adaniel
18 May 2017, 12:44
Help alternativ la cel oferit de mesajul ce apare pe ecran despre cum sa folosesti bitcoin-ul:
Preventie:
Tineti update-urile la zi.
Cei cu Windows XP, rulati update-ul oficial: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Cei cu Windows Server, accesati https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral si alegeti ce va trebuie.
Tot pentru cei cu servere: https://community.spiceworks.com/how_to/100368-cryptolocker-canary-detect-it-early (http://https://community.spiceworks.com/how_to/100368-cryptolocker-canary-detect-it-early), exista modalitati de avertizare rapida in caz de aparitie foldere criptate.
Creati backup-uri automatizate, pastrati-le pe discuri externe pe care le detasati. Probabil ar functiona un script care sa monteze si sa demonteze o partitie pentru backup. Din cate stiu, TGZ e o extensie ignorata de virus, deci backupurile facute de mentor ar trece neafectate. Se poate schimba insa pe viitor acest lucru, daca nu s-a facut deja.
Procesul de criptare mananca resurse de procesor si mai ales hard disk. Se simte in utilizarea zilnica. Daca lucrul devine mai greoi ca de obicei, o lista dureaza mai mult, browserul se deschide mai greu, poate fi un semnal de alarma, dati un task manager si vedeti cine are procentaj mare la scriere disc si procesor. Verificati folderele des utilizate cu documente daca nu au aparut fisiere criptate. Astea sunt modalitati prin care iti poti da seama si singur daca ai sau nu virusi, cu ochiul liber. Cineva cu experienta in Windows stie exact ce procese are windowsul si aplicatiile uzuale folosite si identifica usor procese straine. Verificati directoarele de file-sharing, posibil sa nu aveti virusul pe calculator, dar altcineva din retea sa va cripteze acele fisiere. La fel se pot vedea daca apar fisierele criptate, respectiv utilizarea hard-discului. Pe laptopuri, unde hdd-urile sunt de 5400 rotatii, le si auzi cand lucreaza de aiurea fara sa faci nimic.
Folositi antivirusi. Ele au cam toate module de detectie criptovirusi.
Actiune:
Pentrul virusul WannaCry - DOAR PENTTRU EL - ce iti afiseaza fereastra rosie cu instructiuni, DACA PROCESUL ESTE INCA ACTIV, adica nu s-a dat restart, nu s-a inchis calculatorul, exista o sansa de decriptare a fisierelor cu utilitarul WannaKiwi
https://github.com/gentilkiwi/wanakiwi/releases/download/0.1/wanakiwi.zip In principiu trebuie rulat exe-ul din interiorul acestui zip si ar trebui sa creeze fisiere decriptate alaturi de cele criptate.
Informatii extra: https://github.com/gentilkiwi/wanakiwi
Pentru ceilalti virusi ransomware, e valabil chestia de mai jos. Daca apare un notepad cu instructiuni, cum am mai vazut, probabil nu aveti wannacry, coincidenta probabil a facut sa vi se cripteze fisierele cu altceva acum cand e la moda wannacry. Ca paranteza, de obicei am observat ca pe calculatoarele vechi (utilizate de contabili) pana si virusii sunt vechi. Virusi ce au fost imunizati de mai bine de 6 luni de zile in toata lumea, ce si-au atins de demult varful de infectie, abia acum apar pe stickurile romanilor si incep sa infecteze calculatoarele.
Daca WinMENTOR arunca mesaj de AccesViolation si nu poate accesa o tabla, fara sa fi facut vreo actualizare sau altceva specific, verificati imediat folderul DATA si al FIRMEI-PRESCURTAT, si cautati fisiere exe. NU AR TREBUI SA EXISTE. Daca gasiti ceva de genul *decriptor*.exe, folderul a fost infectat, daca ati observat fisiere criptate, sau va aparut mesajul de santaj, caz in care de obicei e prea tarziu, INCHIDETI CALCULATORUL. Si nu cu shutdown de Windows. Ci fortat. Scoateti alimentarea, de la buton, etc. Pentru ca, HDD-ul fiind inca utilizat de virus, procesul de inchidere va fi greoi, window va astepta inchiderea normala a proceselor, inchiderea poate sa tina si peste 20 de secunde. In timpul asta mai puteti pierde 200 de fisiere ce nu au apucat sa fie criptate. WinMENTOR are aproximativ 1200 fisiere pe firma, 1000 fisiere in DATA, 3000 fisiere in NEW, 1200 fisiere pentru fiecare luna. FOARTE MULTE. Cryptovirusul le ia la rand. Ii va lua mult timp acest lucru, deci intreruperea imediata poate salva date.
