Vreau să plâng cum se întâmplă infecția. Virusul Wanna Cry - o descriere a modului în care funcționează, tratament - cum să te protejezi

Mai multe organizații mari au raportat infecțiile deodată, inclusiv mai multe clinici britanice, care au fost nevoite să-și suspende activitatea. Potrivit datelor de la terți, WannaCry a infectat peste 200.000 de computere. De fapt, de aceea i se acordă atât de multă atenție.

Majoritatea atacurilor au căzut asupra Rusiei, dar și Ucraina, India, Taiwan au fost serios afectate de WannaCry; în total, am găsit WannaCry în 74 de țări. Și aceasta este doar prima zi a atacului.

Ce este WannaCry?

Criptează fișiere de diferite tipuri (este posibilă o listă completă), printre care, desigur, există documente de birou, fotografii, filme, arhive și alte formate de fișiere care pot conține informații potențial importante pentru utilizator. Fișierele criptate primesc extensia .WCRY (de unde și numele ransomware-ului) și devin complet ilizibile.

După aceea, schimbă imaginea de fundal de pe desktop, afișând acolo o notificare despre infecție și o listă de acțiuni care se presupune că trebuie efectuate pentru a returna fișierele. WannaCry împrăștie aceleași notificări sub formă de fișiere text printre folderele de pe computer, astfel încât utilizatorul să nu le rateze. Ca întotdeauna, totul se reduce la faptul că trebuie să transferi o anumită sumă în bitcoin echivalentă cu portofelul infractorilor cibernetici - și apoi se presupune că aceștia decriptează fișierele. La început, infractorii cibernetici au cerut 300 de dolari, dar apoi au decis să majoreze tarifele - în cele mai recente versiuni de WannaCry, cifra este de 600 de dolari.

Infractorii cibernetici intimidează și utilizatorul, susținând că după 3 zile valoarea răscumpărării va crește, iar după 7 zile fișierele vor fi imposibil de decriptat. Nu recomandăm să plătiți o răscumpărare infractorilor cibernetici - nu există nicio garanție că aceștia vă vor decripta datele după ce au primit o răscumpărare. Mai mult, în cazul altor ransomware, cercetătorii au demonstrat deja că uneori datele sunt pur și simplu șterse, adică nu există nicio modalitate de a le decripta fizic, deși atacatorii cer o răscumpărare de parcă nimic nu s-ar fi întâmplat.

Cum a suspendat înregistrarea domeniului infecția și de ce asta nu este tot

Interesant este că cercetătorul sub porecla Malwaretech a reușit să întrerupă infecția prin înregistrarea unui domeniu pe Internet cu un nume lung și complet lipsit de sens.

Se pare că unele mostre WannaCry au accesat acest domeniu și, dacă nu au primit un răspuns pozitiv, au instalat ransomware-ul și și-au început treaba murdară. Dacă a venit un răspuns (adică domeniul a fost înregistrat), atunci malware-ul ar opri orice activitate.

După ce a găsit o referință la acest domeniu în codul troianului, cercetătorul a înregistrat-o, oprind astfel atacul. În restul zilei, zeci de mii de solicitări au venit la domeniu, adică câteva zeci de mii de computere au fost salvate de la infecție.

Există o versiune în care această funcționalitate a fost încorporată în WannaCry ca comutator - în cazul în care ceva nu merge bine. O altă versiune, la care cercetătorul însuși aderă, este că aceasta este o modalitate de a complica analiza comportamentului malware-ului. În mediile de testare de cercetare, este adesea făcut în mod deliberat, astfel încât răspunsurile pozitive să vină din orice domeniu - caz în care troianul nu ar face nimic în mediul de testare.

Din păcate, în noile versiuni ale troianului, infractorii cibernetici trebuie doar să schimbe numele de domeniu specificat în comutator pentru ca infecția să continue. Deci prima zi a focarului WannaCry nu va fi probabil ultima.

Metode de protecție WannaCry

Din păcate, în prezent nu există nicio modalitate de a decripta fișierele criptate de WannaCry. Adică, singura modalitate de a lupta împotriva infecției este prevenirea acesteia.

Iată câteva sfaturi despre cum să evitați infecția sau cel puțin să reduceți daunele provocate:

• Faceți copii de rezervă ale fișierelor în mod regulat și stocați-le pe medii care nu sunt conectate permanent la computer. Dacă există o copie de rezervă proaspătă, atunci infectarea cu ransomware nu este o tragedie, ci doar pierderea a câteva ore pentru reinstalarea sau curățarea sistemului. Prea leneș să faci singur copii de rezervă - folosește modulul încorporat în Kaspersky Total Security, acesta poate automatiza acest proces.
• Instalați actualizări de software. În acest caz, tuturor utilizatorilor Windows li se recomandă insistent să instaleze actualizarea de securitate a sistemului MS17-010, mai ales că Microsoft a lansat-o chiar și pentru sistemele care nu mai sunt acceptate oficial, cum ar fi Windows XP sau Windows 2003. Serios, instalează-l chiar acum - acum este momentul în care contează cu adevărat.
• Utilizați un antivirus de încredere. Kaspersky Internet Security poate detecta WannaCry atât local, cât și atunci când încearcă să se răspândească în rețea. Mai mult, modulul System Watcher încorporat poate anula modificările nedorite, adică nu va permite criptarea fișierelor chiar și pentru acele versiuni de malware care nu au intrat încă în baza de date antivirus.

