Wat is Ransomware (oa WannaCry) en hoe u uzelf kunt beschermen?

Wat is Ransomware (oa WannaCry) en hoe u uzelf kunt beschermen? | Veiligheid 2024
Wat is Ransomware (oa WannaCry) en hoe u uzelf kunt beschermen? | Veiligheid 2024

In een wereld waarin we ons steeds meer online bevinden (elke dag met meer kracht) waar velen van ons zich erg prettig voelen bij de manier waarop we onze dagelijkse taken digitaal kunnen uitvoeren. We moeten begrijpen dat dit alles het leven van ons allemaal verandert, omdat we volledig afhankelijk zijn van deze digitale wereld op alle niveaus, zoals zaken, openbare basissystemen die nodig zijn voor elk land en zelfs persoonlijk vanuit huis.

Ten goede of ten kwade moeten we ons bewust zijn van de gevaren die ons bedreigen, omdat het tegenwoordig bijvoorbeeld niet nodig is om naar een bankkantoor te gaan om bewegingen te maken, maar alles gebeurt via het platform van de entiteit. We gebruiken geen correspondentie meer diensten, aangezien we gebruik maken van sociale netwerken, chatberichten en e-mail, die 24 uur per dag verbonden zijn via mobiele telefoons en computers.

Alles is met elkaar verbonden tot een klik om te worden bijgewerkt, zodat mensen weten wat, hoe of waar we zijn, naast andere functies en taken. Wat we ons niet afvragen is, Hoe veilig zijn we in deze online wereld?, is het antwoord simpel, heel weinig zeker.

De reden hiervoor is dat naarmate de mogelijkheden om alles online te doen groeien, inclusief onze dagelijkse taken, ook indringers, aanvallen, computervirussen, enz. toenemen. Ze worden allemaal op verschillende manieren en op meerdere platforms ontvangen, waar we, zelfs als we geen miljoenen euro's of dollars op onze bankrekeningen hebben of als we wereldwijd worden erkend, op verschillende manieren kunnen worden aangevallen.

Dat is de reden waarom we ons vandaag bij Solvetic concentreren op het uitleggen van een van de bedreigingen die op ieders lippen ligt als gevolg van zijn wereldwijde aanvallen, die hoewel het niet nieuw is zoals veel mensen denken, met grote sprongen aan het groeien is en waartoe we moeten zijn attent op alle nodige zorg.

Deze dreiging heet Ransomware en we hopen dat het moment van het lezen van dit artikel van jouw kant niet is omdat je er al in bent gevallen, vooral om jezelf een beetje meer te beschermen, of je nu een bedrijf bent of een normaal persoon die zoveel wil vermijden als mogelijk deze en andere soortgelijke soorten bedreigingen.

Ons doel is dat elke gebruiker of elk bedrijf de nodige maatregelen neemt om te voorkomen dat hij het slachtoffer wordt van deze aanval en altijd verantwoordelijk is voor alles wat we op het netwerk doen.

Wat is ransomware?Zoals er mensen worden ontvoerd voor economische doeleinden, zo is in de IT-wereld de ransomware is een datakaper-aanval geworden Aangezien deze aanval in feite toegang krijgt tot onze computer, alle informatie versleutelt en een bepaald bedrag eist voor het herstel, is het zo eenvoudig.

De oorsprong van de naam "Ransomware" komt van de combinatie van twee woorden:

  • Losgeld (ontvoering)
  • ware (software)

Deze aanval, ook bekend als rogueware of scareware, treft gebruikers sinds 2005. Hoewel het zich heeft ontwikkeld, verschijnen er verschillende typen, die zwakke punten perfectioneren en vinden waar het zich gemakkelijk kan verspreiden. We laten je een video achter die het je op een uitzonderlijke manier uitlegt om het op alle niveaus te begrijpen.

Hoe Ransomware werktRansomware maakt gebruik van een reeks stappen waarbij helaas de eerste door het slachtoffer wordt gegeven bij het uitvoeren ervan, deze stappen zijn:

  • Systeemscan via USB-drives, scam-e-mails, enz.
  • Installatie op het systeem wanneer het geïnfecteerde bestand actief is.
  • Selectie van bestanden om te coderen.
  • Versleuteling van geselecteerde gegevens die momenteel 2048-bits RSA gebruiken.
  • Berichten aan het slachtoffer met verschillende alternatieven, van e-mails tot spraakberichten
  • Wachten op betaling met onder andere bitcoins, MoneyPak, Ukash en cashU.
  • Het verzenden van de encryptiesleutels naar het slachtoffer, maar dit is niet 100% veilig. (We kunnen wel zeggen dat ze het NIET naar je zullen opsturen, we raden af ​​om te betalen).

Zoals we kunnen zien, is het een ketting die we zelf vanaf het begin kunnen doorbreken. In de wereld van internet en digitaal moet mensen worden geleerd dat het veel beter is om altijd slecht te denken en je zult gelijk hebben. Wees op uw hoede en wees niet een van degenen die graag een ontvangen bijlage opent, of een website binnengaat en een programma installeert zonder aarzeling.

1. Soorten ransomware-aanvallen


Er zijn enkele soorten van deze aanval wereldwijd bekend, zoals:

WannaCry-ransomwareDit is de De laatste tijd meer bekende ransomware omdat het wereldwijd aanvallen heeft uitgevoerd op veel teams van bedrijven en mensen. Het is een cryptografische ransomware, maar het is de moeite waard om het aan de zijlijn te catalogiseren, aangezien het, zoals u weet, wereldwijd in het nieuws is gekomen als gevolg van aanvallen die in veel verschillende landen zijn uitgevoerd. Het is belangrijk om op te merken dat dit niet nieuw is zoals veel mensen denken, aangezien het al heel lang in veel teams kookt. Op de volgende afbeelding kunt u zien waar ze worden uitgevoerd.

Er zijn veel gevaarlijke virussen en aanvallen op internet, maar WannaCry-ransomware is een van de ergste.

Kortom, we kunnen zeggen dat we het als een van de slechtste beschouwen omdat het een schone codering van meerdere zeer belangrijke bestanden uitvoert met een krachtig algoritme en een krachtige sleutel, waardoor het erg moeilijk is om ze opnieuw te hebben. Het is ook belangrijk om te wijzen op het gemak van uitvoering dat het moet verzenden en uitvoeren op alle netwerkschijven.

