Kako podesiti pametne telefone i računare. Informativni portal

Ažuriranje Windows 7 od virusa. Parsing

12.05.2019 Zanimljivo

Danas, možda, samo osoba koja je veoma udaljena od interneta zna za masovne infekcije računara trojanskim ransomware-om WannaCry („Želim da plačem“) koje je počelo 12. maja 2017. godine. A reakcije onih koji znaju, podijelio bih u 2 suprotne kategorije: ravnodušnost i panika. Šta to znači?

A činjenica da fragmentarne informacije ne daju potpuno razumijevanje situacije, daju povoda za spekulacije i ostavljaju za sobom više pitanja nego odgovora. Kako bismo razumjeli što se zapravo događa, kome i čemu prijeti, kako se zaštititi od infekcije i kako dešifrirati datoteke oštećene WannaCry-om, posvećen je današnji članak.

Da li je "đavo" zaista toliko strašan?

Ne razumijem kakva je frka okoloWannaCry? Postoji mnogo virusa, stalno se pojavljuju novi. Šta je posebno kod ovog?

WannaCry (drugi nazivi WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nije običan cyber-malware. Razlog njegove ozloglašenosti je ogromna pričinjena šteta. Prema Europolu, on je poremetio više od 200.000 kompjutera ispod Windows kontrola u 150 zemalja svijeta, a šteta koju su pretrpjeli njihovi vlasnici iznosila je više od 1.000.000.000 $ I to samo u prva 4 dana distribucije. Većina žrtava je u Rusiji i Ukrajini.

Znam da virusi ulaze u računare preko sajtova za odrasle. Ne posjećujem takve resurse, tako da nisam u opasnosti.

Virus? Ovo je takođe problem za mene. Kada se pokrenu virusi na mom kompjuteru, pokrenem uslužni program *** i nakon pola sata sve je u redu. A ako ne pomogne, ponovo instaliram Windows.

Od virusa do virusa - svađa. WannaCry je ransomware trojanac, mrežni crv sposoban da se širi preko lokalnih mreža i interneta s jednog računala na drugi bez ljudske intervencije.

Većina zlonamjernih programa, uključujući ransomware, počinje raditi tek nakon što korisnik "proguta mamac", odnosno klikne na link, otvori datoteku itd. ne morate ništa da radite da biste se zarazili WannaCry!

Jednom na računaru sa Windowsom, zlonamjerni softver šifrira većinu korisničkih datoteka u kratkom vremenu, nakon čega prikazuje poruku u kojoj se traži otkupnina u iznosu od 300-600 dolara, koja se mora prenijeti u navedeni novčanik u roku od 3 dana. U slučaju kašnjenja, prijeti da će onemogućiti dešifriranje datoteka za 7 dana.

U isto vrijeme, zlonamjerni softver traži rupe kako bi prodro na druge računare, a ako ih pronađe, inficira cijelu lokalnu mrežu. To znači da sigurnosne kopije datoteka pohranjenih na susjednim mašinama također postaju neupotrebljive.

Uklanjanje virusa sa vašeg računara ne dešifruje fajlove! Ponovno instaliranje operativnog sistema je isto. Naprotiv, ako ste zaraženi ransomwareom, obje ove radnje mogu vam onemogućiti oporavak datoteka čak i ako imate važeći ključ.

Dakle, da, "prokletstvo" je prilično zastrašujuće.

Kako se WannaCry širi

Lazes. Virus može prodrijeti u moj kompjuter samo ako ga sam preuzmem. I ja sam na oprezu.

Mnogi zlonamjerni softveri mogu zaraziti računare (i mobilnih uređaja usput, takođe) kroz ranjivosti - greške u kodu komponenti operativnog sistema i programa koje otvaraju mogućnost sajber-napadačima da koriste udaljenu mašinu za svoje potrebe. WannaCry se posebno širi kroz ranjivost od 0 dana u SMB protokolu (ranjivost nula dana su greške koje zlonamjerni/špijunski softver nije popravio u vrijeme njihove eksploatacije).

Odnosno, da bi se računar zarazio crvom ransomware, dovoljna su dva uslova:

  • Veze na mrežu na kojoj postoje druge zaražene mašine (Internet).
  • Prisustvo gornje rupe u sistemu.

Odakle je došla ova infekcija? Jesu li to trikovi ruskih hakera?

Prema nekim izvještajima (ja nisam odgovoran za pouzdanost), kvar u SMB mrežnom protokolu, koji služi za legalne daljinski pristup na fajlove i štampače u Windows-u je prvi put otkrila Američka agencija za nacionalnu bezbednost. Umjesto da ga prijavi Microsoftu kako bi popravio grešku, NSA je odlučila da ga sama koristi i razvila eksploataciju za to (program koji iskorištava ranjivost).

Vizualizacija dinamike WannaCry distribucije na intel.malwaretech.com

Nakon toga, hakeri su ukrali ovaj eksploat (kodnog naziva EternalBlue), koji je neko vrijeme služio NSA za infiltriranje u kompjutere bez znanja vlasnika, te je bio osnova za stvaranje WannaCry ransomware... Odnosno, zahvaljujući ne sasvim legalnim i etičkim postupcima američke vlade, pisci virusa saznali su za ranjivost.

Onemogućio sam instalaciju ažuriranjaWindows. Nafig je neophodan kada i bez njih sve radi.

Razlog za tako brzo i masovno širenje epidemije je nepostojanje "zakrpe" u to vrijeme - ažuriranja za Windows koji bi mogao zatvoriti rupu. Wanna cry... Na kraju krajeva, trebalo je vremena da se to razvije.

Danas postoji takva zakrpa. Korisnici koji ažuriraju sistem automatski su ga dobili u prvim satima nakon objavljivanja. A oni koji vjeruju da su ažuriranja nepotrebna još uvijek su u opasnosti od infekcije.

