Actualizare windows 7 de la virus. Analizare

Astăzi, probabil, doar o persoană care este foarte departe de Internet știe despre infecțiile masive ale computerelor cu troianul ransomware WannaCry ("Vreau să plâng") care a început pe 12 mai 2017. Iar reactia celor care stiu, as imparti in 2 categorii opuse: indiferenta si panica. Ce inseamna asta?

Și faptul că informațiile fragmentare nu oferă o înțelegere completă a situației, dau naștere la speculații și lasă în urmă mai multe întrebări decât răspunsuri. Pentru a înțelege ce se întâmplă cu adevărat, cui și ce amenință, cum să vă protejați împotriva infecțiilor și cum să decriptați fișierele corupte de WannaCry, articolul de astăzi este dedicat.

Este „diavolul” într-adevăr atât de înfricoșător?

Nu înțeleg ce fel de tam-tam în jurVreau să plâng? Există mulți viruși, alții noi apar în mod constant. Ce e special la acesta?

WannaCry (alte denumiri WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nu este un cyber-malware obișnuit. Motivul notorietății sale este cantitatea enormă de pagube cauzate. Potrivit Europol, el a deranjat peste 200.000 de computere Control Windowsîn 150 de țări ale lumii, iar pagubele suferite de proprietarii lor s-au ridicat la peste 1.000.000.000 de dolari, iar asta doar în primele 4 zile de distribuție. Majoritatea victimelor sunt în Rusia și Ucraina.

Știu că virușii intră în computere prin site-uri pentru adulți. Nu vizitez astfel de resurse, așa că nu sunt în pericol.

Virus? Aceasta este o problemă și pentru mine. Când virușii pornesc pe computerul meu, rulez utilitarul *** și după o jumătate de oră totul este bine. Și dacă nu ajută, reinstalez Windows.

Virus la virus - ceartă. WannaCry este un troian ransomware, un vierme de rețea capabil să se răspândească pe rețelele locale și pe Internet de la un computer la altul fără intervenția umană.

Majoritatea programelor rău intenționate, inclusiv ransomware-ul, încep să funcționeze numai după ce utilizatorul „înghite momeala”, adică face clic pe un link, deschide un fișier etc. nu trebuie să faci nimic pentru a te infecta cu WannaCry!

Odată ajuns pe un computer cu Windows, malware-ul criptează cea mai mare parte a fișierelor utilizatorului într-un timp scurt, după care afișează un mesaj prin care se cere o răscumpărare în valoare de 300-600 USD, care trebuie transferată în portofelul specificat în termen de 3 zile. În caz de întârziere, el amenință că va face imposibilă decriptarea fișierelor în 7 zile.

În același timp, malware-ul caută lacune pentru a pătrunde în alte computere și, dacă îl găsește, infectează întreaga rețea locală. Aceasta înseamnă că copiile de rezervă ale fișierelor stocate pe mașinile vecine devin și ele inutilizabile.

Eliminarea unui virus de pe computer nu decriptează fișierele! Reinstalarea sistemului de operare este aceeași. Dimpotrivă, dacă sunt infectate cu ransomware, ambele acțiuni vă pot face imposibilă recuperarea fișierelor chiar dacă aveți o cheie validă.

Deci da, „diavolul” este destul de înfricoșător.

Cum se răspândește WannaCry

Minți. Virusul poate pătrunde în computerul meu doar dacă îl descarc singur. Și sunt vigilent.

Multe programe malware pot infecta computerele (și dispozitive mobile de altfel, și prin vulnerabilități - erori în codul componentelor sistemului de operare și al programelor care deschid oportunitatea atacatorilor cibernetici de a folosi o mașină de la distanță în propriile scopuri. WannaCry, în special, se răspândește prin vulnerabilitatea 0-day din protocolul SMB (vulnerabilitățile zero-day sunt erori care nu au fost remediate de malware/spyware în momentul exploatării lor).

Adică, pentru a infecta un computer cu un vierme ransomware, sunt suficiente două condiții:

• Conexiuni la o rețea în care există alte mașini infectate (Internet).
• Prezența lacunei de mai sus în sistem.

De unde a apărut această infecție? Acestea sunt trucurile hackerilor ruși?

Potrivit unor rapoarte (nu sunt responsabil pentru fiabilitate), o defecțiune în protocolul de rețea SMB, care servește pentru legal acces de la distanță la fișiere și imprimante în Windows a fost descoperit pentru prima dată de Agenția de Securitate Națională a SUA. În loc să-l raporteze la Microsoft pentru a remedia eroarea, NSA a decis să-l folosească ea însăși și a dezvoltat un exploit pentru aceasta (un program care exploatează vulnerabilitatea).

Vizualizarea dinamicii distribuției WannaCry pe intel.malwaretech.com

Ulterior, această exploatare (denumită în cod EternalBlue), care a servit de ceva timp NSA pentru a se infiltra în computere fără știrea proprietarilor, a fost furată de hackeri și a stat la baza creației. WannaCry ransomware... Adică, datorită acțiunilor nu în întregime legale și etice ale guvernului SUA, autorii virusului au aflat despre vulnerabilitate.

Am dezactivat instalarea actualizărilorWindows. Nafig este necesar atunci când și fără ele totul funcționează.

Motivul pentru o răspândire atât de rapidă și pe scară largă a epidemiei este absența la acel moment a unui „patch” - o actualizare Windows care ar putea închide lacuna. Vreau să plâng... La urma urmei, a fost nevoie de timp pentru a-l dezvolta.

Astăzi există un astfel de patch. Utilizatorii care actualizează sistemul l-au primit automat în primele ore după lansare. Iar cei care cred că actualizările nu sunt necesare sunt încă expuși riscului de infecție.

