###
  • Programi
  • Sigurnost
  • Vijesti
  • Zanimljiv
  • Savjet
  • Vijesti
  • Recenzije

    • Tko je podmetnuo zeca? Wanna Cry file encryptor virus - kako se zaštititi i sačuvati podatke Encryptor virus napad

    04.11.2020 Zanimljiv

    “Oprostite što smetamo, ali... vaše su datoteke šifrirane. Da biste dobili ključ za dešifriranje, hitno prebacite određenu svotu novca u svoj novčanik... U protivnom će vaši podaci biti zauvijek uništeni. Imate 3 sata, vrijeme je prošlo.” I nije šala. Virus za šifriranje više je nego stvarna prijetnja.

    Danas ćemo razgovarati o tome što je ransomware malware koji se proširio posljednjih godina, što učiniti ako se zarazi, kako izliječiti svoje računalo i je li to uopće moguće te kako se zaštititi od njih.

    Šifriramo sve!

    Ransomware virus (encryptor, cryptor) posebna je vrsta zlonamjernog ransomwarea čija se aktivnost sastoji od šifriranja korisničkih datoteka i zatim traženja otkupnine za alat za dešifriranje. Iznosi otkupnine počinju negdje od 200 dolara i dosežu desetke i stotine tisuća zelenih papirića.

    Prije nekoliko godina samo su računala sa sustavom Windows bila napadnuta ovom klasom zlonamjernog softvera. Danas se njihov asortiman proširio na naizgled dobro zaštićene Linux, Mac i Android. Osim toga, raznolikost kriptora stalno raste - novi proizvodi pojavljuju se jedan za drugim, koji imaju nešto iznenaditi svijet. Dakle, nastao je “križanjem” klasičnog enkripcijskog Trojana i mrežnog crva (zloćudnog programa koji se širi mrežama bez aktivnog sudjelovanja korisnika).

    Nakon WannaCryja pojavili su se ništa manje sofisticirani Petya i Bad Rabbit. A budući da “posao šifriranja” svojim vlasnicima donosi dobre prihode, budite sigurni da nisu posljednji.


    Sve više i više enkriptora, posebno onih koji su objavljeni u zadnjih 3-5 godina, koristi snažne kriptografske algoritme koji se ne mogu probiti brutalnom silom ili drugim postojećim sredstvima. Jedini način za oporavak podataka je korištenje originalnog ključa, koji napadači nude za kupnju. Međutim, čak ni prijenos potrebnog iznosa njima ne jamči primitak ključa. Kriminalci se ne žure otkriti svoje tajne i izgubiti potencijalnu zaradu. I kakav im je smisao ispunjavati obećanja ako već imaju novac?

    Putovi distribucije kriptirajućih virusa

    Glavni način na koji zlonamjerni softver dospijeva na računala privatnih korisnika i organizacija je E-mail, točnije datoteke i poveznice priložene pismima.

    Primjer takvog pisma namijenjenog “korporativnim klijentima”:


    • "Odmah otplatite dug po kreditu."
    • “Tužba je predana sudu.”
    • "Plati kaznu/pristojbu/porez."
    • “Dodatna naknada za komunalne usluge.”
    • "Oh, jesi li to ti na fotografiji?"
    • “Lena me zamolila da ti hitno dam ovo” itd.

    Slažem se, samo bi upućeni korisnik s takvim pismom postupao s oprezom. Većina će ljudi, bez oklijevanja, sama otvoriti privitak i pokrenuti maliciozni program. Usput, unatoč vapajima antivirusa.

    Sljedeće se također aktivno koristi za distribuciju ransomwarea:

    • Društvene mreže (slanje pošte s računa prijatelja i stranaca).
    • Zlonamjerni i zaraženi web resursi.
    • Banner oglašavanje.
    • Slanje pošte putem glasnika s hakiranih računa.
    • Vareznik stranice i distributeri keygena i cracka.
    • Stranice za odrasle.
    • Pohrane aplikacija i sadržaja.

    Virusi za šifriranje često se prenose drugim zlonamjernim programima, posebice reklamnim demonstratorima i trojanskim konjima na stražnjim vratima. Potonji, koristeći ranjivosti u sustavu i softveru, pomažu kriminalcu da dobije daljinski pristup na zaraženi uređaj. Pokretanje kriptora u takvim slučajevima ne podudara se uvijek s potencijalno opasnim radnjama korisnika. Sve dok backdoor postoji u sustavu, napadač može prodrijeti u uređaj u bilo kojem trenutku i pokrenuti enkripciju.