Ko je u opasnosti od WannaCry napada i kako se odbraniti od njega

Koliko ja znam, više od 90% računara je zaraženoWannaCry, trčao pod kontrolomWindows 7. Imam "desetku", što znači da mi ništa ne prijeti.

Svi operativni sistemi koji koriste SMB v1 mrežni protokol su u opasnosti od infekcije WannaCry. To:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v 1607
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016

Korisnici sistema na kojima nisu instalirani (dostupno za besplatno preuzimanje sa technet.microsoft.com, koji je povezan). Zakrpe za Windows XP, Windows Server 2003, Windows 8 i druge nepodržane operativne sisteme mogu se preuzeti. Također opisuje kako provjeriti da li postoji ažuriranje za spašavanje.

Ako ne znate verziju OS-a na svom računaru, pritisnite kombinaciju tastera Win + R i pokrenite komandu winver.

Kako bi pojačao zaštitu, kao i ako je sada nemoguće ažurirati sistem, Microsoft daje uputstva za privremeno onemogućavanje protokola SMB verzije 1. Nalaze se i. Opciono, ali nije obavezno, može se zatvoriti kroz 445 firewall TCP port koji opslužuje mala i srednja preduzeća.

Imam najbolji antivirus na svijetu ***, sa njim mogu sve i ne plašim se ničega.

WannaCry se može širiti ne samo gore opisanom samohodnom metodom, već i na uobičajene načine - putem društvenih mreža, email, zaraženi i phishing web resursi itd. I takvih slučajeva ima. Ako ručno preuzmete i pokrenete zlonamjerni program, ni antivirus ni zakrpe koje zatvaraju ranjivosti vas neće spasiti od infekcije.

Kako virus radi, šta šifrira

Da, neka šifrira šta hoće. Moj prijatelj je programer, on će mi sve dešifrovati. U krajnjem slučaju, ključ ćemo pronaći grubom silom.

Pa, šifriraće nekoliko fajlova, pa šta? To me neće spriječiti da radim na svom kompjuteru.

Nažalost, neće se dešifrirati, jer ne postoje načini da se razbije RSA-2048 algoritam šifriranja koji koristi Wanna Cry i koji se neće pojaviti u doglednoj budućnosti. I neće šifrirati par fajlova, već skoro sve.

Vozi Detaljan opis Neću raditi sa malverom, svi zainteresovani mogu se upoznati sa njegovom analizom, na primjer, u. Označiću samo najznačajnije momente.

Datoteke sa sljedećim ekstenzijama su šifrirane: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt,. xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg,. djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf,. ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx , .der.

Kao što vidite, tu su dokumenti, fotografije, video i audio, arhive, pošta, fajlovi kreirani u raznim programima... Malver pokušava da dođe do svakog direktorijuma na sistemu.

Šifrirani objekti dobivaju dvostruku ekspanziju sa postskriptom WNCRY, na primjer, "Document1.doc.WNCRY".

Nakon šifriranja, virus kopira izvršnu datoteku u svaku mapu @[email protected] - navodno za dešifrovanje nakon otkupnine, kao i tekstualni dokument @[email protected] sa porukom korisniku.

Zatim pokušava da istrijebi kopije u senci i bodova Windows oporavak... Ako je UAC pokrenut na sistemu, korisnik mora potvrditi ovu operaciju. Ako odbijete zahtjev, postojat će šansa za vraćanje podataka iz kopija.

WannaCry prenosi ključeve za šifriranje pogođenog sistema u komandne centre koji se nalaze u Tor mreži, nakon čega ih briše sa računara. Da bi pronašao druge ranjive mašine, skenira lokalnu mrežu i proizvoljne IP opsege na Internetu, a kada ih pronađe, prodire u sve do čega može doći.

Danas su analitičari svjesni nekoliko modifikacija WannaCryja s različitim mehanizmima distribucije, a očekuje se da će se nove pojaviti u bliskoj budućnosti.

Šta učiniti ako je WannaCry već zarazio vaš računar

Vidim fajlove koji menjaju ekstenzije. Šta se dešava? Kako to zaustaviti?

Šifriranje nije proces u jednom koraku, iako ne predug. Ako ste to uspjeli primijetiti prije nego što se poruka ransomwarea pojavila na ekranu, možete sačuvati neke od datoteka tako što ćete odmah isključiti napajanje računara. Ne gašenjem sistema, već izvlačenjem utikača!

At učitavanje Windowsa enkripcija će se nastaviti u normalnom načinu rada, pa je važno to ne dozvoliti. Sljedeće pokretanje računala mora se dogoditi ili u sigurnom načinu rada, u kojem virusi nisu aktivni, ili s drugog medija za pokretanje.

Moji fajlovi su šifrovani! Virus traži otkupninu za njih! Šta učiniti, kako dešifrirati?

Dešifrovanje fajlova nakon WannaCryja moguće je samo ako postoji tajni ključ, koji napadači obećavaju da će dati čim im žrtva prenese iznos otkupnine. Međutim, takva obećanja se gotovo nikada ne ispunjavaju: zašto bi se distributeri zlonamjernog softvera mučili kada su već dobili ono što su htjeli?

U nekim slučajevima problem se može riješiti bez otkupnine. Do danas su razvijena 2 WannaCry dekodera: i. Prvi radi samo u Windows XP, a drugi, kreiran na osnovu prvog, - u Windows XP, Vista i 7 x86, kao iu sjevernim sistemima 2003, 2008 i 2008R2 x86.

Algoritam rada oba dekriptora temelji se na traženju tajnih ključeva u memoriji procesa šifriranja. To znači da samo oni koji nisu imali vremena da ponovo pokrenu računar imaju priliku da dešifruju. I ako nije prošlo previše vremena nakon šifriranja (memorija nije prepisana drugim procesom).