Cine este expus riscului unui atac WannaCry și cum să se apere împotriva acestuia

Din câte știu eu, mai mult de 90% dintre computere sunt infectateWannaCry, a fugit sub controlWindows 7. Am un „zece”, ceea ce înseamnă că nimic nu mă amenință.

Toate sistemele de operare care utilizează protocolul de rețea SMB v1 sunt expuse riscului de infectare cu WannaCry. Acest:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v 1607
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

Utilizatorii sistemelor pe care nu au instalat (disponibil pentru descărcare gratuită de la technet.microsoft.com, care este legat). Pot fi descărcate corecții pentru Windows XP, Windows Server 2003, Windows 8 și alte sisteme de operare neacceptate. De asemenea, descrie cum se verifică o actualizare de salvare.

Dacă nu cunoașteți versiunea sistemului de operare de pe computer, apăsați combinația de taste Win + R și rulați comanda winver.

Pentru a consolida protecția, precum și dacă este imposibil să actualizați sistemul acum, Microsoft oferă instrucțiuni pentru dezactivarea temporară a protocolului SMB versiunea 1. Acestea sunt localizate și. Opțional, dar nu obligatoriu, poate fi închis printr-un firewall 445 Port TCP care deservește IMM-urile.

Am cel mai bun antivirus din lume ***, cu el pot face orice și nu mi-e frică de nimic.

WannaCry se poate răspândi nu numai prin metoda autopropulsată descrisă mai sus, ci și în modurile obișnuite - prin rețelele sociale, e-mail, resurse web infectate și phishing etc. Și există astfel de cazuri. Dacă descărcați și rulați manual un program rău intenționat, atunci nici antivirusul, nici patch-urile care închid vulnerabilitățile nu vă vor salva de infecție.

Cum funcționează virusul, ce criptează

Da, lasă-l să cripteze ce vrea. Prietenul meu este programator, va descifra totul pentru mine. Ca ultimă soluție, vom găsi cheia prin forță brută.

Ei bine, va cripta câteva fișiere, deci ce? Nu mă va împiedica să lucrez la computerul meu.

Din păcate, nu va decripta, deoarece nu există modalități de a rupe algoritmul de criptare RSA-2048 pe care Wanna Cry îl folosește și nu va apărea în viitorul apropiat. Și nu va cripta câteva fișiere, ci aproape totul.

Conduce descriere detaliata Nu voi lucra cu malware-ul, oricine este interesat se poate familiariza cu analiza acestuia, de exemplu, în. Voi marca doar momentele cele mai semnificative.

Fișierele cu următoarele extensii sunt criptate: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt,. xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg,. djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf,. ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx , .der.

După cum puteți vedea, există documente, fotografii, video și audio, arhive, e-mail și fișiere create în diverse programe... Malware-ul încearcă să ajungă la fiecare director din sistem.

Obiectele criptate au o expansiune dublă cu postscriptul WNCRY, de exemplu, „Document1.doc.WNCRY”.

După criptare, virusul copiază un fișier executabil în fiecare folder @[email protected] - aparent pentru decriptare după răscumpărare, precum și un document text @[email protected] cu un mesaj către utilizator.

Apoi încearcă să extermine copii umbrăși puncte Recuperare Windows... Dacă UAC rulează pe sistem, utilizatorul trebuie să confirme această operație. Dacă respingi solicitarea, va exista șansa de a restaura datele din copii.

WannaCry transmite cheile de criptare ale sistemului afectat către centrele de comandă situate în rețeaua Tor, după care le șterge de pe computer. Pentru a găsi alte mașini vulnerabile, scanează rețeaua locală și intervalele IP arbitrare de pe Internet și, odată ce le găsește, pătrunde în tot ceea ce poate ajunge.

Astăzi, analiștii sunt la curent cu mai multe modificări ale WannaCry cu diferite mecanisme de distribuție și se așteaptă să apară altele noi în viitorul apropiat.

Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul

Văd fișierele schimbând extensiile. Ce se întâmplă? Cum oprești asta?

Criptarea nu este un proces într-un singur pas, deși nu este prea lung. Dacă ați reușit să observați înainte ca mesajul ransomware să apară pe ecran, puteți salva unele dintre fișiere oprind imediat alimentarea computerului. Nu prin oprirea sistemului, dar prin smulgerea ștecherului!

La se încarcă Windows criptarea va continua în modul normal, deci este important să nu o permiteți. Următoarea pornire a computerului trebuie să aibă loc fie în modul sigur, în care virușii nu sunt activi, fie de pe un alt mediu de pornire.

Fișierele mele sunt criptate! Virusul cere o răscumpărare pentru ei! Ce să faci, cum să decriptezi?

Decriptarea fișierelor după WannaCry este posibilă numai dacă există o cheie secretă, pe care atacatorii promit să o furnizeze de îndată ce victima le transferă suma de răscumpărare. Cu toate acestea, astfel de promisiuni nu sunt aproape niciodată îndeplinite: de ce ar trebui să se deranjeze distribuitorii de programe malware când au obținut deja ceea ce și-au dorit?

În unele cazuri, problema poate fi rezolvată fără răscumpărare. Până în prezent, au fost dezvoltate 2 decodoare WannaCry: și. Primul funcționează numai în Windows XP, iar al doilea, creat pe baza primului, - în Windows XP, Vista și 7 x86, precum și în sistemele nordice 2003, 2008 și 2008R2 x86.

Algoritmul de funcționare al ambelor decriptoare se bazează pe căutarea cheilor secrete în memoria procesului de criptare. Aceasta înseamnă că doar cei care nu au avut timp să-și repornească computerul au șansa de a decripta. Și dacă nu a trecut prea mult timp după criptare (memoria nu a fost suprascrisă de un alt proces).

