###
  • Programe
  • Siguranță
  • Știri
  • Interesant
  • Sfat
  • Știri
  • Recenzii

    • Cine a plantat iepurele? Wanna Cry file encryptor virus - cum să te protejezi și să salvezi datele Atacul virusului Encryptor

    04.11.2020 Interesant

    „Îmi pare rău că vă deranjez, dar... fișierele dumneavoastră sunt criptate. Pentru a obține cheia de decriptare, transferați urgent o anumită sumă de bani în portofel... În caz contrar, datele dumneavoastră vor fi distruse pentru totdeauna. Ai 3 ore, timpul a trecut.” Și nu este o glumă. Un virus de criptare este o amenințare mai mult decât reală.

    Astăzi vom vorbi despre ce este malware-ul ransomware care s-a răspândit în ultimii ani, ce să faci dacă este infectat, cum să-ți vindeci computerul și dacă este chiar posibil și cum să te protejezi de ele.

    Criptăm totul!

    Un virus ransomware (encryptor, cryptor) este un tip special de ransomware rău intenționat a cărui activitate constă în criptarea fișierelor utilizatorului și apoi solicitarea unei răscumpări pentru instrumentul de decriptare. Sumele de răscumpărare încep de la 200 de dolari și ajung la zeci și sute de mii de bucăți de hârtie verzi.

    În urmă cu câțiva ani, numai computerele bazate pe Windows au fost atacate de această clasă de malware. Astăzi, gama lor s-a extins la Linux, Mac și Android aparent bine protejate. În plus, varietatea de criptoare este în continuă creștere - produse noi apar unul după altul, care au ceva să surprindă lumea. Astfel, a apărut din cauza „încrucișării” unui troian clasic de criptare și a unui vierme de rețea (un program rău intenționat care se răspândește în rețele fără participarea activă a utilizatorilor).

    După WannaCry, au apărut Petya și Bad Rabbit, nu mai puțin sofisticați. Și din moment ce „afacerea de criptare” aduce venituri bune proprietarilor săi, puteți fi sigur că nu sunt ultimii.


    Din ce în ce mai mulți criptori, în special cei care au fost lansati în ultimii 3-5 ani, folosesc algoritmi criptografici puternici care nu pot fi sparți nici prin forța brută, nici prin alte mijloace existente. Singura modalitate de a recupera datele este să folosești cheia originală, pe care atacatorii o oferă să o cumpere. Cu toate acestea, chiar și transferul sumei necesare către ei nu garantează primirea cheii. Criminalii nu se grăbesc să-și dezvăluie secretele și să piardă potențiale profituri. Și ce rost are să-și țină promisiunile dacă au deja banii?

    Căile de distribuție a virușilor de criptare

    Principala modalitate prin care malware-ul ajunge pe computerele utilizatorilor privați și ale organizațiilor este E-mail, mai exact, fișiere și link-uri atașate scrisorilor.

    Un exemplu de astfel de scrisoare destinată „clienților corporativi”:


    • „Rambursează-ți imediat datoria de împrumut.”
    • „Cererea a fost depusă în instanță”.
    • „Plătește amenda/taxa/taxa.”
    • „Taxă suplimentară pentru facturile de utilități.”
    • „Oh, tu ești în fotografie?”
    • „Lena mi-a cerut să-ți dau asta urgent” etc.

    De acord, doar un utilizator informat ar trata o astfel de scrisoare cu prudență. Majoritatea oamenilor, fără ezitare, vor deschide atașamentul și vor lansa ei înșiși programul rău intenționat. Apropo, în ciuda strigătelor antivirusului.

    Următoarele sunt, de asemenea, utilizate în mod activ pentru a distribui ransomware:

    • Rețele sociale (e-mailuri din conturile prietenilor și străinilor).
    • Resurse web rău intenționate și infectate.
    • Banner publicitar.
    • Trimitere prin mesagerie din conturi piratate.
    • Site-uri Vareznik și distribuitori de keygen și crack-uri.
    • Site-uri pentru adulți.
    • Magazine de aplicații și conținut.

    Virușii de criptare sunt adesea transportați de alte programe rău intenționate, în special, demonstranții de publicitate și troienii backdoor. Acesta din urmă, folosind vulnerabilitățile din sistem și software, ajută criminalul să ajungă acces de la distanță la dispozitivul infectat. Lansarea criptatorului în astfel de cazuri nu coincide întotdeauna în timp cu acțiunile utilizatorului potențial periculoase. Atâta timp cât ușa din spate rămâne în sistem, un atacator poate pătrunde în dispozitiv în orice moment și poate iniția criptarea.