• Dacă aveți deja instalată soluția noastră de securitate, vă recomandăm să faceți următoarele: porniți manual scanarea zonelor critice și, dacă este detectat un malware cu verdictul MEM: Trojan.Win64.EquationDrug.gen (așa sunt soluțiile noastre antivirus). definiți WannaCry), reporniți sistemul.

După cum a raportat presa rusă, activitatea birourilor Ministerului de Interne din mai multe regiuni ale Rusiei a fost întreruptă din cauza unui ransomware care a lovit multe computere și amenință că va distruge toate datele. În plus, operatorul de telecomunicații Megafon a fost atacat.

Vorbim despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe un computer și cere să plătească o răscumpărare de 300 de dolari sau 600 de dolari în Bitcoin pentru decriptare.

@[email protected], fișiere criptate, extensia WNCRY. Sunt necesare un utilitar și instrucțiuni pentru decriptare.

WannaCry criptează fișierele și documentele cu următoarele extensii adăugând .WCRY la sfârșitul numelui fișierului:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Atacul WannaCry în întreaga lume

Atacurile au fost înregistrate în peste 100 de țări. Rusia, Ucraina și India se confruntă cu cele mai mari probleme. Virusul a fost raportat în Marea Britanie, SUA, China, Spania, Italia. Se observă că atacul hackerilor a afectat spitale și companii de telecomunicații din întreaga lume. O hartă interactivă a distribuției amenințării WannaCrypt este disponibilă pe Internet.

Cum are loc infectia

Potrivit utilizatorilor, virusul intră în computerele lor fără nicio acțiune din partea lor și se răspândește necontrolat în rețele. Pe forumul „Kaspersky Lab” indicați că nici măcar antivirusul inclus nu garantează securitatea.

Se pare că atacul WannaCry ransomware (Wana Decryptor) trece prin vulnerabilitatea Microsoft Security Bulletin MS17-010. Apoi a fost instalat un rootkit pe sistemul infectat, cu ajutorul căruia infractorii cibernetici au lansat programul de criptare. Toate soluțiile Kaspersky Lab detectează acest rootkit ca MEM: Trojan.Win64.EquationDrug.gen.

Probabil că infecția a avut loc cu câteva zile mai devreme, dar virusul s-a arătat abia după criptarea tuturor fișierelor de pe computer.

Cum să eliminați WanaDecryptor

Veți putea elimina amenințarea folosind un antivirus, majoritatea programelor antivirus detectează deja amenințarea. Definiții comune:

Avast Win32: WanaCry-A, AVG Ransom_r.CFY, Avira TR / FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32 / Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Răscumpărare: Win32 / WannaCrypt, urs panda Trj / RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Dacă ați lansat deja o amenințare pe computer și fișierele dvs. au fost criptate, este aproape imposibil să decriptați fișierele, deoarece atunci când vulnerabilitatea este exploatată, este lansat un criptator de rețea. Cu toate acestea, sunt deja disponibile mai multe opțiuni pentru instrumentele de decriptare:

Notă: Dacă fișierele dvs. au fost criptate, dar nu există o copie de rezervă, iar instrumentele de decriptare existente nu au ajutat, atunci este recomandat să salvați fișierele criptate înainte de a curăța amenințarea de pe computer. Acestea vor fi utile dacă în viitor este creat un instrument de decriptare care funcționează pentru dvs.

Microsoft: Instalați actualizări Windows

Microsoft a spus că utilizatorii cu antivirusul gratuit al companiei și Windows Update activat vor fi protejați de atacurile WannaCryptor.

Actualizările din 14 martie închid vulnerabilitatea sistemelor prin care se răspândește troianul ransomware. Astăzi, detectarea a fost adăugată bazelor de date antivirus Microsoft Security Essentials / Windows Defender pentru a proteja împotriva unui nou malware cunoscut sub numele de Ransom: Win32.WannaCrypt.

• Asigurați-vă că antivirusul este pornit și că sunt instalate cele mai recente actualizări.
• Instalați un antivirus gratuit dacă computerul dvs. nu are nicio protecție.
• Instalați cele mai recente actualizări de sistem în Windows Update:
  • Pentru Windows 7, 8.1 Din meniul Start, deschideți Panoul de control> Actualizare Windows și faceți clic pe „Verificați actualizări”.
  • Pentru Windows 10 accesați Setări> Actualizare și securitate și faceți clic pe Verificați actualizări.
• Dacă instalați manual actualizări, instalați patch-ul oficial MS17-010 de la Microsoft, care remediază vulnerabilitatea serverului SMB exploatată în atacul ransomware WanaDecryptor.
• Dacă antivirusul dvs. are protecție împotriva ransomware, activați-l. Site-ul nostru web are și o secțiune separată Protecție împotriva ransomware, de unde puteți descărca instrumente gratuite.
• Efectuați o scanare antivirus a sistemului.

Experții subliniază că cel mai simplu mod de a te proteja de un atac este să închizi portul 445.

• Tastați sc stop lanmanserver și apăsați Enter
• Introduceți pentru Windows 10: sc config lanmanserver start = dezactivat, pentru alte versiuni de Windows: sc config lanmanserver start = dezactivat și apăsați Enter
• Reporniți computerul
• La promptul de comandă, introduceți netstat -n -a | findstr „ASCULTARE” | findstr ": 445" pentru a vă asigura că portul este dezactivat. Dacă există linii goale, portul nu ascultă.

