Actualización de Windows desde ransomware. Protección contra ransomware mediante FSRM en Windows Server. Epidemia de cifrado WannaCry: qué hacer para evitar la infección. Guía paso por paso

Actualización de Windows desde ransomware. Protección contra ransomware mediante FSRM en Windows Server. Epidemia de cifrado WannaCry: qué hacer para evitar la infección. Guía paso por paso

Este otoño, Windows 10 se actualizó a la versión 1709, con nombre en código Fall. Actualización de creadores o Redstone 3. Entre los muchos cambios, lo que más nos interesaba era mejorar la protección contra malware desconocido. Microsoft ha tomado una serie de medidas para contrarrestar los troyanos y exploits ransomware. ¿Qué tan exitosos fueron?

Viejo nuevo defensor
Todo lo nuevo es antiguo y bien renombrado. En la "actualización de otoño para diseñadores", los componentes de seguridad integrados se combinaron en el "Centro de seguridad" Defensor de Windows" Incluso el software de firewall comenzó a llamarse "Windows Defender Firewall", pero estos cambios son puramente cosméticos. Los más importantes se refieren a las nuevas funciones, que veremos con más detalle a continuación.

Otro componente antiguo-nuevo introducido en Redstone 3 se llama Exploit Protection. Defensor de Windows Exploit Guard, o simplemente EG, se habilita a través del Centro de seguridad de Windows Defender en la sección Control de aplicaciones y navegador.

Técnicamente Exploit Guard es un ex programa de utilidad Kit de herramientas de experiencia de mitigación mejorado con un conjunto de funciones ligeramente mayor y una nueva interfaz. EMET apareció nuevamente en tiempos de ventanas Vista ya ha sido descontinuado y Exploit Guard ha tomado su lugar. Pertenece a las herramientas de Advanced Threat Protection, junto con el administrador de complementos. dispositivos dispositivo Guardia y Guardia de Aplicaciones. Las malas lenguas dicen que Microsoft inicialmente quería introducir un componente común Sistema avanzado Guardia de seguridad, pero la abreviatura resultó completamente disonante.

Protección contra exploits
Exploit Guard es sólo una herramienta de reducción de riesgos; no elimina la necesidad de cerrar vulnerabilidades en el software, pero las hace más difíciles de usar. En general, el principio operativo de Exploit Guard es prohibir aquellas operaciones que el malware utiliza con mayor frecuencia.

El problema es que muchos programas legítimos también los utilizan. Además, existen programas antiguos (o mejor dicho, bibliotecas dinámicas), que simplemente dejará de funcionar si se usa en ventanas nuevas funciones de control de memoria y otros medios modernos proteccion.

Por lo tanto, configurar Exploit Guard es lo mismo que usar EMET anteriormente. En mi memoria, muchos administradores pasaron meses profundizando en las complejidades de la configuración y luego simplemente dejaron de usar funciones restrictivas debido a numerosas quejas de los usuarios.

Si la seguridad es lo primero y necesita apretar los tornillos, entonces las características más populares de Exploit Guard fueron (desde los días de EMET) y siguen siendo:

  • DEP(Prevención de ejecución de datos): prevención de la ejecución de datos. No permite la ejecución de un fragmento de código que termine en un área de la memoria no destinada a este fin (por ejemplo, como resultado de un error de desbordamiento de pila);
  • reasignación aleatoria de memoria- previene ataques a direcciones conocidas;
  • deshabilitar puntos de expansión- evita la inyección de archivos DLL en procesos en ejecución (consulte el artículo sobre cómo omitir UAC, donde este método se usó ampliamente);
  • Comando DisallowChildProcessCreation- prohíbe aplicación especificada crear procesos secundarios;
  • filtrado de tablas de direcciones de importación (IAF) y tablas de direcciones de exportación (EAF)- evita que un proceso (malicioso) aplique fuerza bruta a las tablas de direcciones y acceda a la página de memoria de las bibliotecas del sistema;
  • Verificación de llamadas- comprueba los derechos para llamar a API confidenciales;
  • SimExec- simulación de ejecución. Comprueba antes de la ejecución real del código a quién devolverán las llamadas API confidenciales.
Los comandos se pueden pasar a través de PowerShell. Por ejemplo, una prohibición de crear procesos secundarios se ve así:

Set-ProcessMitigation -Nombre ejecutable.exe
-Habilitar DisallowChildProcessCreation

Todos los procesadores y chipsets x86 de los últimos diez años admiten DEP en nivel de hardware, y para personas muy mayores está disponible Implementación de software esta función. Sin embargo, en aras de la compatibilidad de los nuevos Versiones de Windows Con software más antiguo, Microsoft aún recomienda habilitar DEP en el modo "solo para procesos del sistema" Por el mismo motivo, era posible desactivar DEP para cualquier proceso. Todo esto se ha utilizado con éxito en técnicas de derivación de DEP.