    Da bi se zarazila računala organizacija (uostalom, iz njih se može izvući više nego od kućnih korisnika), razvijaju se posebno sofisticirane metode. Na primjer, trojanac Petya prodro je u uređaje kroz modul za ažuriranje programa za porezno računovodstvo MEDoc.


    Enkriptori s funkcijama mrežnih crva, kao što je već spomenuto, šire se mrežama, uključujući i Internet, putem ranjivosti protokola. I možete se njima zaraziti, a da ne poduzmete apsolutno ništa. Korisnici operacijskih sustava Windows koji se rijetko ažuriraju izloženi su najvećem riziku jer ažuriranja zatvaraju poznate rupe.

    Neki malware, kao što je WannaCry, iskorištavaju 0-day ranjivosti, odnosno one kojih programeri sustava još nisu svjesni. Nažalost, nemoguće je u potpunosti odoljeti infekciji na ovaj način, ali vjerojatnost da ćete biti među žrtvama ne doseže ni 1%. Zašto? Da, jer zlonamjerni softver ne može zaraziti sve ranjive strojeve odjednom. I dok planira nove žrtve, programeri sustava uspijevaju objaviti spasonosno ažuriranje.

    Kako se ransomware ponaša na zaraženom računalu

    Proces enkripcije, u pravilu, počinje neprimjetno, a kada njegovi znakovi postanu očiti, prekasno je za spremanje podataka: do tada je zlonamjerni softver šifrirao sve do čega može doći. Ponekad korisnik može primijetiti da se ekstenzija datoteka u otvorenoj mapi promijenila.

    Neopravdano pojavljivanje nove, a ponekad i druge ekstenzije na datotekama, nakon čega se one prestaju otvarati, apsolutno ukazuje na posljedice napada kriptora. Usput, obično je moguće identificirati zlonamjerni softver prema ekstenziji koju oštećeni objekti dobivaju.

    Primjer toga što ekstenzije šifriranih datoteka mogu biti:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn, itd.

    Postoji puno opcija, a sutra će se pojaviti nove, tako da nema smisla nabrajati sve. Da biste odredili vrstu infekcije, dovoljno je unijeti nekoliko ekstenzija u tražilicu.


    Drugi simptomi koji neizravno ukazuju na početak šifriranja:

    • Prozori se pojavljuju na zaslonu na djelić sekunde naredbeni redak. Najčešće je to normalna pojava prilikom instaliranja ažuriranja sustava i programa, ali bolje je ne ostavljati ga bez nadzora.
    • UAC zahtijeva pokretanje nekog programa koji niste namjeravali otvoriti.
    • Naglo ponovno pokretanje računala praćeno imitacijom rada uslužni program sustava provjera diska (druge varijante su moguće). Tijekom "provjere" događa se proces šifriranja.

    Nakon što je zlonamjerna operacija uspješno završena, na ekranu se pojavljuje poruka sa zahtjevom za otkupninom i raznim prijetnjama.

    Ransomware šifrira značajan dio korisničke datoteke: fotografije, glazba, video zapisi, tekstualni dokumenti, arhive, pošta, baze podataka, datoteke s programskim ekstenzijama, itd. Ali oni ne diraju objekte operativnog sustava, jer napadačima nije potrebno da zaraženo računalo prestane raditi. Neki virusi zamjenjuju zapise o pokretanju diskova i particija.

    Nakon enkripcije, sve kopije u sjeni i točke oporavka obično se brišu iz sustava.

    Kako izliječiti računalo od ransomwarea

    Uklanjanje zlonamjernog softvera iz zaraženog sustava jednostavno je — gotovo svi antivirusni programi mogu se nositi s većinom njih bez poteškoća. Ali! Naivno je vjerovati da će rješavanje krivca riješiti problem: uklonite li virus ili ne, datoteke će i dalje ostati šifrirane. Osim toga, u nekim slučajevima to će komplicirati njihovo naknadno dešifriranje, ako je moguće.