    Pentru a infecta computerele organizațiilor (la urma urmei, din ele se poate extrage mai mult decât de la utilizatorii casnici), se dezvoltă metode deosebit de sofisticate. De exemplu, troianul Petya a pătruns în dispozitive prin modulul de actualizare al programului de contabilitate fiscală MEDoc.


    Criptatorii cu funcții de viermi de rețea, așa cum am menționat deja, se răspândesc în rețele, inclusiv pe Internet, prin vulnerabilități de protocol. Și te poți infecta cu ele fără să faci absolut nimic. Utilizatorii sistemelor de operare Windows care sunt rar actualizate sunt expuși celui mai mare risc, deoarece actualizările închid lacune cunoscute.

    Unele programe malware, cum ar fi WannaCry, exploatează vulnerabilități de tip 0-day, adică cele de care dezvoltatorii de sisteme nu sunt încă conștienți. Din păcate, este imposibil să reziste pe deplin infecției în acest fel, dar probabilitatea ca tu să fii printre victime nici măcar nu ajunge la 1%. De ce? Da, deoarece programele malware nu pot infecta toate mașinile vulnerabile simultan. Și în timp ce planifică noi victime, dezvoltatorii de sistem reușesc să lanseze o actualizare salvatoare.

    Cum se comportă ransomware-ul pe un computer infectat

    Procesul de criptare, de regulă, începe neobservat, iar când semnele sale devin evidente, este prea târziu pentru a salva datele: până atunci, malware-ul a criptat tot ce poate ajunge. Uneori, un utilizator poate observa că extensia fișierelor dintr-un folder deschis s-a schimbat.

    Apariția nerezonabilă a unei noi și uneori a unei a doua extensii pe fișiere, după care nu se mai deschide, indică în mod absolut consecințele unui atac de criptare. Apropo, de obicei este posibil să se identifice malware-ul după extensia pe care o primesc obiectele deteriorate.

    Un exemplu despre ce pot fi extensiile fișierelor criptate:. xtbl, .kraken, .cesar, .da_vinci_code, .codercsu@gmail_com, .crypted000007, .no_more_ransom, .decoder GlobeImposter v2, .ukrain, .rn etc.

    Există o mulțime de opțiuni, iar altele noi vor apărea mâine, așa că nu are rost să enumerați totul. Pentru a determina tipul de infecție, este suficient să alimentați mai multe extensii motorului de căutare.


    Alte simptome care indică indirect începutul criptării:

    • Windows apar pe ecran pentru o fracțiune de secundă Linie de comanda. Cel mai adesea, acesta este un fenomen normal la instalarea actualizărilor de sistem și program, dar este mai bine să nu îl lăsați nesupravegheat.
    • UAC solicită lansarea unui program pe care nu intenționați să îl deschideți.
    • Repornire bruscă a computerului urmată de imitarea operațiunii utilitar de sistem verificarea discului (sunt posibile alte variante). În timpul „verificării”, are loc procesul de criptare.

    După ce operațiunea rău intenționată este finalizată cu succes, pe ecran apare un mesaj cu o cerere de răscumpărare și diverse amenințări.

    Ransomware-ul criptează o parte semnificativă a fișiere utilizator: fotografii, muzică, videoclipuri, documente text, arhive, mail, baze de date, fișiere cu extensii de program etc. Dar nu ating obiectele sistemului de operare, deoarece atacatorii nu au nevoie de computerul infectat pentru a înceta să funcționeze. Unii viruși înlocuiesc înregistrările de pornire ale discurilor și partițiilor.

    După criptare, toate copiile umbre și punctele de recuperare sunt de obicei șterse din sistem.

    Cum să vindeci un computer de ransomware

    Eliminarea programelor malware dintr-un sistem infectat este ușoară — aproape toate programele antivirus le pot gestiona fără dificultate pe majoritatea acestora. Dar! Este naiv să credem că a scăpa de vinovat va rezolva problema: fie că eliminați virusul sau nu, fișierele vor rămâne totuși criptate. În plus, în unele cazuri acest lucru va complica decriptarea lor ulterioară, dacă este posibil.