Dacă este necesar, deschideți portul înapoi:

• Rulați Command Prompt (cmd.exe) ca administrator
• Tastați pentru Windows 10: sc config lanmanserver start = auto, pentru alte versiuni de Windows: sc config lanmanserver start = auto și apăsați Enter
• Reporniți computerul

Notă: Portul 445 este folosit de Windows pentru partajarea fișierelor. Închiderea acestui port nu împiedică PC-ul să se conecteze la alte resurse de la distanță, dar alte PC-uri nu se vor putea conecta la acest sistem.

Astăzi, probabil, doar o persoană care este foarte departe de Internet știe despre infecțiile masive ale computerelor cu troianul ransomware WannaCry ("Vreau să plâng") care a început pe 12 mai 2017. Iar reactia celor care stiu, as imparti in 2 categorii opuse: indiferenta si panica. Ce inseamna asta?

Și faptul că informațiile fragmentare nu oferă o înțelegere completă a situației, dau naștere la speculații și lasă în urmă mai multe întrebări decât răspunsuri. Pentru a înțelege ce se întâmplă cu adevărat, cui și ce amenință, cum să vă protejați împotriva infecțiilor și cum să decriptați fișierele corupte de WannaCry, articolul de astăzi este dedicat.

Este „diavolul” într-adevăr atât de înfricoșător?

Nu înțeleg ce fel de tam-tam în jurVreau să plâng? Există mulți viruși, alții noi apar în mod constant. Ce e special la acesta?

WannaCry (alte denumiri WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nu este un cyber-malware obișnuit. Motivul notorietății sale este cantitatea enormă de pagube cauzate. Potrivit Europol, acesta a perturbat funcționarea a peste 200.000 de computere Windows în 150 de țări din întreaga lume, iar pagubele suferite de proprietarii acestora s-au ridicat la peste 1.000.000.000 de dolari, iar asta doar în primele 4 zile de distribuție. Majoritatea victimelor sunt în Rusia și Ucraina.

Știu că virușii intră în computere prin site-uri pentru adulți. Nu vizitez astfel de resurse, așa că nu sunt în pericol.

Virus? Aceasta este o problemă și pentru mine. Când virușii pornesc pe computerul meu, rulez utilitarul *** și după o jumătate de oră totul este bine. Și dacă nu ajută, reinstalez Windows.

Virus la virus - ceartă. WannaCry este un troian ransomware, un vierme de rețea capabil să se răspândească pe rețelele locale și pe Internet de la un computer la altul fără intervenția umană.

Majoritatea programelor rău intenționate, inclusiv ransomware-ul, încep să funcționeze numai după ce utilizatorul „înghite momeala”, adică face clic pe un link, deschide un fișier etc. nu trebuie să faci nimic pentru a te infecta cu WannaCry!

Odată ajuns pe un computer cu Windows, malware-ul criptează cea mai mare parte a fișierelor utilizatorului într-un timp scurt, după care afișează un mesaj prin care se cere o răscumpărare în valoare de 300-600 USD, care trebuie transferată în portofelul specificat în termen de 3 zile. În caz de întârziere, el amenință că va face imposibilă decriptarea fișierelor în 7 zile.

În același timp, malware-ul caută lacune pentru a pătrunde în alte computere și, dacă îl găsește, infectează întreaga rețea locală. Aceasta înseamnă că copiile de rezervă ale fișierelor stocate pe mașinile vecine devin și ele inutilizabile.

Eliminarea unui virus de pe computer nu decriptează fișierele! Reinstalarea sistemului de operare este aceeași. Dimpotrivă, dacă sunt infectate cu ransomware, ambele acțiuni vă pot face imposibilă recuperarea fișierelor chiar dacă aveți o cheie validă.

Deci da, „diavolul” este destul de înfricoșător.

Cum se răspândește WannaCry

Minți. Virusul poate pătrunde în computerul meu doar dacă îl descarc singur. Și sunt vigilent.

Multe programe rău intenționate sunt capabile să infecteze computerele (și dispozitivele mobile, de altfel, de asemenea) prin vulnerabilități - erori în codul componentelor sistemului de operare și a programelor care deschid oportunitatea atacatorilor cibernetici de a folosi o mașină de la distanță în propriile scopuri. . WannaCry, în special, se răspândește prin vulnerabilitatea 0-day din protocolul SMB (vulnerabilitățile zero-day sunt erori care nu au fost remediate de malware/spyware în momentul exploatării lor).

Adică, pentru a infecta un computer cu un vierme ransomware, sunt suficiente două condiții:

• Conexiuni la o rețea în care există alte mașini infectate (Internet).
• Prezența lacunei de mai sus în sistem.

De unde a apărut această infecție? Acestea sunt trucurile hackerilor ruși?

Potrivit unor rapoarte (nu sunt responsabil pentru acuratețe), Agenția Națională de Securitate din SUA a fost prima care a descoperit defectul în protocolul de rețea SMB, care este folosit pentru accesul legal de la distanță la fișiere și imprimante în Windows. În loc să-l raporteze la Microsoft pentru a remedia eroarea, NSA a decis să-l folosească ea însăși și a dezvoltat un exploit pentru aceasta (un program care exploatează vulnerabilitatea).

