Oggi forse solo le persone molto lontane da Internet non sono a conoscenza delle infezioni di massa dei computer con il trojan di crittografia WannaCry (“voglio piangere”) iniziate il 12 maggio 2017. E dividerei la reazione di chi sa in 2 categorie opposte: indifferenza e panico. Cosa significa questo?
E il fatto che informazioni frammentarie non forniscano una comprensione completa della situazione dà luogo a speculazioni e lascia più domande che risposte. Per capire cosa sta realmente accadendo, a chi e cosa minaccia, come proteggersi dalle infezioni e come decriptare i file danneggiati da WannaCry, l'articolo di oggi è dedicato ad esso.
Il “diavolo” è davvero così spaventoso?
Non capisco il motivo di tutto questo trambustoVoglio piangere? Esistono molti virus, ne compaiono costantemente di nuovi. Cosa c'è di speciale in questo?
WannaCry (altri nomi WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) non è un normale malware informatico. La ragione della sua notorietà sono le enormi quantità di danni causati. Secondo Europol, ha interrotto il lavoro di oltre 200.000 computer Controllo di Windows in 150 paesi in tutto il mondo, e i danni subiti dai proprietari ammontano a più di 1.000.000.000 di dollari, e questo solo nei primi 4 giorni dalla distribuzione. La maggior parte delle vittime si trova in Russia e Ucraina.
So che i virus entrano nei PC attraverso siti per adulti. Non visito tali risorse, quindi non sono in pericolo.
Virus? anch'io ho un problema Quando compaiono dei virus sul mio computer, eseguo l'utilità *** e dopo mezz'ora va tutto bene. E se il problema persiste, reinstallo Windows.
Il virus è diverso dal virus. WannaCry è un ransomware Trojan, un worm di rete che può diffondersi attraverso le reti locali e Internet da un computer all'altro senza intervento umano.
La maggior parte dei malware, compresi i ransomware, inizia a funzionare solo dopo che l'utente ha "ingoiato l'esca", ovvero fa clic su un collegamento, apre un file, ecc. Per essere infettato da WannaCry, non devi fare nulla!
Una volta installato su un computer Windows, il malware crittografa la maggior parte dei file dell'utente in breve tempo, dopodiché visualizza un messaggio che richiede un riscatto di 300-600 dollari, che deve essere trasferito al portafoglio specificato entro 3 giorni. In caso di ritardo, minaccia di rendere impossibile la decrittazione dei file entro 7 giorni.
Allo stesso tempo il malware cerca scappatoie per penetrare in altri computer e, se le trova, infetta l'intera rete locale. Ciò significa che anche le copie di backup dei file archiviati su macchine vicine diventano inutilizzabili.
La rimozione di un virus da un computer non decrittografa i file! Reinstallazione anche del sistema operativo. Al contrario, se infettati da un ransomware, entrambe queste azioni potrebbero privarti della possibilità di recuperare i file anche se disponi di una chiave valida.
Quindi sì, “dannazione” è piuttosto spaventoso.
Come si diffonde WannaCry
Stai mentendo. Un virus può entrare nel mio computer solo se lo scarico io stesso. E sono vigile.
Molti programmi malware possono infettare i computer (e dispositivi mobili, tra l'altro) attraverso vulnerabilità - errori nel codice dei componenti e dei programmi del sistema operativo che offrono l'opportunità agli aggressori informatici di utilizzare una macchina remota per i propri scopi. WannaCry, in particolare, si diffonde attraverso una vulnerabilità 0-day nel protocollo SMB (le vulnerabilità zero-day sono errori che non sono stati corretti nel momento in cui sono stati sfruttati da malware/spyware).
Cioè, per infettare un computer con un worm ransomware sono sufficienti due condizioni:
- Connessioni a una rete in cui sono presenti altre macchine infette (Internet).
- La presenza della lacuna sopra descritta nel sistema.
Da dove viene questa infezione? È questo il lavoro degli hacker russi?
Secondo alcuni rapporti (non sono responsabile dell'autenticità) esiste una lacuna nel protocollo di rete SMB, che serve per scopi legali accesso remoto ai file e alle stampanti del sistema operativo Windows, la National Security Agency statunitense è stata la prima a scoprirlo. Invece di segnalarlo a Microsoft affinché potesse correggere l'errore, la NSA ha deciso di utilizzarlo essa stessa e ha sviluppato un exploit (un programma che sfrutta la vulnerabilità).
Visualizzazione delle dinamiche di distribuzione di WannaCry sul sito intel.malwaretech.com
Successivamente, questo exploit (nome in codice EternalBlue), che per qualche tempo è servito alla NSA per penetrare nei computer all'insaputa dei proprietari, è stato rubato dagli hacker e ha costituito la base per la creazione Il ransomware WannaCry. Cioè, grazie alle azioni non del tutto legali ed etiche dell'agenzia governativa statunitense, gli autori di virus sono venuti a conoscenza della vulnerabilità.
Ho disabilitato l'installazione degli aggiornamentiFinestre. A cosa serve quando tutto funziona senza di loro.
La ragione di una diffusione così rapida e su larga scala dell’epidemia è stata l’assenza in quel momento di una “patch” – un aggiornamento di Windows che potesse colmare la lacuna Voglio piangere. Dopotutto, ci è voluto del tempo per svilupparlo.
Oggi esiste una tale patch. Gli utenti che aggiornano il sistema lo ricevono automaticamente entro le prime ore dal rilascio. E chi crede che gli aggiornamenti non siano necessari corre ancora il rischio di infezione.
Chi è a rischio dell'attacco WannaCry e come proteggersi
Per quanto ne so, più del 90% dei computer sono infettiWannaCry, gestito daWindows 7. Ne ho "dieci", il che significa che non sono in pericolo.