Deci, dacă sunteți un utilizator Windows XP-7 x86, primul lucru de făcut după ce apare mesajul de răscumpărare este să vă deconectați computerul de la retea localași Internet și rulați decodorul WanaKiwi descărcat pe alt dispozitiv. Nu efectuați alte acțiuni pe computer înainte de a scoate cheia!

Puteți citi descrierea activității decriptorului WanaKiwi într-un altul.

După decriptarea fișierelor, rulați un antivirus pentru a elimina malware-ul și instalați un patch care îi închide căile de distribuție.

Astăzi, WannaCry recunoaște aproape toate programele antivirus, cu excepția celor care nu sunt actualizate, așa că aproape oricare va funcționa.

Cum să trăiești această viață mai departe

Epidemia autopropulsată a luat lumea prin surprindere. Pentru tot felul de servicii de securitate, s-a dovedit a fi la fel de neașteptat ca și debutul iernii de la 1 decembrie pentru utilitățile publice. Motivul este nepăsarea și poate. Consecințe - pierderi ireparabile de date și daune. Și pentru creatorii de malware - un stimulent pentru a continua în același spirit.

Potrivit analiștilor, WanaCry a plătit distribuitorilor dividende foarte bune, ceea ce înseamnă că astfel de atacuri se vor repeta. Iar cei care sunt duși acum nu vor fi neapărat duși mai târziu. Desigur, dacă nu vă faceți griji în avans.

Deci, pentru a nu fi nevoit să plângi vreodată pentru fișierele criptate:

• Nu refuzați să instalați actualizări ale sistemului de operare și aplicațiilor. Acest lucru vă va proteja de 99% dintre amenințările care se răspândesc prin vulnerabilități nepatificate.
• Continua.
• Creați copii de rezervă fișiere importanteși depozitați-le pe altul mediu fizic, sau mai bine - pe mai multe. În rețelele corporative, este optim de utilizat baze distribuite stocarea datelor, utilizatorii casnici pot adopta gratuit servicii cloud cum ar fi Yandex Drive, Google Drive, OneDrive, MEGASynk etc. Nu lăsați aceste aplicații să ruleze atunci când nu le utilizați.
• Alegeți sisteme de operare de încredere. Windows XP nu este.
• Instalare antivirus cuprinzător clasă securitatea internetuluiși protecție suplimentară împotriva ransomware-ului, de exemplu. Sau analogi ai altor dezvoltatori.
• Creșteți-vă nivelul de alfabetizare în combaterea troienilor de criptare. De exemplu, furnizorul de antivirus Dr.Web l-a pregătit pentru utilizatori și administratori sisteme diferite... Multe utile și, important, informaţii de încredere conținute în blogurile altor dezvoltatori A/V.

Și cel mai important: chiar dacă ați suferit, nu transferați bani către infractorii cibernetici pentru decriptare. Probabilitatea să fiți înșelat este de 99%. În plus, dacă nimeni nu plătește, afacerea de extorcare va deveni lipsită de sens. În caz contrar, răspândirea unei astfel de infecții va crește.

Mai multe pe site:

Epidemia WannaCry: Răspunsul la întrebările frecvente și dezmințirea concepțiilor greșite ale utilizatorilor actualizat: 27 mai 2017 de autor: Johnny mnemonic

1. Mai a sosit, Faceți cunoștință cu WannaCry.
2. Wanna este numele unui virus ransomware care a început operațiunile pe, să spunem, 12 mai 2017, infectând computerele utilizatorilor și companiilor din 90 de țări. Microsoft a lansat oficial corecții pentru sistemele de operare mai vechi care nu mai sunt acceptate și depășite. Voi oferi o listă completă și toate linkurile la sfârșitul articolului.

Cum funcționează Wanna?

3. La fel ca toți virușii ransomware, este dificil de observat în timpul procesului de criptare dacă nu ați văzut din greșeală că fișierele se schimbă și devin cu o extensie diferită. De exemplu, fișierele criptate cu acest virus vor arăta astfel: nume fișier.png.WNCRY
4. Mai jos este o hartă a contaminării cu virus a țărilor în primele ore de infectare și răspândire, o hartă de la Sumantec.
5. În plus, cum se manifestă virusul după criptarea fișierelor, utilizatorului i se va afișa un mesaj și poate selecta limba corespunzătoare. Care informează că fișierele tale sunt infectate și mergi la pașii de plată, să spunem așa.
6. A doua fereastră arată cât și cum ar trebui să plătiți, transferați 300 de bitcoini. Și, de asemenea, un cronometru pentru numărătoarea inversă.
7. Fundal desktop și altele imagini de fundal arata mesajul:
8. Fișierele criptate au o extensie dublă, de exemplu: numefișier.doc.WNCRY. Mai jos este cum arată:
9. De asemenea, în fiecare folder există un fișier executabil @ pentru decriptare după răscumpărare (posibil dar vryatli), precum și un document text @ care are ceva de citit utilizatorului (de asemenea, posibil, dar vryatli).

Virusul criptează fișierele cu următoarele extensii:

10. Vreau să remarc că printre extensiile pe care WannaCry le criptează, nu există nicio extensie 1C care să fie folosită în Rusia.
11. De asemenea, vă rog să acordați atenție celui mai important lucru în restaurarea fișierelor după infectare. Poate dacă aveți protecția sistemului activată, și anume copierea umbra a volumului și sistemul uac de control al contului utilizatorului rulează și funcționează cel mai probabil dacă nu l-ați dezactivat. Apoi virusul va oferi dezactivarea protecției sistemului pentru a preveni recuperarea fișierelor criptate, și anume a celor șterse după criptare. Desigur, în acest caz, nu există nicio modalitate de a nu fi de acord cu oprirea. Arata cam asa:

Escroci de portofele Bitcoin.