Por lo tanto, tiene sentido utilizar Exploit Guard sólo si es posible utilizar varios funciones protectoras, sin provocar un fallo al menos en el funcionamiento de las aplicaciones principales. En la práctica esto rara vez es posible. A continuación se muestra un ejemplo de un perfil EG convertido de EMET, que generalmente hace que Windows 10 falle en BSoD. Érase una vez, Hacker tenía una sección de "Construcción occidental" y Exploit Guard habría encajado perfectamente en ella.

Protección contra ransomware
“Todos sus archivos han sido cifrados. Para descifrarlos, enumere los bitcoins por dirección especificada“- probablemente ya hayas visto una inscripción similar, si no en tu propio, en el escritorio de otra persona.

Hoy en día, el ransomware es la principal subclase de troyanos ransomware y Windows es la principal plataforma atacada. Es por eso que Microsoft está tratando de medidas adicionales proteccion. El problema es que el ransomware no es un virus clásico y contrarrestarlo eficazmente requiere enfoques fundamentalmente diferentes. Casi cualquier antivirus puede detectar un troyano conocido por su firma, pero detectar uno nuevo es una tarea completamente diferente.

Un ataque preventivo por parte de un antivirus es difícil, aunque sólo sea porque los troyanos ransomware utilizan medios criptográficos legítimos, como muchos programas populares. Su código normalmente no tiene signos obvios actividad maliciosa, por lo que las heurísticas y otras medidas de análisis no relacionadas con las firmas a menudo fallan.

Encontrar marcadores distintivos de ransomware es un dolor de cabeza para todos los desarrolladores de antivirus. Todo lo que pueden ofrecer hasta ahora es reemplazar la tarea. En lugar de buscar ransomware, concéntrese en su objetivo principal y obsérvelo. Es decir, controlar el acceso a los archivos y directorios del usuario, así como realizar copias de seguridad periódicamente en caso de que el cifrador llegue a ellos.

Como descubrimos en uno de los artículos anteriores, en la práctica esto está lejos de ser un enfoque ideal. El control de acceso es nuevamente un equilibrio entre seguridad y conveniencia, muy sesgado hacia la incomodidad. Conceptualmente, la situación es la misma que cuando se utiliza Exploit Guard: o las reglas de prohibición se aplican en su totalidad, pero trabajar en una computadora se vuelve problemático, o las restricciones se establecen formalmente para mantener la compatibilidad con el software más antiguo y la comodidad del usuario.


Hace tiempo que aparece un control de acceso similar en los antivirus de terceros, pero en una forma ligeramente diferente. Estaba dirigido a la seguridad del sistema, no a detectar amenazas. Se supone que si el antivirus no detecta el malware, fondos adicionales Los controles simplemente bloquearán los cambios no deseados en el directorio \Windows\ y en el gestor de arranque.

Si por archivos del sistema Este enfoque sigue siendo de alguna manera adecuado, pero para los personalizados no lo es. A diferencia de directorio del sistema, cuyo contenido es más o menos el mismo en diferentes computadoras, el usuario puede contener cualquier cosa. Además, las solicitudes para cambiar archivos pueden provenir de cualquier programa. Agregue a este OLE la capacidad de cualquier proceso de llamar a otro y abrir archivos a través de él, y tendrá una idea de cómo es el infierno para un desarrollador de antivirus.

Dado que la modificación de archivos de usuario no afecta de ninguna manera el funcionamiento del sistema operativo, Windows no tenía protección incorporada para ellos. Todo cambió con el lanzamiento. Versión actualizada Windows 10, en el que el Defender integrado comenzó a monitorear documentos, fotografías y otro contenido del usuario. Se afirma que impedirá que los archivos sean reemplazados por versiones cifradas, privando a los autores de los troyanos de un motivo para exigir un rescate.