Vizualizarea dinamicii distribuției WannaCry pe intel.malwaretech.com

Ulterior, această exploatare (cu nume de cod EternalBlue), care a servit de ceva timp NSA la infiltrarea computerelor fără știrea proprietarilor, a fost furată de hackeri și a stat la baza creării ransomware-ului WannaCry. Adică, datorită acțiunilor nu în întregime legale și etice ale guvernului SUA, autorii virusului au aflat despre vulnerabilitate.

Am dezactivat instalarea actualizărilorWindows. Nafig este necesar atunci când și fără ele totul funcționează.

Motivul pentru o răspândire atât de rapidă și pe scară largă a epidemiei este absența la acel moment a unui „patch” – o actualizare Windows care ar putea închide lacuna Wanna Cry. La urma urmei, a fost nevoie de timp pentru a-l dezvolta.

Astăzi există un astfel de patch. Utilizatorii care actualizează sistemul l-au primit automat în primele ore după lansare. Iar cei care cred că actualizările nu sunt necesare sunt încă expuși riscului de infecție.

Cine este expus riscului unui atac WannaCry și cum să se apere împotriva acestuia

Din câte știu eu, mai mult de 90% dintre computere sunt infectateWannaCry, a fugit sub controlWindows 7. Am un „zece”, ceea ce înseamnă că nimic nu mă amenință.

Toate sistemele de operare care utilizează protocolul de rețea SMB v1 sunt expuse riscului de infectare cu WannaCry. Acest:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v 1607
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

Astăzi, utilizatorii sistemelor pe care nu le-au instalat riscă să capteze malware prin rețea (disponibil pentru descărcare gratuită de pe technet.microsoft.com, care este legat). Pot fi descărcate corecții pentru Windows XP, Windows Server 2003, Windows 8 și alte sisteme de operare neacceptate. De asemenea, descrie cum se verifică o actualizare de salvare.

Dacă nu cunoașteți versiunea sistemului de operare de pe computer, apăsați combinația de taste Win + R și rulați comanda winver.

Pentru a consolida protecția, precum și dacă este imposibil să actualizați sistemul acum, Microsoft oferă instrucțiuni pentru dezactivarea temporară a protocolului SMB versiunea 1. Acestea sunt localizate și. În plus, dar nu neapărat, puteți închide portul TCP care servește SMB prin firewall 445.

Am cel mai bun antivirus din lume ***, cu el pot face orice și nu mi-e frică de nimic.

WannaCry se poate răspândi nu numai prin metoda autopropulsată descrisă mai sus, ci și în modurile obișnuite - prin rețele sociale, e-mail, resurse web infectate și de phishing etc. Și există astfel de cazuri. Dacă descărcați și rulați manual un program rău intenționat, atunci nici antivirusul, nici patch-urile care închid vulnerabilitățile nu vă vor salva de infecție.

Cum funcționează virusul, ce criptează

Da, lasă-l să cripteze ce vrea. Prietenul meu este programator, va descifra totul pentru mine. Ca ultimă soluție, vom găsi cheia prin forță brută.

Ei bine, va cripta câteva fișiere, deci ce? Nu mă va împiedica să lucrez la computerul meu.

Din păcate, nu va decripta, deoarece nu există modalități de a rupe algoritmul de criptare RSA-2048 pe care Wanna Cry îl folosește și nu va apărea în viitorul apropiat. Și nu va cripta câteva fișiere, ci aproape totul.

Nu voi oferi o descriere detaliată a activității malware-ului, care sunt interesați, vă puteți familiariza cu analiza acestuia, de exemplu, în. Voi marca doar momentele cele mai semnificative.

Fișierele cu următoarele extensii sunt criptate: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt,. xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg,. djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf,. ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx , .der.

După cum puteți vedea, există documente, fotografii, video și audio, arhive, e-mail și fișiere create în diverse programe... Malware-ul încearcă să ajungă la fiecare director din sistem.

Obiectele criptate au o expansiune dublă cu postscriptul WNCRY, de exemplu, „Document1.doc.WNCRY”.

După criptare, virusul copiază un fișier executabil în fiecare folder @[email protected] - aparent pentru decriptare după răscumpărare, precum și un document text @[email protected] cu un mesaj către utilizator.

Apoi, încearcă să ștergă copiile umbră și punctele de restaurare Windows. Dacă UAC rulează pe sistem, utilizatorul trebuie să confirme această operație. Dacă respingi solicitarea, va exista șansa de a restaura datele din copii.

WannaCry transmite cheile de criptare ale sistemului afectat către centrele de comandă situate în rețeaua Tor, după care le șterge de pe computer. Pentru a găsi alte mașini vulnerabile, scanează rețeaua locală și intervalele IP arbitrare de pe Internet și, odată ce le găsește, pătrunde în tot ceea ce poate ajunge.

Astăzi, analiștii sunt la curent cu mai multe modificări ale WannaCry cu diferite mecanisme de distribuție și se așteaptă să apară altele noi în viitorul apropiat.

Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul

Văd fișierele schimbând extensiile. Ce se întâmplă? Cum oprești asta?

Criptarea nu este un proces într-un singur pas, deși nu este prea lung. Dacă ați reușit să observați înainte ca mesajul ransomware să apară pe ecran, puteți salva unele dintre fișiere oprind imediat alimentarea computerului. Nu prin oprirea sistemului, dar prin smulgerea ștecherului!

