Maj 2017. ući će u anale istorije kao mračan dan za službu informacione sigurnosti. Na današnji dan, svijet je naučio da siguran virtuelni svijet može biti krhak i ranjiv. Virus ransomware pod nazivom Wanna decryptor ili wannacry zarobio je više od 150 hiljada računara širom svijeta. Slučajevi zaraze zabilježeni su u više od stotinu zemalja. Naravno, globalna zaraza je zaustavljena, ali šteta je milionska. Talasi ransomware-a još uvijek pogađaju neke pojedinačne mašine, ali kuga je do sada obuzdana i zaustavljena.
WannaCry – šta je to i kako se zaštititi od toga
Wanna decryptor pripada grupi virusa koji šifriraju podatke na računalu i iznuđuju novac od vlasnika. Obično se iznos otkupnine vaših podataka kreće od 300 do 600 dolara. Za jedan dan virus je uspio zaraziti općinsku mrežu bolnica u Velikoj Britaniji, veliku televizijsku mrežu u Evropi, pa čak i dio kompjutera ruskog Ministarstva unutrašnjih poslova. Zaustavili su ga zahvaljujući srećnom stjecaju okolnosti registriranjem domene za verifikaciju koju su njegovi kreatori ugradili u šifru virusa kako bi ručno zaustavili širenje.
Virus inficira računar na isti način kao iu većini drugih slučajeva. Slanje pisama, društvenih profila i jednostavno surfanje u suštini - ove metode daju virusu priliku da prodre u vaš sistem i šifrira sve vaše podatke, ali može prodrijeti bez vaših eksplicitnih radnji kroz ranjivost sistema i otvoren port.
WannaCry prodire kroz port 445, koristeći ranjivost u Windows operativnom sistemu, koja je nedavno zatvorena objavljenim ažuriranjima. Dakle, ako je ovaj port zatvoren za vas ili ste nedavno ažurirali Windows iz kancelarije. sajt, onda ne morate da brinete o infekciji.
Virus radi prema sljedećoj shemi - umjesto podataka u vašim datotekama, dobijate nerazumljive škriljke na marsovskom jeziku, ali da biste ponovo dobili normalan računar, morat ćete platiti napadačima. Oni koji su ovu pošast izbacili na kompjutere običnih ljudi koriste bitkoine za plaćanje, tako da neće biti moguće identifikovati vlasnike zlog trojanca. Ako ne platite u roku od 24 sata, iznos otkupnine se povećava.
Nova verzija Trojanca se prevodi kao "Želim da plačem" i gubitak podataka može neke korisnike natjerati na suze. Zato je bolje poduzeti preventivne mjere i spriječiti infekciju.
Ransomware iskorištava ranjivost u Windows-u koju je Microsot već ispravio. Potrebno je samo da ažurirate svoj operativni sistem na sigurnosni protokol MS17-010 od 14. marta 2017.
Usput, samo oni korisnici koji imaju licencirani operativni sistem mogu ažurirati. Ako niste jedan od ovih ljudi, jednostavno preuzmite paket ažuriranja i ručno ga instalirajte. Samo trebate preuzeti s pouzdanih izvora kako ne biste uhvatili infekciju umjesto prevencije.
Naravno, zaštita može biti najvišeg nivoa, ali mnogo zavisi od samog korisnika. Ne zaboravite da ne otvarate sumnjive linkove koji vam dolaze putem e-pošte ili na vaš društveni profil.
Kako izliječiti Wanna decryptor virus
Oni čiji su računari već zaraženi treba da se pripreme za dug proces lečenja.
Virus radi na računaru korisnika i stvara nekoliko programa. Jedan od njih počinje šifrirati podatke, drugi pruža komunikaciju s ransomwareom. Na monitoru vašeg rada pojavljuje se natpis koji vam objašnjava da ste postali žrtva virusa i nudi vam brz prijenos novca. Istovremeno, ne možete otvoriti jednu datoteku, a ekstenzije se sastoje od nerazumljivih slova.
Prva radnja koju korisnik pokušava poduzeti je oporavak podataka pomoću servisa ugrađenih u Windows. Ali kada pokrenete naredbu, ili se ništa neće dogoditi ili će vaši napori biti uzaludni - riješiti se Wanna Decryptor nije tako lako.