Wil huilen Decryptor dringt uw computer binnen, vooral per e-mail, en wanneer u het uitvoert zonder het te beseffen, versleutelt het de informatie. Het serieuze is dat zodra alle bestanden op de computer zijn gecodeerd, ze via het netwerk worden gerepliceerd naar andere servers, computers, enz. Alles wat u op netwerkschijven hebt aangesloten, kan ook worden versleuteld. Het is dus normaal dat wanneer een computer eenmaal is geïnfecteerd, deze zich naar vrijwel iedereen op het netwerk verspreidt.

Voor de replicatie maakt het gebruik van hiaten in de systemen, vooral in Windows. Het wordt dus aanbevolen om ze altijd up-to-date te houden met alle patches, om te voorkomen dat het zo gemakkelijk is om van de ene naar de andere kant te repliceren.

Dit gedrag verklaart waarom het wordt aanbevolen om de computers los te koppelen, zodat deze niet doorgaat met coderen en verspreiden. Om deze reden is het eerste dat bedrijven in het algemeen vragen om intern geïnfecteerd te raken, alle computers uit te schakelen en los te koppelen, zodat ze niet doorgaan met het versleutelen van bestanden en het probleem vergroten. Ze moeten de bron vinden en alle getroffen computers en servers herstellen.

Het versleutelen van uw bestanden is een veelgevraagde techniek om de privacy van uw meest vertrouwelijke bestanden te beschermen. Deze aanval maakt gebruik van zeer sterke coderingsalgoritmen, die niet kunnen worden verbroken als je de sleutel niet hebt. Nu gaan we later dieper in op dit type Ransomware.

Crypto-ransomwareDit type aanval maakt gebruik van geavanceerde algoritmen en de belangrijkste functie ervan is om systeembestanden te blokkeren waar we toegang toe moeten krijgen en een soms hoge som geld moeten betalen.

Binnen dit type vinden we CryptoLocker, Locky, TorrentLocker, ook WannaCry etc.

MBR-ransomwareWe weten dat de MBR (Master Boot Record) het opstarten van het besturingssysteem beheert en dit type aanval is verantwoordelijk voor het wijzigen van de waarden van de opstartsectoren om te voorkomen dat de gebruiker zijn besturingssysteem normaal opstart.

WinlockerDeze aanval is gebaseerd op sms, sms-berichten, waarbij het verzenden van een sms-bericht naar een betaalsite met een toegewezen code vereist is om de bestanden te ontgrendelen.

legpuzzelDeze aanval is verantwoordelijk voor het periodiek verwijderen van bestanden, zodat het slachtoffer de druk voelt om het losgeld te betalen om geen waardevollere informatie te verliezen.

Met deze aanval wordt elk uur een bestand van de computer verwijderd totdat de betaling is gedaan, en als een bijkomend maar niet bemoedigend detail verwijdert Jigsaw tot duizend bestanden van het systeem telkens wanneer de computer opnieuw opstart en toegang krijgt tot het besturingssysteem.

KimcilwareMet deze aanval worden we het slachtoffer van gegevenscodering op onze webservers en hiervoor maakt het gebruik van de kwetsbaarheden van de server en versleutelt het dus databases en bestanden die daar worden gehost, waardoor de non-activiteit van de website wordt vastgesteld.

MaktubDit is een aanval die zich verspreidt via frauduleuze e-mails en de getroffen bestanden comprimeert voordat ze worden versleuteld.

Het ziet eruit als een PDF- of tekstbestand, maar wanneer het wordt uitgevoerd, op de achtergrond zonder dat we het weten, is het op de computer geïnstalleerd en zijn er meestal grote sommen geld nodig voor gegevensherstel.

SimpleLocker, Linux.Encoder.1 en KeRangerDeze aanvallen vervullen in feite hun rol op mobiele apparaten en pc's om hun inhoud te blokkeren. SimpleLocker beïnvloedt de SD-kaart van Android-apparaten door bestanden te versleutelen. Linux.Encoder.1 en KeRanger verwerken gegevensversleuteling op Linux- en Mac OS-besturingssystemen.

CerberHet kan een van de meest angstige gebruikers zijn, vooral Windows-systemen, omdat deze aanval toegang heeft tot de audio van het besturingssysteem om berichten uit te zenden, en niet goed motiverend of het laatste nieuws van Microsoft.

Deze aanval genereert een VBS-bestand genaamd "# DECRYPT MY FILES # .vbs" dat in 12 verschillende talen is en dreigende berichten uitzendt en betaling vraagt ​​voor gegevensherstel.

Zoals je kunt zien, vinden we verschillende soorten ransomware-aanvallen (Houd er rekening mee dat er nog veel meer soorten zijn en zullen zijn) die het een latente bedreiging maken en als we het nog steeds niet geloven, laten we naar deze gegevens kijken, het zal heel snel blijven stijgen:

  • Er zijn ongeveer 500.000 slachtoffers van de Cryptolocker-aanval in de wereld.
  • Een organisatie in Zuid-Amerika betaalde ongeveer 2.500 dollar om hun gegevens op te halen.
  • 1,44% van de TorrentLocker-slachtoffergebruikers heeft het losgeld betaald.
  • Wereldwijd vinden aanvallen plaats met het WannaCry-type, waarbij het tot nu toe verzamelde bedrag tussen de $7.500-25.000 zou liggen. (Niet betalen).

Hoe we in het begin zeiden: we raden af ​​om dit losgeld te betalen voor de gebruikte coderingssleutel. Het is niet 100% geverifieerd dat ze het aan u zullen geven en houd er rekening mee dat u meer cybercriminelen zult aanmoedigen om te verschijnen wanneer u ziet dat er een sappige "zaak" voor hen is. Houd er ook rekening mee dat er bepaalde meer praktische oplossingen kunnen zijn die we in de volgende secties uitleggen.

