Wanna Cry – это не вирус: что такое виртуальный вымогатель на самом деле. Wanna decryptor (WannaCry) – как защититься от цифровой пандемии

25.08.2019 Безопасность

WannaCrypt (что переводится как «хочется плакать») - компьютерный вирус, поразивший 12 мая 2017 года большое количество компьютеров под управлением операционной системы Microsoft Windows. Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016 От вируса пострадали компьютеры частных лиц, коммерческих организаций и правительственных учреждений по всему миру. WannaCrypt используется как средство вымогательства денежных средств.

Кто стоит за этим или Происхождение вируса

В настоящее время не установлено точное происхождение вируса. Но наш редактор смог найти 3 самых основных версий.

1. Российские хакеры

Да друзья, как же не обойти столь резонансный вирус без всеми любимыми «русскими хакерами». С инцидентом могут быть связаны недавние предупреждения группировки Shadow Brokers в адрес президента США Дональда Трампа после одобренных ним ракетных ударов в Сирии.

2. Спецслужбы США

15 мая президент РФ Владимир Путин назвал источником вируса спецслужбы США и заявил, что «Россия здесь совершенно ни при чём». Руководство Microsoft также заявило о том, что первичным источником этого вируса являются спецслужбы США.

3.Правительство КНДР

Представители антивирусных компаний Symantec и «Лаборатория Касперского» заявили, что в кибератаках с помощью вируса WanaCrypt0r 2.0, который поразил тысячи компьютеров в 150 странах, замешаны связанные с Пхеньяном киберпреступники из группировки .

WannaCry зашифровывает большинство или даже все файлы на вашем компьютере. Затем программное обеспечение выводит на экран компьютера определенное сообщение в котором требует выкуп в размере 300 долларов за расшифровку ваших файлов. Выплата должна произойти на кошелек Bitcoin. Если пользователь не заплатит выкуп за 3 дня, то сумма удваивается и составляет 600 долларов. Через 7 дней вирус удалит все зашифрованные файлы и все ваши данные будут потеряны.

Компания Symantec опубликовала список всех типов файлов, который способен зашифровать Wanna Cry. В этом список входят ВСЕ популярные форматы файлов, включая.xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. и тд.

Способы защиты от вируса

В настоящее время единственный действенный метод защиты от вируса — это обновить ОС, в частности , закрывающее уязвимость, которой пользуется WannaCry.

Метода защиты:

1. Обновление системы

Включите автоматическое обновление системы в Центре обновления Windows на своем компьютере.

2. Резервные копии

Делайте backup важной информации и пользуйтесь облачными платформами для ее хранения.

Установите бесплатную утилиту для защиты от программ-вымогателей Kaspersky Anti-Ransomware.

4. Порт 445

Заблокировать все взаимодействия по порту 445, как на конечных станциях так и на сетевом оборудовании.

Для Windows 10

Netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=135 name="Block_TCP-135" netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445" echo "Thx, Abu"

Для Windows 7

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

Если ноль реакции было на команду, то так и должно быть. Это нормальное поведение. Означает, что команда применилась

Лечим компьютер от вируса

1. Включите безопасный режим Windows

В Windows 7 это можно сделать при перезагрузке системы после нажатия клавиши F8.

2. Удалите нежелательные приложения.

Можно самостоятельно удалить нежелательные приложения через Удаление программ.

3. Восстановите зашифрованные файлы.

Для восстановления файлов можно использовать различные декрипторы и утилиты.

Заключение

Итак, сегодня мы поговорили о вирусе Wanna Cry. Мы узнали, что из себя представляет данный вирус, как уберечься от заражения, как удалить вирус. Несомненно этот вирус войдет в историю и запомниться многим. Хоть и заражение вирусом утихает, масштабы всего просто поражают. Надеюсь, что данная статья оказалась полезной для вас.

12 мая несколько компаний и ведомств в разных странах мира, в том числе в России, были вирусом-шифровальщиком. Специалисты по информационной безопасность идентифицировали в нём вирус WanaCrypt0r 2.0 (он же WCry и WannaCry), который шифрует некоторые типы файлов и меняет у них расширения на.WNCRY.

Компьютеры, заражённые WannaCry, оказываются заблокированы окном с сообщением, где говорится, что у пользователя есть 3 дня на выплату выкупа (обычно эквивалент 300 долларов США в биткоинах), после чего цена будет удвоена. Если не заплатить деньги в течение 7 дней, файлы якобы будет невозможно восстановить.

WannaCry попадает только на компьютеры, работающие на базе Windows. Он использует уязвимость, которая была закрыта компанией Microsoft в марте. Атаке подверглись те устройства, на которые не был установлен свежий патч безопасности. Компьютеры обычных пользователей, как правило, обновляются оперативно, а в крупных организациях за обновление систем отвечают специальные специалисты, которые зачастую с подозрением относятся к апдейтам и откладывают их установку.

WannaCry относится к категории вирусов ransomware, это шифровальщик, который в фоновом режиме незаметно от пользователя шифрует важные файлы и программы и меняет их расширения, а затем требует деньги за дешифровку. Окно блокировки показывает обратный отсчёт времени, когда файлы будут окончательно заблокированы или удалены. Вирус может попасть на компьютер с помощью удалённой атаки через известную хакерам и не закрытую в операционной системе уязвимость. Вирусный код автоматически активируется на заражённой машине и связывается с центральным сервером, получая указания о том, какую информацию вывести на экран. Иногда хакерам достаточно заразить всего один компьютер, а он разносит вирус по локальной сети по другим машинам.

По данным сайта The Intercept , WannaCry создан на основе утекших в сеть инструментов, которые использовались Агентством национальной безопасности США. Вероятно, для инъекции вируса на компьютеры хакеры использовали уязвимость в Windows, которая прежде была известна только американским спецслужбам.

Вирус WannaCry опасен тем, что умеет восстанавливаться даже после форматирования винчестера, то есть, вероятно, записывает свой код в скрытую от пользователя область.

Ранняя версия этого вируса называлась WeCry, она появилась в феврале 2017 года и вымогала 0,1 биткоина (177 долларов США по текущему курсу). WanaCrypt0r - усовершенствованная версия этого вредоноса, в ней злоумышленники могут указать любую сумму и увеличивать её с течением времени. Разработчики вируса неизвестны и не факт, что именно они стоят за атаками. Они вполне могут продавать вредоносную программу всем желающим, получая единоразовую выплату.

Известно , что организаторы атаки 12 мая получили от двух десятков жертв в общей сложности как минимум 3,5 биткоина, то есть чуть более 6 тысяч долларов. Получилось ли у пользователей разблокировать компьютеры и вернуть зашифрованные файлы, неизвестно. Чаще всего жертвам хакеров, выплатившим выкуп, действительно приходит ключ или инструмент для дешифрации файлов, но иногда они не получают в ответ ничего.

12 мая Microsoft выпустила патч безопасности для обнаружения и обезвреживания вируса Ransom:Win32/Wannacrypt. Его можно установить через «Центр обновления Windows». Чтобы обезопасить свой компьютер от WannaCry, необходимо установить все обновления Windows и убедиться, что работает встроенный антивирус Windows Defender. Кроме того, будет не лишним скопировать все ценные данные в облако. Даже если они зашифруются на вашем компьютере, вы всё равно сможете восстановить их из облачного хранилища или его корзины, куда попадают удалённые файлы.

Эту кибератаку уже назвали самой масштабной в истории. Более 70 стран, десятки тысяч зараженных компьютеров. Вирус-вымогатель по имени Wanna Cry («Хочу плакать») не щадит никого. Под ударом - больницы, железные дороги, правительственные учреждения.

В России атака была самой массированной. Сообщения, которые сейчас приходят, напоминают сводки с компьютерных фронтов. Из последнего: в РЖД заявили, что вирус пытался проникнуть в их IT-систему, он уже локализован и его пытаются уничтожить. Также о попытках взлома говорили в Центробанке, МВД, МЧС, компаниях связи.

Так выглядит вирус, парализовавший десятки тысяч компьютеров по всему миру. Понятный интерфейс и текст, переведенный на десятки языков - «у вас есть только три дня, чтобы заплатить». Вредоносная программа, которая шифрует файлы, требует за их разблокировку, по разным данным, от 300 до 600 долларов. Только в кибервалюте. Шантаж в прямом смысле на грани жизни и смерти.

«Я был полностью готов к операции, даже капельницу уже поставили, и тут приходит хирург и говорит, что у них проблемы с оборудованием из-за кибератаки», - рассказывает Патрик Уорд.

Вакцины от компьютерного вируса ни нашлось ни в сорока британских клиниках, которых атаковали первыми, ни в крупнейшей испанской телекоммуникационной компании «Телефоника». Следы, как говорят эксперты, одной из самых масштабных хакерских атак в мировой истории даже на табло вокзалов в Германии. В одном из семи диспетчерских центров немецкого железнодорожного перевозчика «Дойче Бан» вышла из строя система управления. Последствия могли быть катастрофическими.

Всего жертвами кибератаки уже стали 74 страны. Не тронуты разве что Африка и несколько государств в Азии и Латинской Америке. Неужели только пока?

«Это все сделано для получения денег организованной преступностью. Нет никакой политической подоплеки или скрытых мотивов. Чистый шантаж», - говорит эксперт по антивирусам IT-компании Бен Рапп.

Британские СМИ, впрочем, политическую подоплеку тут же нашли. И обвинили во всем русских хакеров, правда, без всяких доказательств, связав кибератаку с авиаударом американцев по Сирии. Якобы вирус-вымогатель стал местью Москвы. При этом, по данным тех же британских СМИ, Россия в этой атаке пострадала больше всего. И с этим, абсолютно точно, поспорить сложно. Только в МВД были атакованы больше тысячи компьютеров. Впрочем, безуспешно.

Отразили атаки в МЧС и Минздраве, в Сбербанке и в Мегафоне». Сотовый оператор даже на какое-то время приостановил работу колл-центра.

«Указ президента о создания российского сегмента Сети - это закрытый интернет вокруг госчиновников. Оборонка давно за этим щитом стоит. Скорее всего, я думаю, пострадали простые компьютеры обычных сотрудников. Вряд ли пострадал именно доступ к базам данных - они, как правило, на других операционных системах и находятся, как правило, у провайдеров», - сообщил советник президента России по развитию интернета Герман Клименко.

Программа, как утверждают разработчики антивирусов, заражает компьютер, если пользователь открыл подозрительное письмо, да еще и не обновил Windows. Это хорошо заметно на примере серьезно пострадавшего Китая - жители Поднебесной, как известно, питают особую любовь к пиратским операционкам. Но стоит ли платить, необдуманно кликнув мышкой, задаются вопросом по всему миру

«Если у компании нет резервной копии, они могут потерять доступ к данным. То есть, например, если хранится база данных пациентов больницы вместе с историями болезней в единой копии на этом сервере, куда попал вирус, то больница эти данные больше уже никаким образом не восстановит», - говорит эксперт по кибербезопасности Илья Скачков.

Пока, как выяснили блогеры, в электронном кошельке мошенников не больше четырех тысяч долларов. Мелочь, учитывая список жертв - затраты на взлом их винчестеров явно не сопоставимы. Британское издание Financial Times предположило, что вирус-вымогатель - это не что иное, как модифицированная злоумышленниками вредоносная программа Агентства национальной безопасности США. Когда-то ее создали для того, чтобы проникать в закрытые американские же системы. Это же подтвердил и бывший его сотрудник Эдвард Сноуден.

Из «Твиттера» Сноудена: «Ого, решение АНБ создавать инструменты атаки на американское программное обеспечение теперь ставит под угрозу жизни пациентов больниц».

WikiLeaks, впрочем, также неоднократно предупреждал, что из-за маниакального желания следить за всем миром американские спецслужбы распространяют вредоносные программы. Но даже если это не так, возникает вопрос о том, как программы АНБ попадают в руки злоумышленников. Интересно и другое. Спасти мир от вируса предлагает другая американская спецслужба - Министерство национальной безопасности.

Как бы то ни было, истинные масштабы этой атаки еще предстоит оценить. Заражение компьютеров по всему миру продолжается. «Вакцина» тут одна - осторожность и предусмотрительность. Важно не открывать подозрительные вложенные файлы. При этом эксперты предупреждают: дальше будет больше. Частота и масштабы кибератак будут только нарастать.

В пятницу 12 мая сотни тысяч компьютеров по всему миру поразил вирус WannaCry (известный также под названиями WCry и WanaCrypt0r 2.0). Он «атаковал» компьютеры под управлением операционной системы Windows, при этом за несколько часов распространился по всему миру. Новый вирус поразил, как компьютеры частных лиц, так и PC государственных учреждений и крупных компаний. Больше всего от вируса пострадала Россия, где были поражены компьютеры многих правительственных учреждений.

Интересный факт: После распространения вируса WannaCry в России, стали поступать сообщения о приостановке выдачи водительских удостоверений из-за поражений компьютеров МВД. Помимо этого, заражению подверглись PC Следственного комитета и многих крупных компаний, в том числе компании Мегафон.

Что собой представляет вирус WannaCry

Вирус WannaCry является типичным «шифровщиком данных». Данный тип вирусов один из наиболее опасных и сложных с точки зрения противодействия. Подобные вирусы, чаще всего, направлены на вымогательство денег у пользователей, компьютеры которых попадают под заражение, и WannaCry не исключение.

Интересный факт: В данный момент точно неизвестно, кто является создателем вируса WannaCry. При этом предположения высказывают не только в сети, но и на государственном уровне. В частности, президент Российской Федерации Владимир Путин обвинил спецслужбы США в распространении угрозы.

При попадании на компьютер пользователя, вирус WannaCry шифрует данные на нем. Файлы, которые подверглись шифрования, получают расширение «.WNCRY» . В начале имени зашифрованных файлов появляется надпись «WANACRY!» . Расшифровать данные файлы при помощи стандартных антивирусов и дешифраторов, которые используются для борьбы с другими подобными зловредами, практически невозможно.

После шифровки данных пользователя на компьютере, вирус WannaCry выводит на экране окошко с сообщением «Ooops, your files have been encrypted!» . Далее следует информация о том, что собой представляет вирус, можно ли восстановить файлы и так далее.

Интересный факт: Создатели вируса WannaCry позаботились о пользователях в различных регионах, локализовав для них информационное сообщение. В России вирус на русском языке объясняет пользователям, каким образом им разблокировать файлы, зараженные WannaCry.

Как разблокировать файлы зараженные WannaCry

Создатели вируса WannaCry предусмотрели возможность разблокировки файлов пользователей, но только за деньги и в течение ограниченного времени:

В течение 3 дней после заражения компьютера вы можете отправить на указанный BitCoin-кошелек создателей вируса эквивалент $300, чтобы разблокировать файлы;
Если в течение 3 дней деньги вымогатели не получат , цена разблокировки возрастет до эквивалента $600 в биткоинах;
Если на седьмой день заражения вирусом WannaCry компьютера пользователь не перечислит деньги вымогателям, его файлы будут уничтожены.

Стоит отметить, что в информационном окне вируса WannaCry имеются счетчики, которые отсчитывают время до повышения стоимости разблокировки и уничтожения данных.

Интересный факт: Несмотря на то что вирус WannaCry поразил сотни тысяч компьютеров в первый же день, согласно ресурсу The Guardian, всего около сотни человек согласились заплатить вымогателям за разблокировку данных по $300.

Какие компьютеры подвергаются заражению вирусом WannaCry

Вирус WannaCry поражает исключительно компьютеры на операционной системе Windows. При этом он атакует компьютеры, использующие старые версии Windows – XP, Server 2003, 8.

Интересный факт: Еще в марте компания Microsoft выпустила обновление, которое позволяет защитить компьютеры от поражения вирусом WannaCry. Но данный патч вышел только для операционных систем, которые поддерживаются компанией – это Windows 7 и Windows 10 в различных редакциях. Что касается пользователей с другими версиями Windows, они оказались под угрозой и были поражены. Буквально на следующий день после того как стало о массовом заражении компьютеров вирусом WannaCry, корпорация Microsoft выпустила обновление для Windows XP и других старых систем, поддержка которых официально прекращена.

Вирус WannaCry поражает компьютеры через скрипты, рассылаемые по почте и через различные сайты.

Важно: Если вы видите на почте сообщение (особенно от неизвестного отправителя) с вложениями файлов (в расширении.exe или.js), не загружайте их к себе на компьютер, даже если встроенный в браузер антивирус не видит проблем с файлами!

Как защититься свой компьютер от вируса WannaCry

Помимо того что не нужно посещать непроверенные сайты и загружать с почты сомнительные файлы, есть еще несколько рекомендаций, которые позволят избежать заражения компьютера вирусом WannaCry:

Стоит отметить: Существует несколько форм вируса WannaCry. Некоторые из них можно устранить, если загрузить компьютер в безопасном режиме с сетевыми драйверами, после чего проверить компьютер антивирусами SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla, а далее подобрать декриптор для расшифровки данных. Но этот способ действителен, только если ваш компьютер подвергся заражению ранними версиями вируса WannaCry.

Вирус Wanna Cry стал настоящим кошмаром для полумиллиона пользователей по всему миру. Пострадали не только простые пользователи, но и организации.

Всего несколько недель назад мировой интернет взорвала новость о появлении новой технологической угрозы, лекарства от которого на тот момент не находилось. Вирус Wanna Cry проник более, чем в 500 тысяч компьютеров и полностью парализовал их работу. Что это за невиданной силы угроза и есть ли от нее спасение? Попробуем разобраться.

Вирус Wanna Cry — описание

В буквальном переводе словосочетание Wanna Cry означает «Хочу плакать». И действительно, как тут сдержать слезы, если подлый сетевой червь блокирует операционную систему компьютера, буквально не позволяя пользователю ничего сделать, а в качестве выкупа программа-вымогатель Wanna Cry требует внести на определенный электронный кошелек сумму в размере 300 долларов, причем в биткоиновом эквиваленте. То есть, отследить автора программы-вымогателя невозможно, задействуя обычные приемы поиска сетевых злоумышленников.

Самая массированная атака состоялась 12 мая сего года. Более 70 стран пострадали во время нее, причем, как известно на сегодняшний день, вирус-шифровальщик Wanna Cry особенно активно проявил себя в России, Украине и Индии. Именно в этих странах насчитывается больше всего пострадавших. Зато среди них преимущественно обычные пользователи, а вот в странах Европы и Америки хакеры «прошлись» по госучреждениям. Госпитали, телекоммуникационные компании и даже правительственные учреждения были вынуждены приостановить свою деятельность из-за того, что компьютеры были заражены шифровальщиком, вымогающим средства. Справедливости ради стоит отметить, что и в Российской Федерации очень многие предприятия и муниципальные организации подвергались атаке, но, видимо, российская система антихакерской защиты оказалась надежнее, чем иностранная. Так, поступали сообщения о попытках взлома информационных систем РЖД, МВД, МЧС, Центробанка, компаний связи. Но везде либо червь удавалось быстро локализовать, либо попытки проникнуть в ПК учреждений не увенчались успехом.

Как происходит заражение вирусом Wanna Cry

Всех интересует вопрос, как распространяется вирус Wanna Cry? Почему так много пользователей стали его жертвами?

Метод распространения шифровальщика весьма и весьма прост. Вирус сканирует прямо в открытых источниках в интернете узлы, где видно, открыт ли порт TCP 445, отвечающий за обслуживание протокола удаленного доступа к файлам (SMBv1). Если такой компьютер обнаруживается, то вредоносная программа начинает предпринимать попытки задействовать уязвимость EternalBlue, и если данное мероприятие оканчивается успешно, то происходит установка бэкдора DoublePulsar. Через него-то и загружается на выбранный компьютер исполняемый код. Могут быть варианты, когда бэкдор уже стоит в системе по умолчанию, тогда задача вируса становится еще проще: просто загрузить в пользовательский компьютер вредоносную информацию.

Примечательно, что также вирус может попасть в ПК через электронную почту вместе с файлами, якобы не вызывающими подозрения.

Как работает вирус Wanna Cry

В остальном же вирус-вымогатель ведет себя, как и любой подобный ему. Так, для каждого устройства он генерирует собственные пары ключей, а после этого «проходит» по всей системе, выбирая файлы определенных типов и шифруя их по алгоритму AES-128-CBC с помощью случайно сгенерированного ключа, а тот, в свою очередь, шифруется с помощью открытого ключа RSA. Его-то и указывает в заголовке зашифрованного файла вирус Wanna Cry. Потому лечение по классической схеме оказывается бесполезным. Нужен особенный подход.

Как защититься от вируса Wanna Cry

Защита от вируса wanna cry не так сложна, как может показаться на первый взгляд. Достаточно просто скачать патч от Microsoft против вируса Wanna Cry.

Разработчики постарались и в экстренные сроки, буквально за два дня, выпустили в свет специальные расширения/обновления абсолютно для всех работающих версий Windows, в том числе, и для XP, у которой по-прежнему немало пользователей по всему миру.

Это способ предупредить заражение при возможной следующей атаке вируса Wanna Cry. Но что делать тем, чей компьютер уже подвергся хакерскому произволу? К сожалению, пока ничего обнадеживающего сказать невозможно, поскольку расшифровать поврежденные файлы еще ни у кого не получилось. Но можно хотя бы подготовить себя к возможной атаке. Так, если «заплатка» проблемных зон от microsoft обнаружит червячка, она непременно спросит, что с ним делать. В общем, принцип такой же, как и у сотен антивирусников.

Поэтому, на вопрос, как удалить вирус Wanna Cry, ответ может быть пока что единственный и не самый радужный: просто не допустить проникновения зловредного исполнительного кода в свой компьютер. И, конечно, ждать, пока ведущие разработчики предоставят мощный антивирус, способный противостоять Wanna Cry.