12 мая около 13:00 началось распространение вируса Wana Decryptor. Практически за пару часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.
Свыше 40 тысяч взломов в 74 странах — интернет-пользователи по всему миру стали свидетелями самой масштабной в истории кибератаки. В списке пострадавших не только обычные люди, но также серверы банков, телекоммуникационных компаний и даже силовых ведомств.
Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России. К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.
Официальные патчи от Microsoft для защиты от вируса Wanna Cry:
- Windows 7 32bit / x64
- Windows 10 32bit /x64
- Windows XP 32 bit /x64 — патча от WCry нет.
Как защититься от вируса Wanna Cry
Защитится от вируса Wanna Cry можно скачав патч для вашей версии Windows.
Как распространяется Wanna Cry
Распространяется Wanna Cry:
- через файлы
- почтовые сообщения.
Как сообщается российскими СМИ, работа отделений МВД в нескольких регионах России нарушена из-за шифровальщика, поразившего множество компьютеров и грозящего уничтожить все данные. Кроме того, атаке подверглись оператор связи «Мегафон».
Речь идет о трояне-вымогателе WCry (WannaCry или WannaCryptor). Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 или 600 долларов биткоинами за расшифровку.
Также на форумах и в социальных сетях о заражениях сообщают обычные пользователи:
Эпидемия шифратора WannaCry: что сделать для избежания заражения. Пошаговое руководство
Вечером 12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. В качестве выкупа за расшифровку программа требует 300 долларов в биткоинах (около 17 000 рублей).
Основной удар пришелся на российских пользователей и компании. На данный момент WannaCry успел поразить около 57 000 компьютеров, включая корпоративные сети МВД, РЖД и “Мегафона”. Также об атаках на свои системы сообщили Сбербанк и Минздрав.
Рассказываем, что прямо сейчас надо сделать для избежания заражения.
1. Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:
Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить
2. Даже если система не была обновлена и WannaCry попал на компьютер - и корпоративные, и домашние решения ESET NOD32 успешно детектируют и блокируют все его модификации .
5. Для детектирования еще неизвестных угроз в наших продуктах используются поведенческие, эвристические технологии. Если вирус ведет себя как вирус - скорее всего, это вирус. Так, облачная система ESET LiveGrid успешно отражала атаку с 12 мая, еще до обновления сигнатурных баз.
Как правильно называется вирус Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r?
С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r , основным отличием которого было способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.
Но все же основным именем является Wana Decrypt0r , хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor .
И последним именем, под которым часто называют этот вирус-шифровальщик пользователи - это WNCRY вирус , то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.
Чтoбы минимизиpoвaть pиcк пoпaдaния виpуca Wanna crу нa кoмпьютepы cпeциaлиcты «Лaбopaтopии Kacпepcкoгo» coвeтуют уcтaнoвить вce вoзмoжныe oбнoвлeния нa тeкущую вepcию Windows. Дeлo в тoм, чтo вpeдoнocнaя пpoгpaммa пopaжaeт тoлькo тe кoмпьютepы, кoтopыe paбoтaют нa этoм ПO.
Вирус Wanna Cry: Как распространяется
Ранее, мы упоминали об этом способе распространения вирусов в статье о безопасном поведении в интернете, так что – ничего нового.
Wanna Cry распространяется следующим образом: На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные, об этом информирует therussiantimes.com.
Вирус Wanna Cry: описание вируса
Wanna Cry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится не возможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию Wanna Cry:
Популярные файлы Microsoft Office (.xlsx, передает therussiantimes.com.xls, .docx, .doc).
Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе - Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.
Чтобы защитить свои данные от вирусов шифровальщиков Petya.A и Wanna Cry специалисты в области безопасности разобрались как происходит заражение и предложили свои рекомендации:
- обязательно должен быть установлен патч безопасности — MS17-010
- Обязательное отключение протокола SMB v1
- Cоздание пустого файла «perfc» (без расширения) в папке C:\Windows
Первый — закрывает уязвимoсть в операционной системе Windows
Второй — отключает использование устаревшего протокола SMB версии 1 (использовался в версия Windows XP, Servr 2003 и ниже. Начиная с Windows Vista и выше протокол версии 1 уже не используется!!)