    Procedura corectă la pornirea criptării

    • Odată ce observați semne de criptare, Opriți imediat alimentarea computerului apăsând și apăsat butonulPutere timp de 3-4 secunde. Acest lucru va salva cel puțin unele dintre fișiere.
    • Creați pe alt computer disc de pornire sau o unitate flash cu un program antivirus. De exemplu, Kaspersky Rescue Disk 18, DrWeb LiveDisk ESET NOD32 LiveCD etc.
    • Porniți mașina infectată de pe acest disc și scanați sistemul. Eliminați orice viruși găsiți și păstrați-i în carantină (în cazul în care sunt necesari pentru decriptare). Abia după aceea puteți porni computerul de pe hard disk.
    • Încercați să recuperați fișierele criptate din copii umbra utilizând instrumente de sistem sau utilizând o terță parte.

    Ce trebuie să faceți dacă fișierele sunt deja criptate

    • Nu-ți pierde speranța. Site-urile web ale dezvoltatorilor de produse antivirus conțin utilitare gratuite de decriptare pentru tipuri diferite malware. În special, utilități din AvastȘi Kaspersky Lab.
    • După ce ați determinat tipul de codificator, descărcați utilitarul corespunzător, cu siguranță fă-o copii fișiere deteriorate și încearcă să le descifrezi. Dacă reușiți, descifrați restul.

    Dacă fișierele nu sunt decriptate

    Dacă niciunul dintre utilitare nu ajută, este posibil să fi suferit de un virus pentru care nu există încă un tratament.

    Ce poți face în acest caz:

    • Dacă utilizați un produs antivirus plătit, contactați echipa de asistență a acestuia. Trimiteți mai multe copii ale fișierelor deteriorate la laborator și așteptați un răspuns. În prezența fezabilitate tehnică te vor ajuta.

    Apropo, Dr.Web este unul dintre puținele laboratoare care îi ajută nu doar pe utilizatorii săi, ci pe toți cei afectați. Puteți trimite o solicitare de decriptare a fișierului pe această pagină.

    • Dacă se dovedește că fișierele sunt deteriorate fără speranță, dar sunt de mare valoare pentru dvs., nu puteți decât să sperați și să așteptați că într-o zi va fi găsit un remediu de salvare. Cel mai bun lucru pe care îl puteți face este să lăsați sistemul și fișierele așa cum sunt, adică complet dezactivate și neutilizate HDD. Ștergerea fișierelor malware, reinstalarea sistemului de operare și chiar actualizarea acestuia vă poate priva și această șansă, deoarece atunci când generează chei de criptare-decriptare le folosesc adesea identificatori unici sisteme și copii ale virusului.

    Plata răscumpărării nu este o opțiune, deoarece probabilitatea de a primi cheia este aproape de zero. Și nu are rost să finanțezi o afacere criminală.

    Cum să te protejezi de acest tip de malware

    Nu aș vrea să repet sfaturi pe care fiecare dintre cititori le-a auzit de sute de ori. Da, instalează antivirus bun, nu faceți clic pe linkuri suspecte și blablabla - acest lucru este important. Totuși, așa cum a arătat viața, o pastilă magică care să-ți ofere o garanție de securitate 100% nu există astăzi.

    Singura metodă eficientă de protecție împotriva ransomware-ului de acest fel este backup date către alte medii fizice, inclusiv servicii cloud. Backup, backup, backup...

    2017 a fost anul ransomware - cea mai importantă amenințare în domeniu securitatea informatiei atât pentru întreprinderile mici, mijlocii și mari, cât și pentru utilizatorii casnici. Astfel de atacuri au cerut răscumpărare pe multe computere din lume, captând în același timp titlurile tuturor instituțiilor media de top din toate țările. De fapt, costurile ransomware-ului au totalizat aproape 5 miliarde de dolari în daune anul trecut, făcându-le cel mai puternic și mai sofisticat tip de atac cibernetic, cu 350% în creștere față de 2016.

    3. Efectuați periodic audituri de securitate și teste de vulnerabilitate pentru a înțelege clar punctele de intrare în sistemele dvs.

    4. Utilizați o soluție modernă și avansată de securitate a informațiilor multiplatformă cu opțiuni avansate de protecție, cum ar fi , pentru analize criminalistice în timp real. Acest lucru vă va permite să preveniți și să detectați aceste tipuri de atacuri și să efectuați acțiunile necesare de răspuns și recuperare după un atac.

    Specialiștii Doctor Web studiază un nou troian ransomware Trojan.Encoder.12544, denumit în mass-media Petya, Petya.A, ExPetya și WannaCry-2. Pe baza unei analize preliminare a malware-ului, Doctor Web oferă recomandări despre cum să evitați infecția, spune ce să faceți dacă infecția a avut loc deja și dezvăluie detaliile tehnice ale atacului.