Dakle, ako ste korisnik Windows XP-7 x86, prva stvar koju treba da uradite nakon što se pojavi poruka o otkupnini je da isključite računar sa lokalna mreža i internet i pokrenite WanaKiwi dekoder preuzet na drugom uređaju. Nemojte izvoditi nikakve druge radnje na računaru prije nego što izvadite ključ!

Opis rada WanaKiwi dekriptora možete pročitati u drugom.

Nakon dešifriranja datoteka, pokrenite antivirusni program da biste uklonili zlonamjerni softver i instalirajte zakrpu koja zatvara njegove puteve distribucije.

Danas WannaCry prepoznaje gotovo sve antivirusne programe osim onih koji nisu ažurirani, tako da će skoro svaki raditi.

Kako dalje živjeti ovaj život

Samohodna epidemija iznenadila je svijet. Za sve vrste službi obezbeđenja ispostavilo se neočekivano kao i početak zime 1. decembra za komunalije. Razlog je nepažnja i možda. Posljedice - nepopravljiv gubitak podataka i šteta. A za kreatore zlonamjernog softvera - poticaj da nastave u istom duhu.

Prema analitičarima, WanaCry je distributerima isplatio vrlo dobre dividende, što znači da će se ovakvi napadi ponoviti. A oni koji su sada zaneseni neće nužno biti odvedeni kasnije. Naravno, ako se o tome ne brinete unaprijed.

Dakle, da nikada ne morate plakati nad šifriranim fajlovima:

  • Nemojte odbijati instalirati ažuriranja za operativni sistem i aplikacije. Ovo će vas zaštititi od 99% prijetnji koje se šire kroz nezakrpljene ranjivosti.
  • Nastaviti.
  • Kreirajte sigurnosne kopije važne datoteke i pohraniti ih na drugu fizički medij, ili bolje - na nekoliko. U korporativnim mrežama je optimalna za korištenje distribuirane baze skladištenje podataka, kućni korisnici mogu besplatno usvojiti usluge u oblaku poput Yandex Drive-a, Google Drive-a, OneDrive-a, MEGASynk-a itd. Nemojte održavati ove aplikacije pokrenute kada ih ne koristite.
  • Odaberite pouzdane operativne sisteme. Windows XP nije.
  • Instaliraj sveobuhvatan antivirus klasa Internet Security i dodatnu zaštitu od ransomware-a, na primjer. Ili analozi drugih programera.
  • Povećajte svoju pismenost u suprotstavljanju enkripcijskim trojancima. Na primjer, antivirusni proizvođač Dr.Web je pripremio za korisnike i administratore različiti sistemi... Puno korisnih i, što je najvažnije, pouzdane informacije sadržano u blogovima drugih A/V programera.

I što je najvažnije: čak i ako ste patili, nemojte prenositi novac cyber kriminalcima za dešifriranje. Vjerovatnoća da ćete biti prevareni je 99%. Osim toga, ako niko ne plati, posao iznude će postati besmislen. U suprotnom, širenje takve infekcije će samo rasti.

Više na sajtu:

WannaCry Epidemija: Odgovaranje na često postavljana pitanja i razotkrivanje zabluda korisnika ažurirano: 27. maja 2017. od strane autora: Johnny mnemonic