Experimento
Para probar, decidimos crear una carpeta de prueba C:\Docs\ con documentos. diferentes tipos y agregarlo a la lista de control acceso a windows Defensor. Luego lanzamos varios troyanos ransomware y vimos si Windows Defender podía contrarrestarlos.


En eso prueba de ventanas Defender hizo frente a la selección de troyanos mejor que la mayoría antivirus de terceros. Simplemente no me dejó copiar unidad de red ni una sola muestra, incluyendo varias modificaciones WannaCry, Petya, TeslaCrypt, Jigsaw, Locky y Satana. Todos ellos se eliminaron automáticamente, a pesar de la extensión modificada (.tst) y el empaquetado con UPX.


El nuevo componente Acceso controlado a carpetas forma parte de la protección en tiempo real. Por lo tanto, deshabilite el escaneo sobre la marcha en Windows Defender y verifique nueva caracteristica No funcionará por separado. Desactivar protección permanente sólo es posible completamente, pero entonces el resultado será predecible.


Hemos ampliado la selección de ransomware de prueba para incluir tipos nuevos y poco conocidos. Sin embargo, Windows Defender los eliminó todos instantáneamente, sin dejar otra opción. Por lo tanto, se decidió realizar un experimento modelo, escribiendo... ¡no, no! ¡De qué está hablando, señor fiscal! No es un troyano, sino un programa sencillo e inofensivo. Aquí está el código, ¡bienvenidos a los noventa!

@eco apagado
echo Abrir directorio `Documentos`
CD C:\Documentos\
directorio
echo El contenido original del archivo `lenses.txt` se enumera a continuación:
más< lenses.txt
echo Cambiando texto en el archivo "lentes.txt"...
echo Los datos del archivo fueron reemplazados por esta cadena>lenses.txt
eco ¡Listo!
más< lenses.txt
Cualquier ransomware reemplaza los archivos del usuario con sus versiones cifradas. Esencialmente, queremos probar cómo la función Acceso controlado a carpetas bloquea las operaciones de sobrescritura de archivos en el directorio de un usuario. Este programa simplemente reemplaza el contenido del archivo en directorio especificado la línea que especifique. El signo > redirige la salida de la consola a un archivo, sobrescribiéndolo por completo.

La ventaja de este archivo por lotes es que parece sospechoso (un archivo ejecutable con mala reputación) y su código es definitivamente desconocido para el antivirus. Se acaba de escribir y no tuvo tiempo de aparecer por ningún lado. El archivo lens.txt se especificó como destino porque su contenido está formateado con caracteres de tabulación y se muestra claramente en la consola con el comando more dentro de una sola pantalla.

Después del lanzamiento archivo por lotes muestra el contenido del directorio C:\Docs\ y luego el archivo lens.txt. Intenta sobrescribirlo con la cadena Los datos del archivo fueron reemplazados por esta cadena y muestra el contenido de lentes.txt nuevamente para verificar el resultado. El archivo por lotes se inicia desde otro directorio: "Descargas", simulando el hábito usuario inexperto(descarga cualquier cosa y haz clic en todo).

Si simplemente ejecutamos un archivo por lotes haga doble clic, veremos que el archivo lens.txt queda en en la misma forma. La función "Acceso controlado a carpetas" hizo frente a su tarea, evitando que el documento fuera sobrescrito por un comando de una persona desconocida Archivo ejecutable. En este caso, el texto se puede abrir y editar fácilmente en el Bloc de notas y luego guardarlo en el anterior, y esto no generará ninguna pregunta. El Bloc de notas es un proceso confiable y la protección es transparente para el usuario.


Si lo desea, puede agregar aplicación de terceros a la lista de confianza. Sí, tiene toda la razón al percibir esto como un posible vector de ataque.


Si primero escalamos privilegios y ejecutamos nuestro archivo por lotes con derechos de administrador, el archivo lentes.txt se sobrescribirá silenciosamente. Windows Defender no cederá y ni siquiera reflejará este evento en el registro. No le importa si el administrador emitió un comando o algún archivo dejado en nombre del administrador.


