Virus ransomware WannaCry, ose Deshifror Wana, goditi dhjetëra mijëra kompjuterë në mbarë botën. Ndërsa ata që janë nën sulm janë duke pritur për një zgjidhje për problemin, përdoruesit e paprekur duhet të përdorin të gjitha linjat e mundshme të mbrojtjes. Një nga mënyrat për të hequr qafe një infeksion virusi dhe për t'u mbrojtur nga përhapja e WannaCry është mbyllja e porteve 135 dhe 445, përmes të cilave jo vetëm WannaCry, por edhe shumica e Trojanëve, backdoors dhe programeve të tjera me qëllim të keq depërtojnë në kompjuter. Ka disa mënyra për të mbuluar këto boshllëqe.
Metoda 1. Mbrojtja kundër WannaCry - duke përdorur një Firewall
Një mur zjarri, i njohur gjithashtu si një mur zjarri, në kuptimin klasik është një mur që ndan pjesët e ndërtesave për t'i mbrojtur ato nga zjarri. Një mur zjarri kompjuterik funksionon në një mënyrë të ngjashme - mbron një kompjuter të lidhur me internetin nga informacioni i panevojshëm duke filtruar paketat hyrëse. Shumica e programeve të murit të zjarrit mund të rregullohen mirë, përfshirë. dhe mbyllni porte të caktuara.
Ka shumë lloje të mureve të zjarrit. Firewall-i më i thjeshtë është një mjet standard i Windows që ofron mbrojtje bazë dhe pa të cilin PC nuk do të kishte zgjatur 2 minuta në një gjendje "të pastër". Muret e zjarrit të palëve të treta, të tilla si ato të integruara në programet antivirus, funksionojnë shumë më me efikasitet.
Avantazhi i mureve të zjarrit është se ato bllokojnë të gjitha lidhjet që nuk përputhen me një grup të caktuar rregullash, d.m.th. punojnë në parimin "çdo gjë që nuk lejohet është e ndaluar". Për shkak të kësaj, kur përdorni një mur zjarri për t'u mbrojtur kundër virusit WannaCry, do t'ju duhet të hapni portat e nevojshme në vend që të mbyllni ato të panevojshme. Mund të siguroheni që muri i zjarrit i Windows 10 po funksionon duke hapur cilësimet e programit përmes kërkimit dhe duke shkuar te opsionet e avancuara. Nëse portet janë të hapura si parazgjedhje, mund të mbyllni 135 dhe 445 duke krijuar rregulla të përshtatshme përmes cilësimeve të murit të zjarrit në seksionin "Inbound".
Megjithatë, në disa raste, muri i zjarrit nuk mund të përdoret. Pa të, do të jetë më e vështirë të mbrohesh kundër malware WannaCry, por do të jetë e lehtë të mbyllësh vrimat më të dukshme.
Një mënyrë efektive për t'u mbrojtur kundër Wana Descrypt0r është ilustruar në video!
Metoda 2. Blloko përhapjen e virusit me Windows Worms Doors Cleaner
Pastrues i dyerve të krimbave të dritareve- ky program i thjeshtë peshon vetëm 50 KB dhe ju lejon të mbyllni portat 135, 445 dhe disa të tjera me një klikim nga virusi WannaCry.
Ju mund ta shkarkoni Windows Worms Doors Cleaner nga lidhja: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe
Dritarja kryesore e programit përmban një listë portash (135-139, 445, 5000) dhe informacion të shkurtër rreth tyre - për cilat shërbime përdoren, qofshin ato të hapura apo të mbyllura. Çdo port ka një lidhje me deklaratën zyrtare të sigurisë së Microsoft.
- Për të mbyllur portet duke përdorur pastruesin e dyerve të Windows Worms të WannaCry, duhet të klikoni butonin Disable.
- Pas kësaj, kryqet e kuqe do të zëvendësohen me shenja të gjelbërta dhe do të shfaqen mbishkrime që tregojnë se portat janë bllokuar me sukses.
- Pas kësaj, programi duhet të mbyllet dhe kompjuteri duhet të riniset.