Când Windows pornește în modul normal, criptarea va continua, așa că este important să o preveniți. Următoarea pornire a computerului trebuie să aibă loc fie în modul sigur, în care virușii nu sunt activi, fie de pe un alt mediu de pornire.

Fișierele mele sunt criptate! Virusul cere o răscumpărare pentru ei! Ce să faci, cum să decriptezi?

Decriptarea fișierelor după WannaCry este posibilă numai dacă există o cheie secretă, pe care atacatorii promit să o furnizeze de îndată ce victima le transferă suma de răscumpărare. Cu toate acestea, astfel de promisiuni nu sunt aproape niciodată îndeplinite: de ce ar trebui să se deranjeze distribuitorii de programe malware când au obținut deja ceea ce și-au dorit?

În unele cazuri, problema poate fi rezolvată fără răscumpărare. Până în prezent, au fost dezvoltate 2 decodoare WannaCry: și. Primul funcționează numai în Windows XP, iar al doilea, creat pe baza primului, - în Windows XP, Vista și 7 x86, precum și în sistemele nordice 2003, 2008 și 2008R2 x86.

Algoritmul de funcționare al ambelor decriptoare se bazează pe căutarea cheilor secrete în memoria procesului de criptare. Aceasta înseamnă că doar cei care nu au avut timp să-și repornească computerul au șansa de a decripta. Și dacă nu a trecut prea mult timp după criptare (memoria nu a fost suprascrisă de un alt proces).

Deci, dacă sunteți un utilizator Windows XP-7 x86, primul lucru de făcut după ce apare mesajul de răscumpărare este să deconectați computerul de la rețeaua locală și de la Internet și să rulați decriptorul WanaKiwi descărcat pe alt dispozitiv. Nu efectuați alte acțiuni pe computer înainte de a scoate cheia!

Puteți citi descrierea activității decriptorului WanaKiwi într-un altul.

După decriptarea fișierelor, rulați un antivirus pentru a elimina malware-ul și instalați un patch care îi închide căile de distribuție.

Astăzi, WannaCry recunoaște aproape toate programele antivirus, cu excepția celor care nu sunt actualizate, așa că aproape oricare va funcționa.

Cum să trăiești această viață mai departe

Epidemia autopropulsată a luat lumea prin surprindere. Pentru tot felul de servicii de securitate, s-a dovedit a fi la fel de neașteptat ca și debutul iernii de la 1 decembrie pentru utilitățile publice. Motivul este nepăsarea și poate. Consecințe - pierderi ireparabile de date și daune. Și pentru creatorii de malware - un stimulent pentru a continua în același spirit.

Potrivit analiștilor, WanaCry a plătit distribuitorilor dividende foarte bune, ceea ce înseamnă că astfel de atacuri se vor repeta. Iar cei care sunt duși acum nu vor fi neapărat duși mai târziu. Desigur, dacă nu vă faceți griji în avans.

Deci, pentru a nu fi nevoit să plângi vreodată pentru fișierele criptate:

• Nu refuzați să instalați actualizări ale sistemului de operare și aplicațiilor. Acest lucru vă va proteja de 99% dintre amenințările care se răspândesc prin vulnerabilități nepatificate.
• Continua.
• Faceți copii de rezervă ale fișierelor importante și stocați-le pe un alt mediu fizic, sau mai bine - pe mai multe. În rețelele corporative, este optim să folosiți baze de date de stocare distribuite, utilizatorii casnici pot adopta servicii cloud gratuite precum Yandex Drive, Google Drive, OneDrive, MEGASynk etc.
• Alegeți sisteme de operare de încredere. Windows XP nu este.
• Instalați o clasă cuprinzătoare de antivirus Internet Security și protecție suplimentară împotriva ransomware-ului, de exemplu. Sau analogi ai altor dezvoltatori.
• Creșteți-vă nivelul de alfabetizare în combaterea troienilor de criptare. De exemplu, furnizorul de antivirus Dr.Web l-a pregătit pentru utilizatorii și administratorii diferitelor sisteme. O mulțime de informații utile și, cel mai important, de încredere sunt conținute în blogurile altor dezvoltatori A/V.

Și cel mai important: chiar dacă ați suferit, nu transferați bani către infractorii cibernetici pentru decriptare. Probabilitatea să fiți înșelat este de 99%. În plus, dacă nimeni nu plătește, afacerea de extorcare va deveni lipsită de sens. În caz contrar, răspândirea unei astfel de infecții va crește.

Mai multe pe site:

Epidemia WannaCry: Răspunsul la întrebările frecvente și dezmințirea concepțiilor greșite ale utilizatorilor actualizat: 27 mai 2017 de autor: Johnny mnemonic

Vă puteți proteja de Wanna Cry urmând câteva reguli simple:

actualizați sistemul la timp - toate computerele infectate nu au fost actualizate

utilizați un sistem de operare licențiat

nu deschide e-mailuri discutabile

Potrivit rapoartelor media, furnizorii de software antivirus vor lansa actualizări pentru a combate Wanna Cry, așa că nici actualizarea antivirusului nu ar trebui să fie amânată.

Toată lumea pare să fi auzit despre atacul ransomware WannaCry. Am scris deja două postări despre asta - cu o poveste generală despre ceea ce s-a întâmplat și cu sfaturi pentru afaceri. Și am aflat că nu toată lumea înțelege ce, unde și cum să actualizeze pentru a închide vulnerabilitatea din Windows prin care WannaCry a pătruns în computere. Vă vom spune ce trebuie făcut și de unde să obțineți patch-urile.

