Noul extortionist de virus de calculator. Ce este un extortionist de virus? Cum este infectat computerul cu Decryptor Wana

Potrivit lui Kaspersky Laboratories și Dr.Web, virușii extorcabili au fost cele mai frecvente dintre programele rău intenționate anul trecut și au bătut toate înregistrările pe an de către prezent. Sunteți foarte norocoși dacă computerul dvs. este protejat în mod fiabil și nu a luat încă un astfel de "oaspete".

Ce este un extortionist de virus?

aceasta program rău intenționatDe regulă, Trojan, care blochează funcționarea computerului și oferă pentru a restabili status quo-ul dacă trimiteți un SMS plătit la un număr scurt.
Cel mai interesant lucru este că trimiterea acestui mesaj nu are cel mai adesea nici o consecință, adică veți cheltui bani și nu veți primi rezultatul. În plus, foarte des SMS este mult mai scump decât suma indicată.
Virușii - extorsioners sunt mai multe tipuri. Unele acces la site-uri web sau la locul de muncă cu browserul. Altele - Criptați fișierele utilizatorului. Al treilea bloc de acces la resurse sistem de operare sau să limiteze acțiunile din acesta. Acești viruși sunt ascunși, de obicei printre fișierele cu ZIP, RAR, EX, BAT, Extensiile COM.

Cum să nu devii victimă a virusului extortorului?

1. Desigur, nici un fel nu face fără. Cu cele mai recente baze de date actualizate constant. Protecția împotriva virușilor poate oferi atât plătită atât antivirus gratuit. În orice caz, vă evaluați importanța lucrărilor stabile și a protecției datelor pe computer. Salvați pe protecție - nu cea mai bună opțiune.
2. Din acțiunile obligatorii care ar trebui plasate pe programul dvs. antivirus - completați pentru viruși. Frecvența de a verifica din nou vă determinați pentru dvs., dar cel puțin o dată pe săptămână merită să faceți o astfel de inspecție.
Producătorii de sisteme de protecție împotriva virușilor oferă, de asemenea, să verifice fișierele direct pe site-urile lor, acestea sunt așa-numitele scanere online. Dacă aveți îndoieli cu privire la unele fișiere de pe computer, le puteți verifica din nou, fiecare separat:

Dr.Web Scanner online
http://vms.drweb.com/online/

Kaspersky Online scanner.
http://www.kaspersky.ru/scanforvirus.

Dr.Web oferă, de asemenea, propria soluție - Dr.Web Linkchecker. Acesta este un set de plug-in-uri pentru trei browsere ( Mozilla Firefox., Opera I. Internet Explorer.), după instalarea tuturor paginilor pe care le deschideți și fișierele descărcate de pe Internet vor fi verificate în prealabil programe rău intenționate, adică. Înainte de a deschide sau descărca ceva.
3. Merită din nou să repetați că unele resurse sunt mai bine să ocolești cel de-al zecelea drum. Vorbim despre site-urile de promisiuni, o mulțime de porno gratuite etc. Apropo, resursele care oferă tot felul de fisuri, programe de hacking, chei și software-ul similar sunt, de asemenea, potențial periculoase pentru computerul dvs. Apropo, orice programe - fie programul normal Pentru a vizualiza fotografiile, un client IM sau chiar un set standard de codecuri - recomand cititorii Mirovets pentru a le descărca de pe site-uri oficiale. Cel puțin, resursa trebuie să fie fiabilă și verificată.
Locurile de căutare mari (de exemplu, Yandex, Google) au învățat deja să recunoască site-urile, mergând la care puteți obține un virus ca o recompensă și avertizați despre asta. Dar dacă nu sunteți sigur de fiabilitatea site-ului (chiar și site-urile oficiale pot purta uneori o amenințare la adresa infecției), puteți verifica singură. Acest lucru este ușor de fezabil pe pagina aceluiași scaner online Dr.Web, unde faceți clic pe link "Verificați linkul (URL)" și introducerea adresei paginii site-ului, veți afla dacă virușii care vă interesează nu conține.
Nu va fi superfluă să punem o protecție suplimentară pentru verificarea site-urilor la care au participat la deschiderea lor. De exemplu, puteți utiliza gratuit Dr.Web Linkchecker (http://www.freedrweb.com/linkchecker/), care sunt încorporate în toate cele mai populare browsere: Mozilla Firefox, Opera, Internet Explorer.
4. Nu deschideți e-mailuri sau fișiere de la persoane necunoscute sau să treacă prin legăturile primite de la străini. Mai multe despre existența unor viruși exteriori și nu numai ei.
5. Cele mai importante parole pentru dvs. și login-urile sunt recomandate pentru a fi stocate separat.
6. Toate discurile, unitățile flash, cardurile de memorie și alte medii amovibile pe care le conectați la un computer imediat verificați programele rău intenționate și apoi începeți să lucrați cu acesta. În plus, Autorunul suportului detașabil (deschidere automată atunci când este conectat) este mai bine să se oprească deloc, virușii sunt capabili să se ascundă și acolo. Pentru a dezactiva Autorun, utilizați ajutorul sistemului de operare.
În cazul în care programul de funcționare anterior nu este pornit, fișierele pe care le-ați lucrat recent cu care ați funcționat recent, este imposibil să mergeți online sau este imposibil să lucrați cu un computer ... când apare o fereastră În schimb, trebuie să trimiteți SMS, aproape sigur că trebuia să vă familiarizați cu unul dintre tipurile de viruși extorsionari. Desigur, nu vă sfătuim să trimitem mesaje oriunde, nu va exista niciun rezultat. Dar puteți lupta împotriva virusului și a nevoii.
Pentru a face acest lucru, este de dorit să aveți un set de utilități pentru tratamentul computerului dvs. de la astfel de viruși. Vom spune despre ei mai departe. Dar dacă nu sunteți sigur că puteți face față tratamentului computerului dvs., contactați mai bine un specialist pentru ajutor.