12. Cel mai interesant lucru aici este cum crește suma din portofelul escrocului. Portofel Bitcoin:
17. urmăriți logându-vă măcar o dată pe zi cât de mult au crescut profiturile escrocilor și veți fi surprinși, credeți-mă! Asta este normal Portofel bitcoin un serviciu în care oricine își poate înregistra un portofel, nu este nimic de care să vă faceți griji dacă vă uitați la statisticile de reîncărcare a portofelului.
18. WannaCry 1.0 s-a răspândit prin spam și site-uri web. Versiunea 2.0 este identică cu prima versiune, dar i s-a adăugat un vierme, care se răspândește independent, ajungând la computerele victimei prin intermediul protocolului.

Microsoft Corp. Fights Wanna:

19. Microsoft sugerează instalarea pachetelor de service pentru utilizatorii sistemelor de operare mai vechi:

Windows Server 2003 SP2 x64

Windows Server 2003 SP2 x86

Windows XP SP2 x64

Windows XP SP3 x86

Windows XP Embedded SP3 x86

Windows 8 x86

Windows 8 x64

Accesați site-ul oficial blogs.technet.microsoft

Ce spune Kaspersky?

20. Pe blogul oficial Kaspersky, procesul este descris mai detaliat și există câteva completări pe care le puteți afla, deși în limba engleză.

Securelist.

21. Suplimentat cu articolul de asistență Kaspersky din 15 mai 2017:

.

22. De asemenea, puteți vizualiza hartă interactivă amenințări cibernetice și află răspândirea virusului în timp real:

Harta Intel malwaretech pentru WannaCry 2.0:

23. O altă hartă, dar special pentru virusul WannaCry2.0, răspândirea virusului în timp real (dacă harta nu a funcționat după tranziție, reîmprospătați pagina):

Videoclipul Comodo Firewall 10 vs WannaCry Ransomware despre tehnologia de protecție:

site-ul oficial.

596 variante WannaCry

24. Un laborator independent a găsit 596 de mostre WannaCrypt. Lista hash SHA256:

De la autor:

25. Pe cont propriu voi adăuga pentru că folosesc protecția de la Comodo este 10 și în anexă la fel și dar cel mai bun antivirus esti tu. După cum se spune, Dumnezeu îi protejează pe cei atenți și am o astfel de protecție pentru că, pe măsură ce lucrez, trebuie să îndeplinesc diverse sarcini în care există un loc pentru ca atacurile de virus să se scurgă, să le numim așa.
26. Dezactivați protocolul SMB1 pentru o perioadă până când instalați actualizări de securitate sau dacă nu aveți nevoie de el deloc folosind linia de comandă, executați cmd ca administrator de sistem și dezactivați protocolul folosind dism, comanda:

dism / online / norestart / disable-feature / featurename: SMB1Protocol

27. Și, de asemenea, alte metode de activare și dezactivare a protocolului SMBv1,2,3 pe site-ul oficial Microsoft.
28. V interfata grafica dezactivarea protocolului se poate face astfel: Panou de control> Adăugați sau eliminați programe (Eliminați sau modificați un program)> Activați sau dezactivați Componentele Windows> mai jos poza.

Pe 12 mai, în jurul orei 13:00, virusul Wana Decryptor a început să se răspândească. În aproape câteva ore, zeci de mii de computere din întreaga lume au fost infectate. Pe în prezent au fost confirmate peste 45.000 de computere infectate.

Peste 40 de mii de hack-uri în 74 de țări - utilizatorii de internet din întreaga lume au fost martorii celui mai mare atac cibernetic din istorie. În lista victimelor, nu numai oameni normali dar și serverele băncilor, companiilor de telecomunicații și chiar agențiilor de drept.

Virusul ransomware Wanna Cry a infectat atât computerele utilizatorilor obișnuiți, cât și computerele de lucru din diverse organizații, inclusiv Ministerul Afacerilor Interne al Rusiei. Din păcate, în acest moment nu există nicio modalitate de a decripta fișierele WNCRY, dar puteți încerca să recuperați fișierele criptate folosind programe precum ShadowExplorer și PhotoRec.

Patch-uri oficiale Microsoft de care să vă protejați vreau virus Strigăt:

• Windows 7 32 de biți / x64
• Windows 10 32 de biți / x64
• Windows XP 32 de biți / x64 - fără corecție WCry.

Cum să te protejezi de virusul Wanna Cry

Vă puteți proteja de virusul Wanna Cry descărcând un patch pentru versiunea dvs. de Windows.

Cum se răspândește Wanna Cry

Wanna Cry se răspândește:

• prin fisiere
• mesaje e-mail.

După cum a raportat presa rusă, activitatea birourilor Ministerului de Interne din mai multe regiuni ale Rusiei a fost întreruptă din cauza unui ransomware care a lovit multe computere și amenință că va distruge toate datele. În plus, operatorul de telecomunicații Megafon a fost atacat.

Vorbim despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe un computer și cere să plătească o răscumpărare de 300 de dolari sau 600 de dolari în Bitcoin pentru decriptare.
De asemenea, pe forumuri și pe rețelele sociale, infecțiile sunt raportate de utilizatorii obișnuiți:

Epidemia de criptare WannaCry: ce să faci pentru a evita infecția. Ghid pas cu pas

În seara zilei de 12 mai, a fost detectat un atac pe scară largă al ransomware-ului WannaCryptor (WannaCry), care criptează toate datele de pe PC-urile și laptopurile care rulează Windows. Ca răscumpărare pentru decriptare, programul necesită 300 USD în bitcoini (aproximativ 17.000 de ruble).