Tutti i sistemi operativi che utilizzano il protocollo di rete SMB v1 sono soggetti all'infezione WannaCry. Questo:
- Windows XP
- Windows Vista
- Windows 7
- Windows 8
- Windows 8.1
- WindowsRT 8.1
- Windows 10 v1511
- Windows10 v1607
- Windows Server 2003
- WindowsServer2008
- WindowsServer2012
- WindowsServer2016
Oggi, gli utenti di sistemi su cui non è installato (disponibile per download gratuito dal sito technet.microsoft.com, al quale viene fornito il collegamento). È possibile scaricare patch per Windows XP, Windows Server 2003, Windows 8 e altri sistemi operativi non supportati. Descrive inoltre le modalità per verificare la presenza di un aggiornamento salvavita.
Se non conosci la versione del sistema operativo del tuo computer, premi la combinazione di tasti Win+R ed esegui il comando winver.
Per migliorare la sicurezza e se non è possibile aggiornare subito il sistema, Microsoft fornisce istruzioni per disabilitare temporaneamente il protocollo SMB versione 1. Si trovano e. Inoltre, ma non necessariamente, può essere chiuso tramite un firewall 445 porta TCP, che serve le PMI.
Ho il miglior antivirus al mondo***, con quello posso fare qualsiasi cosa e non ho paura di nulla.
La diffusione di WannaCry può avvenire non solo con il metodo semovente sopra descritto, ma anche nei modi consueti - attraverso i social network, e-mail, risorse Web infette e di phishing, ecc. E ci sono casi del genere. Se scarichi ed esegui manualmente un programma dannoso, né un antivirus né le patch che chiudono le vulnerabilità ti salveranno dall'infezione.
Come funziona il virus, cosa crittografa
Sì, lascialo crittografare ciò che vuole. Ho un amico programmatore, decifrerà tutto per me. Come ultima risorsa, troveremo la chiave usando la forza bruta.
Bene, crittografa un paio di file, e allora? Questo non mi impedirà di lavorare al computer.
Sfortunatamente, non verrà decodificato, poiché non esiste alcun modo per violare l'algoritmo di crittografia RSA-2048 utilizzato da Wanna Cry e non apparirà nel prossimo futuro. E crittograferà non solo un paio di file, ma quasi tutto.
Guidare descrizione dettagliata Non lavorerò sul malware; chiunque sia interessato può leggere la sua analisi, ad esempio, in . Annoterò solo i momenti più significativi.
I file con le seguenti estensioni vengono crittografati: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.
Come puoi vedere, ci sono documenti, foto, video-audio, archivi, posta e file creati in vari programmi... Il malware tenta di raggiungere ogni directory del sistema.
Gli oggetti crittografati ricevono una doppia estensione con postscript WNCRY, ad esempio, "Documento1.doc.WNCRY".
Dopo la crittografia, il virus copia un file eseguibile in ciascuna cartella @[e-mail protetta] – presumibilmente per la decrittazione dopo il riscatto, nonché un documento di testo @[e-mail protetta] con un messaggio per l'utente.
Successivamente cerca di distruggere copie ombra e punti Ripristino di Windows. Se il sistema sta eseguendo l'UAC, l'utente deve confermare questa operazione. Se rifiuti la richiesta, c'è ancora la possibilità di ripristinare i dati dalle copie.
WannaCry trasmette le chiavi di crittografia del sistema interessato ai centri di comando situati sulla rete Tor, dopodiché le cancella dal computer. Per cercare altre macchine vulnerabili, esegue la scansione della rete locale e di intervalli IP arbitrari su Internet e, una volta trovati, penetra in tutto ciò che riesce a raggiungere.
Oggi gli analisti conoscono diverse modifiche di WannaCry con diversi meccanismi di distribuzione e dovremmo aspettarci che ne appaiano di nuovi nel prossimo futuro.
Cosa fare se WannaCry ha già infettato il tuo computer
Vedo che i file cambiano estensione. Cosa sta succedendo? Come fermare tutto questo?
La crittografia non è un processo una tantum, anche se non richiede troppo tempo. Se sei riuscito a notarlo prima che il messaggio del ransomware appaia sullo schermo, puoi salvare alcuni file spegnendo immediatamente l'alimentazione del computer. Non spegnendo il sistema, ma staccando la spina dalla presa!
A caricamento di Windows in modalità normale, la crittografia continuerà, quindi è importante prevenirla. Il successivo avvio del computer deve avvenire in modalità provvisoria, in cui i virus non sono attivi, o da un altro supporto avviabile.
I miei file sono crittografati! Il virus chiede un riscatto per loro! Cosa fare, come decifrare?
La decriptazione dei file dopo WannaCry è possibile solo se si dispone di una chiave segreta, che gli aggressori promettono di fornire non appena la vittima trasferisce loro l'importo del riscatto. Tuttavia, tali promesse non vengono quasi mai mantenute: perché i distributori di malware dovrebbero preoccuparsi se hanno già ottenuto ciò che volevano?
In alcuni casi, il problema può essere risolto senza riscatto. Ad oggi sono stati sviluppati 2 decryptor WannaCry: e . Il primo funziona solo su Windows XP, mentre il secondo, creato sulla base del primo, funziona su Windows XP, Vista e 7 x86, nonché sui sistemi nordici 2003, 2008 e 2008R2 x86.
L'algoritmo operativo di entrambi i decrittatori si basa sulla ricerca di chiavi segrete nella memoria del processo di crittografia. Ciò significa che solo coloro che non hanno avuto il tempo di riavviare il computer hanno la possibilità di decrittografarlo. E se non è passato troppo tempo dalla crittografia (la memoria non è stata sovrascritta da un altro processo).