Virus WannaCry je prilično nov zlonamjerni softver koji se pojavio tek u maju 2017. Kada uđe u računarski sistem, ovaj mrežni crv šifrira većinu fajlova koji su tamo pohranjeni. Istovremeno, za mogućnost dešifriranja potrebnih dokumenata, virus zahtijeva određenu svotu novca kao svojevrsnu otkupninu.
WannaCry ransomware virus pogađa računare bez obzira na vlasnika. Dakle, oprema koja pripada različitim strukturama, kao i predstavnicima stanovništva i poslovne zajednice, potpada pod ovu jedinstvenu epidemiju. Oprema je oštećena uključujući:
- komercijalne kompanije;
- vladine agencije;
- pojedinci.
Kompjuterski virus WannaCry ransomware se prvi put oglasio nedavno: to se dogodilo 12. maja ove godine. Prva infekcija dogodila se u Španiji, a zatim se zlonamjerni softver brzo proširio svijetom. Sljedeće zemlje su najteže pogođene prvim talasom epidemije:
- Indija;
- Ukrajina;
- Rusija.
U relativno kratkom vremenu koliko postoji malver koji razmatramo, već je postao problem na globalnom nivou. Pored originalne verzije, u ljeto su se počele pojavljivati nove modifikacije sa sličnim principom rada. Na primjer, još jedan nedavno široko rasprostranjen virus, Petya, nije ništa drugo do sličnost sa WannaCry. Mnogi stručnjaci za sigurnost informacija i obični korisnici ovu verziju smatraju još štetnijom za opremu.
Treba li očekivati novi talas zaraze i kako zaštititi svoj računar?
Da biste spriječili moguću infekciju važnih datoteka, morate razumjeti kako se širi opasni WannaCry virus. Prije svega, računarska oprema radi na određenom sistemu, a neki tipovi spadaju u glavnu zonu rizika, dok drugi, naprotiv, automatski štite datoteke koje se tamo pohranjuju od zlonamjernog utjecaja. Ispostavilo se da zlonamjerni virus koji zahtijeva otkup pogađa samo one računare koji rade na Windows operativnom sistemu.
Međutim, kao što znate, ovo ime ujedinjuje čitavu porodicu različitih operativnih sistema. U ovom slučaju postavlja se pitanje, vlasnici kojih sistema bi trebali biti posebno zabrinuti za sigurnost svojih važnih dokumenata tokom napada virusa WannaCry? Prema ruskom servisu BBC, zlonamjernim softverom najčešće je pogođena oprema koja koristi Windows 7. Riječ je isključivo o onim uređajima na kojima nisu blagovremeno instalirana Microsoftova nedavno objavljena ažuriranja koja imaju za cilj poboljšanje sigurnosti računara.
Koju vrstu veze koristi virus WannaCry? U početku, program saznaje IP adresu računara kako bi uspostavio udaljenu vezu s njim. A korištenjem veze sa Tor čvorovima, mrežni crv uspijeva ostati anoniman.
Prema procjenama stručnjaka, više od 500 hiljada računara širom svijeta već je pogođeno mrežnim crvom. Da li je moguć novi napad virusa WannaCry i šta o tome govore najnovije vijesti? Drugi talas zaraze očekivao se gotovo odmah nakon pojave ove pojave. Nakon toga su se pojavile nove modificirane verzije, koje rade na sličnom principu kao i WannaCry virus. Postali su poznati širom svijeta pod imenima “Petya” i “Misha”. Mnogi stručnjaci su uvjereni da se takav zlonamjerni softver stalno poboljšava, što znači da su ponovljeni napadi apsolutno mogući.
Prevencija i liječenje
Mnogi korisnici su zabrinuti za sigurnost opreme koju koriste i stoga ih zanima kako ukloniti WannaCry virus ako je zaražen. Prva opcija koja običnom korisniku može pasti na pamet je da izvrši uplatu. Međutim, za mogućnost dešifriranja, ransomware ne zahtijeva najmanji iznos - oko 300 dolara. Nakon toga, početni iznos otkupnine je udvostručen na 600 dolara. Osim toga, plaćanje uopće ne jamči vraćanje prvobitnog stanja vašeg sistema: na kraju krajeva, govorimo o napadačima kojima svakako ne treba vjerovati.