We hebben het gehad over de vooruitgang van technologie, maar ransomware is ook geëvolueerd, sinds vandaag is er de aanval PHP Ransomware of WannaCry Ransomware, die alle belangrijke gegevens versleutelen en in sommige gevallen zonder losgeld of betaling voor de versleutelde gegevens te vragen, waaronder bestanden met de volgende extensies:

zip, rar, r00, r01, r02, r03, 7z, tar, gz, xlsx, doc, docx, pdf, pptx, mp3, iso die we in de volgende secties beschrijven.

Houd er rekening mee dat ze zullen toenemen of variëren, en daarom is het niet goed om te denken dat een bepaald type bestand vrij is om te worden "gekaapt".

2. Ransomware-doelwit


Hoewel veel ransomware-aanvallen plaatsvinden op organisatieniveau waar de informatie veel gevoeliger en vertrouwelijker is, stellen de aanvallers die deze virussen maken geen limieten, maar thuisgebruikers zijn ook een zwak punt om redenen zoals:
  • Weinig of geen kennis van computerbeveiliging.
  • Geen antivirusprogramma's op hun besturingssysteem hebben.
  • Open en onveilige netwerken hebben.
  • Maak geen constante back-ups van de informatie.
  • Werk het besturingssysteem en de beveiligingstoepassingen niet regelmatig bij.
  • Voor oneigenlijk gebruik van internetdiensten.

We hebben misschien geen waardevolle informatie, maar als we dat wel hebben: slachtoffers van de versleuteling van onze informatie Zonder twijfel zullen we het slachtoffer zijn waar het ons zal raken om onze dagelijkse activiteiten op een normale manier te kunnen voortzetten, zoals op educatief, persoonlijk of zakelijk niveau.

De makers van ransomware zijn ook niet vergeten, sterker nog, ze zijn doelstelling nummer 1 omdat ze met hen de volgende voordelen behalen:

  • Daar kunnen ze de meeste schade aanrichten, met een sappig economisch potentieel om losgeld te betalen.
  • Verhoogde instabiliteit bij het versleutelen van gevoelige salarisadministratie, financiën, HR, enz.
  • Mogelijkheid om een ​​groter aantal apparatuur en diensten te beïnvloeden.
  • Kwetsbaarheden in de servers of clientcomputers.
  • Om belangrijke punten van landen te destabiliseren, en als u dit niet gelooft, kijk dan naar het laatste nieuws waar Londense ziekenhuizen, bedrijven zoals Telefónica in Spanje enz. zijn getroffen.

We kunnen bevestigen dat dit de nieuw wereldoorlogformaatHet zijn geen bommen schieten, maar het kan hetzelfde of pijnlijker zijn dan we ons voorstellen.

Technieken om Ransomware te verspreidenZoals we eerder hebben gezien, zijn er verschillende soorten ransomware-aanvallen en enkele van de technieken die worden gebruikt om ze te verspreiden zijn:

  • Het verzenden van frauduleuze e-mails.
  • Web doorverwijzen naar nepsites.
  • Tekstberichten.
  • Kwetsbaarheden gevonden op het beveiligingsniveau op servers of clientcomputers.
  • Kwaadaardige reclamecampagnes.
  • Juridische websites met kwaadaardige code in hun inhoud.
  • Automatische verspreiding tussen apparaten.

3. Aanbevelingen om onszelf te beschermen tegen Ransomware-malware


Aangezien ransomware zoveel kracht kost en het heel gemakkelijk is om het slachtoffer te worden, zijn er een aantal opties die ons zullen helpen alert te zijn op dit soort aanvallen en te voorkomen dat we nog een slachtoffer worden. Enkele tips zijn:

Maak een veiligheidskopieWe kunnen je vertellen dat dit zowel in organisaties als op persoonlijk vlak het allerbelangrijkste is. Het hebben van een back-up bespaart ons niet alleen problemen met malware, virussen en aanvallen, het beschermt ons ook tegen fysieke hardwarefouten die kunnen optreden op schijven, computers, servers, enz. Vandaar back-up is noodzakelijk en essentieel.

Het is een oplossing die constant en indien mogelijk op schijven en externe schijven moet worden geïmplementeerd, of je hebt de optie (op persoonlijk niveau) om het op locaties zoals de cloud, Dropbox, OneDrive, enz. de meeste zijn ook servers of externe schijven we zullen altijd de beschikbaarheid en integriteit van de bestanden hebben.

Het is belangrijk om u te vertellen dat er rekening mee moet worden gehouden dat deze malware (worm) Ransomware perfect aanvalt en ook codeert in de eenheden die u op dat moment hebt aangesloten, inclusief die in de cloud, dus vergeet niet om die verbinding te verbreken en niet laat het altijd aangesloten als u het niet gebruikt.

We hebben gezien hoe deze aanval van WannaCry-ransomware (en andere eerdere versies) zullen de verbindingen in de cloud van de geïnfecteerde computers versleutelen. Ze werden gerepliceerd in de Dropbox-, Google Drive- of OneDrive-accounts, omdat een verbinding als netwerkschijf deze bestanden ook perfect kan zien en daarom ook versleuteld en verwijderd kan worden. Het mooie is dat je binnen deze systemen de mogelijkheid hebt om de gegevens ook te herstellen, aangezien zodra je gegevens in de cloud waren versleuteld, ze ook de originele bestanden hebben verwijderd, dus als je in de cloud bent geïnfecteerd, maak je geen zorgen, het is het mogelijk om ze te herstellen door deze tutorial te volgen.

We laten je hier de beste manieren zien om back-ups te maken, back-ups in de verschillende systemen die we kunnen hebben. Uw informatie staat voorop, stel u voor wat er zou gebeuren als u deze kwijtraakt, als het belangrijk is, aarzel dan niet en maak regelmatig back-ups.

We laten u meer gratis alternatieven voor back-upprogramma's op Windows, Linux of Mac.

Bestandsextensies bekijkenDit is een fundamenteel aspect aangezien de geïnfecteerde bestanden uitvoerbaar zijn, .exe, en worden gecamoufleerd als PDF-, DOC-, XLS-bestanden, enz., zodat we bij het activeren van de optie om de extensies te zien, weten of een bestand Solvetic.pdf of Solvetic.pdf.exe (geïnfecteerd).