Quindi, se sei un utente Windows XP-7 x86, la prima cosa che dovresti fare dopo che appare il messaggio di riscatto è disconnettere il tuo computer da rete locale e Internet ed eseguire il decryptor WanaKiwi scaricato su un altro dispositivo. Prima di rimuovere la chiave non eseguire nessun'altra operazione sul computer!
Puoi leggere la descrizione del lavoro del decryptor WanaKiwi in un altro.
Dopo aver decrittografato i file, esegui un antivirus per rimuovere il malware e installa una patch che ne chiuda i percorsi di distribuzione.
Oggi WannaCry è riconosciuto da quasi tutti i programmi antivirus, ad eccezione di quelli non aggiornati, quindi quasi tutti andranno bene.
Come vivere ulteriormente questa vita
Questa epidemia semovente ha colto il mondo di sorpresa. Per tutti i tipi di servizi di sicurezza, si è rivelato inaspettato quanto l'inizio dell'inverno il 1 dicembre per i lavoratori dei servizi pubblici. Il motivo è la disattenzione e la casualità. Le conseguenze sono perdite irreparabili di dati e danni. E per i creatori del malware questo è un incentivo a continuare con lo stesso spirito.Secondo gli analisti, WanaCry ha portato ottimi dividendi ai distributori, il che significa che attacchi come questo si ripeteranno. E coloro che si lasciano trasportare adesso non lo saranno necessariamente più tardi. Naturalmente, se non ti preoccupi in anticipo.
Quindi, per non dover mai piangere sui file crittografati:
- Non rifiutare di installare gli aggiornamenti del sistema operativo e delle applicazioni. Questo ti proteggerà dal 99% delle minacce che si diffondono attraverso vulnerabilità senza patch.
- Continua così.
- Crea backup file importanti e conservarli su un altro supporto fisico, o meglio ancora, diversi. Nelle reti aziendali è ottimale da utilizzare database distribuiti archiviazione dei dati, gli utenti domestici possono utilizzare gratuitamente servizi cloud come Yandex Drive, Google Drive, OneDrive, MEGASynk, ecc. Non mantenere queste applicazioni in esecuzione quando non le utilizzi.
- Scegli sistemi operativi affidabili. Windows XP non è così.
- Installare antivirus completo classe Sicurezza su Internet e protezione aggiuntiva contro i ransomware, ad esempio . O analoghi di altri sviluppatori.
- Aumenta il tuo livello di alfabetizzazione nel contrastare i trojan ransomware. Ad esempio, il fornitore di antivirus Dr.Web ha preparato per utenti e amministratori vari sistemi. Molto utile e, ciò che è importante, informazione affidabile contenuti nei blog di altri sviluppatori A/V.
E, soprattutto: anche se hai sofferto, non trasferire denaro agli aggressori per la decrittazione. La probabilità di essere ingannato è del 99%. Inoltre, se nessuno paga, il business dell’estorsione perderà di significato. Altrimenti, la diffusione di tale infezione non farà altro che aumentare.
Anche sul sito:
Epidemia WannaCry: risposte alle domande più frequenti e sfatamento delle idee sbagliate degli utenti aggiornato: 27 maggio 2017 da: Johnny Mnemonico
- May è qui, ti presentiamo WannaCry.
- Wanna è il nome del virus ransomware che ha iniziato la sua attività, diciamo, il 12 maggio 2017, infettando i computer di utenti e aziende in 90 paesi. Microsoft ha rilasciato ufficialmente le patch per i sistemi operativi più vecchi che non sono più supportati e sono obsoleti. Fornirò un elenco completo e tutti i collegamenti alla fine dell'articolo.
- Come tutti i virus ransomware, è difficile notarlo durante il processo di crittografia a meno che non si veda accidentalmente che i file cambiano e assumono un'estensione diversa. Ad esempio, con questo virus, i file crittografati avranno questo aspetto: nome file.png.WNCRY
- Di seguito è riportata una mappa di come i paesi sono stati infettati dal virus durante le prime ore di infezione e diffusione, una mappa di Sumantec.
- Successivamente, non appena il virus si manifesta dopo aver crittografato i file, all'utente verrà mostrato un messaggio e potrà selezionare la lingua appropriata. Che ti informa che i tuoi file sono infetti e procedi alle azioni di pagamento, diciamo così.
- La seconda finestra mostra quanto e come dovresti pagare, trasferisci 300 bitcoin. E anche un timer per il conto alla rovescia.
- Sfondo del desktop e altro immagini di sfondo mostra il messaggio:
- I file crittografati hanno una doppia estensione, ad esempio: nome file.doc.WNCRY. Di seguito è riportato ciò che appare:
- Inoltre in ogni cartella c'è un file eseguibile @ da decrittografare dopo il riscatto (possibile, ma improbabile), nonché un documento di testo @ in cui c'è qualcosa da leggere per l'utente (anche possibile, ma improbabile).
- Vorrei sottolineare che tra le estensioni crittografate da WannaCry non c'è l'estensione 1C, utilizzata in Russia.
- Ti chiedo anche di prestare attenzione alla cosa più importante nel ripristinare i tuoi file dopo l'infezione. È possibile se hai abilitato la protezione del sistema, ovvero la copia shadow del volume, e il sistema di controllo dell'account utente UAC è in esecuzione e molto probabilmente funziona se non lo hai disabilitato. Quindi il virus offrirà di disabilitare la protezione del sistema in modo che non sia possibile ripristinare i file crittografati, ovvero quelli eliminati dopo la crittografia. Naturalmente, in questo caso, non c’è modo di non essere d’accordo con la chiusura. Sembra qualcosa del genere:
- La cosa più interessante qui è come cresce l’importo nel portafoglio dei truffatori. Portafoglio Bitcoin:
- Osserva accedendo almeno una volta al giorno quanto sono aumentati i profitti dei truffatori e rimarrai sorpreso, credimi! E 'normale Portafoglio Bitcoin un servizio in cui chiunque può registrare un portafoglio per se stesso, non c'è niente di terribile se guardi le statistiche sul rifornimento del tuo portafoglio.