Por lo tanto, al utilizar procesos (auto)confiables o escalar primero los privilegios, los troyanos ransomware podrán eludir la nueva función de acceso controlado a carpetas introducida en Windows 10 v. 1709. Además, esto se puede hacer incluso utilizando métodos de la época de MS-DOS. ¡Viva la compatibilidad!

conclusiones
Exploit Guard resultó ser EMET en un nuevo envoltorio, y “Control de acceso” era una medida protectora a medias. Ayudará a reducir el daño causado por un simple ransomware que se ejecuta con derechos de usuario. Si el autor de la próxima guerra aleatoria utiliza técnicas de escalada de privilegios o puede enviar una solicitud para cambiar archivos a través de un proceso confiable, entonces el nuevo características de Windows 10 no guardará los datos del usuario. Sólo las copias de seguridad periódicas ayudarán a minimizar las consecuencias de la infección. Lo principal es que el troyano no puede cifrar y copias de seguridad. Por lo tanto, es mejor almacenarlos en un lugar donde no se pueda escribir (o al menos deshabilitarlo). medios externos y tener un duplicado en la nube.

Artículo tomado de xakep.ru

Este otoño, Windows 10 se actualizó a la versión 1709, con nombre en código Creadores de otoño Actualización o Redstone 3. Entre los muchos cambios, lo que más nos interesaba era mejorar la protección contra malware desconocido. Microsoft ha tomado una serie de medidas para contrarrestar los troyanos y exploits ransomware. ¿Qué tan exitosos fueron?

Viejo nuevo defensor

Todo lo nuevo es antiguo y bien renombrado. En la "actualización de otoño para diseñadores", los componentes de protección integrados se combinaron en el "Centro de seguridad de Windows Defender". Incluso el software de firewall comenzó a llamarse "Windows Defender Firewall", pero estos cambios son puramente cosméticos. Los más importantes se refieren a las nuevas funciones, que veremos con más detalle a continuación.

Otro componente antiguo-nuevo introducido en Redstone 3 se llama Exploit Protection. Windows Defender Exploit Guard, o simplemente EG, se habilita a través del Centro de seguridad de Windows Defender en la sección Control de aplicaciones y navegador.

Técnicamente, Exploit Guard es el antiguo kit de herramientas de experiencia de mitigación mejorada con un conjunto de funciones ligeramente mayor y una nueva interfaz. EMET apareció en el pasado Windows Vista, ahora se suspendió su soporte y Exploit Guard tomó su lugar. Pertenece a Advanced Threat Protection, junto con Device Guard Connected Device Manager y Application Guard. Las malas lenguas dicen que Microsoft inicialmente quería introducir un componente común, Advanced System Security Guard, pero la abreviatura resultó completamente disonante.

Protección contra exploits

Exploit Guard es sólo una herramienta de reducción de riesgos; no elimina la necesidad de cerrar vulnerabilidades en el software, pero las hace más difíciles de usar. En general, el principio operativo de Exploit Guard es prohibir aquellas operaciones que el malware utiliza con mayor frecuencia.

El problema es que muchos programas legítimos también los utilizan. Además, existen programas antiguos (o mejor dicho, bibliotecas dinámicas) que simplemente dejarán de funcionar si se habilitan nuevas funciones de control de memoria y otras medidas de protección modernas en Windows.

Por lo tanto, configurar Exploit Guard es lo mismo que usar EMET anteriormente. En mi memoria, muchos administradores pasaron meses profundizando en las complejidades de la configuración y luego simplemente dejaron de usar funciones restrictivas debido a numerosas quejas de los usuarios.

Si la seguridad es lo primero y necesita apretar los tornillos, entonces las características más populares de Exploit Guard fueron (desde los días de EMET) y siguen siendo:

  • DEP(Prevención de ejecución de datos): prevención de la ejecución de datos. No permite la ejecución de un fragmento de código que termine en un área de la memoria no destinada a este fin (por ejemplo, como resultado de un error de desbordamiento de pila);
  • reasignación aleatoria de memoria- previene ataques a direcciones conocidas;
  • deshabilitar puntos de expansión- evita la inyección de archivos DLL en procesos en ejecución (consulte sobre cómo omitir UAC, donde este método se usó ampliamente);
  • equipo DisallowChildProcessCreation- prohíbe que la aplicación especificada cree procesos secundarios;
  • filtrado de tablas de direcciones de importación (IAF) y tablas de direcciones de exportación (EAF)- evita que un proceso (malicioso) aplique fuerza bruta a las tablas de direcciones y acceda a la página de memoria de las bibliotecas del sistema;
  • Verificación de llamadas- comprueba los derechos para llamar a API confidenciales;
  • SimExec- simulación de ejecución. Comprueba antes de la ejecución real del código a quién devolverán las llamadas API confidenciales.