Lovitura principală a căzut utilizatori ruși si companie. În acest moment, WannaCry a reușit să lovească aproximativ 57.000 de computere, inclusiv rețelele corporative ale Ministerului Afacerilor Interne, Căile Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, despre atacuri asupra sistemelor lor.

Vă spunem ce trebuie făcut chiar acum pentru a evita infectarea.

1. Criptorul exploatează o vulnerabilitate Microsoft din martie 2017. Pentru a minimiza amenințarea, trebuie să vă actualizați urgent versiunea de Windows:

Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați

2. Chiar dacă sistemul nu a fost actualizat și WannaCry a ajuns la computer - atât soluțiile corporative, cât și cele de acasă ESET NOD32 detectează și blochează cu succes toate modificările.

5. Pentru a detecta amenințările necunoscute, produsele noastre folosesc tehnologii comportamentale, euristice. Dacă un virus se comportă ca un virus, cel mai probabil este un virus. Deci, noros Sistemul ESET LiveGrid a respins cu succes atacul din 12 mai, chiar înainte ca bazele de date de semnături să fie actualizate.

Care este numele corect al virusului Wana Decryptor, WanaCrypt0r, Wanna Cry sau Wana Decrypt0r?

De la prima detectare a virusului, multe mesaje diferite despre acest virus ransomware au apărut în rețea și sunt adesea numite cu nume diferite. Acest lucru s-a întâmplat din mai multe motive. Înainte de apariția virusului Wana Decrypt0r, prima sa versiune a fost Vrei să decriptezi0r, a cărui principală diferență a fost metoda de distribuție. Această primă opțiune nu a devenit la fel de cunoscută ca a lui fratele mai mic dar datorită acestui lucru, în unele știri, virus nou Ransomware-ul este numit după fratele său mai mare, și anume Wanna Cry, Wanna Decryptor.

Dar totuși numele principal este Vreau să decrypt0r, deși majoritatea utilizatorilor în loc de numărul „0” tastează litera „o”, ceea ce ne aduce la nume Vreau decriptor sau WanaDecryptor.

Și numele de familie prin care acest virus ransomware este adesea numit de utilizatori este Virusul WNCRY, adică prin extensia care se adaugă la numele fișierelor care au suferit criptare.

Pentru a minimiza riscul apariției virușilor Wanna crу pe computere, specialiștii „Laboratoarele lui Kopersky” sfătuiesc să instaleze toate sistemele de operare Windows posibile. Ideea este că acest program periculos funcționează numai cu computerele care rulează pe acest software.

Virusul Wanna Cry: Cum se răspândește

Mai devreme, am menționat această metodă de răspândire a virușilor în articolul despre comportamentul sigur pe Internet, așa că nu este nimic nou.

Wanna Cry este distribuită după cum urmează: cutie poștală utilizatorul primește o scrisoare cu un atașament „inofensiv” - poate fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea extensia fisier executabil- executabil. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și un virus care criptează datele utilizatorului este încărcat printr-o vulnerabilitate în sistemul de operare Windows, informează therussiantimes.com despre acest lucru.

Wanna Cry Virus: Descrierea virusului

Wanna Cry (la oamenii obișnuiți a fost deja supranumit Vona Kray) aparține categoriei de viruși ransomware (criptor), care, atunci când ajunge pe un computer, criptează fișierele utilizatorului cu un algoritm criptografic, ulterior, citirea acestor fișiere devine imposibilă. .
În prezent, se știe că următoarele extensii de fișiere populare sunt criptate de Wanna Cry:

Fișiere populare Microsoft Office(.xlsx, transmis de therussiantimes.com.xls, .docx, .doc).
Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry este un program numit WanaCrypt0r 2.0 care atacă exclusiv computerele Windows. Programul exploatează o „gaură” în sistem - Securitate Microsoft Buletinul MS17-010, a cărui existență era necunoscută anterior. Pentru decriptare, programul necesită o răscumpărare în valoare de 300 USD până la 600 USD. Apropo, în prezent, peste 42 de mii de dolari au fost deja transferați în conturile hackerilor, potrivit The Guardian.

WannaCry este un program special care blochează toate datele din sistem și lasă utilizatorului doar două fișiere: instrucțiuni despre ce să facă în continuare și programul Wanna Decryptor în sine, un instrument pentru deblocarea datelor.

Majoritatea companiilor de securitate informatică au instrumente de decriptare a răscumpărării care pot ocoli software... Pentru muritorii de rând, metoda de „tratament” este încă necunoscută.

WannaCry Decryptor ( sau WinCry, WannaCry, .wcry, WCrypt, WNCRY, WanaCrypt0r 2.0), este deja numit „virusul anului 2017”. Și nu este deloc nerezonabil. Doar în primele 24 de ore după începerea distribuției sale - dat ransomware a lovit peste 45.000 de computere. Unii cercetători cred că în acest moment (15 mai) au fost infectate mai mult de un milion de computere și servere. Ca o reamintire, virusul a început să se răspândească pe 12 mai. Utilizatorii din Rusia, Ucraina, India și Taiwan au fost primii care au avut de suferit. Momentan, virusul cu viteza mare distribuite în Europa, SUA și China.

Informațiile au fost criptate pe computerele și serverele agențiilor guvernamentale (în special, Ministerul Afacerilor Interne al Rusiei), spitale, corporații transnaționale, universități și școli.