    Ispravan postupak prilikom pokretanja enkripcije

    • Nakon što primijetite znakove enkripcije, Odmah isključite napajanje računala pritiskom i držanjem gumbaUključite 3-4 sekunde. Ovo će spasiti barem neke od datoteka.
    • Stvorite na drugom računalu disk za pokretanje ili flash pogon s antivirusnim programom. Na primjer, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD itd.
    • Pokrenite zaraženi stroj s ovog diska i skenirajte sustav. Uklonite sve pronađene viruse i držite ih u karanteni (u slučaju da su potrebni za dešifriranje). Tek nakon toga možete pokrenuti računalo s tvrdog diska.
    • Pokušajte oporaviti šifrirane datoteke iz kopija u sjeni pomoću sistemskih alata ili pomoću treće strane.

    Što učiniti ako su datoteke već šifrirane

    • Ne gubite nadu. Web-mjesta programera antivirusnih proizvoda sadrže besplatne uslužne programe za dešifriranje različiti tipovi malware. Konkretno, komunalije iz Avast I Kaspersky Lab.
    • Nakon što ste odredili vrstu kodera, preuzmite odgovarajući uslužni program, svakako to učiniti kopije oštećene datoteke i pokušati ih dešifrirati. Ako uspije, dešifrirajte ostatak.

    Ako datoteke nisu dekriptirane

    Ako nijedan od uslužnih programa ne pomogne, vjerojatno ste patili od virusa za koji još nema lijeka.

    Što možete učiniti u ovom slučaju:

    • Ako koristite plaćeni antivirusni proizvod, kontaktirajte njegov tim za podršku. Pošaljite nekoliko kopija oštećenih datoteka u laboratorij i pričekajte odgovor. U prisutnosti tehnička izvedivost oni će vam pomoći.

    Usput, Dr.Web je jedan od rijetkih laboratorija koji pomaže ne samo svojim korisnicima, već i svima pogođenima. Na ovoj stranici možete poslati zahtjev za dešifriranje datoteke.

    • Ako se pokaže da su datoteke beznadno oštećene, ali su vam od velike vrijednosti, možete se samo nadati i čekati da će se jednog dana pronaći lijek za spas. Najbolje što možete učiniti je ostaviti sustav i datoteke onakvima kakvi jesu, odnosno potpuno onemogućene i nekorištene HDD. Brisanje zlonamjernih datoteka, ponovna instalacija operativnog sustava, pa čak i njegovo ažuriranje može vas lišiti i ova prilika, budući da se često koriste prilikom generiranja ključeva za šifriranje i dešifriranje jedinstveni identifikatori sustava i kopija virusa.

    Plaćanje otkupnine nije opcija, jer je vjerojatnost da ćete dobiti ključ blizu nule. I nema smisla financirati kriminalni biznis.

    Kako se zaštititi od ove vrste zlonamjernog softvera

    Ne bih želio ponavljati savjete koje je svaki od čitatelja čuo stotine puta. Da, instaliraj dobar antivirus, nemojte klikati na sumnjive poveznice i blablabla - ovo je važno. Međutim, kako je život pokazao, čarobna pilula koja će vam dati 100% jamstvo sigurnosti danas ne postoji.

    Jedina učinkovita metoda zaštite od ransomwarea ove vrste je sigurnosna kopija podaci drugim fizičkim medijima, uključujući usluge u oblaku. Sigurnosna kopija, sigurnosna kopija, sigurnosna kopija...

    2017. bila je godina ransomwarea – najznačajnije prijetnje na tom polju sigurnost informacija za mala, srednja i velika poduzeća i kućne korisnike. Takvi napadi zahtijevali su otkupninu na mnogim računalima u svijetu, dok su zauzeli naslovnice svih vodećih medija u svim zemljama. Zapravo, troškovi ransomwarea prošle su godine iznosili gotovo 5 milijardi dolara štete, što ih čini najsnažnijom i najsofisticiranijom vrstom cyber napada, što je porast od 350% u odnosu na 2016.

    3. Provodite redovite sigurnosne revizije i testove ranjivosti kako biste jasno razumjeli ulazne točke u svoje sustave.

    4. Koristite moderno i napredno multi-platformsko informacijsko sigurnosno rješenje s naprednim opcijama zaštite, kao što je , za forenzičku analizu u stvarnom vremenu. To će vam omogućiti da spriječite i otkrijete ove vrste napada i izvršite potrebne radnje odgovora i oporavka nakon napada.