Cum să scapi de virusul extortorului

Ce se întâmplă dacă virusul este extortory încă intrat în computerul dvs.? În primul rând, nu ar trebui să vă panicați. În ciuda faptului că virușii excitabili evoluează rapid, ei încă se pot lupta cu ei. Trebuie doar să vă luați în mână și să luați o serie de măsuri.
Pentru a reuși în lupta împotriva virusului extortorului, trebuie să determinați mai întâi ce oaspete vă vizitați și computerul.
1. Virușii care blochează accesul la internet. Dacă nu puteți intra pe Internet sau nu puteți ajunge la majoritatea site-urilor și să vedeți un banner cu o cerință pentru a trimite un SMS plătit, cel mai probabil ați vizitat unul dintre acești viruși: Trojan-Ransom.Bat.Agent.c sau Trojan-Ransom.win32. Digitala (obțineți accelerator, acces digital, obține acces, descărcare manager v1.34, accelerator net ilite).
Primul, după cum se poate vedea din nume, are o bâtă de extindere. Acest virus se schimbă fișierul găzduieșteSituat în catalogul rădăcinii discul de sistem (Windows-95/98 / Me) sau în folderul WindowsSystem32Driversetc (Windows NT / 2000 / XP / Vista). Trebuie să deschideți acest fișier folosind orice editor de text Și ștergeți toate liniile, cu excepția 127.0.0.1 localhost.

Apoi țineți scanarea completă a computerului cu antivirus. După verificare, reporniți computerul. Problema ar trebui să dispară.
În ceea ce privește virușii grupului troian-ransom.win32.digitala, atunci totul este mult mai complicat. Aceste programe rău intenționate pot fi mascate sub legale software.. Ele sunt mult mai dificile și știu cum să se ascundă. Deci, fereastra urâtă este agățată în cerința de răscumpărare pentru restaurarea performanței computerului. Poate că primul lucru pe care îl puteți încerca să scapi de viruși care necesită introducerea codului de activare prin trimiterea SMS-urilor este să încercați să aflați acest cod. Pentru a face acest lucru, cu ajutorul unui alt computer (ca o ultimă soluție cu telefon mobil) Trebuie să mergeți la locul unuia dintre producătorii de software anti-virus (referințele sunt prezentate mai jos), la o pagină cu serviciul de dezactivare a virușilor de extorcare:

Dezactivarea serviciului de laborator Kaspersky
http://support.kaspersky.ru/virus/deblocker.

