორატიულ სისტემაში შეღწევის შესაძლებლობას, Microsoft გთავაზობთ მის დაცვას Azure Multifactor Authentication-ით. ანუ, სისტემაში შესასვლელად თქვენ უნდა შეიყვანოთ არა მხოლოდ შესვლა/პაროლის წყვილი, არამედ SMS-ით გაგზავნილი PIN კოდი, მობილური აპლიკაციის მიერ გენერირებული Push შეტყობინება, ან უპასუხოთ რობოტის სატელეფონო ზარს. მრავალფაქტორიანი ავთენტიფიკაცია განსაკუთრებით სასარგებლოა დისტანციურ თანამშრომლებთან მუშაობისას, რომლებსაც შეუძლიათ კორპორატიულ სისტემაში შესვლა მსოფლიოს სხვადასხვა კუთხიდან.

Azure Multifactor ავთენტიფიკაცია

დაახლოებით ერთი-ორი კვირის წინ ინტერნეტში გამოჩნდა თანამედროვე ვირუსების შემქმნელების კიდევ ერთი ჰაკი, რომელიც შიფრავს მომხმარებლის ყველა ფაილს. კიდევ ერთხელ განვიხილავ კითხვას, თუ როგორ უნდა განკურნოს კომპიუტერი გამოსასყიდის ვირუსის შემდეგ დაშიფრული000007და აღადგინეთ დაშიფრული ფაილები. ამ შემთხვევაში არაფერი ახალი ან უნიკალური არ გამოჩნდა, მხოლოდ წინა ვერსიის მოდიფიკაცია.

ფაილების გარანტირებული გაშიფვრა ransomware ვირუსის შემდეგ - dr-shifro.ru. სამუშაოს დეტალები და მომხმარებელთან ურთიერთობის სქემა მოცემულია ქვემოთ ჩემს სტატიაში ან ვებსაიტზე "სამუშაო პროცედურის" განყოფილებაში.

CRYPTED000007 ransomware ვირუსის აღწერა

CRYPTED000007 შიფრატორი არსებითად არ განსხვავდება მისი წინამორბედებისგან. იგი მუშაობს თითქმის ზუსტად იგივე გზით. მაგრამ მაინც არსებობს რამდენიმე ნიუანსი, რომელიც განასხვავებს მას. ყველაფერს თანმიმდევრობით მოგიყვებით.

ის ჩამოდის, ისევე როგორც მისი ანალოგები, ფოსტით. სოციალური ინჟინერიის ტექნიკა გამოიყენება იმისთვის, რომ მომხმარებელი დაინტერესდეს წერილით და გახსნას იგი. ჩემს შემთხვევაში, წერილში საუბარი იყო ერთგვარ სასამართლოზე და დანართში მოცემულ საქმის შესახებ მნიშვნელოვან ინფორმაციას. დანართის გაშვების შემდეგ მომხმარებელი ხსნის Word დოკუმენტს მოსკოვის საარბიტრაჟო სასამართლოს ამონაწერით.

დოკუმენტის გახსნის პარალელურად იწყება ფაილის დაშიფვრა. Windows მომხმარებლის ანგარიშის კონტროლის სისტემისგან საინფორმაციო შეტყობინება მუდმივად გამოჩნდება.

თუ დაეთანხმებით წინადადებას, მაშინ Windows-ის ჩრდილოვანი ასლების ფაილების სარეზერვო ასლები წაიშლება და ინფორმაციის აღდგენა ძალიან რთული იქნება. აშკარაა, რომ თქვენ ვერ დაეთანხმებით წინადადებას არავითარ შემთხვევაში. ამ შიფრატორში ეს მოთხოვნები მუდმივად ჩნდება ერთმანეთის მიყოლებით და არ ჩერდება, რაც მომხმარებელს აიძულებს დათანხმდეს და წაშალოს სარეზერვო ასლები. ეს არის მთავარი განსხვავება შიფრატორების წინა მოდიფიკაციებისგან. არასდროს შემხვედრია ჩრდილოვანი ასლების წაშლის მოთხოვნა შეჩერების გარეშე. ჩვეულებრივ, 5-10 შეთავაზების შემდეგ ჩერდებოდნენ.

სასწრაფოდ გავცემ რეკომენდაციას სამომავლოდ. ძალიან ხშირია ადამიანების მიერ მომხმარებლის ანგარიშის კონტროლის გაფრთხილებების გამორთვა. ამის გაკეთება არ არის საჭირო. ეს მექანიზმი ნამდვილად დაგეხმარებათ ვირუსების წინააღმდეგობის გაწევაში. მეორე აშკარა რჩევა არის მუდმივად არ იმუშაოთ კომპიუტერის ადმინისტრატორის ანგარიშით, თუ ამის ობიექტური საჭიროება არ არის. ამ შემთხვევაში ვირუსს დიდი ზიანის მიყენების შესაძლებლობა არ ექნება. უფრო მეტი შანსი გექნებათ მას წინააღმდეგობის გაწევა.

მაგრამ მაშინაც კი, თუ თქვენ ყოველთვის უარყოფითად პასუხობდით გამოსასყიდის მოთხოვნებს, თქვენი ყველა მონაცემი უკვე დაშიფრულია. დაშიფვრის პროცესის დასრულების შემდეგ, თქვენს სამუშაო მაგიდაზე ნახავთ სურათს.

ამავე დროს, თქვენს სამუშაო მაგიდაზე იქნება ბევრი ტექსტური ფაილი იგივე შინაარსით.

თქვენი ფაილები დაშიფრულია. ux-ის გაშიფვრისთვის, თქვენ უნდა გამოაგზავნოთ კოდი: 329D54752553ED978F94|0 ელფოსტის მისამართზე [ელფოსტა დაცულია]. შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას. დამოუკიდებლად გაშიფვრის მცდელობა არ გამოიწვევს სხვა რამეს, გარდა ინფორმაციის შეუქცევადი რაოდენობისა. თუ მაინც გსურთ სცადოთ, მაშინ ჯერ გააკეთეთ ფაილების სარეზერვო ასლები, წინააღმდეგ შემთხვევაში, ცვლილების შემთხვევაში, გაშიფვრა შეუძლებელი გახდება ნებისმიერ ვითარებაში. თუ არ მიგიღიათ შეტყობინება ზემოთ მოცემულ მისამართზე 48 საათის განმავლობაში (მხოლოდ ამ შემთხვევაში!), გამოიყენეთ საკონტაქტო ფორმა. ეს შეიძლება გაკეთდეს ორი გზით: 1) ჩამოტვირთეთ და დააინსტალირეთ Tor ბრაუზერი ბმულის გამოყენებით: https://www.torproject.org/download/download-easy.html.en Tor Browser-ის მისამართზე შეიყვანეთ მისამართი: http: //cryptsen7fo43rr6 .onion/ და დააჭირეთ Enter. გვერდი საკონტაქტო ფორმით ჩაიტვირთება. 2) ნებისმიერ ბრაუზერში გადადით ერთ-ერთ მისამართზე: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/ თქვენს კომპიუტერში არსებული ყველა მნიშვნელოვანი ფაილი დაშიფრულია. ფაილების გასაშიფრად თქვენ უნდა გამოაგზავნოთ შემდეგი კოდი: 329D54752553ED978F94|0 ელ.ფოსტის მისამართზე [ელფოსტა დაცულია]. შემდეგ თქვენ მიიღებთ ყველა საჭირო ინსტრუქციას. თქვენ მიერ გაშიფვრის ყველა მცდელობა გამოიწვევს მხოლოდ თქვენი მონაცემების გამოუქცევად დაკარგვას. თუ თქვენ კვლავ გსურთ სცადოთ მათი გაშიფვრა, გთხოვთ, თავდაპირველად გააკეთოთ სარეზერვო ასლი, რადგან ფაილების შიგნით რაიმე ცვლილების შემთხვევაში გაშიფვრა შეუძლებელი გახდება. თუ პასუხი არ მიგიღიათ ზემოაღნიშნული ელფოსტიდან 48 საათზე მეტი ხნის განმავლობაში (და მხოლოდ ამ შემთხვევაში!), გამოიყენეთ გამოხმაურების ფორმა. ამის გაკეთება შეგიძლიათ ორი გზით: 1) ჩამოტვირთეთ Tor ბრაუზერი აქედან: https://www.torproject.org/download/download-easy.html.en დააინსტალირეთ და ჩაწერეთ შემდეგი მისამართი მისამართების ზოლში: http:/ /cryptsen7fo43rr6.onion/ დააჭირეთ Enter და შემდეგ გვერდი ჩაიტვირთება გამოხმაურების ფორმით. 2) ნებისმიერ ბრაუზერში გადადით ერთ-ერთ შემდეგ მისამართზე: http://cryptsen7fo43rr6.onion.to/ http://cryptsen7fo43rr6.onion.cab/

საფოსტო მისამართი შეიძლება შეიცვალოს. ასევე წავაწყდი შემდეგ მისამართებს:

• [ელფოსტა დაცულია]
• [ელფოსტა დაცულია]

მისამართები მუდმივად განახლდება, ამიტომ ისინი შეიძლება სრულიად განსხვავებული იყოს.

როგორც კი აღმოაჩენთ, რომ თქვენი ფაილები დაშიფრულია, დაუყოვნებლივ გამორთეთ კომპიუტერი. ეს უნდა გაკეთდეს იმისათვის, რომ შეწყდეს დაშიფვრის პროცესი როგორც ადგილობრივ კომპიუტერზე, ასევე ქსელის დისკებზე. დაშიფვრის ვირუსს შეუძლია დაშიფროს ყველა ის ინფორმაცია, რომელსაც შეუძლია მიაღწიოს, მათ შორის ქსელის დისკებზე. მაგრამ თუ იქ არის დიდი რაოდენობით ინფორმაცია, მაშინ მას მნიშვნელოვანი დრო დასჭირდება. ზოგჯერ, რამდენიმე საათშიც კი, გამოსასყიდ პროგრამას არ ჰქონდა დრო, დაეშიფრა ყველაფერი ქსელურ დისკზე, რომლის სიმძლავრეა დაახლოებით 100 გიგაბაიტი.

შემდეგ თქვენ უნდა ყურადღებით იფიქროთ იმაზე, თუ როგორ უნდა მოიქცეთ. თუ ნებისმიერ ფასად გჭირდებათ ინფორმაცია თქვენს კომპიუტერზე და არ გაქვთ სარეზერვო ასლები, მაშინ უმჯობესია ამ მომენტში მიმართოთ სპეციალისტებს. არ არის აუცილებელი ფულისთვის ზოგიერთი კომპანიისთვის. თქვენ უბრალოდ გჭირდებათ ადამიანი, რომელიც კარგად იცის საინფორმაციო სისტემებში. აუცილებელია კატასტროფის მასშტაბის შეფასება, ვირუსის მოცილება და სიტუაციის შესახებ არსებული ყველა ინფორმაციის შეგროვება, რათა გავიგოთ, როგორ გავაგრძელოთ მოქმედება.

ამ ეტაპზე არასწორმა ქმედებებმა შეიძლება მნიშვნელოვნად გაართულოს ფაილების გაშიფვრის ან აღდგენის პროცესი. უარეს შემთხვევაში, მათ შეუძლიათ ეს შეუძლებელი გახადონ. ასე რომ, დაუთმეთ დრო, იყავით ფრთხილად და თანმიმდევრული.

როგორ შიფრავს ფაილებს CRYPTED000007 ransomware ვირუსი

ვირუსის გაშვების და მისი მოქმედების დასრულების შემდეგ, ყველა სასარგებლო ფაილი იქნება დაშიფრული, სახელის გადარქმევა გაფართოება.crypted000007. უფრო მეტიც, შეიცვლება არა მხოლოდ ფაილის გაფართოება, არამედ ფაილის სახელიც, ასე რომ თქვენ არ გეცოდინებათ ზუსტად რა სახის ფაილები გქონდათ, თუ არ გახსოვთ. ეს დაახლოებით ასე გამოიყურება.

ასეთ ვითარებაში რთული იქნება ტრაგედიის მასშტაბის შეფასება, ვინაიდან ბოლომდე ვერ გაიხსენებთ რა გქონდათ სხვადასხვა საქაღალდეებში. ეს გაკეთდა სპეციალურად ხალხის დასაბნევად და წახალისების მიზნით, გადაიხადონ ფაილების გაშიფვრა.

და თუ თქვენი ქსელის საქაღალდეები დაშიფრულია და არ არის სრული სარეზერვო ასლები, მაშინ ამან შეიძლება მთლიანად შეაჩეროს მთელი ორგანიზაციის მუშაობა. გარკვეული დრო დაგჭირდებათ იმის გასარკვევად, თუ რა დაიკარგა საბოლოოდ, რათა დაიწყოთ აღდგენა.

როგორ მოვუაროთ თქვენს კომპიუტერს და წავშალოთ CRYPTED000007 გამოსასყიდი პროგრამა

CRYPTED000007 ვირუსი უკვე თქვენს კომპიუტერშია. პირველი და ყველაზე მნიშვნელოვანი კითხვაა, თუ როგორ უნდა მოხდეს კომპიუტერის დეზინფექცია და როგორ ამოიღოთ ვირუსი მისგან, რათა თავიდან აიცილოთ შემდგომი დაშიფვრა, თუ ის ჯერ კიდევ არ არის დასრულებული. მსურს დაუყოვნებლივ გავამახვილო თქვენი ყურადღება იმ ფაქტზე, რომ მას შემდეგ რაც თქვენ თავად დაიწყებთ კომპიუტერთან გარკვეული მოქმედებების შესრულებას, მონაცემთა გაშიფვრის შანსები მცირდება. თუ თქვენ გჭირდებათ ფაილების აღდგენა ნებისმიერ ფასად, არ შეეხოთ თქვენს კომპიუტერს, მაგრამ დაუყოვნებლივ დაუკავშირდით პროფესიონალებს. ქვემოთ მათზე ვისაუბრებ და მივაწოდე საიტის ბმული და აღვწერ, თუ როგორ მუშაობენ ისინი.

ამასობაში ჩვენ გავაგრძელებთ კომპიუტერის დამოუკიდებელ მკურნალობას და ვირუსის მოცილებას. ტრადიციულად, გამოსასყიდი პროგრამა ადვილად იშლება კომპიუტერიდან, რადგან ვირუსს არ აქვს კომპიუტერზე დარჩენის ამოცანა ნებისმიერ ფასად. ფაილების სრული დაშიფვრის შემდეგ, მისთვის კიდევ უფრო მომგებიანია საკუთარი თავის წაშლა და გაქრობა, რათა უფრო რთული იყოს ინციდენტის გამოძიება და ფაილების გაშიფვრა.

ძნელია იმის აღწერა, თუ როგორ უნდა ამოიღო ვირუსი ხელით, თუმცა ადრეც ვცადე ამის გაკეთება, მაგრამ ვხედავ, რომ ყველაზე ხშირად ეს უაზროა. ფაილების სახელები და ვირუსების განთავსების გზები მუდმივად იცვლება. რაც ვნახე, ერთ-ორ კვირაში აღარ არის აქტუალური. ჩვეულებრივ, ვირუსები იგზავნება ფოსტით ტალღებით და ყოველ ჯერზე არის ახალი მოდიფიკაცია, რომელიც ჯერ კიდევ არ არის გამოვლენილი ანტივირუსებით. დაგვეხმარება უნივერსალური ხელსაწყოები, რომლებიც ამოწმებს გაშვებას და აღმოაჩენს საეჭვო აქტივობას სისტემის საქაღალდეებში.

CRYPTED000007 ვირუსის მოსაშორებლად შეგიძლიათ გამოიყენოთ შემდეგი პროგრამები:

1. Kaspersky Virus Removal Tool - პროგრამა Kaspersky-დან http://www.kaspersky.ru/antivirus-removal-tool.
2. Dr.Web CureIt! - მსგავსი პროდუქტი სხვა ვებ – გვერდიდან http://free.drweb.ru/cureit.
3. თუ პირველი ორი კომუნალური პროგრამა არ დაგვეხმარება, სცადეთ MALWAREBYTES 3.0 - https://ru.malwarebytes.com.

სავარაუდოდ, ერთ-ერთი ასეთი პროდუქტი გაასუფთავებს თქვენს კომპიუტერს CRYPTED000007 გამოსასყიდი პროგრამისგან. თუ მოულოდნელად მოხდა, რომ ისინი არ დაეხმარნენ, სცადეთ ვირუსის ხელით ამოღება. მოხსნის მეთოდის მაგალითი მოვიყვანე და იქ ნახავთ. მოკლედ, ეტაპობრივად, თქვენ უნდა მოიქცეთ ასე:

1. ჩვენ ვუყურებთ პროცესების ჩამონათვალს, დავალების მენეჯერში რამდენიმე დამატებითი სვეტის დამატების შემდეგ.
2. ჩვენ ვპოულობთ ვირუსის პროცესს, ვხსნით საქაღალდეს, რომელშიც ის მდებარეობს და ვშლით.
3. ჩვენ ვასუფთავებთ ვირუსის პროცესის ხსენებას ფაილის სახელით რეესტრში.
4. ჩვენ გადატვირთეთ და დარწმუნდით, რომ CRYPTED000007 ვირუსი არ არის გაშვებული პროცესების სიაში.

სად ჩამოტვირთოთ დეშიფრატორი CRYPTED000007

მარტივი და საიმედო დეშიფრატორის საკითხი ჩნდება პირველ რიგში, როდესაც საქმე ეხება გამოსასყიდის ვირუსს. პირველი, რასაც გირჩევთ, არის სერვისის გამოყენება https://www.nomoreransom.org. რა მოხდება, თუ გაგიმართლათ და მათ აქვთ გაშიფრული CRYPTED000007 დაშიფვრის თქვენი ვერსიისთვის. მაშინვე ვიტყვი, რომ ბევრი შანსი არ გაქვს, მაგრამ მცდელობა არ არის წამება. მთავარ გვერდზე დააჭირეთ დიახ:

შემდეგ ჩამოტვირთეთ რამდენიმე დაშიფრული ფაილი და დააწკაპუნეთ Go! Გაგება:

წერის დროს საიტზე არ იყო გაშიფრული.

ალბათ უკეთესი წარმატება გექნებათ. თქვენ ასევე შეგიძლიათ იხილოთ ჩამოსატვირთი დეშიფრატორების სია ცალკე გვერდზე - https://www.nomoreransom.org/decryption-tools.html. იქნებ იქ არის რამე სასარგებლო. როდესაც ვირუსი სრულიად ახალია, ამის ალბათობა მცირეა, მაგრამ დროთა განმავლობაში შეიძლება რაღაც გამოჩნდეს. არის მაგალითები, როდესაც ქსელში გამოჩნდა დაშიფვრის ზოგიერთი მოდიფიკაციის დეშიფრატორები. და ეს მაგალითები მოცემულია მითითებულ გვერდზე.

არ ვიცი სად შეიძლება სხვაგან იპოვოთ დეკოდერი. ნაკლებად სავარაუდოა, რომ ის რეალურად იარსებებს, თანამედროვე შიფრატორების მუშაობის თავისებურებების გათვალისწინებით. მხოლოდ ვირუსის ავტორებს შეუძლიათ ჰქონდეთ სრულფასოვანი დეშიფრატორი.

როგორ გავაშიფროთ და აღვადგინოთ ფაილები CRYPTED000007 ვირუსის შემდეგ

რა უნდა გააკეთოთ, როდესაც CRYPTED000007 ვირუსმა დაშიფრა თქვენი ფაილები? დაშიფვრის ტექნიკური განხორციელება არ იძლევა ფაილების გაშიფვრას გასაღების ან დეშიფრატორის გარეშე, რაც აქვს მხოლოდ დაშიფვრის ავტორს. შეიძლება სხვა გზა იყოს, მაგრამ მე არ მაქვს ეს ინფორმაცია. ჩვენ შეგვიძლია ვცადოთ ფაილების აღდგენა მხოლოდ იმპროვიზირებული მეთოდების გამოყენებით. Ესენი მოიცავს:

• ხელსაწყო ჩრდილოვანი ასლებიფანჯრები.
• წაშლილი მონაცემების აღდგენის პროგრამები

პირველი, მოდით შევამოწმოთ, გვაქვს თუ არა ჩართული ჩრდილოვანი ასლები. ეს ინსტრუმენტი ნაგულისხმევად მუშაობს Windows 7 და უფრო მაღალ ვერსიაში, თუ ხელით არ გამორთავთ მას. შესამოწმებლად გახსენით კომპიუტერის თვისებები და გადადით სისტემის დაცვის განყოფილებაში.

თუ ინფექციის დროს არ დაადასტურეთ UAC-ის მოთხოვნა ფაილების ჩრდილოვანი ასლების წაშლის შესახებ, მაშინ გარკვეული მონაცემები იქ უნდა დარჩეს. ამ თხოვნაზე უფრო დეტალურად ვისაუბრე ისტორიის დასაწყისში, როცა ვირუსის მუშაობაზე ვისაუბრე.

ჩრდილოვანი ასლებიდან ფაილების მარტივად აღდგენისთვის, მე გთავაზობთ ამისთვის უფასო პროგრამის გამოყენებას - ShadowExplorer. ჩამოტვირთეთ არქივი, გახსენით პროგრამა და გაუშვით.

გაიხსნება ფაილების უახლესი ასლი და C დისკის ფესვი. ზედა მარცხენა კუთხეში შეგიძლიათ აირჩიოთ სარეზერვო ასლი, თუ რამდენიმე მათგანი გაქვთ. შეამოწმეთ სხვადასხვა ასლები საჭირო ფაილებისთვის. შეადარეთ თარიღის მიხედვით უახლესი ვერსიისთვის. ჩემს ქვემოთ მოცემულ მაგალითში ვიპოვე 2 ფაილი ჩემს დესკტოპზე სამი თვის წინ, როდესაც ისინი ბოლოს იყო რედაქტირებული.

მე შევძელი ამ ფაილების აღდგენა. ამისთვის მე ავირჩიე ისინი, დავაწკაპუნე მარჯვენა ღილაკით, ავირჩიე Export და მივუთითე საქაღალდე, სადაც უნდა აღვადგინო ისინი.

თქვენ შეგიძლიათ დაუყოვნებლივ აღადგინოთ საქაღალდეები იმავე პრინციპით. თუ თქვენ მუშაობდა ჩრდილოვანი ასლები და არ წაშალეთ ისინი, თქვენ გაქვთ კარგი შანსი აღადგინოთ ყველა, ან თითქმის ყველა, ვირუსით დაშიფრული ფაილი. შესაძლოა, ზოგიერთი მათგანი უფრო ძველი ვერსია იყოს, ვიდრე ჩვენ გვსურს, მაგრამ მიუხედავად ამისა, ის არაფერზე უკეთესია.

თუ რაიმე მიზეზით არ გაქვთ თქვენი ფაილების ჩრდილოვანი ასლები, დაშიფრული ფაილებიდან რაღაცის მიღების ერთადერთი შანსია მათი აღდგენა წაშლილი ფაილების აღდგენის ხელსაწყოების გამოყენებით. ამისათვის მე გირჩევთ გამოიყენოთ უფასო პროგრამა Photorec.

გაუშვით პროგრამა და აირჩიეთ დისკი, რომელზეც აღადგენთ ფაილებს. პროგრამის გრაფიკული ვერსიის გაშვება ახორციელებს ფაილს qphotorec_win.exe. თქვენ უნდა აირჩიოთ საქაღალდე, სადაც განთავსებული იქნება ნაპოვნი ფაილები. უმჯობესია ეს საქაღალდე არ იყოს განთავსებული იმავე დისკზე, სადაც ჩვენ ვეძებთ. ამისათვის შეაერთეთ ფლეშ დრაივი ან გარე მყარი დისკი.

ძიების პროცესს დიდი დრო დასჭირდება. დასასრულს ნახავთ სტატისტიკას. ახლა შეგიძლიათ გადახვიდეთ ადრე მითითებულ საქაღალდეში და ნახოთ რა არის იქ ნაპოვნი. დიდი ალბათობით ბევრი ფაილი იქნება და მათი უმეტესობა ან დაზიანდება ან იქნება რაღაც სისტემა და უსარგებლო ფაილები. მაგრამ მიუხედავად ამისა, ამ სიაში შეგიძლიათ იპოვოთ რამდენიმე სასარგებლო ფაილი. აქ არანაირი გარანტია არ არსებობს, რასაც იპოვი, რასაც იპოვი. სურათები, როგორც წესი, საუკეთესოდ აღდგება.

თუ შედეგი არ გაკმაყოფილებთ, მაშინ ასევე არის პროგრამები წაშლილი ფაილების აღდგენისთვის. ქვემოთ მოცემულია პროგრამების სია, რომლებსაც ჩვეულებრივ ვიყენებ, როდესაც მჭირდება ფაილების მაქსიმალური რაოდენობის აღდგენა:

• R.saver
• Starus ფაილის აღდგენა
• JPEG Recovery Pro
• აქტიური ფაილების აღდგენის პროფესიონალი

ეს პროგრამები არ არის უფასო, ამიტომ ბმულებს არ მოგაწოდებთ. თუ ნამდვილად გსურთ, შეგიძლიათ იპოვოთ ისინი თავად ინტერნეტში.

ფაილის აღდგენის მთელი პროცესი დეტალურად არის ნაჩვენები სტატიის ბოლოს ვიდეოში.

Kaspersky, eset nod32 და სხვები Filecoder.ED შიფრატორის წინააღმდეგ ბრძოლაში

პოპულარული ანტივირუსები აღმოაჩენენ გამოსასყიდ პროგრამას CRYPTED000007 როგორც Filecoder.EDდა შემდეგ შეიძლება იყოს სხვა აღნიშვნა. გადავხედე მთავარ ანტივირუსულ ფორუმებს და იქ ვერაფერი სასარგებლო ვერ ვნახე. სამწუხაროდ, როგორც ყოველთვის, ანტივირუსული პროგრამა მოუმზადებელი აღმოჩნდა გამოსასყიდის ახალი ტალღის შეჭრისთვის. აქ არის პოსტი კასპერსკის ფორუმიდან.

ანტივირუსები ტრადიციულად გამოტოვებენ გამოსასყიდის ტროასების ახალ მოდიფიკაციას. მიუხედავად ამისა, გირჩევთ გამოიყენოთ ისინი. თუ გაგიმართლათ და მიიღეთ გამოსასყიდი ელ.წერილი არა ინფექციების პირველ ტალღაზე, არამედ ცოტა მოგვიანებით, არის შანსი, რომ ანტივირუსი დაგეხმაროთ. ისინი ყველა თავდამსხმელებზე ერთი ნაბიჯით უკან მუშაობენ. გამოვიდა გამოსასყიდის ახალი ვერსია, მაგრამ ანტივირუსები არ რეაგირებენ მასზე. როგორც კი გროვდება გარკვეული რაოდენობის მასალა ახალი ვირუსის კვლევისთვის, ანტივირუსული პროგრამა ავრცელებს განახლებას და იწყებს მასზე რეაგირებას.

მე არ მესმის, რა უშლის ხელს ანტივირუსებს, დაუყოვნებლივ უპასუხონ სისტემაში დაშიფვრის ნებისმიერ პროცესს. შესაძლოა, ამ თემაზე არის გარკვეული ტექნიკური ნიუანსი, რომელიც არ გვაძლევს საშუალებას ადეკვატურად ვუპასუხოთ და თავიდან ავიცილოთ მომხმარებლის ფაილების დაშიფვრა. მეჩვენება, რომ შესაძლებელი იქნებოდა მინიმუმ გაფრთხილების ჩვენება იმის შესახებ, რომ ვიღაც შიფრავს თქვენს ფაილებს და შესთავაზეთ პროცესის შეჩერება.

სად წავიდეთ გარანტირებული გაშიფვრისთვის

შემთხვევით შევხვდი ერთ კომპანიას, რომელიც რეალურად შიფრავს მონაცემებს სხვადასხვა დაშიფვრის ვირუსების მუშაობის შემდეგ, მათ შორის CRYPTED000007. მათი მისამართია http://www.dr-shifro.ru. გადახდა მხოლოდ სრული გაშიფვრისა და თქვენი გადამოწმების შემდეგ. აქ არის მუშაობის სავარაუდო სქემა:

1. კომპანიის სპეციალისტი მოდის თქვენს ოფისში ან სახლში და ხელს აწერს თქვენთან ხელშეკრულებას, რომელიც განსაზღვრავს სამუშაოს ღირებულებას.
2. უშვებს დეშიფრორს და შიფრავს ყველა ფაილს.
3. თქვენ დარწმუნდებით, რომ ყველა ფაილი გახსნილია და ხელს აწერთ დასრულებული სამუშაოს მიწოდების/მიღების მოწმობას.
4. გადახდა ხდება მხოლოდ წარმატებული გაშიფვრის შედეგების საფუძველზე.

მართალი ვიქნები, არ ვიცი, როგორ აკეთებენ ამას, მაგრამ თქვენ არაფერს რისკავთ. გადახდა მხოლოდ დეკოდერის მუშაობის დემონსტრირების შემდეგ. გთხოვთ დაწეროთ მიმოხილვა ამ კომპანიასთან თქვენი გამოცდილების შესახებ.

CRYPTED000007 ვირუსისგან დაცვის მეთოდები

როგორ დავიცვათ თავი გამოსასყიდი პროგრამებისგან და თავიდან აიცილოთ მატერიალური და მორალური ზიანი? არსებობს რამდენიმე მარტივი და ეფექტური რჩევა:

1. სარეზერვო საშუალება! ყველა მნიშვნელოვანი მონაცემის სარეზერვო ასლი. და არა მხოლოდ სარეზერვო, არამედ სარეზერვო ასლი, რომელზეც მუდმივი წვდომა არ არის. წინააღმდეგ შემთხვევაში, ვირუსმა შეიძლება დააინფიციროს როგორც თქვენი დოკუმენტები, ასევე სარეზერვო ასლები.
2. ლიცენზირებული ანტივირუსი. მიუხედავად იმისა, რომ ისინი არ იძლევიან 100% გარანტიას, ისინი ზრდის დაშიფვრის თავიდან აცილების შანსებს. ისინი ყველაზე ხშირად არ არიან მზად დაშიფვრის ახალი ვერსიებისთვის, მაგრამ 3-4 დღის შემდეგ ისინი იწყებენ რეაგირებას. ეს ზრდის ინფექციის თავიდან აცილების შანსებს, თუ არ იქნებით გამოსყიდვის ახალი მოდიფიკაციის გავრცელების პირველ ტალღაში.
3. არ გახსნათ საეჭვო დანართები ფოსტაში. აქ კომენტარის გაკეთება არაფერია. ყველა ჩემთვის ცნობილი გამოსასყიდი პროგრამა მომხმარებლებზე ელფოსტით მივიდა. უფრო მეტიც, ყოველ ჯერზე იგონებენ ახალ ხრიკებს მსხვერპლის მოსატყუებლად.
4. დაუფიქრებლად არ გახსნათ მეგობრებისგან გამოგზავნილი ბმულები სოციალური ქსელების ან მყისიერი მესინჯერების საშუალებით. ვირუსები ზოგჯერ ასეც ვრცელდება.
5. ჩართეთ Windows ფაილის გაფართოებების ჩვენების მიზნით. როგორ გავაკეთოთ ეს მარტივია ინტერნეტში. ეს საშუალებას მოგცემთ შეამჩნიოთ ფაილის გაფართოება ვირუსზე. ყველაზე ხშირად ეს იქნება .exe, .vbs, .src. დოკუმენტებთან თქვენი ყოველდღიური მუშაობისას, ნაკლებად სავარაუდოა, რომ წააწყდეთ ფაილის ასეთ გაფართოებებს.

მე შევეცადე დამემატებინა ის, რაც ადრე დავწერე ყველა სტატიაში გამოსასყიდის ვირუსის შესახებ. ამასობაში ვემშვიდობები. მოხარული ვიქნები, რომ მივიღო სასარგებლო კომენტარები სტატიაზე და ზოგადად CRYPTED000007 გამოსასყიდ ვირუსზე.

ვიდეო ფაილის გაშიფვრისა და აღდგენის შესახებ

აქ მოცემულია ვირუსის წინა მოდიფიკაციის მაგალითი, მაგრამ ვიდეო სრულიად აქტუალურია CRYPTED000007-ისთვის.

2017 წლის 12 აპრილს გაჩნდა ინფორმაცია დაშიფვრის ვირუსის, სახელწოდებით WannaCry, მთელ მსოფლიოში სწრაფი გავრცელების შესახებ, რომელიც შეიძლება ითარგმნოს როგორც „მინდა ვიტირო“. მომხმარებლებს აქვთ კითხვები Windows-ის განახლებასთან დაკავშირებით WannaCry ვირუსის წინააღმდეგ.

კომპიუტერის ეკრანზე ვირუსი ასე გამოიყურება:

ცუდი WannaCry ვირუსი, რომელიც შიფრავს ყველაფერს

ვირუსი შიფრავს კომპიუტერში არსებულ ყველა ფაილს და ითხოვს გამოსასყიდს ბიტკოინის საფულეზე 300 ან 600 დოლარის ოდენობით კომპიუტერის სავარაუდო გაშიფვრისთვის. დაინფიცირდა კომპიუტერები მსოფლიოს 150 ქვეყანაში, მათგან ყველაზე მეტად რუსეთი დაზარალდა.

მეგაფონი, რუსეთის რკინიგზა, შინაგან საქმეთა სამინისტრო, ჯანდაცვის სამინისტრო და სხვა კომპანიები მჭიდროდ განიცდიან ამ ვირუსს. დაშავებულებს შორის არიან რიგითი ინტერნეტ მომხმარებლები.

ვირუსის წინაშე თითქმის ყველა თანასწორია. განსხვავება, ალბათ, ის არის, რომ კომპანიებში ვირუსი ვრცელდება ორგანიზაციის ლოკალურ ქსელში და მყისიერად აინფიცირებს კომპიუტერების მაქსიმალურ რაოდენობას.

WannaCry ვირუსი შიფრავს ფაილებს კომპიუტერებზე Windows-ის გამოყენებით. Microsoft-მა გამოუშვა MS17-010 განახლებები Windows XP, Vista, 7, 8, 10-ის სხვადასხვა ვერსიებისთვის ჯერ კიდევ 2017 წლის მარტში.

გამოდის, რომ მათ, ვისაც Windows ავტომატურად განახლებულია, ვირუსის რისკი არ ემუქრებათ, რადგან მათ დროულად მიიღეს განახლება და შეძლეს მისი თავიდან აცილება. მე არ ვფიქრობ, რომ ვთქვა, რომ ეს სინამდვილეში ასეა.

ბრინჯი. 3. შეტყობინება KB4012212 განახლების დაყენებისას

KB4012212 განახლება მოითხოვდა ლეპტოპის გადატვირთვას ინსტალაციის შემდეგ, რაც მე ნამდვილად არ მომეწონა, რადგან უცნობია როგორ შეიძლება დასრულდეს ეს, მაგრამ სად უნდა წავიდეს მომხმარებელი? თუმცა, გადატვირთვამ კარგად ჩაიარა. ეს ნიშნავს, რომ ჩვენ მშვიდად ვცხოვრობთ ვირუსის მომდევნო შეტევამდე და, სამწუხაროდ, ეჭვგარეშეა, რომ ასეთი შეტევები მოხდება.

ნებისმიერ შემთხვევაში, მნიშვნელოვანია გქონდეთ ადგილი ოპერაციული სისტემის და თქვენი ფაილების აღდგენისთვის.