Stručnjaci ovu akciju smatraju potpuno besmislenom: tvrde da su samu opciju davanja individualnog ključa korisniku koji odluči da izvrši uplatu implementirali programeri zlonamjernog softvera uz grešku nazvanu „uslov trke“. Obični korisnici ne moraju razumjeti njegove karakteristike: mnogo je važnije razumjeti njegovo značenje, što znači da vam ključ za dešifriranje najvjerovatnije nikada neće biti poslan.
Stoga, efikasna zaštita i tretman protiv virusa WannaCry mora biti drugačiji i uključivati čitav niz mjera koje vam mogu pomoći da zaštitite svoje lične datoteke i informacije pohranjene u njima. Stručnjaci savjetuju da se ne ignorišu objavljena ažuriranja sistema, posebno ona koja se odnose na sigurnosna pitanja.
Da biste izbjegli napad zlonamjernog softvera, morate unaprijed naučiti osnovne načine zaštite od virusa WannaCry. Prije svega, trebali biste biti sigurni da vaša oprema ima sva potrebna ažuriranja koja mogu eliminirati moguće ranjivosti sistema. Ako ste upoznati sa pitanjima sigurnosti informacija, onda vam može pomoći postavljanje skeniranja dolaznog saobraćaja pomoću posebnog IPS sistema za upravljanje paketima. Također se preporučuje korištenje različitih sistema za borbu protiv botova i virusa: na primjer, program Threat Emulation kao dio sigurnosnih gateway-a Check Point.
Ako je zaražen, postavlja se pitanje kako ukloniti WannaCry virus. Ako niste stručnjak za sigurnost informacija, možete potražiti pomoć na specijaliziranim forumima gdje vam mogu pomoći da se nosite s vašim problemom.
Znate li najbolji način za dešifriranje datoteka šifriranih popularnim virusom kao što je WannaCry? Da li je moguće izvesti ovu operaciju bez gubitka važnih podataka? Na forumu čuvenog Kaspersky Lab-a, u slučaju infekcije, savjetuju da postupite na sljedeći način:
- izvršite posebnu skriptu u AVZ uslužnom programu;
- provjerite postavke u sistemu HijackThis;
- lansirati specijalizovani softver Farbar Recovery Scan Tool.
Istovremeno, ruski stručnjaci nisu ponudili posebne programe koji bi omogućili dešifriranje zaraženih datoteka. Jedina opcija koju su ponudili bila je preporuka da pokušate da ih vratite iz sjenčanih kopija. No, stvoren je francuski uslužni program WannaKiwi iz Comae Technologies, koji pomaže u dezinfekciji važnih dokumenata na vašem računalu.
Kako ažurirati svoj sistem sa sigurnosne tačke gledišta?
Stručnjaci za sigurnost informacija kažu da pravovremeno ažuriranje Windows 7 može pouzdano zaštititi opremu od virusa WannaCry. Mrežni crv je iskoristio ranjivost poznatu kao MS17-010. Pravovremena instalacija službenih ažuriranja može eliminirati ovu ranjivost, pouzdano štiteći vašu opremu.
Ako ste bili pogođeni virusom WannaCry, trebali biste instalirati Microsoftovu zakrpu na svoj računar. Za Windows 7 sistem, na zvaničnom sajtu možete pronaći broj ažuriranja 3212646. Za Windows 8 sistem je prikladna opcija 3205401. Za verziju Windows 10 možete pronaći i sledeće verzije:
- 3210720;
- 3210721;
Zakrpe su dostupne i za starije verzije Windows-a, odnosno za Vistu (32 i 64-bitna) pod brojem 3177186 i za XP pod brojem 4012598.
Kako pravilno instalirati ažuriranje protiv virusa koji se zove WannaCry? Ovo je obično vrlo jednostavno: samo trebate preuzeti potrebnu datoteku, a zatim slijediti upute sadržane u čarobnjaku za instalaciju. U stvari, sve što treba da uradite je da kliknete na dugme „Dalje“ i „Završi“. Nakon instalacije, najbolje je ponovo pokrenuti sistem prije nego što ga dalje koristite. Za stručnjake, postoji i način da ažuriranja instaliraju automatski, a ne ručno, postavljanjem grupnih politika za vaš sistem, kao i korištenjem posebnih filtera.