ESET ESET NOD32: Deblocarea ferestrelor
http://www.esetnod32.ru/.support/winlock/

Dr.Web: Deblocarea ferestrelor de la troian.winlock
http://www.drweb.com/unlocker/

Trebuie doar să completați mai multe câmpuri, iar sistemul vă va oferi codul cu care puteți debloca funcționarea computerului. Dacă codul numeric vă oferă ajutor și computerul a atins din nou, nu trebuie să vă opriți acolo! Cel mai probabil, undeva în interiorul sistemului de operare au fost urme ale unui virus dăunător. Ei pot da să știe despre ei înșiși puțin mai târziu de eșecuri frecvente de lucru, și poate și de blocare. La acest lucru nu se întâmplă, vă recomandăm să citiți cititorii de Diverse pentru a verifica sistemul de operare utilizând un antivirus, nu uitați să actualizați bazele de date înainte de aceasta.
Dacă codul de deblocare nu ajută, puteți încerca să vindecați calculatorul utilizând utilitarul Digita_cure (produs Kaspersky Lab) special conceput pentru a trata grupul de viruși-ransom.win32.digitala sau programe de cureit (produsul DR.WEB), care detectează și detectează alte tipuri de viruși. Le puteți descărca gratuit pe site-urile acestor laboratoare:

Digita_cure Utility.
Pagina programului: http://www.kaspersky.ru/support/virus/solutions?print\u003dtrue&qid\u003d208637303.
Descărcați linkul: http://www.kaspersky.ru/support/downloads/utils/digita_cure.zip.

Utilitate cureit.
Pagina programului: http://www.freedrweb.com/cuureit/
Descărcați linkul: http://www.freedrweb.com/download+cureit/gr/

Înainte de a începe tratamentul de la virus, trebuie să închideți accesul la Internet și să reporniți computerul modul de siguranțăApăsând imediat butonul F8 după pornirea și selectarea elementului "Descărcați în modul sigur". Apoi, va fi necesar să porniți unitatea flash sau pe disc cu utilitarul Digita_cure (sau cureit) și să efectuați o verificare completă a computerului. Alternativ, puteți utiliza un hard disk detașabil cu un program antivirus alternativ. După tratament, calculatorul va trebui să repornească ca de obicei. Extorsiunile virusului după această procedură trebuie eliminate.
2. Virușii de blocare a browserului. Dacă călătoriți pe World Wide Web folosind Internet Explorer și, intră în orice site, consultați bannerul de pe ecran un conținut foarte sincer pe care este scris numărul scurt și cerința cererii, știți, vizitați Trojan-Ransom.win32.hexzone sau troian -RAnsom.win32.bho. Acești viruși nu blochează munca întregului computer și trăiesc numai în.

Ei folosesc obiectul helperului browserului. Puteți rezolva manual problema utilizând următorul algoritm. Deschideți Internet Explorer, găsiți elementul de meniu "Service", apoi selectați "Add-in" (Add-in Management)\u003e "Activați și dezactivați setările". Făcând clic pe ultimul element, veți vedea toate programele de completare instalate în browser. Sarcina dvs. este de a verifica toate add-on-urile care nu au nici o intrare în coloana "editor" sau scrisă "nu este verificată".

Deconectați alternativ, de fiecare dată când executați Internet Explorer din nou. Această suprastructură, după deconectarea căreia pornobannerul va dispărea, este rău intenționată și va trebui să se oprească.
De asemenea, puteți elimina acest tip de viruși de extorcare utilizând utilitarul Avptool de la Kaspersky (http://support.kaspersky.ru/virus/avput2010?level\u003d2) sau cureit de la Dr.Web (http: //www.freedrweb. COM / Cureit /).
3. Virușii care blochează accesul la OS. Dacă nu este lansat niciun program pe computer, cu excepția Internet Explorer și Outlook Express., Și în fața dvs. fereastra cu cerința de răscumpărare, virusul care blochează sistemul de operare a fost lovit pentru dvs., unul dintre acestea - Trojan-Ransom.win32.krotten.

Pentru a salva computerul de la virusul extortorului acestui grup, puteți contacta și serviciul deblocare gratuită (Link-uri pentru a debloca paginile de service au fost prezentate mai sus). După deblocare, nu uitați să efectuați un test profund al computerului cu un program antivirus licențiat cu baze proaspete.
În caz de eșec, va trebui să utilizați Livecd de la Dr.Web, conceput pentru sistemul de recuperare de urgență.