Open geen verdachte of onbekende e-mailsHelaas laten we ons meeslepen door schijn en openen we valse e-mails van onze bank, sociale netwerk, facturen met PDF- of Excel-bijlagen met macro's, enz. en daarachter komt het geïnfecteerde bestand.

Vaak ontvangen we berichten van officiële instanties die aangeven dat we juridische problemen hebben, of van de bank die om invoer van de informatie vraagt, anderen die aangeven dat we spraakberichten hebben, enz., maar ze hebben allemaal een bijlage waarop ze verwachten dat we klikken op, op de achtergrond, de computer infecteren.

We herhalen, heel voorzichtig in de bijlagen die we openen, standaard moet je altijd achterdochtig zijn. Bij de minste twijfel raden wij u aan deze niet te openen of te controleren voordat u dit doet:

  • Zie goed het verzend-e-mailadres van de afzender volledig (niet alleen de valse naam die ze hebben ingevoerd).
  • Bekijk het type en de extensie van de bijlage. Zelfs als de afzender bekend is, is hij mogelijk geïnfecteerd en stuurt hij de malware of het virus automatisch door met zijn account naar zijn volledige contactenlijst. (jij een mogelijk slachtoffer).
  • Zie goed de tekst en het onderwerp van het bericht voor het openen.
  • Controleer het IP-adres van de afzender en controleer het land van herkomst van dat adres, en voer het IP-adres in van een web dat snel en comfortabel geolokaliseert.

Als u het minst wantrouwt, open het dan niet, het is beter om niet voorzichtig te zijn en het te wissen dan geïnfecteerd te raken. Besteed aandacht aan de spamberichten die uw e-mailmanager u mogelijk geeft.

VERGROTEN

Filter .exe-extensies in e-mailIn het geval van e-mailservers die het filteren van soorten bestanden toestaan, is het ideaal dat: Laten we alle e-mails filteren die de extensie .exe bevatten aangezien dit geïnfecteerde bestanden kunnen zijn om onze persoonlijke informatie te stelen.

Schakel bestanden uit die worden uitgevoerd vanuit AppData of LocalAppData-padAls we Windows-besturingssystemen gebruiken, kunnen we regels maken in de firewall en poorten openen of sluiten die de uitvoering van programma's van het AppData- of LocalAppData-pad verhinderen, aangezien het vanaf daar een van de sites is waar Cryptolocker, naast andere soorten Ransomware, uw infecties. Als u een Windows Server-systeembeheerder bent, kunt u GPO's toepassen op de firewalls van alle machines in het netwerk.

Constante systeemupdateDe ontwikkelaars van besturingssystemen en van antivirus-, antimalware- en beveiligingsprogramma's in het algemeen brengen regelmatig nieuwe updates uit die verbeteringen in beveiligingsfouten bevatten en dit kan ons helpen voorkomen dat we het slachtoffer worden van ransomware.

Onthoud dat het nodig en belangrijk is update het besturingssysteem en ook de beveiligingstoepassingen.

Als je systeembeheerder bent en je beheert bedrijven met onder andere Windows Server-servers. Onthoud dat u de updates van alle computers van uw bedrijf via de server met WSUS kunt controleren en hen kunt dwingen om te beslissen door schema's in te stellen die u interesseren om altijd up-to-date te zijn.

Programma's voor het blokkeren van add-ons gebruikenVeel kwaadwillende websites creëren pop-upvensters die erop moeten worden geklikt om ze te kunnen sluiten en in dit proces bevinden we ons mogelijk vóór het downloaden en installeren van een latente ransomware-bedreiging. Ze zijn al geïntegreerd in de meeste browsers en het is mogelijk om ze te activeren in de beveiligingsopties.

Het gebruik van deze programma's voorkomt dat deze vensters worden weergegeven en zo verkrijgen we een beveiligingsniveau in onze systemen.

RDP uitschakelenRDP (Remote Desktop Protocol) maakt externe connectiviteit met andere computers mogelijk om hulp of ondersteuning te bieden, maar Ransomware kan dit protocol gebruiken, meer specifiek Cryptolocker, WannaCry enz. om toegang te krijgen tot computers en deze te infecteren, vandaar het belang om te voorkomen dat dit protocol wordt ingeschakeld als het niet wordt gebruikt.

Deze tutorial laat zien hoe je RDP (Remote Desktop) in Windows 10, 8, 7 kunt inschakelen. Volg gewoon de stappen die daar worden uitgelegd, maar laat het uitgeschakeld in het gedeelte van het aan- of uitvinken.

Verbinding met het netwerk verbrekenIn het geval van uitvoering van een verdacht bestand, moeten we niet wachten tot het installatieproces is voltooid, omdat we niet weten welk doel het zal hebben, in dit geval is het meest voorzichtige en verantwoordelijke om onmiddellijk de verbinding met het netwerk, Wi-Fi te verbreken of Ethernet, met de Dit is om communicatie met de server te voorkomen die het virus kan introduceren.

We kunnen wifi direct uitschakelen of de RJ45-kabel verwijderen die we op de apparatuur hebben aangesloten.

Uitvoering van macro's in Office uitschakelenDit is een van de meest voorkomende manieren voor ransomware om te infecteren en uit te voeren. Als je geen gevorderd niveau hebt en macro's gebruikt in Microsoft Excel, Word, PowerPoint of Outlook (in business teams is het beter om ze standaard uit te schakelen), raden we je aan ze uit te schakelen.

Deze macro's worden ingevoegd in een eenvoudig .docx- of .xlsx-bestand of e-mails, waar u door het eenvoudig te openen mogelijk dit type ransomware of een ander type malware of virus uitvoert.

Volg deze stappen om ze uit te schakelen:

  • Outlook-macro's uitschakelen
  • Macro's uitschakelen Word, Excel en PowerPoint

Hier laten we u meer officiële Microsoft-informatie over dit probleem en het beheer van Office-beveiligingsinstellingen.

PoortblokkeringWe weten dat poorten in een besturingssysteem wel of geen communicatie tussen de lokale computer en het externe netwerk toestaan.

Het is een goede gewoonte, als we vooral servers beheren, om de poorten te blokkeren:

  • UDP 137, 138
  • TCP 139, 445 of schakel SMBv1 uit.