    Stručnjaci Doctor Weba proučavaju novi ransomware trojanac Trojan.Encoder.12544, u medijima se nazivaju Petya, Petya.A, ExPetya i WannaCry-2. Na temelju preliminarne analize malwarea, Doctor Web daje preporuke kako izbjeći infekciju, govori što učiniti ako je do infekcije već došlo te otkriva tehničke detalje napada.

    Ransomware crv koji je izazvao mnogo buke Trojan.Encoder.12544 predstavlja ozbiljnu opasnost za osobnih računala, radi pod kontrolom Microsoft Windows. Razni izvori nazivaju ga modifikacijom trojanca poznatog kao Petya ( Trojan.Ransom.369), Ali Trojan.Encoder.12544 ima samo neke sličnosti s njim. Ovaj malware prodro u Informacijski sustavi niz vladinih agencija, banaka i komercijalnih organizacija, a također je zarazio računala korisnika u nekoliko zemalja.

    Trenutno je poznato da trojanac inficira računala koristeći isti skup ranjivosti koje su ranije koristili napadači za infiltraciju u računala žrtava trojanca WannaCry. Distribucija mase Trojan.Encoder.12544 započela je u jutarnjim satima 27.06.2017. Kada se pokrene na napadnutom računalu, trojanac traži dostupno lokalna mreža Računalo tada pomoću popisa primljenih IP adresa počinje skenirati portove 445 i 139. Nakon što je otkrio strojeve na mreži na kojima su ti portovi otvoreni, Trojan.Encoder.12544 pokušava ih zaraziti koristeći dobro poznatu ranjivost u SMB protokolu (MS17-10).

    Trojanac u svom tijelu sadrži 4 komprimirana izvora, od kojih su 2 32- i 64-bitne verzije uslužnog programa Mimikatz, dizajniranog za presretanje lozinki otvorene sjednice na Windowsima. Ovisno o bitnosti OS-a, raspakira odgovarajuću verziju uslužnog programa, sprema je u privremenu mapu, a zatim je pokreće. Korištenje uslužnog programa Mimikatz, kao i dvije druge metode Trojan.Encoder.12544 prima popis lokalnih i domenskih korisnika ovlaštenih na zaraženom računalu. Zatim traži mogućnost pisanja mrežne mape, pokušava ih otvoriti pomoću primljenih vjerodajnica i tamo spremiti kopiju. Da zarazi računala kojima je uspio pristupiti, Trojan.Encoder.12544 koristi pomoćni program za upravljanje udaljeno računalo PsExec (također je pohranjen u resursima trojanca) ili standardni konzolni uslužni program za pozivanje Wmic.exe objekata.

    Enkoder kontrolira svoje ponovno pokretanje pomoću datoteke koju sprema u mapu C:\Windows\. Ova datoteka ima naziv koji odgovara imenu trojanca bez ekstenzije. Budući da se uzorak crva koji trenutno distribuiraju napadači zove perfc.dat, datoteka koja ga sprječava da se ponovno pokrene zvat će se C:\Windows\perfc. Međutim, čim napadači promijene originalno ime Trojana, stvaranje datoteke u mapi C:\Windows\ s nazivom perfc bez ekstenzije (kako savjetuju neke antivirusne tvrtke) više neće spasiti računalo od infekcije. Osim toga, trojanac provjerava prisutnost datoteke samo ako ima dovoljne privilegije u operativnom sustavu za to.

    Nakon pokretanja, trojanac konfigurira svoje privilegije, učitava vlastitu kopiju u memoriju i prenosi kontrolu na nju. Koder zatim prepisuje vlastitu datoteku na disku s bezvrijednim podacima i briše ga. Kao prvo Trojan.Encoder.12544 kvari VBR (Volume Boot Record) diska C:, prvi sektor diska ispunjen je otpadnim podacima. Ransomware tada kopira izvorni bootloader Windows unos na drugi dio diska, nakon što ga je prethodno šifrirao koristeći XOR algoritam, i umjesto toga zapisuje svoj. Zatim stvara zadatak za ponovno pokretanje računala i počinje šifrirati sve što se otkrije na lokalnoj razini fizički diskovi datoteke s ekstenzijama .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf , .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, . ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

    Trojanac šifrira datoteke samo na fiksnim pogonima računala; podaci na svakom pogonu su šifrirani u zasebnom toku. Šifriranje se provodi pomoću algoritama AES-128-CBC; svaki disk ima vlastiti ključ (ovo je posebnost trojanaca koju drugi istraživači nisu primijetili). Ovaj ključ je šifriran pomoću algoritma RSA-2048 (drugi istraživači su izvijestili da koriste 800-bitni ključ) i sprema se u korijensku mapu šifriranog pogona u datoteci pod nazivom README.TXT. Šifrirane datoteke ne dobivaju dodatnu ekstenziju.