Prvo, važno je da WannaCry ransomware postoji samo za Windows. Ako vaš uređaj koristi macOS, iOS, Android, Linux ili bilo šta drugo kao operativni sistem, onda ovaj zlonamjerni softver ne predstavlja prijetnju za njega.
Ali za Windows uređaje jeste. Ali različite verzije Windows-a zahtijevaju različite zakrpe. Dakle, prije nego što instalirate bilo šta, morate otkriti koju verziju Windows-a imate.
Ovo se radi ovako:
- Pritisnite tastere i [R] na tastaturi istovremeno.
- U prozoru koji se pojavi unesite winver i kliknite OK.
Prozor koji se pojavi pokazaće verziju Windows-a.
2. Instalirajte zakrpu MS17-010, koja zatvara Windows ranjivost
Kada kliknete na željenu vezu, preuzet će se izvršna datoteka sa MSU ekstenzijom sa potrebnim ažuriranjem. Kliknite na njega, a zatim slijedite upute čarobnjaka za instalaciju. Nakon završetka instalacije, ponovo pokrenite sistem za svaki slučaj. Gotovo - ranjivost je zatvorena, WannaCry neće samo ući u vaš računar.
3. Provjerite ima li na vašem računaru virusa
Moguće je da je WannaCry uspio ući na vaš računar prije nego što ste zatvorili ranjivost. Dakle, za svaki slučaj, trebali biste provjeriti vaš računar na viruse.
Ako nemate antivirusni program, preuzmite besplatnu 30-dnevnu verziju Kaspersky Internet Security-a. Ako već imate instalirano sigurnosno rješenje Kaspersky Lab, uradite ovo.
- Provjerite jeste li omogućili modul Monitoring aktivnosti. Da biste to učinili, idite na postavke, odaberite odjeljak Zaštita i uvjerite se da piše Uključeno pored stavke Nadgledanje aktivnosti.
- Pokrenite brzo skeniranje vašeg računara na viruse. Da biste to učinili, u sučelju antivirusnog rješenja odaberite odjeljak Skeniraj, u njemu odaberite stavku Brzo skeniranje, a zatim kliknite Pokreni skeniranje.
- Ako antivirus otkrije zlonamjerni softver s presudom Trojan.Win64.EquationDrug.gen, mora se ukloniti i zatim ponovo pokrenuti.
To je to, zaštićeni ste od WannaCryja. Sada vodite računa o porodici i prijateljima koji ne znaju kako sami zaštititi svoje uređaje.
Ovaj članak je pripremljen u vezi sa masovnim hakerskim napadom na globalnom nivou, koji može uticati i na vas. Posljedice postaju zaista ozbiljne. U nastavku ćete naći kratak opis problema i opis glavnih mjera koje je potrebno poduzeti za zaštitu od WannaCry porodice ransomware virusa.
WannaCry ransomware iskorištava ranjivost Microsoft Windows MS17-010 da izvrši zlonamjerni kod i pokrene ransomware na ranjivim računarima, tada virus nudi napadačima da plati oko 300 dolara za dešifriranje podataka. Virus se naširoko proširio širom svijeta, primajući aktivno praćenje u medijima - Fontanka.ru, Gazeta.ru, RBC.
Ova ranjivost pogađa računare sa Windows OS instaliranim od XP do Windows 10 i Server 2016; možete pročitati zvanične informacije o ranjivosti od Microsofta i.
Ova ranjivost pripada klasi Daljinsko izvršavanje koda, što znači da se infekcija može izvršiti sa već zaraženog računara preko mreže sa niskim nivoom bezbednosti bez ME segmentacije - lokalne mreže, javne mreže, mreže za goste, kao i pokretanjem malvera primljenog poštom ili kao link.