1. Aflați versiunea de Windows pe computer

În primul rând, este important ca ransomware-ul WannaCry să existe numai pentru Windows. Dacă dispozitivul dvs. folosește macOS, iOS, Android, Linux sau orice altceva ca sistem de operare, atunci acest malware nu reprezintă o amenințare pentru acesta.

Dar pentru dispozitivele Windows este valabil. Dar diferite versiuni de Windows au nevoie de patch-uri diferite. Deci, înainte de a instala orice, trebuie să vă dați seama ce versiune de Windows aveți.

Acest lucru se face astfel:

• Apăsați simultan tastele și [R] de pe tastatură.
• În fereastra care apare, intrați învingătorși faceți clic pe OK. Fereastra care apare va indica versiunea dvs. de Windows.
• Dacă nu știți dacă sistemul dvs. este pe 32 de biți sau pe 64 de biți, puteți descărca pur și simplu ambele actualizări pentru Windows pe 32 de biți și pe 64 de biți - una dintre ele va fi instalată.

2. Instalați patch-ul MS17-010, care remediază vulnerabilitatea Windows

• descărcați versiunea gratuită de 30 de zile a Kaspersky Internet Security. Dacă aveți deja instalată o soluție de securitate Kaspersky Lab, procedați în felul următor.
  • Asigurați-vă că aveți modulul activat Monitorizarea activitatii... Pentru a face acest lucru, mergeți la setări, selectați secțiunea Protecţieși asigurați-vă că punctul opus Monitorizarea activitatii scris Pe.
  • Rulați o scanare rapidă a computerului pentru viruși. Pentru a face acest lucru, în interfața soluției antivirus, selectați secțiunea Examinare, conține articolul Verificare rapidași apoi apăsați Rulați verificarea.
  • Dacă antivirusul detectează malware cu verdictul Trojan.Win64.EquationDrug.gen, acesta trebuie eliminat și apoi repornit.

  Toți, sunteți protejați de WannaCry. Acum aveți grijă de familia și prietenii care nu știu să-și protejeze singuri dispozitivele.

Virus ransomware Vreau să plâng, sau Vreau decriptor, a lovit zeci de mii de computere din întreaga lume. În timp ce cei care au fost atacați așteaptă o soluție la problemă, utilizatorii neafectați ar trebui să folosească toate liniile de apărare posibile. Una dintre modalitățile de a scăpa de o infecție cu virus și de a vă proteja de răspândirea WannaCry este să închideți porturile 135 și 445, prin care nu numai WannaCry, ci și majoritatea troienilor, ușilor din spate și a altor programe rău intenționate pătrund în computer. Există mai multe mijloace pentru a acoperi aceste lacune.

Metoda 1. Protecție împotriva WannaCry - folosind un firewall

Fereastra principală a programului conține o listă de porturi (135-139, 445, 5000) și informații scurte despre acestea - pentru ce servicii sunt utilizate, indiferent dacă sunt deschise sau închise. Fiecare port are un link către declarația oficială de securitate Microsoft.

1. Pentru a închide porturile utilizând Windows Worms Doors Cleaner de la WannaCry, trebuie să faceți clic pe butonul Dezactivare.
2. După aceea, crucile roșii vor fi înlocuite cu bifă verzi și vor apărea inscripții care indică faptul că porturile au fost blocate cu succes.
3. După aceea, programul trebuie să fie închis și computerul trebuie repornit.

Metoda 3. Închiderea porturilor prin dezactivarea serviciilor de sistem

Este logic că porturile sunt necesare nu numai de viruși precum WannaCry - în condiții normale sunt folosite de serviciile de sistem de care majoritatea utilizatorilor nu au nevoie și pot fi dezactivate cu ușurință. După aceea, porturile nu vor avea niciun motiv să se deschidă, iar programele rău intenționate nu vor putea pătrunde în computer.

Închiderea portului 135

Portul 135 este utilizat de serviciu DCOM (COM distribuit), care este necesar pentru a conecta obiecte pe diferite mașini din rețeaua locală. Tehnologia este foarte greu utilizată în sistemele moderne, astfel încât serviciul poate fi dezactivat în siguranță. Acest lucru se poate face în două moduri - folosind un utilitar special sau prin intermediul registrului.

Folosind utilitarul, serviciul este dezactivat după cum urmează:

În Windows Server 2003 și sistemele mai vechi, trebuie să efectuați o serie de operațiuni suplimentare, dar deoarece virusul WannaCry este periculos numai pentru versiunile moderne ale sistemului de operare, nu are rost să atingeți acest punct.

Prin intermediul registrului, portul din programul virus WannaCry este închis după cum urmează:

1. 1. Lansează editorul de registry (regedit în fereastra Run).
2. 2. În căutarea unei chei HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Ole.
3. 3. Parametrul EnableDCOM se schimbă de la Y la N.
4. 4. Computerul repornește.

Registrul poate fi editat numai folosind un cont de administrator.

Închiderea portului 445

Portul 445 este utilizat de serviciu NetBT- un protocol de rețea care permite programelor vechi care se bazează pe API-ul NetBIOS să funcționeze în rețelele moderne TCP/IP... Dacă nu există un astfel de software antic pe computer, portul poate fi blocat în siguranță - acest lucru va închide ușa din față pentru răspândirea virusului WannaCry. Acest lucru se poate face prin setările de conexiune la rețea sau prin editorul de registry.