    Nakon završetka prethodno kreiranog zadatka, računalo se ponovno pokreće i kontrola se prenosi na trojanski boot zapis. Ona na ekranu zaraženog računala prikazuje tekst koji podsjeća na poruku standardni uslužni program za provjeru CHDISK diskova.

    Virus za šifriranje napao je ruske medije, među kojima je i Interfax, objavila je ruska tvrtka Group-IB u priopćenju. Pogođen je samo dio agencije, budući da su njezine IT službe uspjele isključiti dio kritične infrastrukture. Virusu je dodijeljen identifikator BadRabbit.

    O neviđenom napadu virusa na Interfax na njegovoj stranici u Facebook prijavio Zamjenik ravnatelja agencije Yuri Pogorely. Interfax se suočio s napadom virusa bez presedana. Neke od naših usluga nisu dostupne klijentima. Naši inženjeri vraćaju njihovu funkcionalnost. Moje isprike. Pokušavamo vam se javiti što je prije moguće!” - napisao je.

    Središnja banka upozorila je banke na mogući kibernetički napad ransomware virusa

    Dva prethodna virusa, WannaCry i Petya, već su pokušala napasti banke

    Prema zapažanjima Vedomosti, to ne funkcionira mobilna aplikacija agencije i usluga Interfaxa za objavljivanje izvješća ruskih tvrtki na web stranici e-disclosure.ru.

    Odjeli Infterfaxa u Velikoj Britaniji, Azerbajdžanu, Bjelorusiji i Ukrajini i web stranica Interfax-religija nastavljaju s radom, rekao je Pogorely za Vedomosti. Još nije jasno zašto šteta nije zahvatila druge odjele; možda je to zbog topologije mreže Interfax, gdje se geografski nalaze poslužitelji i operativnog sustava koji je na njima instaliran, kaže.

    Dva zaposlenika Interfaxa potvrdila su za Vedomosti da su računala bila isključena. Prema jednom od njih, vizualno zaključani zaslon izgleda kao rezultat radnji poznati virus Petya. Virus koji je napao Interfax upozorava da ne pokušavate sami dešifrirati datoteke i traži plaćanje otkupnine od 0,05 bitcoina (283 dolara), za što vas poziva da posjetite posebnu web stranicu u Tor mreže. Virus je šifriranom računalu dodijelio osobni identifikacijski kod.

    Ne samo Interfax

    Još dva ruska medija bila su pogođena ransomware virusom, od kojih je jedan peterburška publikacija Fontanka, pojašnjava Group-IB.

    Glavni urednik Fontanke Alexander Gorshkov rekao je za Vedomosti da su servere Fontanke napadači napali danas u 15:20. “Nakon toga, web stranica publikacije bila je nedostupna i još uvijek nije dostupna. Naši tehnički stručnjaci ulažu sve napore kako bi obnovili stranicu. Ne sumnjamo da su te akcije počinile terorističke organizacije”, rekao je.

    Proteklih tjedana kriminalci su napadali redakciju Fontanke, objavljujući na internetu stotine lažnih članaka po narudžbi u kojima se spominju novinari i urednici publikacije. Osim toga, lažne informacije o aktivnostima izdavača Fontanka JSC Azhur-Media dostavljaju se regulatornim tijelima, kaže on. “Ne sumnjamo da ove akcije imaju jednog kupca i da su to karike u istom lancu”, zaključio je Gorškov.

    Već u utorak počeo je blokirati računala ruskih resursa, zarazivši ih putem popularnih stranica, uključujući medijske kuće. Pogođeni su Interfax, koji se uspio oporaviti tek nakon jednog dana, kao i Fontanka.ru. Svi znakovi upućuju na to da se radi o ciljanom napadu na korporativne mreže, rekli su." Rossiyskaya novine"u Kaspersky Labu. Napomenuli su da je većina žrtava napada u Rusiji; slični napadi zabilježeni su u Ukrajini, Turskoj i Njemačkoj, ali u znatno manjem broju.