    Viermele ransomware care a provocat mult zgomot Trojan.Encoder.12544 prezintă un pericol grav pentru calculatoare personale, lucrând sub control Microsoft Windows. Diverse surse o numesc o modificare a troianului cunoscut sub numele de Petya ( Troian.Ransom.369), Dar Trojan.Encoder.12544 are doar unele asemănări cu el. Acest malware pătruns în Sisteme de informare un număr de agenții guvernamentale, bănci și organizații comerciale și, de asemenea, au infectat computerele utilizatorilor din mai multe țări.

    În prezent, se știe că troianul infectează computerele folosind același set de vulnerabilități care au fost folosite anterior de atacatori pentru a se infiltra în computerele victimelor troianului WannaCry. Distribuție în masă Trojan.Encoder.12544 a început în dimineața zilei de 27 iunie 2017. Când este lansat pe computerul atacat, troianul caută disponibil retea locala PC-ul începe apoi să scaneze porturile 445 și 139 folosind lista de adrese IP primite. După ce au descoperit mașini în rețea pe care aceste porturi sunt deschise, Trojan.Encoder.12544încearcă să le infecteze folosind o vulnerabilitate binecunoscută din protocolul SMB (MS17-10).

    În corpul său, troianul conține 4 resurse comprimate, dintre care 2 sunt versiuni pe 32 și 64 de biți ale utilitarului Mimikatz, concepute pentru a intercepta parolele. sesiuni deschise pe Windows. În funcție de bitness-ul sistemului de operare, despachetează versiunea corespunzătoare a utilitarului, o salvează într-un folder temporar și apoi o lansează. Folosind utilitarul Mimikatz, precum și alte două metode Trojan.Encoder.12544 primește o listă de utilizatori locali și de domeniu autorizați pe computerul infectat. Apoi caută scriere folderele de rețea, încearcă să le deschidă folosind acreditările primite și să salveze o copie acolo. Pentru a infecta computerele la care a reușit să aibă acces, Trojan.Encoder.12544 folosește un utilitar de management computer la distanță PsExec (este stocat și în resursele troianului) sau un utilitar standard de consolă pentru apelarea obiectelor Wmic.exe.

    Codificatorul își controlează repornirea folosind un fișier pe care îl salvează în folderul C:\Windows\. Acest fișier are un nume care se potrivește cu numele troianului fără extensie. Deoarece eșantionul de vierme distribuit în prezent de către atacatori se numește perfc.dat, fișierul care îl împiedică să ruleze din nou va fi numit C:\Windows\perfc. Cu toate acestea, de îndată ce atacatorii schimbă numele inițial al troianului, crearea unui fișier în folderul C:\Windows\ cu numele perfc fără extensie (așa cum recomandă unele companii de antivirus) nu va mai salva computerul de infecție. În plus, troianul verifică prezența unui fișier numai dacă are suficiente privilegii în sistemul de operare pentru a face acest lucru.

    După pornire, troianul își configurează privilegiile, își încarcă propria copie în memorie și îi transferă controlul. Apoi, codificatorul suprascrie propriul dosar pe disc cu date nedorite și le șterge. În primul rând Trojan.Encoder.12544 corupe VBR (Volume Boot Record) al unității C:, primul sector al discului este umplut cu date deșeuri. Apoi, ransomware-ul copiază bootloader-ul original intrare Windows pe o altă secțiune a discului, după ce a criptat-o ​​anterior utilizând algoritmul XOR și își scrie în schimb propriul său. Apoi, creează o sarcină pentru a reporni computerul și începe să cripteze tot ce este detectat pe local discuri fizice fișiere cu extensii .3ds, .7z, .accdb, .ai, .asp, .aspx, .avhd, .back, .bak, .c, .cfg, .conf, .cpp, .cs, .ctl, .dbf , .disk, .djvu, .doc, .docx, .dwg, .eml, .fdb, .gz, .h, .hdd, .kdbx, .mail, .mdb, .msg, .nrg, .ora, . ost, .ova, .ovf, .pdf, .php, .pmf, .ppt, .pptx, .pst, .pvi, .py, .pyc, .rar, .rtf, .sln, .sql, .tar, .vbox, .vbs, .vcb, .vdi, .vfd, .vmc, .vmdk, .vmsd, .vmx, .vsdx, .vsv, .work, .xls, .xlsx, .xvd, .zip.