Los comandos se pueden pasar a través de PowerShell. Por ejemplo, una prohibición de crear procesos secundarios se ve así:

Set-ProcessMitigation -Nombre ejecutable.exe -Habilitar DisallowChildProcessCreation

Todos los procesadores y conjuntos de chips x86 de los últimos diez años admiten DEP a nivel de hardware y, para los más antiguos, está disponible una implementación de software de esta función. Sin embargo, en aras de la compatibilidad de las nuevas versiones de Windows con el software anterior, Microsoft aún recomienda habilitar DEP en el modo "solo procesos del sistema". Por el mismo motivo, era posible desactivar DEP para cualquier proceso. Todo esto se ha utilizado con éxito en técnicas de derivación de DEP.

Por lo tanto, tiene sentido utilizar Exploit Guard sólo si es posible utilizar varias funciones de protección a la vez sin causar al menos un fallo en el funcionamiento de las aplicaciones principales. En la práctica esto rara vez es posible. A continuación se muestra un ejemplo de un perfil EG convertido de EMET, que generalmente hace que Windows 10 falle en BSoD. Érase una vez, Hacker tenía una sección de "Construcción occidental" y Exploit Guard habría encajado perfectamente en ella.

La continuación está disponible solo para suscriptores.

Opción 1. Suscríbete a Hacker para leer todos los materiales del sitio.

La suscripción le permitirá leer TODOS los materiales pagos en el sitio dentro del período especificado. Aceptamos pago tarjetas bancarias, dinero electrónico y transferencias desde cuentas de operadores móviles.

El 12 de mayo alrededor de las 13:00 horas el virus comenzó a propagarse. Descifrador Wana. En casi un par de horas, decenas de miles de ordenadores en todo el mundo quedaron infectados. En actualmente Se han confirmado más de 45.000 ordenadores infectados.

Con más de 40 mil hackeos en 74 países, los internautas de todo el mundo fueron testigos del mayor ciberataque de la historia. La lista de víctimas incluye no sólo la gente común, pero también servidores de bancos, empresas de telecomunicaciones e incluso organismos encargados de hacer cumplir la ley.

Quiero infección virus del llanto Las computadoras tanto de usuarios comunes como de trabajo de varias organizaciones, incluido el Ministerio del Interior de Rusia, quedaron expuestas al cifrado. Desafortunadamente, pero este momento No hay forma de descifrar archivos WNCRY, pero puedes intentar recuperar archivos cifrados utilizando programas como ShadowExplorer y PhotoRec.

Parches oficiales de Microsoft para protegerse contra quiero virus Llorar:

  • Windows 7 de 32 bits/x64
  • Windows 10 de 32 bits/x64
  • Windows XP 32 bit/x64: sin parche de WCry.

Cómo protegerse del virus Wanna Cry

Puedes protegerte del virus Wanna Cry descargando un parche para tu versión de Windows.

Cómo se propaga Wanna Cry

Wanna Cry se distribuye:

  • a través de archivos
  • mensajes de correo.

Según informan los medios rusos, el trabajo de los departamentos del Ministerio del Interior en varias regiones de Rusia se ha visto interrumpido debido a un ransomware que ha infectado muchos ordenadores y amenaza con destruir todos los datos. Además, el operador de comunicaciones Megafon fue atacado.

Estamos hablando del troyano ransomware WCry (WannaCry o WannaCryptor). Cifra la información en la computadora y exige un rescate de $300 o $600 en Bitcoin para descifrarla.
También en foros y en las redes sociales Los usuarios comunes reportan infecciones:

Epidemia de cifrado WannaCry: qué hacer para evitar la infección. Guía paso por paso

La tarde del 12 de mayo fue descubierto. ataque a gran escala WannaCryptor (WannaCry) ransomware, que cifra todos los datos en PC y portátiles con sistema operativo Windows. El programa exige 300 dólares en bitcoins (unos 17.000 rublos) como rescate por el descifrado.

El golpe principal cayó sobre usuarios rusos y empresas. En este momento WannaCry logró afectar a unos 57.000 ordenadores, incluidos redes corporativas Ministerio del Interior, Ferrocarriles Rusos y Megafon. Sberbank y el Ministerio de Salud también informaron sobre ataques a sus sistemas.

Te contamos lo que debes hacer ahora mismo para evitar contagios.