Metoda 3. Mbyllja e porteve duke çaktivizuar shërbimet e sistemit
Është logjike që portet të nevojiten jo vetëm nga viruset si WannaCry - në kushte normale ato përdoren nga shërbimet e sistemit që shumica e përdoruesve nuk kanë nevojë dhe mund të çaktivizohen lehtësisht. Pas kësaj, portet nuk do të kenë asnjë arsye për t'u hapur, dhe programet me qëllim të keq nuk do të jenë në gjendje të depërtojnë në kompjuter.
Mbyllja e portit 135
Porti 135 është në përdorim nga shërbimi DCOM (COM i shpërndarë), i cili nevojitet për të lidhur objekte në makina të ndryshme në rrjetin lokal. Teknologjia pothuajse nuk përdoret në sistemet moderne, kështu që shërbimi mund të çaktivizohet në mënyrë të sigurt. Kjo mund të bëhet në dy mënyra - duke përdorur një mjet të veçantë ose përmes regjistrit.
Duke përdorur shërbimin, shërbimi çaktivizohet si më poshtë:
Në Windows Server 2003 dhe sistemet më të vjetra, ju duhet të kryeni një sërë operacionesh shtesë, por meqenëse virusi WannaCry është i rrezikshëm vetëm për versionet moderne të OS, nuk ka kuptim të prekni këtë pikë.
Nëpërmjet regjistrit, porti nga programi i virusit WannaCry mbyllet si më poshtë:
- 1. Nis redaktorin e regjistrit (regedit në dritaren Run).
- 2. Çelësi po kërkon HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Ole.
- 3. Parametri EnableDCOM ndryshon nga Y në N.
- 4. Kompjuteri riniset.
Regjistri mund të modifikohet vetëm duke përdorur një llogari administratori.
Mbyllja e portit 445
Porta 445 është në përdorim nga shërbimi NetBT- një protokoll rrjeti që lejon programet e vjetra që mbështeten në NetBIOS API të punojnë në rrjetet moderne TCP / IP... Nëse nuk ka një softuer të tillë të lashtë në kompjuter, porti mund të bllokohet në mënyrë të sigurt - kjo do të mbyllë derën e përparme për përhapjen e virusit WannaCry. Kjo mund të bëhet përmes cilësimeve të lidhjes së rrjetit ose redaktuesit të regjistrit.
Mënyra e parë:
- 1. Hapen vetitë e lidhjes së përdorur.
- 2. Hap veçoritë TCP/IPv4.
- 3. Shtypet butoni "Advanced ...".
- 4. Në skedën WINS, kontrolloni kutinë pranë Çaktivizo NetBIOS mbi TCP / IP.
Kjo duhet të bëhet për të gjitha lidhjet e rrjetit. Për më tepër, ia vlen të çaktivizoni shërbimin e hyrjes në skedar dhe printer nëse nuk përdoret - ka raste kur WannaCry ka infektuar një kompjuter përmes tij.
Mënyra e dytë:
- 1. Hapet redaktori i regjistrit.
- 2. Duke kërkuar për parametrat NetBT në seksionin ControlSet001 të të dhënave të sistemit.
- 3. Parametri TransportBindName hiqet.
E njëjta gjë duhet bërë në seksionet e mëposhtme:
- ControlSet002;
- CurrentControlSet.
Pas përfundimit të redaktimit, kompjuteri riniset. Vini re se nëse çaktivizoni NetBT, shërbimi DHCP do të ndalojë së punuari.
konkluzioni
Kështu, për të mbrojtur kundër përhapjes së virusit WannaCry, duhet të siguroheni që portet e cenueshme 135 dhe 445 të jenë të mbyllura (për këtë, mund të përdorni shërbime të ndryshme) ose të ndizni murin e zjarrit. Përveç kësaj, të gjitha përditësimet e Windows duhet të instalohen. Për të shmangur sulmet e ardhshme, ju rekomandojmë që të përdorni gjithmonë versionin më të fundit të softuerit tuaj antivirus.
Më 12 maj, rreth orës 13:00, virusi Wana Decryptor filloi të përhapet. Në pothuajse dy orë, dhjetëra mijëra kompjuterë në mbarë botën u infektuan. Deri më sot, janë konfirmuar më shumë se 45,000 kompjuterë të infektuar.