  1. Maj je stigao, upoznajte WannaCry.
  2. Wanna je naziv ransomware virusa koji je počeo sa radom, recimo, 12. maja 2017. godine, zarazivši računare korisnika i kompanija u 90 zemalja. Microsoft je službeno objavio zakrpe za starije operativne sisteme koji više nisu podržani i zastarjeli. Dat ću kompletnu listu i sve linkove na kraju članka.
    3. Kako Wanna nastupa?
  3. Kao i svi ransomware virusi, teško je primijetiti tokom procesa šifriranja ako sami niste slučajno vidjeli da se datoteke mijenjaju i postaju s drugom ekstenzijom. Na primjer, šifrirane datoteke s ovim virusom će izgledati ovako: ime datoteke.png.WNCRY
  4. Ispod je mapa kontaminacije virusom zemalja u prvim satima zaraze i širenja, mapa Sumanteca.
  5. Nadalje, kako se virus manifestira nakon šifriranja datoteka, korisniku će biti prikazana poruka i on može odabrati odgovarajući jezik. Što obavještava da su vaši fajlovi zaraženi i idete na korake plaćanja, recimo tako.
  6. Drugi prozor pokazuje koliko i kako treba da platite, prenesite 300 bitcoina. I također tajmer za odbrojavanje.
  7. Pozadina radne površine i drugo pozadinske slike prikaži poruku:
  8. Šifrirane datoteke imaju dvostruku ekstenziju, na primjer: ime datoteke.doc.WNCRY. U nastavku pogledajte kako to izgleda:
  9. Takođe, u svakoj fascikli postoji izvršna datoteka @ za dešifrovanje nakon otkupnine (moguće ali vryatli), kao i tekstualni dokument @ koji korisniku ima nešto da pročita (takođe moguće, ali vryatli).
    10. Virus šifrira datoteke sa sljedećim ekstenzijama:
  10. Želim napomenuti da među ekstenzijama koje WannaCry šifrira, ne postoji ekstenzija 1C koja se koristi u Rusiji.
  11. Također vas molim da obratite pažnju na najvažniju stvar u obnavljanju vaših datoteka nakon infekcije. Možda ako imate uključenu zaštitu sistema, odnosno volume shadow copying i pokrenut je uac sistem kontrole korisničkog naloga, a radi najvjerovatnije ako ga niste onemogućili. Tada će virus ponuditi da onemogući zaštitu sistema kako bi spriječio oporavak šifriranih datoteka, odnosno onih izbrisanih nakon šifriranja. Naravno, u ovom slučaju nema načina da se ne slažete sa gašenjem. To izgleda otprilike ovako:
    12. Prevaranti u Bitcoin novčanicima.
  12. Najzanimljivije je kako raste iznos na novčaniku prevaranta. Bitcoin novčanik:
  17. pogledajte prijavljujući se barem jednom dnevno koliko je narastao profit prevaranta i bićete iznenađeni, vjerujte! Ovo je normalno Novčanik bitcoin servis u kojem svako može registrovati novčanik za sebe, nema razloga za brigu ako pogledate statistiku dopune novčanika.
  18. WannaCry 1.0 se širi putem neželjene pošte i web stranica. Verzija 2.0 je identična prvoj verziji, ali joj je dodat crv koji se samostalno širi tako što preko protokola dolazi do računara žrtve.
    19. Microsoft Corp. Fights Wanna:
  19. Microsoft predlaže instaliranje servisnih paketa za korisnike starijih operativnih sistema:
    20. Windows Server 2003 SP2 x64
    Windows Server 2003 SP2 x86
    Windows XP SP2 x64
    Windows XP SP3 x86
    Windows XP Embedded SP3 x86
    Windows 8 x86
    Windows 8 x64
    Idite na službeni blogs.technet.microsoft
    Šta Kaspersky kaže?
  20. Na službenom Kaspersky blogu, proces je detaljnije opisan i postoji nekoliko dodataka koje možete saznati, iako na engleskom.
    21. Securelist.
  21. Dopunjeno sa člankom o podršci za kaspersky od 15. maja 2017:
    22. .
  22. Također možete pogledati interaktivna karta sajber prijetnje i saznajte širenje virusa u realnom vremenu:
    23. Intel malwaretech mapa za WannaCry 2.0:
  23. Druga mapa, ali posebno za virus WannaCry2.0, širenje virusa u realnom vremenu (ako mapa nije radila nakon tranzicije, osvježite stranicu):
    24. Comodo Firewall 10 protiv WannaCry Ransomware video o tehnologiji zaštite:
    službena stranica.
    596 WannaCry varijanti
  24. Nezavisna laboratorija pronašla je 596 WannaCrypt uzoraka. SHA256 hash lista:
    25. Od autora:
  25. Na svoju ruku dodacu jer koristim zastitu od Comodo je 10 a u dodatku kao i ali najbolji antivirus to si ti. Kako se kaže, Bog čuva pažljive i ja imam takvu zaštitu jer dok radim moram obavljati razne poslove u kojima ima mjesta da napadi virusa iscure, da ih tako nazovemo.
  26. Onemogućite SMB1 protokol na neko vrijeme dok ne instalirate sigurnosne ispravke ili ako vam uopće ne trebaju pomoću komandne linije, pokrenite cmd kao administrator sistema i onemogućite protokol koristeći dism, naredbu:

    27. dism / online / norestart / disable-feature / featurename: SMB1Protocol

  27. I druge metode omogućavanja i onemogućavanja SMBv1,2,3 protokola na službenoj Microsoft web stranici.
  28. V grafički interfejs Onemogućavanje protokola može se uraditi na sledeći način: Kontrolna tabla> Dodaj ili ukloni programe (Ukloni ili promeni program)> Omogući ili onemogući Windows komponente> dalje slika ispod.

Dana 12. maja, oko 13:00, virus Wana Decryptor je počeo da se širi. Za skoro par sati zaraženo je na desetine hiljada računara širom sveta. On trenutno potvrđeno je više od 45.000 zaraženih računara.

Preko 40 hiljada hakova u 74 zemlje - korisnici interneta širom svijeta svjedočili su najvećem sajber napadu u istoriji. Na spisku žrtava, ne samo obični ljudi ali i servere banaka, telekomunikacionih kompanija, pa čak i agencija za provođenje zakona.

Wanna Cry ransomware virus zarazio je računare i običnih korisnika i radne računare u raznim organizacijama, uključujući Ministarstvo unutrašnjih poslova Rusije. Nažalost, trenutno ne postoji način za dešifriranje WNCRY datoteka, ali možete pokušati oporaviti šifrirane datoteke pomoću programa kao što su ShadowExplorer i PhotoRec.

Službene Microsoft zakrpe za zaštitu od wanna virus plakati:

  • Windows 7 32bit / x64
  • Windows 10 32bit / x64
  • Windows XP 32 bit / x64 - nema WCry zakrpe.

Kako se zaštititi od Wanna Cry virusa

Možete se zaštititi od virusa Wanna Cry preuzimanjem zakrpe za svoju verziju Windows-a.

Kako se Wanna Cry širi

Wanna Cry se širi:

  • kroz fajlove
  • mail poruke.

Kako prenose ruski mediji, rad kancelarija Ministarstva unutrašnjih poslova u nekoliko regiona Rusije poremećen je zbog ransomware-a koji je pogodio mnoge računare i prijeti da uništi sve podatke. Pored toga, napadnut je i telekom operater Megafon.

Govorimo o WCry ransomware trojancu (WannaCry ili WannaCryptor). On šifrira informacije na kompjuteru i traži da plati otkupninu od 300 dolara ili 600 dolara u bitkoinu za dešifriranje.
Također, na forumima i na društvenim mrežama infekcije prijavljuju obični korisnici:

Epidemija WannaCry enkripcije: šta učiniti da izbjegnete infekciju. Korak po korak vodič

Uveče 12. maja otkriven je veliki napad ransomware-a WannaCryptor (WannaCry) koji šifrira sve podatke na PC-ima i laptopima koji rade pod Windowsom. Kao otkupninu za dešifriranje, program zahtijeva 300 dolara u bitcoinima (oko 17.000 rubalja).