1. El cifrador explota una vulnerabilidad de Microsoft con fecha de marzo de 2017. Para minimizar la amenaza, debes actualizar urgentemente tu versión de Windows:

Inicio - Todos los programas - Windows Update - Buscar actualizaciones - Descargar e instalar

2. Incluso si el sistema no se actualizó y WannaCry entró en la computadora, las soluciones corporativas y domésticas ESET NOD32 detectan y bloquean con éxito todas sus modificaciones.

5. Para detectar más amenazas desconocidas Nuestros productos utilizan tecnologías conductuales y heurísticas. Si un virus se comporta como un virus, lo más probable es que sea un virus. Entonces, sistema de nube ESET LiveGrid repelió con éxito el ataque desde el 12 de mayo, incluso antes de que se actualizaran las bases de datos de firmas.

¿Cuál es el nombre correcto del virus Wana Decryptor, WanaCrypt0r, Wanna Cry o Wana Decrypt0r?

Desde que se descubrió el virus por primera vez, muchos diferentes mensajes sobre este virus ransomware y a menudo se llama diferentes nombres. Esto sucedió por varias razones. Antes de que apareciera el virus Wana Decrypt0r, existía su primera versión Quiero descifrar0r, siendo la principal diferencia el método de distribución. Esta primera opción no fue tan conocida como la suya. hermano menor, pero gracias a esto, en algunas noticias, nuevo virus El criptógrafo lleva el nombre de su hermano mayor, Wanna Cry, Wanna Decryptor.

Pero aún así el nombre principal es Wana Decrypt0r, aunque la mayoría de usuarios en lugar del número “0” teclean la letra “o”, lo que nos lleva al nombre Descifrador Wana o WanaDecryptor.

Y el apellido con el que los usuarios suelen llamar a este virus ransomware es virus WNCRY, es decir, por la extensión que se añade al nombre de los archivos que se han cifrado.

Para minimizar el riesgo de que el virus Wanna Cru llegue a su computadora, los especialistas de Kaspersky Lab recomiendan instalar todas las actualizaciones posibles en la versión actual de Windows. El hecho es que el malware infecta sólo aquellos ordenadores que ejecutan este software.

Virus Wanna Cry: cómo se propaga

Anteriormente, mencionamos este método de propagación de virus en un artículo sobre comportamiento seguro en Internet, así que nada nuevo.

Wanna Cry se distribuye de la siguiente manera: En Buzón El usuario recibe una carta con un archivo adjunto "inofensivo": podría ser una imagen, un vídeo, una canción, pero en su lugar extensión estándar para estos formatos, el archivo adjunto tendrá una extensión de archivo ejecutable: exe. Cuando se abre y ejecuta un archivo de este tipo, el sistema se “infecta” y, a través de una vulnerabilidad, se carga directamente un virus en el sistema operativo Windows, cifrando los datos del usuario, informa therussiantimes.com.

Virus Wanna Cry: descripción del virus

Wanna Cry (la gente común ya lo ha apodado región Wona) pertenece a la categoría de virus ransomware (criptadores) que, cuando ingresa a una PC, cifra Archivos de usuario con un algoritmo criptorresistente, la lectura posterior de estos archivos se vuelve imposible.
Por el momento, se sabe que las siguientes extensiones de archivos populares están sujetas al cifrado Wanna Cry:

Popular archivos de microsoft Office (.xlsx, transmitido por therussiantimes.com.xls, .docx, .doc).
Archivos de almacenamiento y multimedia (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry es un programa llamado WanaCrypt0r 2.0, que ataca exclusivamente a PC con sistema operativo Windows. El programa explota un "agujero" en el sistema. Seguridad de Microsoft Boletín MS17-010, cuya existencia se desconocía anteriormente. El programa requiere un rescate de $300 a $600 para descifrarlo. Por cierto, actualmente las cuentas de los piratas informáticos, según de acuerdo con la Guardian, ya se han recibido más de 42 mil dólares.

Una ola de un nuevo virus de cifrado, WannaCry (otros nombres, Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), se ha extendido por todo el mundo, que cifra documentos en una computadora y extorsiona entre 300 y 600 dólares por decodificarlos. ¿Cómo puedes saber si tu computadora está infectada? ¿Qué debes hacer para evitar convertirte en víctima? ¿Y qué hacer para recuperarme?