Mbi 40 mijë hakime në 74 vende – Përdoruesit e internetit në mbarë botën kanë qenë dëshmitarë të sulmit kibernetik më të madh në histori. Në listën e viktimave nuk përfshihen vetëm njerëzit e thjeshtë, por edhe serverët e bankave, kompanive të telekomunikacionit dhe madje edhe agjencive ligjzbatuese.
Virusi ransomware Wanna Cry infektoi kompjuterët e përdoruesve të zakonshëm dhe kompjuterët e punës në organizata të ndryshme, përfshirë Ministrinë e Punëve të Brendshme të Rusisë. Fatkeqësisht, për momentin nuk ka asnjë mënyrë për të deshifruar skedarët WNCRY, por mund të përpiqeni të rikuperoni skedarët e koduar duke përdorur programe të tilla si ShadowExplorer dhe PhotoRec.
Arna zyrtare nga Microsoft për t'u mbrojtur kundër virusit Wanna Cry:
- Windows 7 32bit / x64
- Windows 10 32bit / x64
- Windows XP 32 bit / x64 - pa patch WCry.
Si të mbroheni nga virusi Wanna Cry
Ju mund të mbroheni nga virusi Wanna Cry duke shkarkuar një patch për versionin tuaj të Windows.
Si përhapet Wanna Cry
Wanna Cry përhapet:
- përmes skedarëve
- mesazhet e postës.
Siç raportojnë mediat ruse, puna e zyrave të Ministrisë së Brendshme në disa rajone të Rusisë është ndërprerë për shkak të një ransomware që ka goditur shumë kompjuterë dhe kërcënon të shkatërrojë të gjitha të dhënat. Përveç kësaj, operatori i telekomit Megafon u sulmua.
Po flasim për Trojanin e ransomware WCry (WannaCry ose WannaCryptor). Ai kodon informacionin në një kompjuter dhe kërkon të paguajë një shpërblim prej 300 dollarë ose 600 dollarë në Bitcoin për dekriptim.
Gjithashtu, në forume dhe në rrjetet sociale, infeksionet raportohen nga përdoruesit e zakonshëm:
Epidemia e enkriptimit WannaCry: çfarë të bëni për të shmangur infeksionin. Udhëzues hap pas hapi
Në mbrëmjen e 12 majit, u zbulua një sulm në shkallë të gjerë nga ransomware WannaCryptor (WannaCry), i cili kodon të gjitha të dhënat në PC dhe laptopë me Windows. Si një shpërblim për deshifrimin, programi kërkon 300 dollarë në bitcoin (rreth 17,000 rubla).
Goditja kryesore ra mbi përdoruesit dhe kompanitë ruse. Për momentin, WannaCry ka arritur të godasë rreth 57,000 kompjuterë, duke përfshirë rrjetet e korporatave të Ministrisë së Punëve të Brendshme, Hekurudhat Ruse dhe Megafon. Sberbank dhe Ministria e Shëndetësisë raportuan gjithashtu për sulme në sistemet e tyre.
Ne ju tregojmë se çfarë duhet bërë tani për të shmangur infeksionin.
1. Kriptori shfrytëzon një cenueshmëri të Microsoft-it të datës mars 2017. Për të minimizuar kërcënimin, duhet urgjentisht të përditësoni versionin tuaj të Windows:
Start - Të gjitha programet - Windows Update - Kërko për përditësime - Shkarko dhe instalo
2. Edhe nëse sistemi nuk është përditësuar dhe WannaCry ka hyrë në kompjuter - zgjidhjet e korporatave dhe ato shtëpiake të ESET NOD32 zbulojnë me sukses dhe bllokojnë të gjitha modifikimet.
5. Për të zbuluar kërcënime të panjohura, produktet tona përdorin teknologji të sjelljes, heuristike. Nëse një virus sillet si një virus, ka shumë të ngjarë që ai të jetë një virus. Kështu, sistemi cloud ESET LiveGrid e zmbrapsi me sukses sulmin që nga 12 maji, edhe para se të përditësoheshin bazat e të dhënave të nënshkrimit.