    Troianul criptează fișierele numai pe unități fixe de computer; datele de pe fiecare unitate sunt criptate într-un flux separat. Criptarea se realizează folosind algoritmi AES-128-CBC; fiecare disc are propria sa cheie (aceasta este o caracteristică distinctivă a troianului care nu a fost observată de alți cercetători). Această cheie este criptată folosind algoritmul RSA-2048 (alți cercetători au raportat că folosește o cheie de 800 de biți) și este salvată în folderul rădăcină al unității criptate într-un fișier numit README.TXT. Fișierele criptate nu primesc o extensie suplimentară.

    După finalizarea sarcinii create anterior, computerul repornește și controlul este transferat în înregistrarea de pornire troiană. Ea afișează text pe ecranul unui computer infectat care seamănă cu un mesaj utilitate standard pentru a verifica discurile CHDISK.

    Un virus de criptare a atacat mass-media rusă, dintre care una a fost Interfax, a declarat compania rusă Group-IB într-un comunicat. Doar o parte a agenției a fost afectată, deoarece serviciile sale IT au reușit să oprească o parte din infrastructura critică. Virusului i s-a atribuit identificatorul BadRabbit.

    Despre atacul de virus fără precedent asupra Interfax pe pagina sa în Facebook raportat Director adjunct al agenției Yuri Pogorely. Interfax s-a confruntat cu un atac de virus fără precedent. Unele dintre serviciile noastre nu sunt disponibile pentru clienți. Inginerii noștri își restabilesc funcționalitatea. Scuzele mele. Încercăm să vă răspundem cât mai repede posibil!” - el a scris.

    Banca Centrală a avertizat băncile despre un posibil atac cibernetic de către un virus ransomware

    Doi viruși anteriori, WannaCry și Petya, au încercat deja să atace băncile

    Conform observațiilor lui Vedomosți, nu funcționează aplicatie mobila agențiilor și serviciul oferit de Interfax pentru dezvăluirea rapoartelor companiilor rusești pe site-ul e-disclosure.ru.

    Diviziile Infterfax din Marea Britanie, Azerbaidjan, Belarus și Ucraina și site-ul web Interfax-religie continuă să funcționeze, a declarat Pogorely pentru Vedomosti. Deocamdată nu este clar de ce pagubele nu au afectat alte divizii; poate că acest lucru se datorează topologiei rețelei Interfax, unde serverele sunt amplasate geografic și sistemului de operare care este instalat pe acestea, spune el.

    Doi angajați Interfax au confirmat lui Vedomosți că calculatoarele au fost oprite. Potrivit unuia dintre ei, ecranul blocat vizual arată ca rezultatul acțiunilor virus cunoscut Petya. Virusul care a atacat Interfax vă avertizează că nu ar trebui să încercați să decriptați singur fișierele și cere să plătiți o răscumpărare de 0,05 bitcoin (283 USD), pentru care vă invită să accesați un site special în Rețele Tor. Virusul a atribuit un cod personal de identificare computerului criptat.

    Nu numai Interfax

    Alte două instituții media ruse au fost afectate de virusul ransomware, dintre care unul a fost publicația Fontanka din Sankt Petersburg, explică Group-IB.

    Editorul-șef al Fontanka, Alexander Gorshkov, i-a spus lui Vedomosti că serverele Fontanka au fost atacate de atacatori astăzi, la 15:20. „După aceasta, site-ul web al publicației a fost indisponibil și este încă indisponibil. Specialiștii noștri tehnici depun toate eforturile pentru a restaura site-ul. Nu avem nicio îndoială că aceste acțiuni au fost comise de organizații teroriste”, a spus el.

    În ultimele săptămâni, infractorii au atacat redacția Fontanka, postând sute de articole false personalizate pe internet în care se menționează jurnaliștii și editorii publicației. În plus, informații false despre activitățile editorului Fontanka JSC Azhur-Media sunt comunicate autorităților de reglementare, spune el. „Nu avem nicio îndoială că aceste acțiuni au un singur client și acestea sunt verigă din același lanț”, a concluzionat Gorshkov.

    Deja de marți, a început să blocheze computerele cu resurse rusești, infectându-le prin intermediul site-urilor populare, inclusiv a instituțiilor media. Interfax, care și-a putut reveni doar după o zi, precum și Fontanka.ru au fost afectați. Toate semnele indică faptul că acesta este un atac țintit asupra rețelelor corporative, au spus ei”. ziarul Rossiyskaya„la Kaspersky Lab. Ei au remarcat că majoritatea victimelor atacului sunt în Rusia; atacuri similare sunt observate în Ucraina, Turcia și Germania, dar în număr mult mai mic.