Después de instalar las actualizaciones, deberá reiniciar su computadora.

¿Cómo recuperarse del virus ransomware Wana Decrypt0r?

Cuando utilidad antivirus, detecta un virus, lo eliminará inmediatamente o le preguntará si debe tratarlo o no. La respuesta es tratar.

¿Cómo recuperar archivos cifrados con Wana Decryptor?

No podemos decir nada tranquilizador por el momento. Aún no se ha creado ninguna herramienta de descifrado de archivos. Por ahora, todo lo que queda es esperar hasta que se desarrolle el descifrador.

Según Brian Krebs, experto en la seguridad informática Por el momento, los delincuentes han recibido sólo 26.000 dólares, es decir, sólo unas 58 personas aceptaron pagar el rescate a los extorsionadores. Nadie sabe si restauraron sus documentos.

¿Cómo detener la propagación de un virus en línea?

En el caso de WannaCry, la solución al problema puede ser bloquear el puerto 445 en el Firewall ( cortafuegos), a través del cual se produce la infección.

El 12 de abril de 2017 apareció información sobre la rápida propagación por todo el mundo de un virus de cifrado llamado WannaCry, que puede traducirse como "Quiero llorar". Los usuarios tienen preguntas sobre Actualizacion de Windows del virus WannaCry.

El virus en la pantalla de la computadora se ve así:

El malo virus WannaCry que lo cifra todo

El virus cifra todos los archivos de la computadora y exige un rescate en una billetera Bitcoin por un monto de $300 o $600 para supuestamente descifrar la computadora. Se infectaron ordenadores en 150 países de todo el mundo, siendo Rusia el más afectado.

Megafon, Ferrocarriles Rusos, el Ministerio del Interior, el Ministerio de Salud y otras empresas se enfrentan de cerca a este virus. Entre las víctimas se encuentran usuarios comunes Internet.

Casi todos somos iguales ante el virus. La diferencia, quizás, es que en las empresas el virus se propaga por todas partes red local dentro de la organización e infecta instantáneamente tanto como sea posible cantidad posible ordenadores.

El virus WannaCry cifra archivos en computadoras que usan Windows. EN microsoft En marzo de 2017, se lanzaron las actualizaciones MS17-010 para diferentes versiones Windows XP, Vista, 7, 8, 10.

Resulta que aquellos que están decididos Actualización automática Windows no corre riesgo de contraer el virus porque recibió la actualización de manera oportuna y pudo evitarlo. No pretendo decir que este sea realmente el caso.

Arroz. 3. Mensaje al instalar la actualización KB4012212

La actualización KB4012212 requirió reiniciar la computadora portátil después de la instalación, lo cual no me gustó mucho, porque no se sabe cómo podría terminar esto, pero ¿a dónde debería ir el usuario? Sin embargo, el reinicio salió bien. Así que vivimos en paz hasta el próximo. ataque de virus, y que tales ataques ocurrirán, por desgracia, no hay duda.

Algunos virus ganan, otros vuelven a aparecer. Esta lucha obviamente será interminable.

Video “Quiero llorar”: el virus ransomware infectó 75 mil sistemas en 99 países

Reciba artículos actuales por alfabetización informática directo a tu bandeja de entrada.
Ya mas 3.000 suscriptores

.

Popular en la categoría:
Cómo combinar capas en Photoshop en una o combinarlas en un grupo Cómo combinar varias capas en Photoshop
Cómo fusionar capas en Photoshop en una o combinarlas en un grupo...
leer
Transferir contactos a un nuevo teléfono Android
Transferir contactos a un nuevo teléfono Android
leer
Samsung Galaxy se reinicia solo - Soluciones Galaxy note 4 se reinicia solo
Samsung Galaxy se reinicia solo - Soluciones Galaxy Note...
leer
Características clave de Kaspersky Rescue Disk
Características clave de Kaspersky Rescue Disk
leer

últimos artículos
MacBook no se conecta a wifi MacBook no ve...
leer
Cómo ganar dinero con WebMoney
leer
Tableta "Supra": opiniones de clientes
leer
Ubicaciones de barcos en tiempo real
leer
Los mejores programas para Android Grabar llamadas desde...
leer
Eliminar a los no seguidores en Twitter
leer
Conexión a Internet en una computadora portátil: todo lo posible...
leer
Samsung Galaxy S IV es el nuevo buque insignia...
leer
Arriba