- WannaCry 1.0 è stato distribuito utilizzando spam e siti Web. La versione 2.0 è identica alla prima, ma ad essa è stato aggiunto un worm che si è diffuso autonomamente arrivando sui computer delle vittime tramite un protocollo.
- Microsoft offre l'installazione di pacchetti di aggiornamento per gli utenti di sistemi operativi precedenti:
- Il blog ufficiale di Kaspersky descrive il processo in modo più dettagliato e ci sono diverse aggiunte che puoi scoprire, anche se in inglese.
- Integrato dall'articolo di supporto di Kaspersky datato 15 maggio 2017:
- Puoi anche visualizzare mappa interattiva minacce informatiche e scopri la diffusione del virus in tempo reale:
- Un'altra mappa, ma basata specificamente sul virus WannaCry2.0, la diffusione del virus in tempo reale (se la mappa non funziona dopo la transizione, aggiorna la pagina):
- Un laboratorio indipendente ha scoperto 596 campioni di WannaCrypt. Elenco degli hash SHA256:
- Aggiungerò per conto mio poiché utilizzo la protezione di Comodo è 10 e, inoltre, ma miglior antivirus sei tu stesso. Come si suol dire, Dio protegge i migliori, e io ho tale protezione perché mentre lavoro devo svolgere vari compiti in cui c'è spazio per la fuga di attacchi di virus, chiamiamoli così.
- Disabilita il protocollo SMB1 per un po' finché non installi gli aggiornamenti di sicurezza o se non ne hai affatto bisogno utilizzando la riga di comando, esegui cmd come amministratore di sistema e usa dism per disabilitare il protocollo, comanda:
- Oltre ad altri metodi per abilitare e disabilitare il protocollo SMBv1,2,3 sul sito Web ufficiale di Microsoft.
- IN interfaccia grafica Per disabilitare il protocollo, puoi farlo: Pannello di controllo> Aggiungi o rimuovi programmi (Rimuovi o modifica un programma)> Abilita o disabilita Componenti di Windows> ulteriore immagine qui sotto.
Come si manifesta Wanna?
Il virus crittografa i file con le seguenti estensioni:
Truffatori di portafogli Bitcoin.
Microsoft Corporation nella lotta contro Wanna:
Windows Server 2003 SP2x64
Windows Server 2003 SP2x86
Windows XP SP2x64
Windows XP SP3x86
Windows XP incorporato SP3 x86
Windows8x86
Windows8x64
Vai al blogs.technet.microsoft ufficiale
Cosa dice Kaspersky?
Lista sicura.
.
Mappa Intel Malwaretech per il virus WannaCry 2.0:
Video Comodo Firewall 10 vs WannaCry Ransomware sulla tecnologia di protezione:
sito ufficiale.
596 varianti di WannaCry
Dall'autore:
dism /online /norestart /disable-feature /featurename:SMB1Protocol
Il 12 maggio, intorno alle 13:00, il virus Wana Decryptor ha iniziato a diffondersi. In quasi un paio d’ore decine di migliaia di computer in tutto il mondo furono infettati. SU attualmente Sono stati confermati più di 45.000 computer infetti.
Con oltre 40mila attacchi hacker in 74 paesi, gli utenti Internet di tutto il mondo sono stati testimoni del più grande attacco informatico della storia. L'elenco delle vittime non comprende solo persone normali, ma anche server di banche, società di telecomunicazioni e perfino forze dell'ordine.
I computer sia degli utenti ordinari che dei computer di lavoro di varie organizzazioni, incluso il Ministero degli affari interni russo, sono stati infettati dal virus ransomware Wanna Cry. Sfortunatamente, al momento non esiste un modo per decrittografare i file WNCRY, ma puoi provare a recuperare i file crittografati utilizzando programmi come ShadowExplorer e PhotoRec.
Patch ufficiali di Microsoft da cui proteggersi Vuoi virus Gridare:
- Windows7 32bit/x64
- Windows 10 32bit/x64
- Windows XP 32 bit/x64: nessuna patch da WCry.
Come proteggersi dal virus Wanna Cry
Puoi proteggerti dal virus Wanna Cry scaricando una patch per la tua versione di Windows.
Come si diffonde Wanna Cry
Wanna Cry è distribuito:
- tramite file
- messaggi di posta.
Come riportato dai media russi, il lavoro dei dipartimenti del Ministero degli Interni in diverse regioni della Russia è stato interrotto a causa di un ransomware che ha infettato numerosi computer e minaccia di distruggere tutti i dati. Inoltre è stato attaccato l'operatore di comunicazione Megafon.
Stiamo parlando del trojan ransomware WCry (WannaCry o WannaCryptor). Crittografa le informazioni sul computer e richiede un riscatto di $ 300 o $ 600 in Bitcoin per la decrittazione.
Gli utenti comuni segnalano infezioni anche su forum e social network:
Epidemia di crittografia WannaCry: cosa fare per evitare l'infezione. Guida passo passo
La sera del 12 maggio è stato scoperto un attacco ransomware su larga scala WannaCryptor (WannaCry), che crittografa tutti i dati su PC e laptop con Windows. Il programma richiede 300 dollari in bitcoin (circa 17.000 rubli) come riscatto per la decrittazione.