Wana Decryptor (Wanna Cry sau Wana Decrypt0r) a paralizat activitatea a sute de companii și agenții guvernamentale din întreaga lume

De fapt, WinCry (WannaCry) este un exploit al familiei EternalBlue, care exploatează o vulnerabilitate destul de veche a sistemului de operare Windows (Windows XP, Windows Vista, Windows 7, Windows 8 și Windows 10) și se încarcă singur în sistem în un mod silențios. Apoi, folosind algoritmi rezistenți la decriptare, criptează datele utilizatorului (documente, fotografii, videoclipuri, foi de calcul, baza de date) și solicită o răscumpărare pentru decriptarea datelor. Schema nu este nouă, scriem în mod constant despre noi tipuri de ransomware de criptare a fișierelor - dar metoda de distribuție este nouă. Și asta a dus la o epidemie.

Cum funcționează virusul

Programul rău intenționat scanează Internetul pentru computere cu deschideți portul TCP 445, care este responsabil pentru deservirea protocolului SMBv1. După ce a găsit un astfel de computer, programul face mai multe încercări de a exploata vulnerabilitatea EternalBlue pe acesta și, dacă reușește, instalează backdoor-ul DoublePulsar, prin care este încărcat și lansat codul executabil al programului WannaCry. De fiecare dată când încearcă să exploateze, malware-ul verifică prezența DoublePulsar pe computerul țintă și, dacă este detectat, este descărcat direct prin această ușă din spate.

Apropo, aceste căi nu sunt urmărite de modern program antivirus, ceea ce a făcut ca infecția să fie atât de masivă. Și acesta este o piatră uriașă în grădina dezvoltatorilor de software antivirus. Cum ar putea fi permis acest lucru? Pentru ce iei bani?

Odată lansat, malware-ul acționează ca un ransomware clasic: generează o pereche de chei care este unică pentru fiecare computer infectat. algoritm asimetric RSA-2048. Apoi, WannaCry începe să scaneze sistemul în căutarea fișierelor utilizator. anumite tipuri, lăsându-le intacte pe cele critice pentru funcționarea sa ulterioară. Fiecare fișier selectat este criptat folosind algoritmul AES-128-CBC cu o cheie unică (aleatorie) pentru fiecare dintre ele, care la rândul său este criptată cu cheia RSA deschisă a sistemului infectat și stocată în antetul fișierului criptat. În același timp, extensia este adăugată fiecărui fișier criptat. .wncry... Perechea de chei RSA a sistemului infectat este criptată cheie publică atacatorilor și trimise acestora pe serverele de control situate în rețeaua Tor, după care toate cheile sunt șterse din memoria mașinii infectate. După finalizarea procesului de criptare, programul afișează o fereastră cu o solicitare de a transfera o anumită sumă în bitcoini (echivalentul a 300 de dolari SUA) în portofelul specificat în termen de trei zile. Dacă răscumpărarea nu este primită în timp util, atunci valoarea acesteia va fi dublată automat. În a șaptea zi, dacă WannaCry nu este eliminat din sistemul infectat, fișierele criptate sunt distruse. Mesajul este afișat în limba care se potrivește cu cea instalată pe computer. În total, programul acceptă 28 de limbi. În paralel cu criptarea, programul scanează adrese arbitrare de internet și rețele locale pentru infectarea ulterioară a computerelor noi.

Potrivit unui studiu realizat de Symantec, algoritmul folosit de atacatori pentru a urmări plățile individuale ale fiecărei victime și a le trimite o cheie de decriptare este implementat cu o eroare de condiție de cursă. Acest lucru face ca plățile de răscumpărare să nu aibă sens, deoarece cheile individuale nu vor fi oricum trimise, iar fișierele vor rămâne criptate. Cu toate acestea, există metoda de incredere decriptați fișierele utilizator cu o dimensiune mai mică de 200 MB și, de asemenea, unele șanse de a recupera fișiere mai mari. De asemenea, pe cele învechite sisteme Windows XP și Windows Server 2003 datorită particularităților implementării în sistem a algoritmului de calcul numere pseudoaleatoare este chiar posibil să recuperați cheile private RSA și să decriptați toate fișierele afectate dacă computerul nu a repornit din momentul infectării. Mai târziu, un grup de experți francezi în securitate cibernetică de la Comae Technologies a extins această capacitate la Windows 7 și a pus-o în practică, publicând în acces deschis utilitate WanaKiwi permițându-vă să decriptați fișiere fără răscumpărare.

În cod versiuni timpurii programul a fost prevăzut cu un mecanism de autodistrugere, așa-numitul Kill Switch - programul a verificat disponibilitatea a două domenii specifice de internet și, dacă există, a fost complet eliminat de pe computer. A fost descoperit pentru prima dată de Marcus Hutchins pe 12 mai 2017 (Engleză) Rusă , Un analist de viruși în vârstă de 22 de ani la compania britanică Kryptos Logic, care tweetează sub porecla @MalwareTechBlog și a înregistrat unul dintre domeniile în numele său. Astfel, el a putut bloca temporar parțial distribuirea acestei modificări. malware... Pe 14 mai a fost înregistrat și al doilea domeniu. În versiunile ulterioare ale virusului, acest mecanism de auto-închidere a fost eliminat, dar acest lucru a fost făcut nu în codul original al programului, ci prin editarea fișierului executabil, ceea ce ne permite să ne asumăm originea. această remediere nu de la autorii WannaCry original, ci de la atacatori terți. Ca urmare, mecanismul de criptare a fost deteriorat, iar această versiune a viermelui nu se poate răspândi decât singură, găsind computere vulnerabile, dar nu este capabilă să le provoace vătămări directe.