Am testat pe un Core 2 Duo cu 8GB RAM. In 25 minute de la obtinerea virusului pana cand mi-am dat seama ce era (pe laptop personal), nu a reusit sa treaca de firma exemplu.
Deci nu stati si va uitati la el, ca sa puteti citi la telefon persoanei care sperati sa va rezolve problema. Nici nu asteptati minute/ore sa se conecteze cineva de la distanta. Calculatorul trebuie inchis.
Incercarea de copiere cu virusul activ e inutila. Cand acul de scriere se plimba pe disk de nebun criptand fisiere, cand sa aiba timp sa faca si citire de pe el pentru backup. La fiecare fisier arhivat probabil va mai fi criptat cel putin unul.
Aftermath:
Folositi un stick de memorie bootabil pentru a accesa hdd-ul. Sau mutati hdd-ul pe un alt PC cu toate protectiile facute.
NU DATI DUBLU CLICK-uri pe executabile ca sa vedeti daca mai merg. Veti infecta si sistemul de pe care rulati.
Aici puteti sa evaluati distrugerile si sa faceti backup la datele esentiale. Mai tarziu puteti sa vedeti din backupul facut ce nu a fost deja criptat.
Varianta 1: Cine se pricepe va sterge virusul de pe discul infectat, din toate fisiere, si nu va fi nevoie de reinstalare.
Varianta 2: Cine nu stie sa faca o devirusare, dupa ce si-a salvat fisierele (executabilele sa le verifice cu antivirus, si nu recomand salvarea lor), sa dea un format la disc si sa restaureze sistemul.
Nu exista o solutie minune in acest caz. De cele mai multe ori nu se poate face nimic. Cei care cred in Mos Craciun, pot incerca sa urmeze helpul cu bitcoin, poate se vor sinchisi sa trimita reply cu parola, si poate nu vor folosi banii sa cumpere AK-uri... Nu poti cuantifica cat rau poti produce altora, sperand sa-ti faci tie un bine, platind suma ceruta.
Preventie:
Tineti update-urile la zi.
Cei cu Windows XP, rulati update-ul oficial: http://download.windowsupdate.com/d/csa/csa/secu/2017/02/windowsxp-kb4012598-x86-custom-enu_eceb7d5023bbb23c0dc633e46b9c2f14fa6ee9dd.exe
Cei cu Windows Server, accesati https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/?utm_source=t.co&utm_medium=referral si alegeti ce va trebuie.
Tot pentru cei cu servere: https://community.spiceworks.com/how_to/100368-cryptolocker-canary-detect-it-early (http://https://community.spiceworks.com/how_to/100368-cryptolocker-canary-detect-it-early), exista modalitati de avertizare rapida in caz de aparitie foldere criptate.
Creati backup-uri automatizate, pastrati-le pe discuri externe pe care le detasati. Probabil ar functiona un script care sa monteze si sa demonteze o partitie pentru backup. Din cate stiu, TGZ e o extensie ignorata de virus, deci backupurile facute de mentor ar trece neafectate. Se poate schimba insa pe viitor acest lucru, daca nu s-a facut deja.
Procesul de criptare mananca resurse de procesor si mai ales hard disk. Se simte in utilizarea zilnica. Daca lucrul devine mai greoi ca de obicei, o lista dureaza mai mult, browserul se deschide mai greu, poate fi un semnal de alarma, dati un task manager si vedeti cine are procentaj mare la scriere disc si procesor. Verificati folderele des utilizate cu documente daca nu au aparut fisiere criptate. Astea sunt modalitati prin care iti poti da seama si singur daca ai sau nu virusi, cu ochiul liber. Cineva cu experienta in Windows stie exact ce procese are windowsul si aplicatiile uzuale folosite si identifica usor procese straine. Verificati directoarele de file-sharing, posibil sa nu aveti virusul pe calculator, dar altcineva din retea sa va cripteze acele fisiere. La fel se pot vedea daca apar fisierele criptate, respectiv utilizarea hard-discului. Pe laptopuri, unde hdd-urile sunt de 5400 rotatii, le si auzi cand lucreaza de aiurea fara sa faci nimic.
Folositi antivirusi. Ele au cam toate module de detectie criptovirusi.