Il colpo principale è arrivato Utenti russi e aziende. Al momento WannaCry è riuscita a infettare circa 57.000 computer, comprese le reti aziendali del Ministero degli Affari Interni, delle Ferrovie russe e di Megafon. Anche Sberbank e il Ministero della Salute hanno segnalato attacchi ai loro sistemi.
Ti diciamo cosa devi fare adesso per evitare l’infezione.
1. Il crittografo sfrutta una vulnerabilità Microsoft datata marzo 2017. Per ridurre al minimo la minaccia, devi aggiornare urgentemente la tua versione di Windows:
Start - Tutti i programmi - Windows Update - Cerca aggiornamenti - Scarica e installa
2. Anche se il sistema non è stato aggiornato e WannaCry è entrato nel computer, sia le soluzioni aziendali che quelle domestiche ESET NOD32 rilevano e bloccano con successo tutte le sue modifiche.
5. Per rilevare minacce ancora sconosciute, i nostri prodotti utilizzano tecnologie comportamentali ed euristiche. Se un virus si comporta come un virus, molto probabilmente è un virus. Sì, nuvoloso sistema ESET LiveGrid ha respinto con successo l'attacco il 12 maggio, ancor prima che i database delle firme fossero aggiornati.
Qual è il nome corretto del virus Wana Decryptor, WanaCrypt0r, Wanna Cry o Wana Decrypt0r?
Dalla prima scoperta del virus, in rete sono apparsi molti messaggi diversi su questo virus ransomware, spesso chiamato con nomi diversi. Ciò è accaduto per diversi motivi. Prima che apparisse il virus Wana Decrypt0r, esisteva la sua prima versione Vuoi decifrare0r, la differenza principale è il metodo di distribuzione. Questa prima opzione non era così conosciuta come la sua fratello minore, ma grazie a questo, in alcune notizie, nuovo virus Il crittografo viene chiamato con il nome del suo fratello maggiore, ovvero Wanna Cry, Wanna Decryptor.
Ma il nome principale è ancora Wana Decrypt0r, anche se la maggior parte degli utenti invece del numero "0" digita la lettera "o", che ci porta al nome Wana Decryptor O WanaDecryptor.
E il cognome con cui gli utenti spesso chiamano questo virus ransomware è Virus WNCRY, cioè dall'estensione che viene aggiunta al nome dei file che sono stati crittografati.
Per ridurre al minimo il rischio che il virus Wanna Cru penetri nel tuo computer, gli specialisti di Kaspersky Lab consigliano di installare tutti gli aggiornamenti possibili alla versione corrente di Windows. Il fatto è che il malware infetta solo i computer che eseguono questo software.
Virus Wanna Cry: come si diffonde
In precedenza abbiamo menzionato questo metodo di diffusione dei virus in un articolo sui comportamenti sicuri su Internet, quindi non è una novità.
Wanna Cry è distribuito come segue: On Cassetta postale l'utente riceve una lettera con un allegato "innocuo" - potrebbe essere un'immagine, un video, una canzone, ma invece dell'estensione standard per questi formati, l'allegato avrà l'estensione file eseguibile- exe. Quando un file di questo tipo viene aperto e avviato, il sistema viene "infetto" e, attraverso una vulnerabilità, un virus viene caricato direttamente nel sistema operativo Windows, crittografando i dati dell'utente, riferisce therussiantimes.com.
Virus Wanna Cry: descrizione del virus
Wanna Cry (la gente comune lo ha già soprannominato Wona's Edge) appartiene alla categoria dei virus ransomware (cryptor) che, quando invadono un PC, crittografano i file dell'utente con un algoritmo crittografico, rendendone successivamente impossibile la lettura.
Al momento, le seguenti estensioni di file popolari sono soggette alla crittografia Wanna Cry:
File popolari Microsoft Office(.xlsx, riporta therussiantimes.com.xls, .docx, .doc).
File di archivio e multimediali (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry è un programma chiamato WanaCrypt0r 2.0, che attacca esclusivamente i PC con sistema operativo Windows. Il programma sfrutta un "buco" nel sistema - Sicurezza Microsoft Bollettino MS17-010, la cui esistenza era precedentemente sconosciuta. Il programma richiede un riscatto compreso tra $ 300 e $ 600 per la decrittazione. A proposito, attualmente, secondo The Guardian, sui conti degli hacker sono già stati trasferiti più di 42mila dollari.
WannaCry è un programma speciale che blocca tutti i dati nel sistema e lascia all'utente solo due file: le istruzioni su cosa fare dopo e il programma Wanna Decryptor stesso, uno strumento per sbloccare i dati.
La maggior parte delle società di sicurezza informatica dispone di strumenti di decrittazione del riscatto che possono aggirare Software. Per i comuni mortali la modalità di “cura” è ancora sconosciuta.
WannaCry Decryptor ( O WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), viene già definito il “virus del 2017”. E per niente senza motivo. Solo nelle prime 24 ore dal momento in cui ha cominciato a diffondersi... questo ransomware ha colpito più di 45.000 computer. Alcuni ricercatori ritengono che al momento (15 maggio) siano già stati infettati più di un milione di computer e server. Ricordiamo che il virus ha iniziato a diffondersi il 12 maggio. I primi ad essere colpiti sono stati gli utenti provenienti da Russia, Ucraina, India e Taiwan. Al momento il virus sì ad alta velocità distribuito in Europa, USA e Cina.
Le informazioni sono state crittografate su computer e server di agenzie governative (in particolare del Ministero degli affari interni russo), ospedali, multinazionali, università e scuole.