Glavni udarac je pao ruski korisnici i društvo. U ovom trenutku, WannaCry je uspio pogoditi oko 57.000 računara, uključujući korporativne mreže Ministarstva unutrašnjih poslova, Ruskih željeznica i Megafona. Sberbank i Ministarstvo zdravlja također su izvijestili o napadima na njihove sisteme.

Govorimo vam šta je potrebno učiniti odmah da biste izbjegli infekciju.

1. Enkriptor koristi Microsoft ranjivost od marta 2017. Da biste smanjili prijetnju, hitno morate ažurirati svoju verziju Windows-a:

Start - Svi programi - Windows Update - Potražite ažuriranja - Preuzmite i instalirajte

2. Čak i ako sistem nije ažuriran i WannaCry je došao do računara - i korporativna i kućna rješenja ESET NOD32 uspješno otkrivaju i blokiraju sve izmjene.

5. Za otkrivanje nepoznatih prijetnji, naši proizvodi koriste bihevioralne, heurističke tehnologije. Ako se virus ponaša kao virus, najvjerovatnije je virus. Dakle, oblačno ESET sistem LiveGrid je uspješno odbio napad od 12. maja, čak i prije nego što su baze podataka potpisa ažurirane.

Koje je ispravno ime virusa Wana Decryptor, WanaCrypt0r, Wanna Cry ili Wana Decrypt0r?

Od prvog otkrivanja virusa, mnogo različitih poruka o ovom ransomware virusu pojavilo se na mreži i često se nazivaju različitim imenima. To se dogodilo iz nekoliko razloga. Prije nego se pojavio sam virus Wana Decrypt0r, bila je njegova prva verzija Wanna decrypt0r, čija je glavna razlika bila način distribucije. Ova prva opcija nije postala toliko poznata kao njegova mlađi brat ali zahvaljujući ovome, u nekim vijestima, novi virus Ransomware je dobio ime po njegovom starijem bratu, odnosno Wanna Cry, Wanna Decryptor.

Ali ipak glavno ime je Wana decrypt0r, iako većina korisnika umjesto broja "0" upisuje slovo "o", što nas dovodi do imena Wana decryptor ili WanaDecryptor.

A prezime kojim korisnici često nazivaju ovaj ransomware virus je WNCRY virus, odnosno ekstenzijom koja se dodaje imenu datoteka koje su podvrgnute enkripciji.

Kako bi se smanjio rizik od dobijanja virusa Wanna cru na računarima, stručnjaci iz "Kopersky's Laboratories" savjetuju da se instaliraju svi mogući Windows operativni sistemi. Poenta je da ovaj opasan program radi samo sa računarima koji rade na ovom softveru.

Wanna Cry Virus: Kako se širi

Ovu metodu širenja virusa ranije smo spominjali u članku o sigurnom ponašanju na internetu, tako da nije ništa novo.

Wanna Cry se distribuira na sljedeći način: poštansko sanduče korisnik dobije pismo sa "bezopasnim" prilogom - to može biti slika, video, pjesma, ali umjesto standardne ekstenzije za ove formate, prilog će imati ekstenziju izvršnu datoteku- exe. Kada se takav fajl otvori i pokrene, sistem je "inficiran" i učitava se virus koji šifrira korisničke podatke kroz ranjivost u OS Windows, o tome obavještava therussiantimes.com.

Wanna Cry Virus: Opis virusa

Wanna Cry (u običnom narodu već je dobio nadimak Vona Kray) spada u kategoriju ransomware (kriptor) virusa, koji, kada dođe na PC, šifrira korisničke datoteke kriptografskim algoritmom, nakon čega čitanje ovih datoteka postaje nemoguće .
Trenutno je poznato da su sljedeće popularne ekstenzije datoteka šifrirane od strane Wanna Cry:

Popularni fajlovi microsoft office(.xlsx, prenosi therussiantimes.com.xls, .docx, .doc).
Arhiva i medijski fajlovi (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry je program pod nazivom WanaCrypt0r 2.0 koji napada isključivo Windows računare. Program koristi "rupu" u sistemu - Microsoft Security Bilten MS17-010, čije postojanje je ranije bilo nepoznato. Za dešifriranje, program zahtijeva otkupninu u iznosu od 300 do 600 dolara. Inače, trenutno je više od 42 hiljade dolara već prebačeno na račune hakera, navodi The Guardian.

WannaCry je poseban program koji zaključava sve podatke u sistemu i ostavlja korisniku samo dva fajla: uputstva šta dalje da radi i sam program Wanna Decryptor, alat za otključavanje podataka.

Većina kompanija za kompjutersku sigurnost ima alate za dešifriranje otkupnine koje mogu zaobići softver... Za obične smrtnike, metoda "liječenja" je još uvijek nepoznata.

WannaCry Decryptor ( ili WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), već se naziva "virus 2017". I nije nimalo nerazumno. Samo u prva 24 sata nakon početka distribucije - dati ransomware pogodio više od 45.000 računara. Neki istraživači smatraju da je u ovom trenutku (15. maja) više od milion računara i servera zaraženo. Podsjećamo, virus je počeo da se širi 12. maja. Prvi su stradali korisnici iz Rusije, Ukrajine, Indije i Tajvana. Trenutno virus sa velika brzina distribuira u Evropi, SAD i Kini.

Informacije su šifrovane na računarima i serverima vladinih agencija (posebno Ministarstva unutrašnjih poslova Rusije), bolnica, transnacionalnih korporacija, univerziteta i škola.