Prima cale:

1. 1. Sunt deschise proprietățile conexiunii utilizate.
2. 2. Deschide proprietățile TCP / IPv4.
3. 3. Este apăsat butonul „Avansat...”.
4. 4. În fila WINS, bifați caseta de lângă Disable NetBIOS over TCP / IP.

Microsoft a spus că utilizatorii cu antivirusul gratuit al companiei și Windows Update activat vor fi protejați de atacurile WannaCryptor.

Actualizările din 14 martie închid vulnerabilitatea sistemelor prin care se răspândește troianul ransomware. Astăzi, detectarea a fost adăugată bazelor de date antivirus Microsoft Security Essentials / Windows Defender pentru a proteja împotriva unui nou malware cunoscut sub numele de Ransom: Win32.WannaCrypt.

Asigurați-vă că antivirusul este pornit și că sunt instalate cele mai recente actualizări.
Instalați un antivirus gratuit dacă computerul dvs. nu are nicio protecție.
Instalați cele mai recente actualizări de sistem în Windows Update:
Pentru Windows 7, 8.1, din meniul Start, deschideți Panou de control> Actualizare Windows și faceți clic pe „Căutați actualizări”.
Pentru Windows 10, accesați Setări> Actualizare și securitate și faceți clic pe Verificați actualizări.
Dacă instalați manual actualizări, instalați patch-ul oficial MS17-010 de la Microsoft, care remediază vulnerabilitatea serverului SMB exploatată în atacul ransomware WanaDecryptor.
Dacă antivirusul dvs. are protecție împotriva ransomware, activați-l. Site-ul nostru web are și o secțiune separată Protecție împotriva ransomware, de unde puteți descărca instrumente gratuite.
Efectuați o scanare antivirus a sistemului.
Cum se închide portul 445

Experții subliniază că cel mai simplu mod de a te proteja de un atac este să închizi portul 445.

Cum se închide portul 445

Tastați sc stop lanmanserver și apăsați Enter
Introduceți pentru Windows 10: sc config lanmanserver start = dezactivat, pentru alte versiuni de Windows: sc config lanmanserver start = dezactivat și apăsați Enter
Reporniți computerul
La promptul de comandă, introduceți netstat -n -a | findstr „ASCULTARE” | findstr „: 445 ″ pentru a vă asigura că portul este dezactivat. Dacă există linii goale, portul nu ascultă.
Cum se închide portul 445

Dacă este necesar, deschideți portul înapoi:

Rulați Command Prompt (cmd.exe) ca administrator
Tastați pentru Windows 10: sc config lanmanserver start = auto, pentru alte versiuni de Windows: sc config lanmanserver start = auto și apăsați Enter
Reporniți computerul
Notă: Portul 445 este utilizat de Windows pentru partajarea fișierelor. Închiderea acestui port nu împiedică PC-ul să se conecteze la alte resurse de la distanță, dar alte PC-uri nu se vor putea conecta la acest sistem.

Tratament de la Wanna Cryptor

Epidemia de criptare WannaCry: ce să faci pentru a evita infecția. Ghid pas cu pas

În seara zilei de 12 mai, a fost detectat un atac pe scară largă al ransomware-ului WannaCryptor (WannaCry), care criptează toate datele de pe PC-urile și laptopurile care rulează Windows. Ca răscumpărare pentru decriptare, programul necesită 300 USD în bitcoini (aproximativ 17.000 de ruble).

Lovitura principală a căzut asupra utilizatorilor și companiilor ruși. În acest moment, WannaCry a reușit să lovească aproximativ 57.000 de computere, inclusiv rețelele corporative ale Ministerului Afacerilor Interne, Căile Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, despre atacuri asupra sistemelor lor.

Vă spunem ce trebuie făcut chiar acum pentru a evita infectarea.

1. Criptorul exploatează o vulnerabilitate Microsoft din martie 2017. Pentru a minimiza amenințarea, trebuie să vă actualizați urgent versiunea de Windows:

Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați

2. Chiar dacă sistemul nu a fost actualizat și WannaCry a ajuns la computer - atât soluțiile corporative, cât și cele de acasă ESET NOD32 detectează și blochează cu succes toate modificările.

5. Pentru a detecta amenințările necunoscute, produsele noastre folosesc tehnologii comportamentale, euristice. Dacă un virus se comportă ca un virus, cel mai probabil este un virus. Astfel, sistemul cloud ESET LiveGrid a respins cu succes atacul din 12 mai, chiar înainte ca bazele de date de semnături să fie actualizate.

Care este numele corect al virusului Wana Decryptor, WanaCrypt0r, Wanna Cry sau Wana Decrypt0r?

De la prima detectare a virusului, multe mesaje diferite despre acest virus ransomware au apărut în rețea și sunt adesea numite cu nume diferite. Acest lucru s-a întâmplat din mai multe motive. Înainte de apariția virusului Wana Decrypt0r, prima sa versiune a fost Vrei să decriptezi0r, a cărui principală diferență a fost metoda de distribuție. Această primă variantă nu a devenit la fel de cunoscută ca fratele său mai mic, dar datorită acestui fapt, în unele știri, noul virus ransomware poartă numele fratelui său mai mare, și anume Wanna Cry, Wanna Decryptor.