Cili është emri i saktë i virusit Wana Decryptor, WanaCrypt0r, Wanna Cry ose Wana Decrypt0r?
Që nga zbulimi i parë i virusit, shumë mesazhe të ndryshme në lidhje me këtë virus ransomware janë shfaqur në rrjet dhe shpesh quhen me emra të ndryshëm. Kjo ndodhi për disa arsye. Para se të shfaqej vetë virusi Wana Decrypt0r, ishte versioni i tij i parë Dëshironi të deshifroni0r, ndryshimi kryesor i të cilit ishte mënyra e shpërndarjes. Ky variant i parë nuk u bë aq i njohur sa vëllai i tij më i vogël, por falë kësaj, në disa lajme, virusi i ri ransomware mban emrin e vëllait të tij më të madh, përkatësisht Wanna Cry, Wanna Decryptor.
Por ende emri kryesor është Wana decrypt0r, megjithëse shumica e përdoruesve në vend të numrit "0" shkruajnë shkronjën "o", e cila na sjell te emri Deshifror Wana ose WanaDecryptor.
Dhe mbiemri me të cilin ky virus ransomware shpesh quhet nga përdoruesit është Virusi WNCRY, pra nga ekstensioni që i shtohet emrit të skedarëve që i janë nënshtruar enkriptimit.
Për të minimizuar rrezikun e marrjes së viruseve Wanna cry në kompjuterë, specialistët e "Kopersky's Laboratories" këshillojnë instalimin e të gjitha sistemeve të mundshme operative Windows. Çështja është se ky program i rrezikshëm funksionon vetëm me kompjuterë që funksionojnë në këtë softuer.
Virusi Wanna Cry: Si përhapet
Më herët, këtë metodë të përhapjes së viruseve e kemi përmendur në artikullin mbi sjelljen e sigurt në internet, kështu që nuk është asgjë e re.
Wanna Cry shpërndahet në mënyrën e mëposhtme: Një letër me një bashkëngjitje "të padëmshme" dërgohet në kutinë postare të përdoruesit - mund të jetë një foto, video, këngë, por në vend të shtesës standarde për këto formate, bashkëngjitja do të ketë një të ekzekutueshme zgjerimi i skedarit - exe. Kur një skedar i tillë hapet dhe lansohet, sistemi "infektohet" dhe një virus që kodon të dhënat e përdoruesit ngarkohet përmes një cenueshmërie në OS Windows, informon therussiantimes.com për këtë.
Virusi Wanna Cry: Përshkrimi i virusit
Wanna Cry (në njerëzit e zakonshëm tashmë është mbiquajtur Vona Kray) i përket kategorisë së viruseve ransomware (kriptor), të cilët, kur futen në një PC, kodojnë skedarët e përdoruesit me një algoritëm kriptografik, më pas, leximi i këtyre skedarëve bëhet i pamundur. .
Për momentin, shtesat e mëposhtme të njohura të skedarëve dihet se janë të koduara nga Wanna Cry:
Skedarët e njohur të Microsoft Office (.xlsx, të transmetuara nga therussiantimes.com.xls, .docx, .doc).
Skedarët e arkivave dhe mediave (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry është një program i quajtur WanaCrypt0r 2.0 që sulmon ekskluzivisht kompjuterët Windows. Programi përdor një "vrimë" në sistem - Microsoft Security Bulletin MS17-010, ekzistenca e së cilës ishte e panjohur më parë. Për deshifrim, programi kërkon një shpërblim në shumën prej 300 deri në 600 dollarë. Nga rruga, për momentin, më shumë se 42 mijë dollarë janë transferuar tashmë në llogaritë e hakerëve, sipas The Guardian.
Anton Boçkarev, Konsulent për Sigurinë e Informacionit, Jet Infosystems.
Me pak fjalë, WannaCry është një ransomware klasik i kombinuar me një krimb. Kjo do të thotë, funksionaliteti kryesor i virusit është të kodojë skedarët në makinat e infektuara, dhe metoda kryesore e shpërndarjes është shfrytëzimi i cenueshmërisë MS 17-010.