Wana Decryptor (Wanna Cry ili Wana Decrypt0r) paralizirao je rad stotina kompanija i vladinih agencija širom svijeta

Zapravo, WinCry (WannaCry) je eksploatacija porodice EternalBlue, koja iskorištava prilično staru ranjivost Windows operativnog sistema (Windows XP, Windows Vista, Windows 7, Windows 8 i Windows 10) i učitava se u sistem u tihi način rada. Zatim, koristeći algoritame otporne na dešifriranje, šifrira korisničke podatke (dokumente, fotografije, video zapise, tabele, baza podataka) i zahtijeva otkupninu za dešifriranje podataka. Shema nije nova, stalno pišemo o novim vrstama ransomwarea za šifriranje datoteka - ali način distribucije je nov. I to je dovelo do epidemije.

Kako virus radi

Zlonamjerni program skenira internet u potrazi za računarima sa otvorite TCP port 445, koji je odgovoran za opsluživanje SMBv1 protokola. Nakon što je pronašao takav računar, program nekoliko puta pokušava da iskoristi ranjivost EternalBlue na njemu i, ako uspe, instalira DoublePulsar backdoor, preko kojeg se učitava i pokreće izvršni kod programa WannaCry. Svaki put kada pokuša eksploatirati, zlonamjerni softver provjerava prisutnost DoublePulsar-a na ciljnom računaru, i ako se otkrije, preuzima se direktno kroz ovaj backdoor.

Uzgred, ove staze moderni ne prate antivirusni softver, što je infekciju učinilo toliko masovnom. A ovo je ogromna kaldrma u bašti programera antivirusnog softvera. Kako se ovo može dozvoliti? Za šta uzimaš novac?

Jednom pokrenut, malver se ponaša kao klasični ransomware: generiše par ključeva koji je jedinstven za svaki zaraženi računar asimetrični algoritam RSA-2048. Zatim, WannaCry počinje skenirati sistem tražeći korisničke datoteke. određene vrste, ostavljajući one kritične za njegovo dalje funkcionisanje netaknutima. Svaka odabrana datoteka je šifrirana korištenjem AES-128-CBC algoritma sa jedinstvenim (slučajnim) ključem za svaku od njih, koji je zauzvrat šifriran otvorenim RSA ključem zaraženog sistema i pohranjen u zaglavlju šifrirane datoteke. Istovremeno, ekstenzija se dodaje svakoj šifrovanoj datoteci. .wncry... RSA par ključeva zaraženog sistema je šifriran javni ključ napadačima i poslati im na kontrolne servere koji se nalaze u Tor mreži, nakon čega se svi ključevi brišu iz memorije zaražene mašine. Nakon završetka procesa enkripcije, program prikazuje prozor sa zahtjevom za prijenos određenog iznosa u bitcoinima (ekvivalent 300 američkih dolara) u navedeni novčanik u roku od tri dana. Ako se otkupnina ne primi na vrijeme, njen iznos će se automatski udvostručiti. Sedmog dana, ako se WannaCry ne ukloni iz zaraženog sistema, šifrirani fajlovi se uništavaju. Poruka se prikazuje na jeziku koji odgovara jeziku koji je instaliran na računaru. Ukupno, program podržava 28 jezika. Paralelno sa enkripcijom, program skenira proizvoljne Internet i lokalne mrežne adrese za naknadnu infekciju novih računara.

Prema studiji Symanteca, algoritam koji koriste napadači da prate pojedinačna plaćanja svake žrtve i šalju im ključ za dešifriranje implementiran je s greškom u uvjetima utrke. Ovo čini isplatu otkupnine besmislenom, jer pojedinačni ključevi ionako neće biti poslani, a datoteke će ostati šifrirane. Međutim, postoji pouzdana metoda dešifrirajte korisničke datoteke manje od 200MB, kao i neke šanse za oporavak većih datoteka. Također, na zastarjelim Windows sistemi XP i Windows Server 2003 zbog posebnosti implementacije u sistem algoritma proračuna pseudoslučajni brojevičak je moguće povratiti privatne RSA ključeve i dešifrirati sve zahvaćene datoteke ako se računar nije ponovo pokrenuo od trenutka infekcije. Kasnije je grupa francuskih stručnjaka za kibernetičku sigurnost iz Comae Technologies proširila ovu mogućnost na Windows 7 i implementirala je u praksu, objavivši u otvoreni pristup korisnost WanaKiwi koji vam omogućava da dešifrujete datoteke bez otkupnine.

U kodu rane verzije program je bio opremljen mehanizmom za samouništenje, takozvanim Kill Switch - program je provjerio dostupnost dva specifična internet domena i, ako ih je bilo, potpuno je uklonjen sa računara. Prvi ga je otkrio Marcus Hutchins 12. maja 2017 (engleski) ruski , 22-godišnji analitičar virusa u britanskoj kompaniji Kryptos Logic, koji tvituje pod nadimkom @MalwareTechBlog i registrovao je jedan od domena na svoje ime. Tako je bio u mogućnosti da privremeno djelimično blokira distribuciju ove modifikacije. malware... Dana 14. maja registrovana je i druga domena. U kasnijim verzijama virusa, ovaj mehanizam samogašenja je uklonjen, ali to nije učinjeno u originalnom programskom kodu, već uređivanjem izvršne datoteke, što nam omogućava da pretpostavimo porijeklo ovaj popravak ne od autora originalnog WannaCryja, već od napadača trećih strana. Kao rezultat toga, mehanizam enkripcije je oštećen, a ova verzija crva može se samo širiti, pronalazeći ranjive računare, ali nije u stanju da im nanese direktnu štetu.

Brzo širenje WannaCry-a, jedinstveno za ransomware, potaknuto je iskorištavanjem ranjivosti mrežnog protokola SMB operativnog sistema objavljenom u februaru 2017. Microsoft Windows opisano u biltenu MS17-010. Dok je u klasičnoj šemi ransomware ušao u kompjuter djelovanjem samog korisnika putem e-pošte ili web linka, u slučaju WannaCry-a, umiješanost korisnika je potpuno isključena. Dužina vremena između otkrivanja ranjivog računara i njegove potpune infekcije je oko 3 minuta.