Pagina programului: http://www.freedrweb.com/livecd/
Link pentru a descărca imagini: FTP://ftp.drweb.com/pub/drweb/livecd/mindrweblivecd-5.0.1.iso.

Va trebui să descărcați și să scrieți o imagine pe un disc, făcându-l pradă (acest lucru se poate face utilizând programul CDBURNERXP, setați opțiunea "Make Disk Bootable" la înregistrare). După aceea, prin setarea primului dispozitiv de pornire din BIOS:, pentru a încărca un computer de pe acest disc. LiveCD de la Dr.Web conține deja mijloace pentru tratarea și îndepărtarea virușilor, dar în acest caz un program rău intenționat poate interfera cu lansarea încorporată în discul de boot. Utilități.

Și, cel mai probabil, veți avea nevoie de ajutorul altor utilități antivirus înregistrate pe unitatea flash. Ei vor trebui să fie redenumiți în "iexplore.exe", după aceea pot fi lansate. Și puteți ajuta astfel de fonduri ca Avptool de la Kaspersky (descrierea produsului este aici http://support.kaspersky.ru/virus/avpTool2010?level\u003d2) sau utilitate AVZ. (http://z-oleg.com/secur/avz/download.php) Cu toate acestea, aveți nevoie de scripturi pentru a lucra cu acesta. Pentru a le compila, puteți contacta forumurile specializate, de exemplu, virusinfo. Înainte de a utiliza serviciile specialiștilor din forum, citiți cu atenție regulile, citiți întrebările frecvente și înregistrați. Veți fi oferit cu un script pentru cazul dvs. Apoi, va trebui să copiați scriptul, selectați "File - Run Script" din meniul programului, introduceți scriptul în fereastra care se deschide și faceți clic pe "Rulați". Repetați din nou: Dacă nu sunteți sigur că puteți face totul corect, este mai bine să vă întoarceți la un specialist.

Se observă, unii viruși care blochează accesul la resursele sistemului de operare sunt îndepărtate de exact 2 ore după penetrare pe computer. Pentru a scăpa de virus, se dovedește a fi suficient pentru a traduce ceasul în BIOS "E înainte mai mult de câteva ore. După repornirea ferestrei cu solicitarea, trimiteți SMS dispare, precum și urme din prezența virusul. Dar totuși verificare completă Antivirusul este recomandat pentru profilaxia.

4. Encrybers viruși. Un loc separat este ocupat de viruși care criptează datele stocate pe computer: trojan-ransom.win32.gpode, trojan-ransom.win32.encore, trojan.ramvicrype. De regulă, fișierele cu TXT, XLS, extensiile DOC suferă. Pentru a afla că computerul dvs. este infectat, puteți, datorită lipsei de acces la informații și a ferestrei de pe desktop sau document text.încorporate într-un director cu fișiere criptate.
Cripii sunt probabil cei mai teribili viruși exteritabili. Pentru tratamentul lor, destul de recent nu exista. metode standard. Astăzi, Laboratorul Dr.Web oferă utilități concepute special pentru tratamentul virușilor de acest tip (http://www.freedrweb.com/aid_admin/). Sub link-ul puteți descărca o serie de utilități pentru a combate virușii de tip Trojan-Ransom.win32.encore. Ele sunt oferite gratuit.
De asemenea, puteți profita de utilitățile gratuite fotorec (create de Grier Crystophol, este distribuit în conformitate cu licența GPL) și StopGCode2 (produsul Kaspersky Lab). Instrucțiunile cu ajutorul lor sunt descrise în detaliu și sunt descrise pe pagina SecureList.com.
http://www.securelist.com/ru/virus / sensibilclopedia?virusid\u003d313444#doc2.
Symantec a dezvoltat un utilitar care luptă cu criptarea virusului Ramvicrype. Acest virus criptează fișierele în folder de sistem., atribuindu-le o extensie .Vicrypt. De regulă, niciun program nu este lansat pe un computer afectat de acest virus. Descărcați un instrument gratuit Trojan.ramVicrype pe site-ul oficial al Symantec:
http://www.symantec.com/en/uk/business/security_response/writeup.jsp?docid\u003d2009-102921-3210-99.
Înainte de a începe utilitarul anti-virus de la Symantec, trebuie să închideți toate programele, dezactivați computerul din rețea. ATENȚIE: În instrucțiunile de utilizare a utilitarului, se recomandă, de asemenea, dezactivarea serviciului de recuperare a sistemului. După verificarea calculatorului, trebuie să reporniți și să verificați. Numai după ce aceste acțiuni ar trebui să restabilească conexiunea la rețea și să pornească serviciul de recuperare.