Sigurnosne mjere
Koje mjere treba identificirati kao efikasne u borbi protiv ovog virusa:
- Uvjerite se da imate instalirana najnovija ažuriranja za Microsoft Windows kako biste uklonili ranjivost MS17-010. Možete pronaći linkove do ažuriranja, kao i napomenuti da su zbog neviđene ozbiljnosti ove ranjivosti ažuriranja za nepodržane operativne sisteme (windowsXP, 2003 server, 2008 server) objavljena 13. maja, možete ih preuzeti.
- Kada koristite rješenja za sigurnost mreže IPS klase, uvjerite se da imate instalirana ažuriranja koja uključuju otkrivanje i ublažavanje ranjivosti mreže. Ova ranjivost je opisana u bazi znanja Check Point; uključena je u IPS ažuriranje od 14. marta 2017, Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Također preporučujemo postavljanje skeniranja internog prometa na ključnim segmentima mreže koristeći IPS, barem na kratko, dok se ne smanji vjerovatnoća zaraze.
- Zbog vjerovatnoće promjene koda virusa, preporučujemo aktiviranje AntiBot&Antivirus sistema i emulaciju pokretanja datoteka koje dolaze iz vanjskih izvora putem pošte ili interneta. Ako ste korisnik Check Point Security Gatewaya, onda je ovaj sistem Threat Emulation. Posebno za kompanije koje nemaju ovu pretplatu, nudimo brzu pretplatu tokom probnog perioda od 30 dana. Da zatražite ključ koji aktivira pretplatu sa svim funkcijama za vaš Check Point gateway, pišite na [email protected] Možete pročitati više o sistemima za emulaciju datoteka i.
Još više preporuka i primjer izvještaja o blokiranju rada ransomwarea Wannacry.
Poštovane kolege, na osnovu iskustva u radu sa prethodnim masovnim napadima, kao što je Heart Bleed, ranjivost Microsoft Windows MS17-010 će se aktivno eksploatisati u narednih 30-40 dana, ne odgađajte kontramere! Za svaki slučaj provjerite rad vašeg BackUp sistema.
Rizik je zaista veliki!
UPD. U četvrtak, 18. maja, u 10.00 po moskovskom vremenu, pozivamo vas na webinar o ransomware-u i metodama zaštite.
Webinar provode TS Solution i Sergey Nevstruev, Check Point Threat Prevention menadžer prodaje za istočnu Evropu.
Pokriti ćemo sljedeća pitanja:
- #WannaCry napad
- Obim i trenutno stanje
- Posebnosti
- Faktori mase
Kako biti korak ispred i mirno spavati
- IPS+AM
- SandBlast: emulacija prijetnje i ekstrakcija prijetnje
- SandBlast Agent: Anti-Ransomware
- SandBlast Agent: Forensics
- SandBlast Agent: Anti-Bot
U petak, 12. maja, stotine hiljada računara širom svijeta zaraženo je virusom WannaCry (također poznatim kao WCry i WanaCrypt0r 2.0). “Napao” je računare pod operativnim sistemom Windows i za nekoliko sati se proširio svijetom. Novi virus je zahvatio i računare pojedinaca i računare državnih institucija i velikih kompanija. Od virusa je najviše stradala Rusija, gdje su pogođeni računari mnogih vladinih agencija.
Zanimljivost: Nakon širenja virusa WannaCry u Rusiji, počele su stizati prijave o obustavi izdavanja vozačkih dozvola zbog oštećenja računara Ministarstva unutrašnjih poslova. Osim toga, zaraženi su računari Istražnog odbora i mnogih velikih kompanija, uključujući Megafon.
Šta je virus WannaCry?
Virus WannaCry je tipičan "ransomware podataka". Ovaj tip virusa jedan je od najopasnijih i teško ga je suprotstaviti. Ovakvi virusi najčešće imaju za cilj iznuđivanje novca od korisnika čiji se računari zaraze, a WannaCry nije izuzetak.
Zanimljivost: Trenutno se ne zna tačno ko je kreator virusa WannaCry. U isto vrijeme, pretpostavke se prave ne samo na internetu, već i na državnom nivou. Konkretno, ruski predsjednik Vladimir Putin optužio je američke obavještajne agencije za širenje prijetnje.