Çdo shembull i virusit skanon rrjetet e disponueshme për hostet me portën 445 të hapur dhe kontrollon nëse ato janë të cenueshme ndaj MS 17-010. Nëse po, atëherë ransomware infektohet dhe përhapet më tej sipas të njëjtit parim. Paralelisht me skanimin, virusi përpiqet të aplikojë një shfrytëzim në adresat IP të rastësishme.
Moduli i enkriptimit kërkon kryesisht për llojet e mëposhtme të skedarëve:
- Skedarët e postës elektronike
- Skedarët e bazës së të dhënave
- Çelësat e enkriptimit
- Certifikatat
- Arkivat
- Dokumentet e MS Office
- Makinat virtuale
- Kodet burimore të softuerit
Virusi përdor Tor për të fshehur aktivitetet e tij dhe serverët e komandës.
Cila është cenueshmëria MS 17-010
Dobësia ekziston në zbatimin e protokollit SMBv1 për MS Windows dhe lejon ekzekutimin në distancë të kodit arbitrar në një makinë të cenueshme. Dobësia u rregullua nga Microsoft në mars dhe u lëshua një patch. Kur epidemia mori vrull, Microsoft lëshoi një patch për më shumë versione të pambështetura të Windows (XP, 2003).
Çfarë lloj shfrytëzimi:
Shfrytëzimi supozohet se u zhvillua për NSA-në e SHBA-së dhe u publikua si rezultat i një rrjedhje informacioni më 14 prill, i quajtur EternalBlue.
Shkalla e epidemisë dhe shkaqet e saj:
Virusi ka infektuar tashmë qindra mijëra kompjuterë në mbarë botën gjatë valës së parë të infeksionit, duke përfshirë rrjetet e korporatave të Ministrisë së Punëve të Brendshme, Hekurudhat Ruse dhe Megafon, aeroporti ndërkombëtar në Frankfurt. Sberbank dhe Ministria e Shëndetësisë raportuan gjithashtu për sulme në sistemet e tyre, të dhënat e ruajtura në spitalet në MB ishin të koduara, por shumë organizata fshehin faktin e infeksionit, kështu që shkalla e vërtetë është e vështirë të vlerësohet.
Arsyeja kryesore për një shpërthim kaq masiv është instalimi i parakohshëm i përditësimeve të sigurisë dhe përdorimi i versioneve të vjetëruara të OS.
Metodat kryesore të mbrojtjes:
1. Për parandalimin e garantuar të infeksionit, rekomandohet përditësimi i sistemit operativ. Për të gjitha versionet e Windows, duke përfshirë versionet e vjetëruara, janë lëshuar arna speciale, të disponueshme këtu (http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598)
2. Gjithashtu, për të siguruar parandalimin e infeksionit në sistemet në të cilat është e pamundur të instaloni përditësime, është e mundur të çaktivizoni mbështetjen për protokollin SMBv1, për këtë ju duhet të ekzekutoni komandën e mëposhtme:
dism / online / norestart / disable-feature / emri i veçorisë: SMB1Protocol
Megjithatë, kjo mund të ndërhyjë në funksionimin e Active Directory.
3. Për të zvogëluar rrezikun e infektimit me virus, rekomandohet instalimi i softuerit Anti-Virus ose konfigurimi i një muri zjarri për të bllokuar portin 445 në internet.
4. Për t'u mbrojtur nga sulme të ngjashme në të ardhmen, rekomandohen fuqimisht përditësimet e rregullta të softuerit, si dhe kopjet rezervë të rregullta në media ose serverë të mbrojtur.
Ne do të ndjekim zhvillimin e situatës.
Maji 2017 do të hyjë në analet e historisë si një ditë e zezë për shërbimin e sigurisë së informacionit. Në këtë ditë, bota mësoi se një botë e sigurt virtuale mund të jetë e brishtë dhe e pambrojtur. Një virus ransomware i quajtur Wanna decryptor ose wannacry ka rrëmbyer mbi 150 mijë kompjuterë në mbarë botën. Rastet e infeksionit janë regjistruar në më shumë se njëqind vende. Sigurisht, infeksioni global u ndal, por dëmi llogaritet në miliona. Valët e përhapjes së virusit ransomware ende emocionojnë disa makina individuale, por kjo murtajë deri më tani është frenuar dhe ndalur.