Wana Decryptor (Wanna Cry o Wana Decrypt0r) ha paralizzato il lavoro di centinaia di aziende e agenzie governative in tutto il mondo
In sostanza WinCry (WannaCry) è un exploit della famiglia EternalBlue che sfrutta una vecchia vulnerabilità del sistema operativo Windows (Windows XP, Windows Vista, Windows 7, Windows 8 e Windows 10) e si carica silenziosamente nel sistema. Quindi, utilizzando algoritmi resistenti alla decrittazione, crittografa i dati dell'utente (documenti, foto, video, fogli di calcolo, database) e richiede un riscatto per decrittografare i dati. Lo schema non è nuovo, scriviamo costantemente di nuovi tipi di crittografi di file, ma il metodo di distribuzione è nuovo. E questo ha portato a un'epidemia.
Come funziona il virus
Il malware esegue la scansione di Internet alla ricerca di computer con aprire la porta TCP 445, che è responsabile della manutenzione del protocollo SMBv1. Dopo aver rilevato un computer di questo tipo, il programma tenta diversi tentativi di sfruttare la vulnerabilità EternalBlue e, in caso di successo, installa la backdoor DoublePulsar, attraverso la quale viene scaricato e avviato il codice eseguibile del programma WannaCry. Ad ogni tentativo di sfruttamento, il malware verifica la presenza di DoublePulsar sul computer di destinazione e, se rilevato, lo scarica direttamente attraverso questa backdoor.
A proposito, questi percorsi non sono tracciati dal moderno programmi antivirus, che ha reso l’infezione così diffusa. E questo è un enorme ciottolo nel giardino degli sviluppatori di software antivirus. Come è possibile che ciò accada? Per cosa prendi soldi?
Una volta lanciato, il malware si comporta come un classico ransomware: genera una coppia di chiavi unica per ogni computer infetto algoritmo asimmetrico RSA-2048. Quindi, WannaCry inizia la scansione del sistema alla ricerca dei file dell'utente alcuni tipi, lasciando intatti quelli critici per il suo ulteriore funzionamento. Ogni file selezionato viene crittografato utilizzando l'algoritmo AES-128-CBC con una chiave univoca (random) per ciascuno di essi, che a sua volta viene crittografata con la chiave RSA pubblica del sistema infetto e viene memorizzata nell'intestazione del file crittografato. In questo caso, l'estensione viene aggiunta a ciascun file crittografato .wcry. La coppia di chiavi RSA del sistema infetto è crittografata chiave pubblica aggressori e viene inviato ai loro server di controllo situati nella rete Tor, dopodiché tutte le chiavi vengono cancellate dalla memoria della macchina infetta. Dopo aver completato il processo di crittografia, il programma visualizza una finestra che ti chiede di trasferire una certa quantità di Bitcoin (equivalente a $ 300) sul portafoglio specificato entro tre giorni. Se il riscatto non viene ricevuto in tempo, il suo importo verrà automaticamente raddoppiato. Il settimo giorno, se WannaCry non viene rimosso dal sistema infetto, i file crittografati verranno distrutti. Il messaggio viene visualizzato nella lingua corrispondente a quella installata sul computer. In totale, il programma supporta 28 lingue. Parallelamente alla crittografia, il programma esegue la scansione di indirizzi Internet e di rete locale arbitrari per la successiva infezione di nuovi computer.
Secondo una ricerca di Symantec, l'algoritmo degli aggressori per tracciare i pagamenti individuali a ciascuna vittima e inviare loro la chiave di decrittazione è implementato con un errore di race condition. Ciò rende inutile il pagamento del riscatto, poiché in ogni caso le singole chiavi non verranno inviate e i file rimarranno crittografati. Tuttavia, c'è metodo affidabile decrittografare file utente inferiori a 200 MB, oltre ad alcune possibilità di recuperare file più grandi. Inoltre, su obsoleto Sistemi Windows XP e Windows Server 2003 a causa delle peculiarità dell'implementazione dell'algoritmo di calcolo nel sistema numeri pseudocasualiÈ anche possibile recuperare le chiavi private RSA e decrittografare tutti i file interessati se il computer non è stato riavviato dopo l'infezione. Successivamente, un gruppo di esperti francesi di sicurezza informatica di Comae Technologies ha esteso questa funzionalità a Windows 7 e l'ha messa in pratica, pubblicandola in accesso libero utilità WanaKiwi, che ti consente di decrittografare i file senza riscatto.
Nel codice versioni precedenti Il programma era dotato di un meccanismo di autodistruzione, il cosiddetto Kill Switch: il programma verificava la disponibilità di due specifici domini Internet e, se presenti, veniva completamente rimosso dal computer. Questo è stato scoperto per la prima volta da Marcus Hutchins il 12 maggio 2017. (Inglese) russo , un analista di virus di 22 anni della società britannica Kryptos Logic, che scrive su Twitter con lo pseudonimo @MalwareTechBlog e ha registrato uno dei domini a suo nome. Pertanto, è riuscito a bloccare temporaneamente e parzialmente la distribuzione di questa modifica malware. Il 14 maggio è stato registrato il secondo dominio. Nelle versioni successive del virus, questo meccanismo di autospegnimento è stato rimosso, ma ciò non è stato fatto nel codice sorgente del programma, ma modificando il file eseguibile, che ne suggerisce l'origine questa correzione non dagli autori dell'originale WannaCry, ma da aggressori di terze parti. Di conseguenza, il meccanismo di crittografia è stato danneggiato e questa versione del worm può diffondersi solo trovando computer vulnerabili, ma non è in grado di causare loro danni diretti.