Răspândirea rapidă a WannaCry, unică pentru ransomware, este determinată de exploatarea vulnerabilității protocolului de rețea SMB a sistemului de operare publicată în februarie 2017 Microsoft Windows descrise în buletinul MS17-010. În timp ce în schema clasică, ransomware-ul a intrat în computer prin acțiunile utilizatorului însuși prin e-mail sau un link web, în ​​cazul WannaCry, implicarea utilizatorului este complet exclusă. Intervalul de timp dintre detectarea unui computer vulnerabil și infectarea completă a acestuia este de aproximativ 3 minute.

Compania de dezvoltare a confirmat prezența unei vulnerabilități în absolut toate produsele utilizator și server care au implementarea protocolului SMBv1 - de la Windows XP / Windows Server 2003 la Windows 10 / Windows Server 2016. Pe 14 martie 2017, Microsoft a lansat un serie de actualizări menite să neutralizeze vulnerabilitatea în toate sistemele de operare acceptate. În urma distribuției WannaCry, compania a făcut un pas fără precedent, lansând actualizări pentru produsele cu expirat suport (Windows XP, Windows Server 2003 și Windows 8).

Răspândirea virusului WannaCry

Virusul se poate răspândi în diferite moduri:

• printr-o singură rețea de calculatoare;
• Prin mail;
• Prin intermediul unui browser.

Personal, nu sunt în întregime clar de ce conexiune retea nu este scanat de antivirus. Aceeași metodă de infectare ca prin vizitarea unui site web sau a unui browser dovedește neputința dezvoltatorilor și faptul că fondurile solicitate pentru software-ul licențiat pentru protejarea PC-ului nu sunt în niciun caz justificate.

Simptomele infecției și tratamentul virusului

După instalarea cu succes pe computerul utilizatorului, WannaCry încearcă să se răspândească în rețeaua locală la alte PC-uri ca un vierme. Fișierele criptate primesc extensia de sistem .WCRY și devin complet ilizibile și nu pot fi decriptate singur. După criptare completă Wcry schimbă imaginea de fundal de pe desktop și lasă „instrucțiuni” pentru decriptarea fișierelor în foldere criptate.

La început, hackerii au extorcat 300 de dolari pentru cheile de decriptare, dar apoi au ridicat această cifră la 600 de dolari.

Cum să împiedicați WannaCry Decryptor să vă infecteze computerul?

Descărcați actualizarea sistemului de operare de pe site-ul web Microsoft.

Ce să faci eu PC-ul tau este infectat?

Utilizați instrucțiunile de mai jos pentru a încerca să recuperați cel puțin o parte din informațiile de pe computerul infectat. Actualizați-vă antivirusul și instalați patch-ul sistemului de operare. Un decriptor pentru acest virus nu există încă în natură. Vă sfătuim cu tărie să nu plătiți o răscumpărare infractorilor cibernetici - nu există nicio garanție, chiar și cea mai mică, că aceștia vă vor decripta datele după ce au primit o răscumpărare.

Eliminați ransomware-ul WannaCry cu un agent de curățare automat

O metodă extrem de eficientă de a trata malware în general și ransomware în special. Utilizarea unui complex de protecție bine dovedit garantează minuțiozitatea detectării oricăror componente virale, îndepărtarea completă cu un singur clic. Vă rugăm să rețineți că vorbim despre două procese diferite: dezinstalarea infecției și restaurarea fișierelor de pe computer. Cu toate acestea, amenințarea trebuie cu siguranță eliminată, deoarece există informații despre introducerea altor troieni de computer cu ajutorul acestuia.

1. Descărcați instrumentul de eliminare a virusurilor WannaCry... După pornirea software-ului, faceți clic pe butonul Porniți scanarea computerului(Începe scanarea). Descărcați programul pentru a elimina ransomware-ul Vreau să plâng .
2. Software-ul instalat va furniza un raport despre amenințările detectate în timpul scanării. Pentru a elimina toate amenințările găsite, selectați opțiunea Repara amenințări(Eliminați amenințările). Malware-ul în cauză va fi complet eliminat.

Restabiliți accesul la fișierele criptate

După cum sa menționat, ransomware-ul no_more_ransom blochează fișierele cu un algoritm de criptare puternic, astfel încât datele criptate nu pot fi reluate cu un val de baghetă magică - cu excepția cazului în care țineți cont de plata nemaiauzită a răscumpărării. Dar unele metode pot deveni cu adevărat o salvare care vă va ajuta să recuperați date importante. Mai jos vă puteți familiariza cu ele.

Program recuperare automată fișiere (decodor)

Se cunoaște o împrejurare foarte extraordinară. Această infecție șterge fișierele originale necriptate. Procesul de criptare ransomware vizează astfel copii ale acestora. Aceasta oferă o oportunitate pentru așa ceva software Cum Data Recovery Pro restaurați obiectele șterse, chiar dacă fiabilitatea eliminării lor este garantată. Este foarte recomandat să recurgeți la procedura de recuperare a fișierelor, eficacitatea acesteia este fără îndoială.

Copii umbra de volum

Abordarea se bazează pe procedura Windows Rezervă copie fișiere, care se repetă la fiecare punct de recuperare. O condiție importantă muncă aceasta metoda: System Restore trebuie activat înainte de infectare. Cu toate acestea, orice modificări aduse fișierului după punctul de restaurare nu vor fi afișate în versiunea restaurată a fișierului.

Backup

Aceasta este cea mai bună dintre toate metodele de non-răscumpărare. Dacă procedura de salvare a datelor pe un server extern a fost folosită înainte de atacul ransomware asupra computerului dvs., pentru a restaura fișierele criptate, trebuie pur și simplu să intrați în interfața corespunzătoare, să selectați fișierele necesare și să porniți mecanismul de recuperare a datelor din backup. Înainte de a efectua operația, trebuie să vă asigurați că ransomware-ul este complet eliminat.