In de volgende Microsoft-link vinden we hoe u dit proces veilig kunt uitvoeren:

Gebruik ShadowExplorerHet doel van Wanna Decryptor 2.0 is om alle snapshots van het systeem te verwijderen zodra een .exe-bestand wordt uitgevoerd na infectie.

Met ShadowExplorer kunnen we deze snapshots van de Wanna Decryptor-aanval verbergen en zo een betrouwbare back-up hebben in geval van een aanval.

Deze tool is te downloaden via de volgende link:

4. Tools om versleutelde bestanden te beschermen of te herstellen van Ransomware

Microsoft heeft een verklaring uitgebracht over Losgeld: Win32.WannaCrypt waar hij opmerkt dat alle gebruikers die gratis Windows-antivirussoftware gebruiken of het Windows Update-systeem actief en bijgewerkt hebben naar de nieuwste versie, beschermd zijn.

Ze raden aan dat degenen die anti-malwaresoftware van een andere provider hebben, contact met hen opnemen om de status van hun bescherming te bevestigen.

Een goede zaak is dat Microsoft ook al eerder een beveiligingsupdate heeft geplaatst WannaCrypt-ransomware beschikbaar voor iedereen die niet-ondersteunde versies van Windows heeft, zoals Windows XP, Windows 8 en Windows Server 2003. Download en installeer nu om uzelf te beschermen!

Windows Server 2003 SP2 x64
Windows Server 2003 SP2 x86
Windows 8 x64
Windows 8 x86
Windows XP SP2 x64
Windows XP SP3 x86
Windows XP Embedded SP3 x86

Als je wilt kijken voor andere systemen zoals Windows Vista of Windows Server 2008, check dan deze link van de Microsoft Windows beveiligingsupdate zoekmachine. U zult zien dat naar deze patch wordt verwezen (KB4012598).

Hier is een officiële Microsoft-gids voor WannaCrypt ransomware-aanvallen.

Naast dit alles bieden ontwikkelaars van beveiligingsapplicaties ons de mogelijkheid om gratis meerdere tools te downloaden die essentieel zijn voor het detecteren of decoderen van versleutelde bestanden, uiteraard niet geldig voor alle soorten Ransomware, maar ze zullen blijven groeien sinds degenen die beschermen in IT-beveiliging gaan ze ook vooruit en bieden oplossingen. Onthoud dat de meest effectieve manier is om de bestanden die ons hebben gecodeerd te herstellen vanaf de back-up die we hebben gemaakt, maar we laten u enkele gepubliceerde tools over om deze te kunnen decoderen:

  • Alcatraz Ransomware-oplossing: downloaden
  • Apocalypse Ransomware-oplossing: downloaden
  • BadBlock Ransomware-oplossing: downloaden
  • Crypt888 Ransomware-oplossing: downloaden
  • Legion Ransomware-oplossing: downloaden
  • Cryptolocker Ransomware-oplossing downloaden

Hier kunt u enkele oplossingsopties zien om meer soorten Ransomware te decoderen om uw informatie te herstellen.

  • Karspersky Ransomware-tools
  • Avast Ransomware-hulpprogramma's
  • Wanakiwi (Hulpprogramma dat helpt bij het decoderen van WannaCry, denk eraan om niet opnieuw op te starten als je eenmaal bent geïnfecteerd en dit hulpprogramma te starten. Je kunt informatie herstellen in Windows XP, Windows 7 en Windows Server 2003, 2008).

Als bescherming moeten we er rekening mee houden dat anti-malware is een basis die alle computers zouden moeten hebben Behalve een goede antivirus. Als aanbeveling van anti-malwaretools raden we het volgende aan:

  • Kaspersky Windows Unlocker: Downloaden
  • Malwarebytes 3.0: downloaden
  • OSHI Defender: downloaden
  • Hitman Pro: downloaden
  • BitDefender Anti-Crypto. Downloaden
  • Trendmicro Ransomware Scherm Unlocker: Download
  • Microsoft Enhanced mitigation and experience toolkit (EMET): Download

We laten u ook anti-malware voor Linux en Mac:

  • LMD / Clamav (Linux)
  • De beste anti-malware (Mac)

Als extra hulpmiddel gericht op bescherming tegen WannaCry Ransomware, wij adviseren NoMoreCry Tool van CCN-CERT's tool omdat het toelaat de uitvoering van WannaCry Ransomware voorkomen.

We moeten hen bedanken voor deze geweldige bijdrage van CCN-CERT (CNI).

Deze tool werkt op alle versies van Windows en is beschikbaar voor gebruik door alle bedrijven. Het maakt een mutex (algoritme voor wederzijdse uitsluiting) op de computer waarop u het installeert en voorkomt de uitvoering van de kwaadaardige WannaCry 2.0-code.

CCN-CERT NoMoreCry-tool bevindt zich in de CCN-CERT-cloud, LORETO. U vindt een aanvullend script dat de uitvoering van malware op Windows-computers voorkomt (alle versies, zowel Engels als Spaans).

We downloaden gewoon het bestand NoMoreCry_mutex Y NoMoreCry-v0.4.exe (versies worden bijgewerkt). En beide bestanden moeten in dezelfde map staan.

Bij het uitvoeren hiervan verschijnt het volgende bericht:

Onthoud dat elke keer dat u inlogt, u het opnieuw moet uitvoeren. CCN-CERT geeft aan dat het hulpprogramma na elke herstart moet worden uitgevoerd. We raden dus aan om het bij het opstarten van Windows op te nemen (als het voor iemand met een pc is). Het zou eenvoudig zijn om deze tool toe te voegen met zijn uitvoerbare snelkoppeling in de map met opstartprogramma's:

  • + R
  • schrijft: shell: opstarten en druk op Enter.
  • Plak hier de snelkoppeling voor deze tool.

Je hebt het ook in .MSI om het in GPO te plaatsen. (Dat voor systeembeheerders). Dit proces kan ook worden geautomatiseerd door het Windows-register te wijzigen of door GPO-beleid in het domein te implementeren.

Als laatste aanbeveling van beschermingstools. Laten we natuurlijk niet vergeten een antivirusprogramma te installeren in de verschillende besturingssystemen die we hebben, in deze links zetten we het beste van dit jaar en vooral gratis, als je jezelf niet beschermt is dat omdat je dat niet wilt.