WannaCry - çfarë është dhe si të mbroheni prej tij
Wanna decryptor i përket një grupi virusesh që enkriptojnë të dhënat në një kompjuter dhe zhvatin para nga pronari. Në mënyrë tipike, shuma e shpërblimit për të dhënat tuaja varion nga 300 deri në 600 dollarë. Gjatë ditës, virusi arriti të infektojë një rrjet komunal spitalesh në Britaninë e Madhe, një rrjet të madh televiziv në Evropë dhe madje edhe një pjesë të kompjuterëve të Ministrisë së Punëve të Brendshme ruse. Falë një rastësie fatlume, ata e ndaluan duke regjistruar një domen verifikimi, i cili ishte qepur në kodin e virusit nga krijuesit e tij, për të ndaluar manualisht përhapjen.
Virusi infekton kompjuterin në të njëjtën mënyrë si në shumicën e rasteve të tjera. Dërgimi i letrave, profileve sociale dhe thjesht shfletimi në thelb - këto metoda i japin një virusi mundësinë të depërtojë në sistemin tuaj dhe të kodojë të gjitha të dhënat tuaja, megjithatë, ai mund të depërtojë pa veprimet tuaja të qarta përmes një cenueshmërie të sistemit dhe një porti të hapur.
WannaCry zvarritet përmes portit 445, duke shfrytëzuar një dobësi në sistemin operativ Windows që u mbyll së fundmi nga përditësimet e lëshuara. Pra, nëse kjo port është e mbyllur për ju ose keni përditësuar Windows së fundmi nga zyra. faqe, atëherë nuk mund të shqetësoheni për infeksionin.
Virusi funksionon sipas skemës së mëposhtme - në vend të të dhënave në skedarët tuaj, ju merrni ngërdheshje të pakuptueshme në gjuhën marsiane, por për të marrë përsëri një kompjuter normal, do t'ju duhet të paguani kriminelët kibernetikë. Ata që lëshuan këtë murtajë në kompjuterët e njerëzve të zakonshëm përdorin pagesën me bitcoin, kështu që nuk do të jetë e mundur të gjurmohen pronarët e Trojanit të lig. Nëse nuk paguani brenda 24 orëve, atëherë shuma e shpërblimit do të rritet.
Versioni i ri i Trojan përkthehet si "Dua të qaj" dhe humbja e të dhënave mund të bëjë që disa përdorues të qajnë. Pra, është më mirë të merren masa parandaluese dhe të parandaloni infeksionin.
ransomware shfrytëzon një dobësi në Windows që Microsot e ka rregulluar tashmë. Thjesht duhet të përditësoni sistemin tuaj operativ në protokollin e sigurisë MS17-010 të datës 14 mars 2017.
Nga rruga, vetëm ata përdorues që kanë një sistem operativ të licencuar mund të përmirësojnë. Nëse nuk jeni një nga ata, atëherë thjesht shkarkoni paketën e përditësimit dhe instaloni manualisht. Thjesht duhet të shkarkoni nga burime të besuara në mënyrë që të mos kapni infeksionin në vend të parandalimit.
Sigurisht, mbrojtja mund të jetë e nivelit më të lartë, por shumë varet nga vetë përdoruesi. Mos harroni të mos hapni lidhje të dyshimta që ju vijnë me postë ose në profilin tuaj social.
Si të kuroni virusin dekriptues Wanna
Ata, kompjuteri i të cilëve tashmë është infektuar, duhet të përgatiten për një proces të gjatë trajtimi.
Virusi funksionon në kompjuterin e përdoruesit dhe krijon disa programe. Njëri prej tyre fillon të kodojë të dhënat, tjetri siguron komunikim me ransomware. Në monitorin e punës shfaqet një mbishkrim, ku ju shpjegojnë se jeni bërë viktimë e një virusi dhe ju ofrojnë të transferoni para sa më shpejt të jetë e mundur. Në të njëjtën kohë, nuk mund të hapni asnjë skedar, dhe shtesat përbëhen nga shkronja të pakuptueshme.