Kada dođe do računara korisnika, virus WannaCry šifrira podatke na njemu. Datoteke koje su šifrirane dobijaju ekstenziju ".WNCRY". Sljedeća poruka se pojavljuje na početku naziva šifriranih datoteka: "WANACRY!". Gotovo je nemoguće dešifrirati ove datoteke korištenjem standardnih antivirusa i dekriptora koji se koriste za borbu protiv drugih sličnih zlonamjernih programa.
Nakon šifriranja podataka korisnika na računaru, virus WannaCry prikazuje prozor sa porukom na ekranu "Ups, vaši fajlovi su šifrirani!". Nakon toga slijede informacije o tome šta je virus, da li se datoteke mogu oporaviti i tako dalje.
Zanimljivost: Kreatori virusa WannaCry pobrinuli su se za korisnike u različitim regijama tako što su im lokalizirali informativnu poruku. U Rusiji, virus objašnjava na ruskom korisnicima kako da otključaju datoteke zaražene WannaCry-om.
Kako otključati datoteke zaražene WannaCry-om
Kreatori virusa WannaCry su omogućili mogućnost otključavanja korisničkih datoteka, ali samo za novac i na ograničeno vrijeme:
- Tokom 3 dana nakon infekcije računara možete poslati protuvrijednost od 300 USD na određeni BitCoin novčanik kreatora virusa da biste otključali datoteke;
- Ako iznuđivači ne dobiju novac u roku od 3 dana, cijena otključavanja će se povećati na ekvivalent od 600 dolara u bitcoinima;
- Ako sedmog dana infekcije virusom Korisnik računara WannaCry neće prenositi novac iznuđivačima, njegovi fajlovi će biti uništeni.
Vrijedi napomenuti da informativni prozor virusa WannaCry sadrži brojače koji odbrojavaju vrijeme do povećanja cijene otključavanja i uništavanja podataka.
Zanimljiva činjenica: Uprkos činjenici da je virus WannaCry zarazio stotine hiljada računara prvog dana, prema The Guardianu, samo stotinjak ljudi pristalo je da plati ransomware 300 dolara za otključavanje svojih podataka.
Koje računare pogađa virus WannaCry?
Virus WannaCry pogađa isključivo računare koji koriste Windows operativni sistem. Istovremeno, napada računare koji koriste stare verzije Windows-a – XP, Server 2003, 8.
Zanimljiva činjenica: Microsoft je još u martu objavio ažuriranje koje pomaže u zaštiti računara od uticaja virusa WannaCry. Ali ova zakrpa je objavljena samo za operativne sisteme koje podržava kompanija - to su Windows 7 i Windows 10 u različitim izdanjima. Što se tiče korisnika sa drugim verzijama Windowsa, oni su bili u opasnosti i bili su pogođeni. Bukvalno sljedećeg dana nakon što se saznalo za masovnu infekciju računara virusom WannaCry, Microsoft je objavio ažuriranje za Windows XP i druge starije sisteme čija je podrška službeno ukinuta.
Virus WannaCry inficira računare putem skripti koje se šalju poštom i putem raznih web stranica.
Važno: Ako vidite poruku u pošti (posebno od nepoznatog pošiljaoca) sa prilozima datoteka (u ekstenziji .exe ili .js), nemojte ih preuzimati na svoj računar, čak i ako antivirus ugrađen u vaš pretraživač ne vidi problemi sa fajlovima!
Kako zaštititi svoj računar od virusa WannaCry
Pored činjenice da ne morate posjećivati neprovjerene stranice i preuzimati sumnjive datoteke s e-pošte, postoji još nekoliko preporuka koje će vam pomoći da izbjegnete zarazu vašeg računala virusom WannaCry:
Vrijedi napomenuti: postoji nekoliko oblika virusa WannaCry. Neki od njih se mogu eliminisati ako pokrenete računar u bezbednom režimu sa mrežnim drajverima, zatim skenirate računar pomoću SpyHunter Anti-Malware Tool-a, Malwarebytes Anti-malware-a ili STOPZilla-e, a zatim odaberete dešifrovanje za dešifrovanje podataka. Ali ova metoda vrijedi samo ako je vaš računar zaražen ranijim verzijama virusa WannaCry.