  • Gratis antivirusprogramma's
  • Gratis Linux-antivirus
  • Gratis Mac-antivirus

De beveiligingstools hebben tot doel onze informatie te beschermen tegen ransomware, maar in wezen de eerste stap van bescherming is in ons omdat er altijd nieuwe virussen, Trojaanse paarden, malware, aanvallen etc. zullen blijven verschijnen.

Onthoud en we vermelden nogmaals, dat in de meeste van deze ransomware, na het versleutelen van uw bestanden, verwijder ook het origineel, dus als een techniek niet werkt en u weinig verantwoordelijk bent geweest als u geen back-upkopieën van uw gegevens hebt, is het mogelijk om te proberen verwijderde bestanden van uw computer te herstellen (zodra de ransomware is geëlimineerd zoals hieronder wordt uitgelegd hoofdstuk hieronder).

Hiervoor raden we aan dat je deze andere tutorial bij de hand hebt met een verzameling gratis programma's om verwijderde bestanden te herstellen.

5. Hoe de WannaCry Ransomware-aanval te verwijderen en te beschermen?

WannaCry is een van de nieuwste ransomware die zich wereldwijd verspreidt en zowel organisaties als gewone gebruikers treft door hun gegevens te versleutelen en grote sommen geld te eisen. We hebben in deze tutorial veel gesproken over dit type ransomware, maar in deze sectie concentreren we ons op hoe we het kunnen elimineren als we er eenmaal mee besmet zijn.

Als jij een van degenen bent die plotseling het venster met het bovenstaande bericht verschijnt, ben je besmet:

WannaCry Ransomware-bericht (Engels)
Oeps, je bestanden zijn versleuteld!

Wat is er met Mijn Computer gebeurd?

Uw belangrijke bestanden zijn versleuteld.

Veel van uw documenten, foto's, video's, databases en andere bestanden zijn niet meer toegankelijk omdat ze versleuteld zijn. Misschien bent u druk op zoek naar een manier om uw bestanden te herstellen, maar verspil uw tijd niet. Niemand kan uw bestanden herstellen zonder decoderingsservice.

Kan ik mijn bestanden herstellen?

Zeker. Wij garanderen dat u al uw bestanden veilig en gemakkelijk kunt herstellen. (Maar je hebt niet zo genoeg tijd). U kunt proberen enkele van uw bestanden gratis te decoderen. Probeer het nu door te klikken. Als u al uw bestanden wilt decoderen, moet u betalen.

U heeft slechts 3 dagen om de betaling in te dienen. Daarna wordt de prijs verdubbeld. Als u niet binnen 7 dagen betaalt, kunt u uw bestanden ook niet voor altijd herstellen.

WannaCry Ransomware-bericht (Spaans)
Oeps, je bestanden zijn versleuteld!

Wat is er met mijn pc gebeurd?

Uw belangrijke bestanden zijn versleuteld.

Veel van uw documenten, foto's, video's, databases en andere bestanden zijn niet meer toegankelijk omdat ze versleuteld zijn. Misschien bent u druk op zoek naar een manier om uw bestanden terug te krijgen, maar verspil uw tijd niet. Niemand kan uw bestanden terugkrijgen zonder de decoderingsservice.

Kan ik mijn bestanden terugkrijgen?

Natuurlijk. Wij garanderen dat u al uw bestanden veilig en gemakkelijk kunt herstellen. (Maar je hebt niet genoeg tijd). U kunt proberen enkele van uw bestanden gratis te decoderen. Probeer het nu door te klikken. Als u al uw bestanden wilt decoderen, moet u betalen.

U heeft slechts 3 dagen om de betaling te verzenden. Daarna zal de prijs verdubbelen. Als u niet binnen 7 dagen betaalt, kunt u uw bestanden ook niet voor altijd terugkrijgen.

Als u ziet dat uw bedrijf of computers deze ransomware hebben, moet u alle computers stoppen zodat het niet wordt gerepliceerd, en ook niet doorgaan met het versleutelen van meer bestanden. Koppel de computers los van het netwerk en tik op bekijk ze om de oorsprong te detecteren.

Om deze malware in een Windows 10-omgeving te verwijderen, voeren we het volgende proces uit.

AandachtAls u niet op een gevorderd niveau bent, kunt u het beste het systeem opnieuw installeren en uw gegevens herstellen vanaf een reservekopie om er zeker van te zijn dat u niet nog steeds geïnfecteerd bent.

Stap 1
Allereerst moeten we toegang krijgen in de veilige modus om het starten van sommige services en processen te voorkomen, om te zien hoe we toegang krijgen in de veilige modus, kunnen we naar de volgende link gaan:

Stap 2
Ten tweede moeten we toegang krijgen tot Taakbeheer door met de rechtermuisknop op de taakbalk te klikken en de overeenkomstige optie "Taakbeheer" te selecteren.

Eenmaal daar gaan we naar het tabblad Processen en moeten we kijken naar die processen die ons niet normaal lijken, eenmaal gezien zullen we er met de rechtermuisknop op klikken en de optie "Bestandslocatie openen" selecteren.

Dit bestand kan gescand worden met onze antivirus en/of antimalware software omdat we het pad al kennen en dus twijfelen. Tot nu toe kunnen we de integriteit en betrouwbaarheid van het bestand bepalen.

Als we geen resultaten krijgen, kunnen we naar het hosts-bestand van het systeem gaan en daar controleren of we het slachtoffer zijn.

Hiervoor openen we het menu Uitvoeren: (+ R) en voer de volgende regel in: 

 notepad% windir% / system32 / Drivers / etc / hosts
Hierdoor wordt het hosts-bestand weergegeven. Als je merkt dat er onderaan nieuwe vermeldingen verschijnen voor andere externe IP-adressen dan 127.0.0.1 en je kent ze niet, dan zullen ze eruitzien alsof ze zijn toegevoegd door de ransomware-worm.