Veprimi i parë që përdoruesi përpiqet të ndërmarrë është rikuperimi i të dhënave duke përdorur shërbimet e integruara të Windows. Por kur ekzekutoni komandën, ose asgjë nuk ndodh, ose përpjekjet tuaja do të shkojnë dëm - të heqësh qafe Wanna Decryptor nuk është aq e lehtë.
Një herë në disa vjet, në rrjet shfaqet një virus që mund të infektojë shumë kompjuterë në një kohë të shkurtër. Këtë herë, një virus i tillë ishte Wanna Cry (ose, siç quhet ndonjëherë nga përdoruesit nga Rusia - "fitoi avantazhin", "Dua të qaj"). Ky malware infektoi rreth 57,000 kompjuterë në pothuajse të gjitha vendet e botës në vetëm pak ditë. Me kalimin e kohës, shkalla e infektimit me virusin është ulur, por ende po shfaqen pajisje të reja që janë infektuar. Deri më sot, më shumë se 200,000 kompjuterë janë prekur, si për përdoruesit privatë ashtu edhe për organizatat.
Wanna Cry është kërcënimi më serioz kompjuterik i vitit 2017 dhe ju ende mund të bini viktimë e tij. Në këtë artikull, ne do t'ju tregojmë se çfarë është Wanna Cry, si përhapet dhe si të mbroheni nga virusi.
WannaCry kodon shumicën ose edhe të gjithë skedarët në kompjuterin tuaj. Softueri më pas shfaq një mesazh specifik në ekranin e kompjuterit duke kërkuar një shpërblim prej 300 dollarësh për të deshifruar skedarët tuaj. Pagesa duhet të bëhet në portofolin Bitcoin. Nëse përdoruesi nuk e paguan shpërblimin në 3 ditë, atëherë shuma dyfishohet në 600 dollarë. Pas 7 ditësh, virusi do të fshijë të gjithë skedarët e koduar dhe të gjitha të dhënat tuaja do të humbasin.
Symantec ka publikuar një listë të të gjitha llojeve të skedarëve që Wanna Cry mund të kodojë. Kjo listë përfshin TË GJITHA formatet e njohura të skedarëve, duke përfshirë .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4,. 3gp , .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. Lista e plotë është nën spoiler.
- .accdb
- .rezervë
- .klasë
- .djvu
- .docb
- .docm
- .docx
- .dotm
- .dotx
- .java
- .jpeg
- .shtroj6
- .mpeg
- .onetoc2
- .potm
- .pox
- .ppam
- .ppsm
- .ppsx
- .pptm
- .pptx
- .sldm
- .sldx
- .sqlite3
- .sqlitedb
- .tiff
- .vmdk
- .vsdx
- .xlsb
- .xlsm
- .xlsx
- .xltm
- .xltx
Siç mund ta shihni, një virus mund të enkriptojë pothuajse çdo skedar në hard diskun e kompjuterit tuaj. Pas përfundimit të kriptimit, Wanna Cry poston një udhëzim për deshifrimin e skedarit, i cili nënkupton pagesën e një shpërblimi specifik.
Agjencia Amerikane e Sigurisë Kombëtare (NSA) zbuloi një shfrytëzim të quajtur "EternalBlue", por zgjodhi ta fshehë faktin për ta përdorur atë në avantazhin e tyre. Në prill 2017, një grup hakerësh Shadow Brokers publikuan informacione në lidhje me shfrytëzimin.
Virusi Wanna Cry përhapet më shpesh në mënyrën e mëposhtme: ju merrni një email me një bashkëngjitje. Shtojca mund të përmbajë një fotografi, skedar video, kompozim muzikor. Megjithatë, nëse e shikoni më nga afër skedarin, mund të kuptoni se shtrirja e këtij skedari është .exe (skedar i ekzekutueshëm). Kështu, pasi skedari është nisur, sistemi infektohet dhe, falë shfrytëzimit të gjetur më parë, shkarkohet një virus që kodon të dhënat e përdoruesit.
Megjithatë, kjo nuk është e vetmja mënyrë se si mund të përhapet Wanna Cry. Pa dyshim, skedarin e infektuar mund ta shkarkoni edhe nga gjurmuesit e torrentit ose ta merrni në mesazhe private në rrjetet sociale.