Actiune:
Pentrul virusul WannaCry - DOAR PENTTRU EL - ce iti afiseaza fereastra rosie cu instructiuni, DACA PROCESUL ESTE INCA ACTIV, adica nu s-a dat restart, nu s-a inchis calculatorul, exista o sansa de decriptare a fisierelor cu utilitarul WannaKiwi
https://github.com/gentilkiwi/wanakiwi/releases/download/0.1/wanakiwi.zip In principiu trebuie rulat exe-ul din interiorul acestui zip si ar trebui sa creeze fisiere decriptate alaturi de cele criptate.
Informatii extra: https://github.com/gentilkiwi/wanakiwi
Pentru ceilalti virusi ransomware, e valabil chestia de mai jos. Daca apare un notepad cu instructiuni, cum am mai vazut, probabil nu aveti wannacry, coincidenta probabil a facut sa vi se cripteze fisierele cu altceva acum cand e la moda wannacry. Ca paranteza, de obicei am observat ca pe calculatoarele vechi (utilizate de contabili) pana si virusii sunt vechi. Virusi ce au fost imunizati de mai bine de 6 luni de zile in toata lumea, ce si-au atins de demult varful de infectie, abia acum apar pe stickurile romanilor si incep sa infecteze calculatoarele.
Daca WinMENTOR arunca mesaj de AccesViolation si nu poate accesa o tabla, fara sa fi facut vreo actualizare sau altceva specific, verificati imediat folderul DATA si al FIRMEI-PRESCURTAT, si cautati fisiere exe. NU AR TREBUI SA EXISTE. Daca gasiti ceva de genul *decriptor*.exe, folderul a fost infectat, daca ati observat fisiere criptate, sau va aparut mesajul de santaj, caz in care de obicei e prea tarziu, INCHIDETI CALCULATORUL. Si nu cu shutdown de Windows. Ci fortat. Scoateti alimentarea, de la buton, etc. Pentru ca, HDD-ul fiind inca utilizat de virus, procesul de inchidere va fi greoi, window va astepta inchiderea normala a proceselor, inchiderea poate sa tina si peste 20 de secunde. In timpul asta mai puteti pierde 200 de fisiere ce nu au apucat sa fie criptate. WinMENTOR are aproximativ 1200 fisiere pe firma, 1000 fisiere in DATA, 3000 fisiere in NEW, 1200 fisiere pentru fiecare luna. FOARTE MULTE. Cryptovirusul le ia la rand. Ii va lua mult timp acest lucru, deci intreruperea imediata poate salva date.
Am testat pe un Core 2 Duo cu 8GB RAM. In 25 minute de la obtinerea virusului pana cand mi-am dat seama ce era (pe laptop personal), nu a reusit sa treaca de firma exemplu.
Deci nu stati si va uitati la el, ca sa puteti citi la telefon persoanei care sperati sa va rezolve problema. Nici nu asteptati minute/ore sa se conecteze cineva de la distanta. Calculatorul trebuie inchis.
Incercarea de copiere cu virusul activ e inutila. Cand acul de scriere se plimba pe disk de nebun criptand fisiere, cand sa aiba timp sa faca si citire de pe el pentru backup. La fiecare fisier arhivat probabil va mai fi criptat cel putin unul.
Aftermath:
Folositi un stick de memorie bootabil pentru a accesa hdd-ul. Sau mutati hdd-ul pe un alt PC cu toate protectiile facute.
NU DATI DUBLU CLICK-uri pe executabile ca sa vedeti daca mai merg. Veti infecta si sistemul de pe care rulati.
Aici puteti sa evaluati distrugerile si sa faceti backup la datele esentiale. Mai tarziu puteti sa vedeti din backupul facut ce nu a fost deja criptat.
Varianta 1: Cine se pricepe va sterge virusul de pe discul infectat, din toate fisiere, si nu va fi nevoie de reinstalare.
Varianta 2: Cine nu stie sa faca o devirusare, dupa ce si-a salvat fisierele (executabilele sa le verifice cu antivirus, si nu recomand salvarea lor), sa dea un format la disc si sa restaureze sistemul.
Nu exista o solutie minune in acest caz. De cele mai multe ori nu se poate face nimic. Cei care cred in Mos Craciun, pot incerca sa urmeze helpul cu bitcoin, poate se vor sinchisi sa trimita reply cu parola, si poate nu vor folosi banii sa cumpere AK-uri... Nu poti cuantifica cat rau poti produce altora, sperand sa-ti faci tie un bine, platind suma ceruta.