Stap 3
Daarnaast kunnen we overleggen dat programma's of toepassingen loggen in bij het opstarten van het systeem, aangezien sommige geïnfecteerde bestanden vanaf het begin kunnen zijn, gaan we om dit te controleren naar het tabblad Opstarten in Taakbeheer en controleren we in detail welke toepassingen starten met Windows 10:

Als u iets abnormaals ziet, selecteert u het gewoon en klikt u op de knop Uitschakelen. We raden u aan de tutorial te bekijken die we voor u hebben geplaatst, omdat deze u leert hoe u deze kunt beheren.

Stap 4
Later openen we de register-editor van Windows 10 met de toetsencombinatie + R en het commando invoeren regedit.

Daar gaan we naar Bewerken / Zoeken of gebruiken de toetsen Ctrl + F en in het weergegeven venster zullen we zoeken naar de ransomware naam:

VERGROTEN

Het is belangrijk om te onthouden dat u niet-virusregisters niet verwijdert, omdat dit de stabiliteit van het systeem zou aantasten. We moeten alle virusrecords op de volgende locaties verwijderen:

  • % App data%
  • % LocalAppData%
  • % Programma gegevens%
  • % WinDir%
  • % Temp%

Op dit moment zou het interessant zijn om applicaties te kunnen draaien om onze apparatuur te analyseren. We raden aan om het vierde hoofdstuk in deze tutorial te lezen "Hulpprogramma's om versleutelde bestanden te beschermen of te herstellen van ransomware " omdat we tools kunnen vinden die kunnen helpen bij het vinden en oplossen van deze aanval. We moeten altijd rekening houden met de becommentarieerde aanbevelingen om te voorkomen dat we in de val lopen van een Ransomware.

Als u een van degenen bent die geen back-up heeft gemaakt, houd er dan rekening mee dat het mogelijk is om verwijderde gegevens te herstellen, omdat deze malware eerst uw bestanden versleutelt en vervolgens verwijdert. Nadat u deze ransomware hebt verwijderd, raden we u aan hulpprogramma's voor het herstellen van verwijderde bestanden te gebruiken. Sommige kun je herstellen.

6. Hoe de Wanna Decryptor 2.0 Ransomware-aanval te verwijderen en te beschermen?


Vanaf 16-05-2017 zien we nog steeds veel nieuws over de verspreiding van de massale Ransomware-aanval met een virus genaamd Wil je decrypt0r 2.0 die op de computers wordt gehost en de informatie ook versleutelt met behulp van een combinatie van RSA- en AES-128-CBC-algoritmen waarbij de geïnfecteerde bestanden, die versleuteld zijn, automatisch de extensie .WNCRY.

Dus wanneer we proberen toegang te krijgen tot de computer of een van deze bestanden, ontvangen we een niet zo bevredigend bericht:

Het doel van deze massale aanval is om het hoogste aantal slachtoffers te bereiken en tot nu toe hebben we deze cijfers:

  • Meer dan 150 getroffen landen.
  • Meer dan 200.000 mensen vielen in hun dossiers aan.
  • Tot nu toe is er meer dan 55.000 dollar verloren gegaan door het betalen van "losgeld" voor uw bestanden.

Het ergste van dit alles is dat men vreest dat de dreiging zal blijven groeien. Wanneer het virus onze bestanden aantast, kunnen we zien dat deze, zoals we al zeiden, de extensie .WNCRY hebben:

We kunnen zien dat er een tekstbestand met de naam @ Please_Read_Me @ is gemaakt waarin we de instructies van de aanvaller zullen zien:

VERGROTEN

We kunnen het volgende zien:

Alles is erop gericht dat we het minimumbedrag betalen, namelijk $300,- om onze informatie te herstellen, aangezien de sleutel waarmee we de gegevens kunnen ontsleutelen niet lokaal wordt gehost, maar zich op de servers van de aanvaller bevindt.

Dit virus valt computers aan met Windows-besturingssystemen in al zijn versies:

  • Windows 7, 8.1
  • Windows 10
  • Windows Vista SP2
  • Windows Server 2008/2012/2016

Solvetic wil dit probleem grondig analyseren om te voorkomen dat iedereen wereldwijd opnieuw het slachtoffer wordt van deze massale aanval en daarom proberen we door te gaan met het detailleren van de variabelen die verschijnen en enkele manieren om deze dreiging van onze computer te elimineren .

De aanbevelingen zijn al in detail gegeven in andere secties boven deze handleiding, maar we geven de fundamentele aan.

  • Houd onze besturingssystemen up-to-date.
  • Open geen verdachte e-mails.
  • Vermijd het downloaden van items van P2P-sites.
  • Installeer antivirusprogramma's.
  • Als we een ongebruikelijke activiteit vermoeden, moeten we de apparatuur onmiddellijk loskoppelen van het netwerk.

Hoe Wanna Decryptor 2.0 zich verspreidt
Dit is de basisvraag die veel gebruikers zichzelf stellen, aangezien we over het algemeen voorzichtig zijn met de informatie die we verwerken of de sites die we bezoeken. Welnu, dit virus verspreidt zich massaal, en als een basislijn, met behulp van e-mails.

Hoewel we veel over het onderwerp hebben gesproken, is het gebruikelijk en varieert het niet veel om geïnfecteerd te raken bij het zien van verschillende meldingen in onze spamlade, zoals:

  • Wettelijke kennisgevingen door een autoriteit die aangeven dat we de reden voor de bijgevoegde dagvaarding zullen vinden.
  • Berichten van onze sociale netwerken die aangeven dat we nieuwe berichten hebben.
  • Verzoek van financiële entiteiten om informatie bij te werken, enz.

Hoe te weten of Wanna Decryptor 2.0 Ransomware is?
De reden is heel eenvoudig: elk virus dat de normale toegang tot onze informatie of onze apparatuur verhindert en een bedrag voor toegang vraagt, wordt geclassificeerd als Ransomware.