Verificați posibilele componente reziduale ale ransomware-ului WannaCry

Curatenie in mod manual este plin de omisiunea anumitor fragmente de ransomware care pot evita ștergerea sub formă de obiecte ascunse ale sistemului de operare sau intrări de registry. Pentru a elimina riscul reținerii parțiale a anumitor elemente rău intenționate, scanați-vă computerul folosind un complex de software de securitate de încredere, specializat în software rău intenționat.

Decriptare

Dar nu există informații de la cei care au plătit pentru decriptare, la fel cum nu există informații despre intenția hackerilor de a calma sufletul oamenilor și de a decripta informațiile după plată ((((

Dar pe Habré a existat informații despre principiul de funcționare a butonului Decriptare, precum și despre faptul că atacatorii nu au o modalitate de a identifica utilizatorii care au trimis bila tac, ceea ce înseamnă că nimeni nu va restitui nimic victimelor:

„Criptorul creează două tipuri de fișiere: în primul rând, o parte este criptată folosind AES de 128 de biți, în timp ce cheia de decriptare generată este atașată direct fișierului criptat. Pentru fișierele criptate în acest mod, criptorul oferă extensia .wncyrși pe ei îi decriptează atunci când faceți clic pe Decriptare. Cea mai mare parte a ceea ce este criptat primește o extensie .wncry iar cheia nu mai este acolo.
În acest caz, criptarea nu se află în fișierul în sine, dar mai întâi este creat un fișier pe disc, unde este plasat conținutul criptat, apoi dosarul originalîndepărtat. În consecință, de ceva timp există șansa de a recupera unele dintre date folosind diverse utilitare de anulare a ștergerii.
Pentru a combate astfel de utilități, cryptor scrie în mod constant orice gunoi rămas pe disc, astfel încât spațiul pe disc să se consume suficient de repede.
Dar de ce încă nu există informații despre plată și mecanismele de verificare a acesteia, acest lucru este cu adevărat surprinzător. Probabil, influențează suma destul de decentă (300 USD), care este necesară pentru o astfel de verificare. ”

Creatorii virusului WannaCry au ocolit protecția temporară sub forma unui domeniu fără sens

Creatori Virusul ransomware WannaCry, care a afectat computerele din peste 70 de țări, a lansat o nouă versiune a acestuia. Îi lipsește codul pentru accesarea domeniului fără sens, cu ajutorul căruia s-a putut preveni răspândirea virusului original, scrie Motherboard. Publicația a primit confirmarea apariției unei noi versiuni a virusului de la doi specialiști care au studiat noi cazuri de infectare a computerelor. Unul dintre ei este Costin Raiu, șeful echipei internaționale de cercetare la Kaspersky Lab.

Experții nu au clarificat dacă au existat alte modificări în WannaCry.

Pe 13 mai, specialistul Proofpoint Darien Huss și autorul blogului MalwareTech au reușit să oprească răspândirea virusului - au descoperit că virusul se referea la un nume de domeniu fără sens și au înregistrat această adresă. După aceea, au descoperit că răspândirea WannaCry s-a oprit - totuși, experții au observat că creatorii virusului sunt probabil să lanseze în curând o versiune actualizată a programului.

Pe 12 aprilie 2017, au apărut informații despre răspândirea rapidă a unui virus ransomware numit WannaCry, care poate fi tradus prin „vreau să plâng”, în întreaga lume. Utilizatorii au întrebări despre actualizarea Windows de la virusul WannaCry.

Virusul de pe ecranul computerului arată astfel:

Virusul rău WannaCry care criptează totul

Virusul criptează toate fișierele de pe computer și cere o răscumpărare pentru portofelul Bitcoin în valoare de 300 sau 600 de dolari pentru a decripta computerul. Calculatoarele din 150 de țări ale lumii au fost infectate, cea mai afectată fiind Rusia.

Megafon, Căile Ferate Ruse, Ministerul Afacerilor Interne, Ministerul Sănătății și alte companii s-au întâlnit față în față cu acest virus. Printre victime se numără utilizatori obișnuiți Internetul.

Aproape toți sunt egali înaintea virusului. Diferența, poate, este că în companii virusul se răspândește în întreaga rețea locală din cadrul organizației și infectează instantaneu cât mai multe computere posibil.

Virusul WannaCry criptează fișierele de pe computere care utilizează Windows. V MicrosoftÎn martie 2017, au fost lansate actualizări pentru MS17-010 versiuni diferite Windows XP, Vista, 7, 8, 10.

Se pare că cei care îl au configurat actualizare automata Windows sunt în afara zonei de risc pentru virus, deoarece au primit actualizarea în timp util și au reușit să o evite. Nu mă presupun să spun că așa este cu adevărat.

Orez. 3. Mesaj la instalarea actualizării KB4012212

Actualizarea KB4012212 după instalare a necesitat o repornire a laptopului, ceea ce nu mi-a plăcut prea mult, pentru că nu știu cum se poate termina, dar unde ar trebui să meargă utilizatorul? Cu toate acestea, repornirea a mers bine. Deci, trăim în pace până la următorul atac de virus, și că astfel de atacuri vor fi - din păcate, nu există niciun motiv de îndoială.

Unii viruși câștigă, alții apar din nou. Această luptă va fi evident fără sfârșit.

Video „Vreau să plâng”: virusul ransomware a infectat 75 de mii de sisteme în 99 de țări

Obțineți articole în tendințe alfabetizare informatică direct în căsuța dvs. de e-mail.
Deja mai multe 3.000 de abonați

.