Третий — создаёт специальный файл «perfc» в папке Windows, который даёт понят вирусу Petya.A что этот компьютер уже заражён (когда вирус попадает на компьютер, он проверяет заражён этот компьютер или нет!!)
Всё это можно проделать руками, как описано , а можно процесс полуавтоматизировать с помощью бесплатной программки Driver Pack Solution . Единственное, что на версиях выше Windows 8, в этой программе Вы сможете пофиксить только от вируса Patya.A, тоесть, выполнить только третий пункт. Первый и второй Вам придётся проверить и проделать вручную. На Windows 7 всё намного проще.
Итак, сначала пользователям Windows 7 (полуавтоматический).
UPD!!
Данный вариант подходит одиночным компьютерам, без подключения к локальной сети, так как отключается полный доступ к сетевым устройствам — компьютерам в локальной сети, расшареным принтерам.. Тоесть вы пинговать их сможете, но подключиться на их общие папки и общие принтеры будет невозможно, ровным счётом как и на ваши принтеры и папки!!!
Не доверяете программам — переходите к ручным настройкам (см. ниже)!!
Скачиваем маленькую программу Driver Pack Solution Online с официального сайта , бесплатна и всегда обновляется, всегда актуальная версия. Запускаем, ждём проверки конфигурации, и видим:
Как я выше написал, будем устанавливать полуавтоматически, тоесть выбирать сами, что нам ставить, поэтому жмём внизу кнопку «режим эксперта», мы же эксперты, правда ж?)
Нас интересует второй значок слева в столбике
Система проверила и показала нам, что нужно пофиксить, а что уже исправлено
Игнорируем большую зелёную кнопку «Установить необходимые программы» и жмём напротив первого пункта справа кнопку «Установить»
Если нет кнопки, а есть зелёная галочка и текст «Установлено» значит вам никаких операций проделывать не нужно.
Дожидаемся установки, возвращаемся в то же меню и ставим остальные два пункта.
Пользователям Windows 7 (ручной способ).
Чтобы отключить протокол SMBv1 на сервере с Windows 7, Windows Server 2008 R2, Windows Vista или Windows Server 2008 используйте Windows PowerShell 2.0 или новее версию!
Чтобы выключить протокол SMBv1 на сервере, запустите этот командлет:
Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters» SMB1 -Type DWORD -Value 0 -Force
После этого, нужно будет перезагрузить компьютер.
Что делать пользователям с Windows 8 и выше?
Проделываем те же операции что и пользователи Windows 7, но у вас в окошке установки обновлений и фиксов, будет только фикс от вируса Petya.A
Для выполнения следующих пунктов — установки патча безопасности — MS17-010 и отключения протокола SMBv1 необходимо проделать следующее.
Скачиваем для проверки какие обновления установлены у вас.
Выбираем что проверить — свой компьютер localhost
выбираем файл своей операционной системы со списком рекомендуемых обновлений
Если после проверки вы видите такую картинку, то нужные обновления установлены и протокол SMBv1 закрыт.
Если так, то необходимые на сегодняшний день действия по защите от вируса Wanna Cry и Petya.A проделаны. Если же столбики КВ и SMBv1 красные то делаем следующее.
Переходим на страницу Поверка установки MS17-010 находим свою версию системы и смотрим, какие номера обновлений нужно установить!! P.S. Бывает вся таблица не видна на экранах 1280Х1024 px, тогда уменьшаем масштаб страницы сайта до 80% (жмём Ctrl и крутим колёсиком мышки).
Для минимума нужно установить обновления для своей операционки хотя бы из первого столбика таблицы
Для этого открываем Каталог Центра обновления Майкрософт и находим своё обновление. Например:
Скачиваем, устанавливаем, ещё раз проверяем Security Cheker-ом
Следующим шагом будет проверка и отключение протокола SMBv1 на стороне клиента и сервера.