Wanna Decryptor 2.0 valt de volgende extensies aan door ze te wijzigen in de .WNCRY-extensie. Het fundamentele doel van Wanna Decryptor is om belangrijke bestanden te versleutelen die erg handig zijn voor elke gebruiker of elk bedrijf, zoals de volgende:

  • Office-toepassingsextensies: .ppt, .doc, .docx, .xlsx, .sx
  • Applicatie-extensies: .zip, .rar, .tar, .bz2, .mp4, .mkv
  • Database-extensies: .sql, .accdb, .mdb, .dbf, .odb, .myd
  • E-mailextensies: .eml, .msg, .ost, .pst, .edb
  • Ontwikkelaarsextensies: .php, .java, .cpp, .pas, .asm
  • Versleutelingssleutels en certificaatextensies: .key, .pfx, .pem, .p12, .csr, .gpg, .aes
  • Grafische ontwerpextensies: vsd, .odg, .raw, .nef, .svg, .psd
  • Extensies voor virtuele machines: .vmx, .vmdk, .vdi

Zoals we kunnen zien, is de dreiging latent en breed. We maken ons vooral zorgen over degenen die de hoofdservers beïnvloeden, zoals database-extensies, virtuele machines, vitale serverbestanden zoals .php, .java enz. Dat kan een stop veroorzaken die misschien nog uitgebreider is dan de eenvoudigste bestanden om te herstellen zoals xlsx, pdf, docx etc.

We herhalen dat dit zal blijven evolueren en verbeteren. Laten we uw vooruitgang dus nooit onderschatten.

We zullen in detail uitleggen welk proces Wanna Decryptor 2.0 uitvoert om controle over onze bestanden te krijgen.

  • Eerst schrijft het virus een map met willekeurige tekens in het pad C: \ ProgramData met de naam tasksche.exe of in het pad C: \ Windows met de naam van mssecsvc.exe en jijasksche.exe.
  • Zodra deze mappen zijn geschreven, geeft het virus deze bestanden volledige controle door het volgende uit te voeren:
 Icacls. / iedereen gunnen: F / T / C / Q
  • Gebruik dan het volgende script voor de uitvoering ervan: XXXXXXXXXXXXXXXX.bat (Verander X voor cijfers en/of letters)
  • Het zal zijn hashes, of crypto-algoritmen, van Wanna Decryptor 2.0 gebruiken. Op dit punt kunnen we tools zoals antivirus of antimalware gebruiken om deze hashes te lokaliseren en verder te gaan met het verwijderen van het systeem.
  • Om volledige controle te krijgen, gebruikt Wanna Decryptor 2.0 als volgt verborgen TOR-services met de .onion-extensie:
 jhdtgsenv2riucmf.onion 57g734jdhclojinas.onion 76jdd2ir2embyv43.onion cwwnh33lz52maqm7.onion
Op deze manier zullen we zien hoe het al onze beschikbare eenheden analyseert totdat we de bovengenoemde bestandsextensies vinden en doorgaan met hun codering en respectievelijke betaling. Zoals we in andere versies zeiden over de vraag of het mogelijk is om bestanden te decoderen die zijn versleuteld met Wanna Decryptor 2.0 … we vertellen je nogmaals dat het antwoord is nee vanwege het coderingsniveau dat wordt gebruikt in het proces van: AES-265 met een RSA-coderingsmethode die compleet is en er is geen tool, inclusief brute kracht, die de gegevens kan ontsleutelen.

Daarom zijn we, zoals we al in andere secties hebben gezegd, genoodzaakt om de informatie op andere manieren te herstellen, zoals:

  • Herstel de informatie die was versleuteld van eerder gemaakte back-upkopieën.
  • Herstel de originele informatie die is verwijderd na de codering door wanna decryptor 2.0. Wanneer we zijn aangevallen door Wanna Decryptor 2.0, maakt het eerst een kopie van de bestanden, versleutelt ze en verwijdert later de originele, waarbij het de volledige controle overneemt. (Zie het gedeelte over tools voor gegevensbescherming en herstel)
  • Gebruik eerder Shadow Explorer en we zullen de mogelijkheid hebben om verwijderde bestanden te redden van beveiligde volumes (Je hebt de downloadlink in het gedeelte met aanbevelingen om jezelf te beschermen tegen ransomware).

Als eliminatieproces volgt u het patroon dat eerder in de WannaCry-sectie is uitgelegd, gaat u naar de veilige modus, controleert u bepaalde mappen waar het wordt gehost, elimineert u de uitvoering van services en programma's bij het opstarten van Windows en analyseert u met de meest antimalware-tool die u leuk vindt (MalwareBytes , Hitman Pro, Windows Defender Offline zijn enkele van de vele die we beschikbaar hebben voor deze scan).

Tot slot, als u in realtime wilt weten wat de huidige status is van Wanna Decryptor 2.0 en op de hoogte wilt zijn van de voortgang van deze aanval met details zoals geïnfecteerde computers en gebruikers, landen waar het virus is gehost, kunnen we ga naar de volgende link:

Dit zullen we waarnemen:

VERGROTEN

Daar zullen we de grafiek zien met de respectievelijke getroffen sites, het totale aantal getroffen computers, enz. Onderaan zullen we de grafieken zien van hoe deze aanval wereldwijd is toegenomen:

VERGROTEN

We raden u aan deze tips op te volgen en reservekopieën van de meest relevante informatie up-to-date te houden.

We hebben gezien hoe we ons in een onzekere wereld bevinden die ons leven op elk moment kan beïnvloeden, maar als we voorzichtig en voorzichtig zijn, zullen we zeker niet opnieuw het slachtoffer worden van ransomware, aangezien al onze veiligheid van ons afhangt.

Hier zijn meer tutorials en artikelen over beveiliging. We vragen je alleen om deze tutorial te delen, zodat we allemaal alert en een beetje veiliger kunnen zijn in het licht van de bedreigingen waaraan we dagelijks worden blootgesteld bij het gebruik van internet. We zullen de dagelijkse tutorials voor jullie allemaal voortzetten. Wees attent bij Solvetic voor IT- en technologieoplossingen, niet alleen voor beveiliging, maar voor alle velden en niveaus.

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
▷ Activeer PS5 als hoofd
2
post-title
Paginabestand (Pagefile) verwijderen bij afsluiten Windows 10
3
post-title
Hoe Xiaomi Redmi Note 6 Pro uit te schakelen of opnieuw op te starten
4
post-title
Installeer of verwijder Go Ubuntu 21.04, 20.04
5
post-title
Voorkom dat Windows 10 op laptop start bij het openen van het schermdeksel

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -