Documente Academic
Documente Profesional
Documente Cultură
ro/infectie-pe-viu-cu-wanna-cry-ransomware-si-metode-de-protectie/
Cea mai distrugătoare infecție informatica din ultimii ani este un Ransomware care se numește WannaCry.
https://videotutorial.ro/cum-arata-un-pc-infectat-cu-crypto-troianul-locky/
Cum
Par arată un PC infectat cu crypto troianul LOCKY
taje
A trecut vremea, când devirusam PC-ul cu un click. Amenințările de azi, au luat forme din ce in ce mai ciudate.
In urma cu o zi, o cunoștința, m-a rugat sa verific un laptop, si sai dau un sfat, de ce se mișca asa de greu. M-am uitat și, mi-am
ază
dat imediat seama ca, pe lângă 10.000 de extensii, programe de “întreținere/curatare” si toolbar-uri, avea toate fișierele personale
CRYPTATE.
Principalul suspect este LOCKY, care este un ransomware de tip Crypto Troian. LOCKY, a ajuns în laptop-ul victimei, prin
intermediul unui atașament “preparat special”, cu extensia .doc.
Acum victima, nu-și poate accesa pozele, filmele sau documentele, deoarece acestea sunt criptate, și au extensia .locky.
Ca sa poată accesa fișierele care au fost criptate, victima trebuie sa plătească în jur de 400 de euro, prin rețeaua Tor, in Bitcoin,
pentru un soft, care va ajuta la decriptare. Bineînțeles, nu exista nicio garanție ca decriptarea va funcționa; Si chiar dacă va
funcționa, de ce sa plătești, nu e drept.
Ca sa va dați seama cat de nașpa e treaba cu cryptarea fișierelor; O clinica din SUA, tocmai ce-a plătit o căruța de bani piraților
informatici, pentru decriptarea datelor cu evidenta pacienților, fise medicale, etc.
Cum ne ferim de ransomware ?
1. Nu deschideți atașamente email, decât după ce ați luat legătura cu expeditorul.
2. Nu deschideți atașamente de spam-uri (ați câștigat, click aici, felicitări, etc)
3. Păstrați sistemul de operare actualizat, cu toate patch-urile la zi.
4. Nu folosiți programe în care nu puteți avea încredere (de pe torrent)
5. Faceți update-ul la zi pentru antivirus
6. Nu instalați toate tâmpeniile de softuri.
7. Nu folosiți decât extensiile absolut necesare în browser
8. Dezinstalați aplicațiile pe care nu le folosiți
9. Aveți grija când instalați freeware, de obicei vine cu “surprize” la pachet
10. Faceți backup, pe o stocare externa, care sa fie deconectata de la PC după backup.
Backup-Backup-Backup
Backup-ul în avans, este cea mai buna apărare împotriva pierderii fișierelor. Va recomand sa faceți backup pe un dispozitiv, după
care sa-l deconectați de la PC. Va recomand si cateva tutoriale cu programe de backup.
Atenție
LOCKY afectează toate harddisk-urile, toate partițiile, toate hard disk-urile externe, toate stick-urile conectate și toate stocările din
rețea. Pe scurt, LOCKY infectează tot ce vede.
Devirusarea, chiar dacă ne scapă de infecția în sine, nu ne poate decripta fișierele.
Infecțiile de tip Crypto Troian, asemănătoare cu Locky si CryptoLocker, au ajuns si pe Android. Ransomware-ul Triada afectează
telefoanele cu Android 4.4 sau mai vechi. Acest ransomware ajunge în telefon prin intermediul unei aplicații.
Programe antivirus pentru protecție:
Kaspersky
BitDefender
https://videotutorial.ro/nou-in-windows-defender-anti-ransomware-anti-criptare-fisiere/
https://videotutorial.ro/cryptolocker-cum-dezinfectam-cum-prevenim-si-cum-recuperam-fisierele-
infectate/
Salut prieteni, in tutorialul de astazi vom vorbi despre infectia de tip ransomware numita CryptoLocker. Mai exact o sa vedem cum
dezinfectam un calculator infectat cu CryptoLocker, cum prevenim infectarea cu acest ransomware si cum putem recupera
fisierele infectate cu CryptoLocker.
Ce face CryptoLocker ?
Asa cum va spuneam si mai sus acest tip de infectie face parte din clasa ransomware si odata infectat cu CryptoLocker acesta
cauta si cripteaza fisierele din calculatorul vostru. Fisierele pe care le cripteaza acesta sunt: *.odt, *.ods, *.odp, *.odm, *.odc,
*.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg,
*.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, *.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay,
*.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer,
*.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c
Odata ce fisierele au fost criptate, nu veti mai putea deschide, utiliza sau vizualiza respectivele fisiere. Desi la un moment dat
CryptoLocker va va oferi “sansa” (falsa) de va recupera fisierele prin plata sumei de 300 dolari sau 300 euro in schimbul carora
veti primi o cheie pentru decriptarea fisierelor voastre, nu va sfatuiesc sa faceti acest lucru! Nu va garanteaza nimeni ca veti primi
intr-adevar cheia de decriptare si veti ramane si fara toti banii de pe card-ul sau contul dumneavoastra bancar.
Ce fac daca m-am infectez cu CryptoLocker ?
Va recomandam sa deconectati de la calculator toate perfifericele (imprimanta, fax, stick USB, card SD, hard disk extern si alte
medii de stocare), scoatei cablul de internet din placa de retea al calculatorului infectat pentru a nu raspandi infectia in retea si
catre alte calculatoare conectate la aceasta. Deasemenea nu mai conectati medii de stocare amovibile (stick-uri USB, carduri de
memorie sau hard disk-uri externe) la calculatorul infectat.
Cum dezinfectez un calculator infectat cu CryptoLocker ?
Metoda prin care va puteti debarasa de aceasta infectie este destul de simpla aceasta fiind prezentata detaliat in tutorialul video.
Primul pas este sa intrati on Safe Mode asa cum s-a aratat in tutorialul video. Indiferent de versiunea de Windows folosita, puteti
face acest lucru apasand tastele Windows + R si in casuta Run scrieti “msconfig” apoi apasati tasta Enter. In fereastra care va
apare mergeti pe tabul Boot si bifati casuta Safe boot apoi click pe Apply si OK si restartati calculatorul urmand ca acesta sa intre
singur in Safe Mode cand va reveni din restart.
O alta metoda prin care puteti intra in Safe Mode este sa restartati calculatorul si imediat dupa ce vedeti logo-ul producatorului
placii de baza, apasati repetitiv tasta F8.
Ajunsi in Safe Mode va trebui sa accesam Registry Editor pentru a sterge intrarile pe care si le face CryptoLocker in sistemul de
operare. Apasam tastele Windows + R si in casuta Run scriem “regedit” si apasam tasta Enter.
De obicei CryptoLocker va avea cateva key in urmatoarele locatii:
HKEY_CURENT_USER\Software\CryptoLocker
HKEY_CURENT_USER\Software\CryptoLocker_0388
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Dupa ce am curatat registry de intrarile CryptoLocker va trebui sa facem vizibile extensiile pentru fisiere, folderele si fisierele
ascunse precum si folderele protejate de sistem. Cum se face acest lucru s-a aratat in tutorialul video.
Vom accesa folderele “C:\Users\NumeleVostruDeUtilizator\AppData\Local” precum si
“C:\Users\NumeleVostruDeUtilizator\AppData\Roaming” si vom sterge orice fisier cu denumire dubioasa avand extensia .exe. De
obicei executabilele folosite de CryptoLocker si alte tipuri de infectii nu au un inteles in denumirea lor, de exemplu acestea poat fi
denumite “aldkkgjhoipporh.exe”
Dupa ce am terminat de facut acesti pasi va trebui sa repornim calculatorul. Cand revenim din restart descarcam si
instalam Malwarebytes, il rulam si facem o scanare. Dupa finalizarea scanarii inlaturam din interfata acestuia infectiile gasite.
Cum prevenim infectarea calculatorului cu CryptoLocker ?
Pentru a preveni infectarea cu CryptoLocker este bine sa aveti un antivirus, un antimalware sau o suita de securitate cu update-
urile ce contin baza de date cu semnaturile pentru virusi, la zi. Multi utilizatori stau nepasatori si linistiti doar pentru ca vad iconita
unui antivirus in System tray (dreapta jos a ecranului langa ceas) fara sa se asigure ca acesta este functional sau daca si cand si-
a facut ultima data update-urile ce contin semnaturile pentru virusi.
O masura in plus pentru prevenirea infectiei cu CryptoLocker este si CryptoPrevent, un mic utilitar care poate fi instalat sau poate
fi folosit ca aplicatie portabila. CryptoPrevent face unele modificari in Group Policy pentru a bloca drepturile de executie a
executabilelor alflate in %appdata% si %localappdata% precum si protejarea impotriva exploit-ului RLO (Right to Left Override)
Aceasta unealta trebuie folosita cu precautie caci poate bloca si un fisier legitim care se poate afla in %appdata% sau
%locaappdata%. Daca se intampla ca un fisier legitim sa fie blocat, puteti deschide interfata aplicatiei CryptoPrevent si sa
adaugati fisierul respectiv in White List (lista alba) o lista ce va contine fisierele adaugate de voi si care vor avea dreptul de a fi
executate.
Cum recuperez fisierele criptate de CryptoLocker ?
Din pacate recuperarea fisierelor criptate de CryptoLocker nu este garantata de nici o metoda sau soft minune. Totul tine de
setarile pe care le-ai avut si le ai in sistemulde operare. Daca pana sa te infectezi ai avut tot timpul System Restore si Previous
Versions oprite, nu mai poti recupera fisierele criptate. System Restore si Previous Versions lasate activate va vor permite sa
reveniti la o stare anterioara pe care o avea fisierul inainte ca acesta sa fi fost infectat si criptat. Puteti totusi sa utilizati Shadow
Explorer pentru a afla daca in sistemul de operare exista versiuni anterioare pentru fisierele criptate. Daca veti gasi unul sau mai
multe fisiere intr-o stare anterioara infectiei si doriti sa le restabiliti, faceti click dreapta pe acestea din interfata aplicatiei
ShadowExplorer si alegeti din meniul contextual optiunea Export.
Pe final concluzia este una singura. UN BACKUP pe care foarte multi utilizatori evita sa il faca, v-ar fi scutitit de toate aceste
batai de cap. Faceti backup macar pentru fisierele vitale pentru voi, pastrati copii ale acestora chiar si in 10 locatii diferite daca
este nevoie caci nu se stie niciodata cum le poti pierde, fie printr-o infectie urata de genul CryptoLocker, fie printr-un dezastru
natural (calamitate), furt sau pur si simplu iti cedeaza hard disk-ul intr-o zi. Exista SUTE de solutii gratuite pentru backup, avem o
gramada de tutoriale legate de acest subiect indiferent ca doriti sa salvati backup-urile local sau in servicii cloud.
https://videotutorial.ro/eliminarea-infectiilor-de-tip-ransomeware-cu-malwarebytes-tutorial-video/