Для этого в системах с Windows 8 и выше проделываем следующее:
открываем Windows Power Shell и с помощью следующей команды проверим включен ли протокол SMB1
Get-SmbServerConfiguration
Как видим протокол включён — значение переменной EnableSMB1Protocol = True.
Отключаем поддержку протокола следующей командой в Power Shell
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
И снова с помощью первой команды убеждаемся что протокол SMBv1 выключен:
Таким образом мы отключили протокол SMBv1 на стороне сервера, но чтобы полностью обезопасить систему, нужно отключить протокол и на стороне клиента. Для этого в том же Power Shell или обычной командной строке выполняем две следующие команды:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Перезагружаемся и всё, вероятность того, что к вам попадёт вирус Wanna Cry или Petya.A уменьшился в разы. Почему не 100%? На момент написания статьи 100% решения специалисты ещё не нашли, пока только рекомендации. Но по мере появления новой информации и методов защиты буду обновлять этот пост.
Filed in: , Tags: ,Related Posts
По всему миру с 12 мая. Этот шифровальщик проникает в операционные системы компьютеров при скачивании файла из интернета. Когда компьютер получает такой вирус, WannaCry шифрует различные файлы — фото, музыку, фильмы, текстовые документы, презентации, архиваторы и т.п. Злоумышленники вымогают за расшифровку 300 долларов. Как бороться с этим вирусом-шифровальщиком?
Michael Stern, CC BY-SA 2.0, part from original.
В «Лаборатории Касперского» заявляют, что наиболее уязвимыми к атаке оказались компьютеры, на которых не были установлены обновления программ и имелся пиратский софт.
1 Как работает вирус Wanna Cry?
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе — Microsoft Security Bulletin MS17−010, существование которой было ранее неизвестно.
2 Как распространяется вирус WannaCry?
Вирус WannaCry распространяется через электронную почту. После открытия вложения в письме со спамом запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.
3 На что нужно обращать внимание, чтобы не заразить компьютер вирусом WannaCry?
Внимательно смотрите, что вам присылают по электронной почте. Не раскрывайте файлы с такими расширениями: .exe , .vbs и .scr . Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ(например, avi.exe или doc.scr ), пишет ru24.top.
Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков советует: «В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall(межсетевой экран), через которое идет заражение». Для обнаружения потенциально вредоносных файлов нужно включить опцию «Показывать расширения файлов» в настройках Windows.
4 Что предприняла компания Microsoft, чтобы защитить OC Windows от вируса WannaCry?
Microsoft уже выпустила «заплатку» — достаточно запустить обновление Windows Update до последней версии. Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows — при попытке обновить «пиратку» система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии, сообщает Rorki.ru.
5 Простейшие способы защиты от вируса WannaCry
Чтобы не «поймать» на свой компьютер вирус WannaCry, нужно следовать нескольким простым правилам безопасности:
- вовремя осуществлять обновление системы — все зараженные ПК не были обновлены,
- пользоваться лицензионной ОС,
- не открывать сомнительные электронные письма,
- не переходить по сомнительным ссылкам, оставленных пользователями, не вызывающими доверия.
6 Что нужно делать, если вы «поймали» вирус WannaCry на свой компьютер?
Вирус-шифровальщик WannaCry , или Wana Decryptor , поразил десятки тысяч компьютеров по всему миру. Пока те, кто попал под атаку, ждут решения проблемы, еще не пострадавшим пользователям стоит использовать все возможные рубежи защиты. Один из способов избавить себя от вирусного заражения и защититься от распространения от WannaCry - это закрытие портов 135 и 445, через которые в компьютер проникает не только WannaCry, но и большинство троянов, бэкдоров и других вредоносных программ. Средств для прикрытия этих лазеек существует несколько.
Способ 1. Защита от WannaCry - использование Firewall
Firewall, также известный как брандмауэр, в классическом понимании - это стена, разделяющая секции построек для защиты их от пожара. Компьютерный брандмауэр работает похожим образом - он защищает компьютер, соединенный с интернетом, от лишней информации, фильтруя поступающие пакеты. Большинство firewall-программ можно тонко настроить, в т.ч. и закрыть определенные порты.