Dacă nici una dintre metodele de mai sus nu v-a ajutat, va trebui să contactați specialiștii suport tehnic Producătorul software-ului dvs. antivirus.
În concluzie, aș dori să menționez că prevenirea este întotdeauna mai bună decât tratamentul. Prin urmare, urmați întotdeauna regulile de securitate pe Internet și nu economisiți la protecția computerului - Utilizați licențiat programe antivirus. Și totuși, fișierele foarte importante sunt cele mai bune pentru a stoca nu numai pe hard diskul computerului, ci și pe un alt purtător, de exemplu, duplicați-le pe un CD, DVD sau unitate flash USB.

18.05.2017 16:56

Săptămâna trecută, utilizatorii din întreaga lume au întâmpinat un val foarte larg de kiberatak, care au fost realizate folosind un virus extorcibil numit Wannacry. Utilizatorii din diferite părți ale lumii au fost victime ale malware-ului. În această săptămână, răspândirea virusului a fost capabilă să se oprească, dar în doar câteva zile avea urmași.

Virusul Wannacry sa arătat deja în acțiune. Mulți hackeri au reușit să se familiarizeze cu el, astfel încât apariția adepților nu sa făcut să aștepte mult timp. Mai mult, este posibil ca într-un timp scurt, nu unul, ci mai mulți viruși similari. Unul dintre ei a devenit deja cunoscut. A fost descoperit de cercetători de la Trend Micro. Ei au aflat că noul software extortionat folosește aceeași vulnerabilitate ca și popularul recent Wannacry. Noul software rău intenționat se numește UiWix. Unii experți au reușit deja să declare că noul software rău intenționat este o versiune îmbunătățită a lui Wannacry, dar cercetătorii de la Trend Micro au negat. În opinia lor, ambii viruși aparțin aceleiași familii. Aceste programe malware exploatează aceeași vulnerabilitate microsoft. Deja au reușit să remedieze în siguranță, lăsând următoarele patch-uri pentru software-ul lor.

Amintiți-vă că, potrivit unor date, exploatarea pentru vulnerabilități în SMB a fost exploatată anterior de către Agenția Națională de Securitate a Statelor Unite, dar după ce informațiile despre gaura din software au fost scurgeri în rețea datorită hackerilor de la Brokerii Shadow, NSA a refuzat să utilizeze aceasta.

În plus față de funcționarea aceleiași vulnerabilități, virușii nu mai sunt conectați. Dacă Wannacry utilizează fișiere pentru a le fixa calculator personal victimele, atunci Uiwix este valabil numai în memoria dispozitivului, fără a înregistra pe hDD. Nu există fișiere. Din acest motiv, este mult mai dificil să se urmărească și să distrugă, ceea ce îl face în comparație cu Wannacry mai imperceptibil. Dacă Malico găsește ceea ce a fost prins ( mașină virtuală sau nisip), atunci el va stimula auto-stime. Deoarece nu este ciudat, dar virusul nu este valabil pe teritoriul celor trei țări. Aceasta este Rusia, Belarus și Kazahstan. Dacă software-ul rău intenționat poate ajunge la computer în aceste țări, acesta va fi, de asemenea, distrus de dvs.

Potrivit experților, este suficient să reporniți computerul pentru a distruge virusul. Deoarece virusul este stocat în memorie, atunci ca rezultat al repornirii, acesta va fi șters. Mesajul apare pe ecran după ce infectarea PC-ului afirmă că toate fișierele de pe computer sunt criptate și pentru decriptarea lor trebuie să plătiți răscumpărarea în valoare de 200 de dolari. Rețineți că Wannacry a cerut mult mai mult. În primul rând, cantitatea de răscumpărare a fost de 300 de dolari, dar mai târziu a crescut la 600 de dolari.

Ca urmare a analizei codului unui nou virus de extorgător, a fost, de asemenea, posibil să se stabilească că UiWix în timpul șederii sale la PC-ul victimei colectează toate datele necesare pentru autorizare în diferite servicii, inclusiv browser-ul, e-mail, mesageri etc.