L'elevato tasso di diffusione di WannaCry, unico per un programma ransomware, è assicurato dall'utilizzo di una vulnerabilità nel protocollo di rete SMB del sistema operativo pubblicata nel febbraio 2017 Microsoft Windows descritto nel bollettino MS17-010. Se nello schema classico il ransomware entrava nel computer grazie alle azioni dell'utente stesso tramite e-mail o collegamento web, nel caso di WannaCry la partecipazione dell'utente è completamente esclusa. Il tempo che intercorre tra il rilevamento di un computer vulnerabile e la sua completa infezione è di circa 3 minuti.
La società di sviluppo ha confermato la presenza di una vulnerabilità in tutti i prodotti utente e server che implementano il protocollo SMBv1, a partire da Windows XP/Windows Server 2003 fino a Windows 10/Windows Server 2016. Il 14 marzo 2017 Microsoft ha rilasciato una serie di aggiornamenti progettati per neutralizzare la vulnerabilità in tutti i sistemi operativi supportati. In seguito alla diffusione di WannaCry, l'azienda ha compiuto il passo senza precedenti rilasciando aggiornamenti per i prodotti con scaduto supporto (Windows XP, Windows Server 2003 e Windows 8).
Diffusione del virus WannaCry
Il virus può diffondersi in vari modi:
- Attraverso un'unica rete informatica;
- Via mail;
- Tramite browser.
Personalmente non capisco bene il motivo connessione di rete non scansionato dall'antivirus. Lo stesso metodo di infezione tramite la visita di un sito Web o di un browser dimostra l'impotenza degli sviluppatori e che i fondi richiesti per il software concesso in licenza per proteggere un PC non sono in alcun modo giustificati.
Sintomi di infezione e trattamento del virus
Dopo l'installazione riuscita sul PC dell'utente, WannaCry tenta di diffondersi attraverso la rete locale su altri PC come un worm. I file crittografati ricevono l'estensione di sistema .WCRY e diventano completamente illeggibili e non è possibile decrittografarli da soli. Dopo crittografia completa Wcry cambia lo sfondo del desktop e lascia "istruzioni" per decrittografare i file nelle cartelle con dati crittografati.
Inizialmente gli hacker hanno estorto 300 dollari per le chiavi di decrittazione, ma poi hanno aumentato la cifra a 600 dollari.
Come evitare che il tuo PC venga infettato dal ransomware WannaCry Decryptor?
Scarica l'aggiornamento del sistema operativo dal sito Web Microsoft.
Cosa fare Il tuo PC è infetto?
Utilizzare le istruzioni seguenti per provare a recuperare almeno alcune delle informazioni sul PC infetto. Aggiorna il tuo antivirus e installa la patch del sistema operativo. In natura non esiste ancora un decrittatore per questo virus. Sconsigliamo vivamente di pagare un riscatto agli aggressori: non vi è alcuna garanzia, nemmeno la minima, che decodificheranno i tuoi dati dopo aver ricevuto il riscatto.
Rimuovi il ransomware WannaCry utilizzando uno strumento di pulizia automatico
Un metodo estremamente efficace per combattere il malware in generale e il ransomware in particolare. L'uso di un complesso protettivo collaudato garantisce il rilevamento accurato di eventuali componenti virali, loro rimozione completa con un clic. Tieni presente che stiamo parlando di due processi diversi: disinstallazione dell'infezione e ripristino dei file sul PC. Tuttavia la minaccia deve essere sicuramente eliminata, poiché esistono informazioni sull'introduzione di altri trojan informatici che la utilizzano.
- Scarica il programma di rimozione del virus WannaCry. Dopo aver avviato il software, fare clic sul pulsante Avvia la scansione del computer(Avvia la scansione). Scarica il programma di rimozione del ransomware Voglio piangere .
- Il software installato fornirà un rapporto sulle minacce rilevate durante la scansione. Per rimuovere tutte le minacce rilevate, seleziona l'opzione Risolvere le minacce(Eliminare le minacce). Il malware in questione verrà completamente rimosso.
Ripristina l'accesso ai file crittografati
Come notato, il ransomware no_more_ransom blocca i file utilizzando un potente algoritmo di crittografia, in modo che i dati crittografati non possano essere ripristinati con un colpo di bacchetta magica, a meno di pagare una somma di riscatto inaudita. Ma alcuni metodi possono davvero essere un vero toccasana che ti aiuterà a recuperare dati importanti. Di seguito puoi familiarizzare con loro.
Programma recupero automatico file (decrittografatore)
È nota una circostanza molto insolita. Questa infezione cancella i file originali in forma non crittografata. Il processo di crittografia a scopo di estorsione prende quindi di mira le loro copie. Ciò offre un'opportunità per ciò Software Come Recupero dati professionale ripristinare gli oggetti cancellati, anche se è garantita l'affidabilità della loro rimozione. Si consiglia vivamente di ricorrere alla procedura di recupero file; la sua efficacia è fuori dubbio.
Copie shadow di volumi
L'approccio si basa sulla procedura di Windows Prenota copia file, che viene ripetuto in ogni punto di ripristino. Condizione importante lavoro questo metodo: Il Ripristino configurazione di sistema deve essere attivato prima che si verifichi l'infezione. Tuttavia, eventuali modifiche al file apportate dopo il punto di ripristino non verranno visualizzate nella versione ripristinata del file.
Backup
Questo è il migliore tra tutti i metodi senza riscatto. Se la procedura per il backup dei dati su un server esterno veniva utilizzata prima dell'attacco ransomware al proprio computer, per ripristinare i file crittografati è sufficiente accedere all'apposita interfaccia, selezionare i file necessari e avviare il meccanismo di recupero dei dati dal backup. Prima di eseguire l'operazione, è necessario assicurarsi che il ransomware sia stato completamente rimosso.