Видов брандмауэров существует множество. Самый простой firewall - это стандартный инструмент Windows, который обеспечивает базовую защиту и без которого ПК не продержался бы в «чистом» состоянии и 2 минуты. Сторонние брандмауэры - например, встроенные в антивирусные программы - работают гораздо эффективнее.
Преимущество брандмауэров в том, что они блокируют все подключения, которые не соответствуют указанному набору правил, т.е. работают по принципу «запрещено все, что не разрешено». Из-за этого при использовании firewall для защиты от вируса WannaCry скорее придется открывать нужные порты, чем закрывать ненужные. Убедиться в том, что брандмауэр Windows 10 работает, можно, открыв настройки программы через поиск и зайдя в дополнительные параметры. Если порты по умолчанию открыты, закрыть 135 и 445 можно, создав соответствующие правила через настройки брандмауэра в разделе входящих подключений.
Однако в некоторых случаях брандмауэром пользоваться невозможно. Без него обеспечить защиту от зловреда WannaCry будет сложнее, но закрыть самые очевидные дырки получится без особых затруднений.
Действенный способ защиты от Wana Descrypt0r проиллюстрирован на видео!
Способ 2. Блокируем распространение вируса с Windows Worms Doors Cleaner
Windows Worms Doors Cleaner - эта простая программа весит всего 50 КБ и позволяет закрыть порты 135, 445 и некоторые другие в один клик от вируса WannaCry.
Скачать Windows Worms Doors Cleaner можно по ссылке: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe
Главное окно программы содержит перечень портов (135–139, 445, 5000) и краткую информацию о них - для каких служб используются, открыты они или закрыты. Рядом с каждым портом имеется ссылка на официальные положения службы безопасности Microsoft.
- Чтобы закрыть порты с помощью Windows Worms Doors Cleaner от WannaCry, нужно нажать на кнопку Disable.
- После этого красные кресты заменятся зелеными галочками, и появятся надписи, говорящие о том, что порты успешно заблокированы.
- После этого программу нужно закрыть, а компьютер - перезагрузить.
Способ 3. Закрытие портов через отключение системных служб
Логично, что порты нужны не только вирусам, таким как WannaCry - в нормальных условиях ими пользуются системные службы, которые большинству пользователей не нужны и легко отключаются. После этого портам незачем будет открываться, и вредоносные программы не смогут проникнуть в компьютер.
Закрытие порта 135
Порт 135 используется службой DCOM (Distributed COM) , которая нужна для связи объектов на разных машинах в локальной сети. Технология практически не используется в современных системах, поэтому службу можно безопасно отключить. Сделать это можно двумя способами - с помощью специальной утилиты или через реестр.
При помощи утилиты служба отключается так:
В системах Windows Server 2003 и старше нужно выполнить ряд дополнительных операций, но, поскольку вирус WannaCry опасен только для современных версий ОС, затрагивать этот момент нет смысла.
Через реестр порт от вирусной программы WannaCry закрывается следующим образом:
- 1. Запускается редактор реестра (regedit в окне «Выполнить»).
- 2. Ищется ключ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
- 3. Параметр EnableDCOM меняется с Y на N.
- 4. Компьютер перезагружается.
Редактировать реестр можно только из-под учетной записи администратора.
Закрытие порта 445
Порт 445 используется службой NetBT - сетевым протоколом, который позволяет старым программам, полагающимся на NetBIOS API, работать в современных сетях TCP/IP . Если такого древнего ПО на компьютере нет, порт можно смело блокировать - это закроет парадный вход для распространения вируса WannaCry. Сделать это можно через настройки сетевого подключения или редактор реестра.
Первый способ:
- 1. Открываются свойства используемого подключения.
- 2. Открываются свойства TCP/IPv4.
- 3. Нажимается кнопка «Дополнительно…»
- 4. На вкладке WINS ставится флажок у пункта «Отключить NetBIOS через TCP/IP».