Kompanija za razvojne programere potvrdila je prisustvo ranjivosti u apsolutno svim korisničkim i serverskim proizvodima koji imaju implementaciju SMBv1 protokola – počevši od Windows XP/Windows Server 2003 pa do Windows 10/Windows Server 2016. Dana 14.03.2017. Microsoft je objavio niz ažuriranja dizajniranih da neutraliziraju ranjivost u svim podržanim OS. Nakon distribucije WannaCry-a, kompanija je napravila korak bez presedana objavljivanjem ažuriranja za proizvode sa istekao podrška (Windows XP, Windows Server 2003 i Windows 8).

Širenje virusa WannaCry

Virus se može širiti na različite načine:

  • Preko jedne računarske mreže;
  • Putem pošte;
  • Preko pretraživača.

Lično, nije mi sasvim jasno zašto mrežna veza nije skeniran antivirusom. Isti način zaraze kao kroz posjetu web stranici ili pretraživaču dokazuje nemoć programera i činjenicu da tražena sredstva za licencirani softver za zaštitu računara nisu ni na koji način opravdana.

Simptomi infekcije i liječenje virusa

Nakon uspješne instalacije na korisnikov PC, WannaCry pokušava da se proširi preko lokalne mreže na druge računare poput crva. Šifrirane datoteke dobijaju sistemsku ekstenziju .WCRY i postaju potpuno nečitljive i ne možete ih sami dešifrirati. Poslije potpuna enkripcija Wcry mijenja pozadinu radne površine i ostavlja "instrukcije" za dešifriranje datoteka u šifriranim folderima.

U početku su hakeri iznudili 300 dolara za ključeve za dešifriranje, ali su onda tu cifru podigli na 600 dolara.

Kako spriječiti da WannaCry Decryptor zarazi vaš PC?

Preuzmite ažuriranje operativnog sistema sa Microsoft veb lokacije.

Šta raditi eu da li je vaš računar zaražen?

Koristite uputstva u nastavku da pokušate da povratite barem neke od informacija na zaraženom računaru. Ažurirajte svoj antivirus i instalirajte zakrpu za operativni sistem. Dekriptor za ovaj virus još ne postoji u prirodi. Izričito savjetujemo da ne plaćate otkupninu sajber kriminalcima - nema garancija, čak ni najmanjih, da će dešifrirati vaše podatke nakon što dobiju otkupninu.

Uklonite WannaCry ransomware automatskim čistačem

Izuzetno efikasan metod za rješavanje malvera općenito i ransomwarea posebno. Upotreba dobro dokazanog zaštitnog kompleksa jamči temeljitost detekcije bilo koje virusne komponente, njihove potpuno uklanjanje jednim klikom. Imajte na umu da govorimo o dva različita procesa: deinstaliranju infekcije i vraćanju datoteka na vaš PC. Ipak, prijetnja se svakako mora ukloniti, jer postoje informacije o uvođenju drugih kompjuterskih trojanaca uz njenu pomoć.

  1. Preuzmite alat za uklanjanje virusa WannaCry... Nakon pokretanja softvera, kliknite na dugme Pokrenite skeniranje računara(Pokreni skeniranje). Preuzmite program za uklanjanje ransomwarea WannaCry .
  2. Instalirani softver će dati izvještaj o prijetnjama otkrivenim tokom skeniranja. Da biste uklonili sve pronađene prijetnje, odaberite opciju Popravi prijetnje(Uklonite prijetnje). Predmetni zlonamjerni softver će biti u potpunosti uklonjen.

Vratite pristup šifriranim datotekama

Kao što je napomenuto, no_more_ransom ransomware zaključava datoteke snažnim algoritmom šifriranja, tako da se šifrirani podaci ne mogu nastaviti uz pomoć čarobnog štapića - osim ako ne uzmete u obzir nečuveno plaćanje otkupnine. Ali neke metode zaista mogu postati spas koji će vam pomoći da povratite važne podatke. U nastavku se možete upoznati sa njima.

Program automatski oporavak fajlovi (dekoder)

Poznata je vrlo vanredna okolnost. Ova infekcija briše originalne datoteke nešifrovane. Proces enkripcije ransomware-a stoga cilja na njihove kopije. Ovo pruža priliku za takve softver kako Data Recovery Pro vratiti izbrisane objekte, čak i ako je zajamčena pouzdanost njihovog uklanjanja. Preporučljivo je pribjeći proceduri oporavka datoteka, njena učinkovitost je nesumnjiva.

Sjenčane kopije volumena

Pristup je baziran na Windows proceduri Rezervna kopija datoteke, što se ponavlja na svakoj tački oporavka. Važan uslov rad ovu metodu: Oporavak sistema mora biti aktiviran prije infekcije. Međutim, sve promjene napravljene u datoteci nakon točke vraćanja neće biti prikazane u vraćenoj verziji datoteke.

Backup

Ovo je najbolja od svih metoda bez otkupa. Ako je procedura za pravljenje rezervnih kopija podataka na eksternom serveru korišćena pre napada ransomware-a na Vašem računaru, za vraćanje šifrovanih fajlova jednostavno je potrebno da uđete u odgovarajući interfejs, odaberete potrebne datoteke i pokrenete mehanizam za oporavak podataka iz rezervne kopije. Prije izvođenja operacije, morate biti sigurni da je ransomware potpuno uklonjen.

Provjerite moguće preostale komponente ransomwarea WannaCry

Čišćenje u ručni način rada je prepuna izostavljanja određenih fragmenata ransomware-a koji mogu izbjeći brisanje u obliku skrivenih objekata operativnog sistema ili unosa u registrator. Da biste eliminisali rizik od delimičnog zadržavanja određenih zlonamernih elemenata, skenirajte svoj računar pomoću pouzdanog bezbednosnog softverskog kompleksa specijalizovanog za zlonamerni softver.