Verificare la presenza di possibili componenti residui del ransomware WannaCry
Pulizia dentro modalità manualeè irto dell'omissione di singoli frammenti di ransomware che possono evitare la rimozione sotto forma di oggetti nascosti del sistema operativo o elementi di registro. Per eliminare il rischio di conservazione parziale di singoli elementi dannosi, scansiona il tuo computer utilizzando un pacchetto software di sicurezza affidabile specializzato in software dannoso.
Decodifica
Ma non ci sono informazioni da parte di coloro che hanno pagato per la decrittazione, così come non ci sono informazioni sull'intenzione degli hacker di calmare gli animi delle persone e decrittografare le informazioni dopo il pagamento ((((
Ma sull'hub c'erano informazioni sul principio di funzionamento del pulsante Decrypt, nonché sul fatto che gli aggressori non hanno modo di identificare gli utenti che hanno inviato bitcoin, il che significa che nessuno ripristinerà nulla alle vittime:
“Il cryptor crea due tipi di file: in primo luogo, alcune parti vengono crittografate utilizzando AES a 128 bit e la chiave di decrittografia generata viene aggiunta direttamente al file crittografato. Ai file crittografati in questo modo viene assegnata l'estensione .wncyr e sono questi che vengono poi decrittografati quando si fa clic su Decrittografa. La maggior parte del materiale crittografato ottiene l'estensione .wcry e la chiave non c'è più.
In questo caso la crittografia non avviene nel file stesso, ma prima viene creato un file sul disco in cui viene inserito il contenuto crittografato, quindi file originale viene eliminato. Di conseguenza, da qualche tempo esiste la possibilità di recuperare parte dei dati utilizzando varie utilità di ripristino.
Per combattere tali utilità, il crittografo scrive costantemente tutti i tipi di spazzatura sul disco, in modo che lo spazio su disco venga consumato abbastanza rapidamente.
Ma perché non ci sono ancora informazioni sul pagamento e sui meccanismi per verificarlo è davvero sorprendente. Forse l’importo piuttosto decente ($ 300) richiesto per un simile assegno sta influenzando.”
I creatori del virus WannaCry hanno aggirato la protezione temporanea sotto forma di un dominio privo di significato
Creatori Virus ransomware WannaCry, che ha colpito computer in più di 70 paesi, ha rilasciato una nuova versione. Manca il codice per accedere a un dominio privo di significato, utilizzato per prevenire la diffusione del virus originale, scrive Motherboard. La pubblicazione ha ricevuto conferma dell'emergere di una nuova versione del virus da due specialisti che hanno studiato nuovi casi di infezione informatica. Uno di loro è Costin Raiu, capo del gruppo di ricerca internazionale di Kaspersky Lab.
Gli esperti non hanno specificato se siano apparsi altri cambiamenti in WannaCry.
Il 13 maggio la diffusione del virus è stata fermata dallo specialista di Proofpoint Darien Hass e dall'autore del blog MalwareTech: hanno scoperto che il virus stava accedendo a un nome di dominio senza significato e hanno registrato questo indirizzo. Successivamente, hanno scoperto che la diffusione di WannaCry si era fermata, tuttavia, gli esperti hanno notato che molto probabilmente i creatori del virus avrebbero presto rilasciato una versione aggiornata del programma.
Il 12 aprile 2017 sono apparse informazioni sulla rapida diffusione in tutto il mondo di un virus ransomware chiamato WannaCry, che può essere tradotto come “Voglio piangere”. Gli utenti hanno domande sull'aggiornamento di Windows contro il virus WannaCry.
Il virus sullo schermo del computer si presenta così:
Il cattivo virus WannaCry che crittografa tutto
Il virus crittografa tutti i file sul computer e richiede un riscatto su un portafoglio Bitcoin per un importo di 300 o 600 dollari per decrittografare il computer. Sono stati infettati i computer di 150 paesi in tutto il mondo, di cui la Russia è stata la più colpita.
Megafon, le Ferrovie Russe, il Ministero degli Affari Interni, il Ministero della Salute e altre società si trovano ad affrontare da vicino questo virus. Tra le vittime ci sono utenti ordinari Internet.
Quasi tutti sono uguali davanti al virus. La differenza, forse, è che nelle aziende il virus si diffonde attraverso la rete locale all'interno dell'organizzazione e infetta istantaneamente il massimo numero possibile di computer.
Virus WannaCry crittografa i file sui computer che utilizzano Windows. IN Microsoft nel marzo 2017 sono stati rilasciati gli aggiornamenti MS17-010 versioni diverse Finestre XP, Vista, 7, 8, 10.
Si scopre che coloro che sono determinati aggiornamento automatico Windows non è a rischio di virus perché ha ricevuto tempestivamente l'aggiornamento ed è riuscito a evitarlo. Non ho la presunzione di dire che sia effettivamente così.
Riso. 3. Messaggio durante l'installazione dell'aggiornamento KB4012212
L'aggiornamento KB4012212 richiedeva il riavvio del laptop dopo l'installazione, cosa che non mi è piaciuta molto, perché non si sa come potrebbe finire, ma dove dovrebbe andare l'utente? Tuttavia, il riavvio è andato bene. Quindi vivremo in pace fino al prossimo attacco del virus e che tali attacchi avverranno, ahimè, non ci sono dubbi.
Alcuni virus vincono, altri ricompaiono. Questa lotta sarà ovviamente infinita.
Video “Voglio piangere”: il virus ransomware ha infettato 75mila sistemi in 99 Paesi
Ricevi articoli attuali da abilità nell'usare il computer direttamente nella tua casella di posta.
Già di più 3.000 abbonati