Dar totuși numele principal este Vreau să decrypt0r, deși majoritatea utilizatorilor în loc de numărul „0” tastează litera „o”, ceea ce ne aduce la nume Vreau decriptor sau WanaDecryptor.

Și numele de familie prin care acest virus ransomware este adesea numit de utilizatori este Virusul WNCRY, adică prin extensia care se adaugă la numele fișierelor care au suferit criptare.

Pentru a minimiza riscul apariției virușilor Wanna crу pe computere, specialiștii „Laboratoarele lui Kopersky” sfătuiesc să instaleze toate sistemele de operare Windows posibile. Ideea este că acest program periculos funcționează numai cu computerele care rulează pe acest software.

Virusul Wanna Cry: Cum se răspândește

Mai devreme, am menționat această metodă de răspândire a virușilor în articolul despre comportamentul sigur pe Internet, așa că nu este nimic nou.

Wanna Cry este distribuită în felul următor: O scrisoare cu un atașament „inofensiv” este trimisă în căsuța poștală a utilizatorului - poate fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea un executabil extensia fișierului - exe. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și un virus care criptează datele utilizatorului este încărcat printr-o vulnerabilitate în sistemul de operare Windows, informează therussiantimes.com despre acest lucru.

Wanna Cry Virus: Descrierea virusului

Wanna Cry (la oamenii obișnuiți a fost deja supranumit Vona Kray) aparține categoriei de viruși ransomware (criptor), care, atunci când ajunge pe un computer, criptează fișierele utilizatorului cu un algoritm criptografic, ulterior, citirea acestor fișiere devine imposibilă. .
În prezent, se știe că următoarele extensii de fișiere populare sunt criptate de Wanna Cry:

Fișiere Microsoft Office populare (.xlsx, transmise de therussiantimes.com.xls, .docx, .doc).
Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry este un program numit WanaCrypt0r 2.0 care atacă exclusiv computerele Windows. Programul folosește o „gaură” în sistem - Microsoft Security Bulletin MS17-010, a cărei existență era necunoscută anterior. Pentru decriptare, programul necesită o răscumpărare în valoare de 300 USD până la 600 USD. Apropo, în prezent, peste 42 de mii de dolari au fost deja transferați în conturile hackerilor, potrivit The Guardian.

Vineri, 12 mai, a început o epidemie a troianului ransomware WannaCry, care a atacat mii de computere din peste 70 de țări din întreaga lume.

Harta de infiltrare WannaCry. Sursa: blogul Kaspersky Lab.

Folosind un exploit, infractorii cibernetici obțin acces de la distanță la un computer și instalează un ransomware pe acesta. Dacă un patch este instalat pe computer, nu va funcționa să piratați computerul de la distanță. Dar experții atrag separat atenția asupra faptului că închiderea vulnerabilității nu interferează în niciun fel cu ransomware-ul. Dacă utilizatorul îl lansează cumva, patch-ul nu se va salva.

Odată pe un computer, WannaCry poate infecta întreaga rețea locală și poate cripta toate computerele de pe acesta. Prin urmare, companiile mari au suferit cel mai mult - cu cât sunt mai multe computere în rețea, cu atât sunt mai mari daunele.

Ce se întâmplă după infecție

După infectare, utilizatorii pierd accesul la date și văd screensaver-ul standard în astfel de cazuri cerând bani. La început, infractorii cibernetici au cerut 300 USD în bitcoini, apoi 600 USD. Infractorii cibernetici se mai sperie ca dupa 3 zile suma de plata va creste, iar dupa 7 zile fisierele vor fi imposibil de decriptat.

Experții notează că infractorii cibernetici nu trebuie plătiți - nu există garanții că vor returna datele după primirea răscumpărării. În general, conform Kaspersky Lab, în ​​prezent nu există nicio modalitate de a decripta fișierele criptate de WannaCry. Adică, dacă ai devenit deja victimă a infecției, trebuie doar să o suporti.

Cum să preveniți infecția sau cel puțin să reduceți daunele:

• Faceți în mod regulat copii de rezervă ale fișierelor și stocați-le pe medii care nu sunt conectate permanent la computer (sau într-un cloud de încredere). Dacă aveți o copie de rezervă nouă, infecția cu ransomware nu se va transforma într-o tragedie, ci va necesita doar câteva ore pentru a reinstala sau curăța sistemul.
• Instalarea la timp a actualizărilor software. În cazul WannaCry, toți utilizatorii de Windows sunt încurajați să instaleze actualizarea de securitate a sistemului MS17-010, mai ales că Microsoft a lansat-o chiar și pentru sistemele care nu mai sunt acceptate oficial, cum ar fi Windows XP sau Windows 2003. Este important!
• Antivirus de încredere. Există opțiuni, dar rețineți că, în situația cu WannaCry, nu toate antivirusurile și-au arătat eficacitatea - unii pur și simplu nu au văzut pericolul.

De asemenea, observăm că aceste recomandări se aplică utilizatorilor altor sisteme de operare care sunt considerate invulnerabile. În primul rând, sistemele de operare invulnerabile nu există în principiu. În al doilea rând, o copie de rezervă nu este niciodată de prisos - pe lângă ransomware-ul de criptare, există multe alte modalități de a pierde date.

O postare detaliată despre WannaCry și protecția împotriva acestuia poate fi găsită pe blogul Kaspersky Lab.