Сделать это нужно для всех сетевых подключений. Дополнительно стоит отключить службу доступа к файлам и принтерам, если она не используются - известны случаи, когда WannaCry поражал компьютер через нее.
Второй способ:
- 1. Открывается редактор реестра.
- 2. Ищутся параметры NetBT в разделе ControlSet001 системных записей.
- 3. Удаляется параметр TransportBindName.
То же самое следует сделать в следующих разделах:
- ControlSet002;
- CurrentControlSet.
После завершения редактирования компьютер перезагружается. Следует учитывать, что при отключении NetBT перестанет работать служба DHCP.
Заключение
Таким образом, чтобы защититься от распространения вируса WannaCry, нужно убедиться, что уязвимые порты 135 и 445 закрыты (для этого можно использовать различные сервисы) или включить брандмауэр. Кроме того, необходимо установить все обновления системы Windows. Чтобы избежать атак в будущем, рекомендуется всегда пользоваться свежей версией антивирусного ПО.
Компьютерный вирус под оригинальным названием Wanna Crypt (хочу зашифровать) и подходящим сокращенным именем WannaCry (хочу плакать) заблокировал десятки тысяч компьютеров по всему миру 12 мая 2017 года. Уже на следующий день эпидемия была остановлена. Однако разработчики вируса внесли изменения в код, и миллионы компьютеров с операционной системой Windows снова оказались под ударом.
Вирус шифрует файлы и требует выкуп в размере $300. Жертвы уже перечислили десятки тысяч долларов, но сведений о расшифровке пока нет. В любом случае, лучше предотвратить заражение и возможные последствия, чем пытаться спасти информацию после атаки.
1. Установите обновления Windows
Скачайте по адресу https://technet.microsoft.com/library/security/MS17-010 и установите «заплатку» для защиты от WannaCry. В компании Microsoft считают это настолько важным, что выпустили версию даже для Windows XP (поддержка которой была прекращена в 2014 году).
Кроме того, уязвимость, на которой основаны атаки WannaCry, была закрыта в регулярном обновлении Windows еще в марте. Обновите Windows.
2. Сделайте резервные копии важных файлов
Сохраните свои рабочие и личные файлы. Можно скопировать их на внешний жесткий диск или флешку, закачать в «облако», выложить на FTP-сервер, отправить почтой самому себе, коллеге или другу. Только не запишите поверх недавно сохраненных «чистых» файлов их зашифрованные версии. Используйте другие носители. Пусть лучше будет две копии, чем ни одной.
3. Закройте порты 139 и 445
Звучит как фраза из фильма про хакеров, но это не так сложно. И очень полезно, потому что обезопасит ваш компьютер от WannaCry. Нужно сделать следующее:
- Открыть Брандмауэр Windows (Firewall) – например, через «Сетевые подключения»;
- Выбрать пункт «Дополнительные параметры» (Advanced Settings);
- Найти «Правила для входящих подключений» (Inbound rules) – посередине экрана, чуть пролистав вниз;
- Дальше, начиная с главного меню: «Действие / Создать правило... / Для порта / Определенные локальные порты – 139 / Блокировать подключение» (Action / New rule... / Port / Specified local ports – 139 / Block the connection);
- аналогично для порта 445.
4. Найдите сетевого администратора или «погуглите» сами
Главное уже сделано, вы в относительной безопасности. Нужно еще заблокировать SMB v1, инспектировать настройки VPN, проверить систему на вирусы. В принципе все это реально сделать самостоятельно. Но будет проще и надежнее найти специалистов.
5. Если не можете выполнить хотя бы пп.1-2 – выключите компьютер
Если по каким-то причинам вы не смогли установить «заплатку» от Microsoft, обновить Windows и сохранить важные файлы на внешних носителях – лучше выключить компьютер. Просто обесточить, чтобы у вируса не было шансов разрушить ваши цифровые активы. В крайнем случае, хотя бы отключите доступ к Интернету.
Дождитесь прихода специалистов, выпуска дешифратора, специальных версий антивирусов «в один клик». Это не займет много времени, а сэкономит годы труда, затраченные на создание всех тех файлов, которые сейчас под угрозой.