Dešifrovanje

Ali nema informacija od onih koji su platili dešifrovanje, kao što nema informacija o namjeri hakera da smire dušu naroda i dešifruju informacije nakon uplate ((((

Ali na Habréu se pojavila infa o principu rada dugmeta Decrypt, kao i o činjenici da napadači nemaju način da identifikuju korisnike koji su poslali bilje, što znači da žrtvama niko ništa neće vratiti:

“Kriptor kreira dvije vrste datoteka: prvo, neki dio je šifriran pomoću 128-bitnog AES-a, dok se generirani ključ za dešifriranje dodaje direktno u šifriranu datoteku. Za datoteke šifrirane na ovaj način, kriptor daje ekstenziju .wncyr i to su oni koje potom dešifruje kada kliknete na Dešifruj. Većina onoga što je šifrirano dobiva ekstenziju .wncry a ključ više nije tu.
U ovom slučaju, enkripcija nije u samoj datoteci, već se prvo kreira datoteka na disku, gdje se nalazi šifrirani sadržaj, a zatim originalni fajl uklonjeno. U skladu s tim, neko vrijeme postoji šansa da se neki podaci oporave korištenjem raznih uslužnih programa za poništavanje brisanja.
Da bi se borio protiv takvih uslužnih programa, cryptor stalno upisuje bilo kakvo smeće na disk, tako da se prostor na disku potroši dovoljno brzo.
Ali zašto još uvijek nema informacija o plaćanju i mehanizmima za njegovu provjeru, to je zaista iznenađujuće. Vjerovatno utječe prilično pristojan iznos (300 dolara), koji je potreban za takvu provjeru."

Kreatori virusa WannaCry zaobišli su privremenu zaštitu u obliku besmislenog domena

Kreatori WannaCry ransomware virus, koji je zahvatio računare u više od 70 zemalja, objavio je novu verziju. Nedostaje mu kod za pristup besmislenoj domeni, uz pomoć koje je bilo moguće spriječiti širenje izvornog virusa, piše Motherboard. Publikacija je dobila potvrdu o pojavi nove verzije virusa od dvojice stručnjaka koji su proučavali nove slučajeve infekcije računara. Jedan od njih je Costin Raiu, šef međunarodnog istraživačkog tima u Kaspersky Lab.

Stručnjaci nisu pojasnili da li je bilo još nekih promjena u WannaCryju.

Dana 13. maja, stručnjak za Proofpoint Darien Huss i autor bloga MalwareTech uspjeli su zaustaviti širenje virusa – otkrili su da se virus odnosi na besmisleno ime domene i registrirali ovu adresu. Nakon toga su otkrili da je širenje WannaCry-a prestalo – međutim, stručnjaci su primijetili da će kreatori virusa vjerovatno uskoro objaviti ažuriranu verziju programa.

Dana 12. aprila 2017. godine pojavila se informacija o brzom širenju ransomware virusa pod nazivom WannaCry, što se može prevesti kao "Želim da plačem", širom svijeta. Korisnici imaju pitanja o Windows ažuriranju od WannaCry virusa.

Virus na ekranu računara izgleda ovako:

Loš virus WannaCry koji sve šifrira

Virus šifrira sve fajlove na računaru i traži otkupninu za Bitcoin novčanik u iznosu od 300 ili 600 dolara da bi navodno dešifrovao računar. Zaraženi su računari u 150 zemalja svijeta, a najviše je pogođena Rusija.

Megafon, Ruske željeznice, Ministarstvo unutrašnjih poslova, Ministarstvo zdravlja i druge kompanije susrele su se licem u lice sa ovim virusom. Među žrtvama ima obični korisnici Internet.

Skoro svi su jednaki pred virusom. Razlika je, možda, u tome što se u kompanijama virus širi po cijeloj lokalnoj mreži unutar organizacije i trenutno zarazi što više računara.

WannaCry virusšifrira datoteke na računarima koji koriste Windows. V Microsoft Još u martu 2017. puštena su ažuriranja za MS17-010 različite verzije Windows XP, Vista, 7, 8, 10.

Ispostavilo se da su oni koji su to konfigurisali automatsko ažuriranje Windows je van zone rizika od virusa, jer su na vrijeme primili ažuriranje i uspjeli su ga izbjeći. Ne usuđujem se reći da je to tako.

Rice. 3. Poruka prilikom instaliranja ažuriranja KB4012212

Ažuriranje KB4012212 nakon instalacije zahtijevalo je ponovno pokretanje laptopa, što mi se baš i nije svidjelo, jer ne znam kako bi moglo završiti, ali gdje bi korisnik trebao otići? Međutim, ponovno pokretanje je prošlo u redu. Dakle, živimo u miru do sljedećeg napad virusa, te da će ovakvih napada biti - avaj, nema razloga za sumnju.

Neki virusi pobjeđuju, drugi se ponovo pojavljuju. Ova borba će očigledno biti beskrajna.

Video "I Want to Cry": ransomware virus zarazio 75 hiljada sistema u 99 zemalja

Nabavite članke u trendu poznavanje rada na računaru direktno u inbox.
Već više 3.000 pretplatnika

.

Top srodni članci

Operater podružnice
Operater poslovnice "Select Case"
Kako se neuparene oznake razlikuju od uparenih oznaka?
Kako se neuparene oznake razlikuju od uparenih oznaka?
Kondenzatori Razlika potencijala između ploča kondenzatora sa kapacitivnošću
Kondenzatori Razlika potencijala između ploča kondenzatora sa kapacitivnošću
Kategorije:
© 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.