    Enkriptor nije mogao dobiti pristup resursima financijskih organizacija niti poremetiti njihov rad, izvijestio je Centar za praćenje i odgovor na sigurnosna izvješća. računalni napadi u kreditno-financijskom sektoru (FinCERT) Banke Rusije. Ranije su mediji izvijestili da virus pokušava srušiti banke s prvih 20. Banka Rusije potvrdila je da je bilo napada, ali nije pronašla dokaze o kompromitaciji resursa. FinCERT je bankama poslao preporuke o metodama identifikacije i suzbijanja virusa poslane poštom.

    Uspješan napad doveo bi do zaustavljanja operativnih aktivnosti banke, dok financijski podaci klijenata ne bi bili oštećeni virusom ransomwarea, objasnio je za RG Rustem Khairetdinov, potpredsjednik InfoWatcha i generalni direktor Attack Killera.

    Virus BadRabbit djeluje kroz video preglednike

    Banka Rusije upozorava da će hakeri nastaviti distribuirati zlonamjerni softver, uključujući i one dizajnirane za tajno šifriranje datoteka. “U pravilu napadači šalju e-mail pismo s ugrađenim virusom, prijevarom ili zlouporabom povjerenja potiču korisnika na otvaranje zlonamjerna datoteka, nakon čega se zlonamjerni softver aktivira”, priopćila je Centralna banka.

    No stručnjaci kažu da Bad Bunny djeluje na sofisticiraniji način - pokretanjem programa za gledanje videa koji izgledaju sasvim nevino. Nije slučajno što su BadRabbit nosili medijski resursi u kojima uvijek postoji video. Od korisnika se traži da pokrenu lažni instalacijski program kako bi ga vidjeli Adobe Flash. Slična shema otkrivena je u svibnju - ranjivost u popularnim video playerima omogućila je kibernetičkim kriminalcima da daljinski hakiraju računala korisnika.

    Programeri Bad Rabbita usvojili su ovu ideju. Mehanizam virusa je jednostavan - Bad Rabbit onemogućuje pristup svim podacima koji se nalaze na računalu koje je zarazio.

    Napadači zahtijevaju 0,05 bitcoina (283 dolara ili 15.700 rubalja prema Trenutna stopa). No vjerojatnost da će datoteke biti dešifrirane nakon uplate novca je vrlo mala, kažu stručnjaci. Još nije poznato je li načelno moguće dešifrirati datoteke zaražene Bad Bunnyjem - bilo plaćanjem otkupnine ili korištenjem neke vrste greške u mehanizmu šifriranja zlonamjernog softvera. Tijekom napada sličnog virusa WannaCry u lipnju, u kojem su korišteni elementi cyber oružja kupljeni na darknetu, sami hakeri nisu znali dešifrirati podatke, iako su upravo za to tražili novac.

    Hakeri traže 15 tisuća rubalja u bitcoinima, ali male su šanse da će to pomoći - nije poznato je li načelno moguće oporaviti datoteke pogođene BadRabbitom

    Naša stvarnost je da su napadači naučili staviti svijet u stanje panike, napominje Rustem Khairetdinov. Ponovno će se pojaviti enkripcijski virusi, koji će se razlikovati samo u nazivu, tehnologiji i načinu zaraze.

    U međuvremenu, Banka Rusije zabrinuta je zbog nedostupnosti javne službe Interfax za otkrivanje informacija od strane izdavatelja i izjavila je da namjerava raditi na mehanizmima za smanjenje vjerojatnosti sličnih incidenata u budućnosti.

    Morate stvoriti datoteku C:\Windows\infpub.dat i dati joj dopuštenja samo za čitanje. Nakon toga, čak i ako su zaražene, datoteke neće biti šifrirane, savjetuje Group-IB.

    Odmah izolirajte računala, adrese domena i IP adrese navedene u blog group-ib.ru/blog/badrabbit, ako ih ima, i također osigurajte da su ažurni i dosljedni sigurnosne kopije ključni mrežni čvorovi. Ažuriraj OS i sigurnosnih sustava. postavke pravila grupe onemogući pohranjivanje lozinki u LSA Dump in otvorena forma. Promijenite sve lozinke u složene kako biste spriječili napade rječnikom. Omogućite korisnicima blokator skočnih prozora.

    Ako vidite takvu sliku na ekranu, ni pod kojim okolnostima ne biste trebali pristati na ažuriranje. Fotografija: vesti.ru