    Criptatorul nu a putut să obțină acces la resursele organizațiilor financiare sau să le perturbe activitatea, a raportat Centrul de Monitorizare și Răspuns la Rapoartele de Securitate. atacuri informaticeîn sectorul credit și financiar (FinCERT) al Băncii Rusiei. Anterior, mass-media a raportat că virusul încearcă să doboare băncile din primele 20. Banca Rusiei a confirmat că au existat atacuri, dar nu a găsit nicio dovadă de compromitere a resurselor. FinCERT a trimis băncilor recomandări privind metodele de identificare și combatere a virusului trimise prin poștă.

    Un atac de succes ar duce la oprirea activităților de operare ale băncii, în timp ce datele financiare ale clienților nu ar fi afectate de virusul ransomware, a explicat Rustem Khairetdinov, vicepreședinte InfoWatch și director general al Attack Killer, pentru RG.

    Virusul BadRabbit operează prin intermediul vizualizatorilor video

    Banca Rusiei avertizează că hackerii vor continua să distribuie programe malware, inclusiv cele concepute pentru a cripta fișierele în secret. „De regulă, atacatorii trimit scrisoare prin e-mail cu un virus încorporat, prin înșelăciune sau abuz de încredere, îl determină pe utilizator să deschidă fișier rău intenționat, după care malware-ul este activat”, a spus Banca Centrală.

    Dar experții spun că Bad Bunny funcționează într-un mod mai sofisticat - prin lansarea unor programe cu aspect destul de inocent pentru vizionarea videoclipurilor. Nu este o coincidență că BadRabbit a fost transportat de resursele media unde există întotdeauna videoclipuri. Utilizatorii sunt rugați să ruleze un program de instalare fals pentru a-l vizualiza Adobe Flash. O schemă similară a fost descoperită în mai - o vulnerabilitate a playerelor video populare a permis infractorilor cibernetici să pirateze de la distanță computerele utilizatorilor.

    Dezvoltatorii lui Bad Rabbit au adoptat această idee. Mecanismul virusului este simplu - Bad Rabbit face imposibilă accesarea tuturor datelor care se află pe computerul pe care l-a infectat.

    Atacatorii cer 0,05 bitcoin (283 USD, sau 15.700 de ruble conform rata curenta). Dar probabilitatea ca fișierele să fie decriptate după plata banilor este foarte mică, spun experții. Nu se știe încă dacă este posibil, în principiu, să decriptezi fișierele infectate de Bad Bunny - fie plătind o răscumpărare, fie folosind un fel de defecte în mecanismul de criptare a malware-ului. În timpul atacului unui virus similar WannaCry din iunie, în care au fost folosite elemente de arme cibernetice achiziționate de pe darknet, hackerii înșiși nu au știut să decripteze datele, deși au cerut bani tocmai pentru asta.

    Hackerii cer 15 mii de ruble în bitcoini, dar sunt puține șanse ca acest lucru să ajute - nu se știe dacă este posibil, în principiu, recuperarea fișierelor afectate de BadRabbit

    Realitatea noastră este că atacatorii au învățat să pună lumea într-o stare de panică, notează Rustem Khairetdinov. Virușii de criptare vor apărea din nou, diferă doar prin nume, tehnologie și metoda de infectare.

    Între timp, Banca Rusiei este îngrijorată de indisponibilitatea serviciului public Interfax pentru dezvăluirea informațiilor de către emitenți și a declarat că intenționează să lucreze la mecanisme care să reducă probabilitatea ca incidente similare să apară în viitor.

    Trebuie să creați un fișier C:\Windows\infpub.dat și să îi acordați permisiuni numai pentru citire. După aceasta, chiar dacă sunt infectate, fișierele nu vor fi criptate, a sfătuit Group-IB.

    Izolați rapid computerele, adresele de domeniu și adresele IP specificate în blog-ul grup-ib.ru/blog/badrabbit, dacă există și, de asemenea, asigurați-vă că sunt actualizate și consecvente copii de rezervă noduri cheie ale rețelei. Actualizați OSși sisteme de securitate. Setări Politica de grup dezactivați stocarea parolelor în LSA Dump in formă deschisă. Schimbați toate parolele cu altele complexe pentru a preveni atacurile de dicționar. Oferiți utilizatorilor un blocator de ferestre pop-up.

    Dacă vedeți o astfel de imagine pe ecran, în niciun caz nu trebuie să fiți de acord cu actualizarea. Fotografie: vesti.ru