Windows 8 განახლება WannaCry-სგან

ლიცენზირებული Windows 8-ის მქონე ლეპტოპისთვის დაინსტალირებული იყო განახლება KB 4012598, რადგან

პირველი ცნობების თანახმად, სამშაბათს თავდამსხმელების მიერ გააქტიურებული დაშიფვრის ვირუსი კლასიფიცირებული იყო, როგორც გამოსასყიდი პროგრამის უკვე ცნობილი Petya ოჯახის წევრი, მაგრამ მოგვიანებით გაირკვა, რომ ეს იყო მავნე პროგრამების ახალი ოჯახი, მნიშვნელოვნად განსხვავებული ფუნქციონირებით. კასპერსკის ლაბორატორიამ ახალ ვირუსს ExPetr უწოდა.

„ჩვენი ექსპერტების მიერ ჩატარებულმა ანალიზმა აჩვენა, რომ მსხვერპლს თავდაპირველად არ ჰქონდათ საკუთარი საქმეების დაბრუნების შანსი. „კასპერსკის ლაბორატორიის მკვლევარებმა გააანალიზეს მავნე პროგრამის კოდის ნაწილი, რომელიც დაკავშირებულია ფაილების დაშიფვრასთან და დაადგინეს, რომ დისკის დაშიფვრის შემდეგ, ვირუსის შემქმნელებს აღარ ექნებათ მისი გაშიფვრის შესაძლებლობა“, - იუწყება ლაბორატორია.

როგორც კომპანია აღნიშნავს, გაშიფვრას სჭირდება უნიკალური იდენტიფიკატორი კონკრეტული ტროას ინსტალაციისთვის. მსგავსი შიფრატორების Petya/Mischa/GoldenEye ადრე ცნობილ ვერსიებში ინსტალაციის იდენტიფიკატორი შეიცავდა გაშიფვრისთვის აუცილებელ ინფორმაციას. ExPetr-ის შემთხვევაში, ეს იდენტიფიკატორი არ არსებობს. ეს ნიშნავს, რომ მავნე პროგრამის შემქმნელებს არ შეუძლიათ მიიღონ ინფორმაცია, რომელიც საჭიროა ფაილების გაშიფვრისთვის. სხვა სიტყვებით რომ ვთქვათ, გამოსასყიდი პროგრამის მსხვერპლებს არ აქვთ საშუალება დაიბრუნონ თავიანთი მონაცემები, განმარტავს კასპერსკის ლაბორატორია.

ვირუსი ბლოკავს კომპიუტერებს და ითხოვს 300 დოლარს ბიტკოინებში, განუცხადა რია ნოვოსტის Group-IB. თავდასხმა სამშაბათს, დაახლოებით 11:00 საათზე დაიწყო. მედიის ცნობით, ოთხშაბათს დილის 6 საათისთვის ბიტკოინის საფულემ, რომელიც გამომძალველებისთვის თანხების გადარიცხვისთვის იყო მითითებული, ცხრა გადარიცხვა მიიღო. გადარიცხვების საკომისიოს გათვალისწინებით, დაზარალებულებმა ჰაკერებს დაახლოებით 2,7 ათასი დოლარი გადაურიცხეს.

WannaCry-თან შედარებით, ეს ვირუსი უფრო დესტრუქციულად ითვლება, რადგან ის ვრცელდება რამდენიმე მეთოდის გამოყენებით - Windows Management Instrumentation, PsExec და EternalBlue ექსპლოიტის გამოყენებით. გარდა ამისა, გამოსასყიდ პროგრამა მოიცავს უფასო Mimikatz პროგრამას.

ახალი „ახალი პეტიას“ დაშიფვრის ვირუსის მიერ თავდასხმის მომხმარებელთა რაოდენობამ 2 ათასს მიაღწია, იტყობინება ოთხშაბათს კასპერსკის ლაბორატორია, რომელიც იძიებს კომპიუტერული ინფექციების ტალღას.

ანტივირუსული კომპანიის ESET-ის ცნობით, თავდასხმა დაიწყო უკრაინაში, რომელიც სხვა ქვეყნებზე მეტად დაზარალდა. კომპანიის მიერ ვირუსით დაზარალებული ქვეყნების რეიტინგის მიხედვით, უკრაინის შემდეგ მეორე ადგილზეა იტალია, მესამეზე კი ისრაელი. ათეულში ასევე მოხვდნენ სერბეთი, უნგრეთი, რუმინეთი, პოლონეთი, არგენტინა, ჩეხეთი და გერმანია. რუსეთმა ამ სიაში მე-14 ადგილი დაიკავა.

გარდა ამისა, Avast-მა თქვა, თუ რომელი ოპერაციული სისტემები დაზარალდა ყველაზე მეტად ვირუსით.

პირველ ადგილზე Windows 7 იყო - ყველა ინფიცირებული კომპიუტერის 78%. შემდეგი მოდის Windows XP (18%), Windows 10 (6%) და Windows 8.1 (2%).

ამრიგად, WannaCry-მ გლობალურ საზოგადოებას პრაქტიკულად არაფერი ასწავლა - კომპიუტერები დაუცველი რჩებოდა, სისტემები არ განახლებულა და Microsoft-ის მცდელობა, გამოეცა პატჩები მოძველებული სისტემებისთვისაც კი, უბრალოდ ფუჭად წავიდა.