Si të mbroheni nga virusi Wanna Cry?
Si të mbroheni nga virusi Wanna Cry?
- Para së gjithash, duhet të instaloni të gjitha përditësimet e disponueshme për sistemin tuaj operativ. Në veçanti, përdoruesit e Windows që përdorin Windows XP, Windows 8 ose Windows Server 2003 duhet të instalojnë menjëherë përditësimin e sigurisë për këto sisteme operative që Microsoft ka lëshuar.
- Përveç kësaj, jini jashtëzakonisht të kujdesshëm për të gjitha letrat që vijnë në adresën tuaj të emailit. Ju nuk duhet të ulni vigjilencën tuaj, edhe nëse e njihni adresuesin. Asnjëherë mos hapni skedarë me shtesat .exe, .vbs dhe .scr. Sidoqoftë, zgjerimi i skedarit mund të maskohet si një video ose dokument i zakonshëm dhe të duket si avi.exe ose doc.scr.
- Këshillohet që të aktivizoni opsionin "Trego shtesat e skedarëve" në cilësimet e Windows. Kjo do t'ju ndihmojë të shihni zgjerimin e vërtetë të skedarit, edhe nëse kriminelët u përpoqën ta maskonin atë.
- Instalimi nuk ka gjasa t'ju ndihmojë të shmangni infeksionin. Fakti është se virusi Wanna Cry shfrytëzon dobësinë e sistemit operativ, prandaj sigurohuni që të instaloni të gjitha përditësimet për Windows-in tuaj - dhe më pas mund të instaloni edhe një antivirus.
- Sigurohuni që të kopjoni të gjitha të dhënat e rëndësishme në një hard disk të jashtëm ose cloud. Edhe nëse kompjuteri juaj infektohet, do të mjaftojë që të riinstaloni OS për të hequr qafe virusin në kompjuterin tuaj.
- Sigurohuni që të përdorni bazat e të dhënave të përditësuara për antivirusin tuaj. Avast, Dr.web, Kaspersky, Nod32 - të gjithë antivirusët modernë përditësojnë vazhdimisht bazat e të dhënave të tyre. Gjëja kryesore është të siguroheni që licenca juaj antivirus të jetë aktive dhe të përditësohet.
- Shkarkoni dhe instaloni programin falas të Kaspersky Anti-Ransomware nga Kaspersky Lab. Ky softuer ju mbron në kohë reale nga viruset e ransomware. Përveç kësaj, ky mjet mund të përdoret njëkohësisht me antiviruset konvencionale.
Siç kam shkruar tashmë, Microsoft ka lëshuar një patch që mbyll dobësitë në OS dhe parandalon virusin Wanna Cry të kodojë të dhënat tuaja. Ky patch duhet urgjentisht të instalohet në sistemin e mëposhtëm:
Windows XP, Windows 8 ose Windows Server 2003, Windows Embedded
Nëse keni një version tjetër të Windows, thjesht instaloni të gjitha përditësimet e disponueshme.
Heqja e virusit Wanna Cry nga kompjuteri juaj është e lehtë. Për ta bërë këtë, thjesht skanoni kompjuterin tuaj me një nga (për shembull, Hitman Pro). Megjithatë, në këtë rast, dokumentet tuaja do të mbeten ende të koduara. Prandaj, nëse planifikoni të paguani shpërblimin, atëherë me heqjen e @ [email i mbrojtur] më mirë të presësh. Nëse nuk keni nevojë për të dhëna të koduara, atëherë mënyra më e lehtë është të formatoni hard diskun dhe të riinstaloni OS. Kjo patjetër do të shkatërrojë të gjitha gjurmët e virusit.
Ransomware (i cili përfshin Wanna Cry) zakonisht kodon të dhënat tuaja me çelësa 128 ose 256 bit. Çelësi për çdo kompjuter është unik, kështu që në shtëpi mund të duhen dhjetëra e qindra vjet për ta deshifruar atë. Në fakt, kjo e bën të pamundur për një përdorues të zakonshëm deshifrimin e të dhënave.
Sigurisht, ne të gjithë do të dëshironim të kishim një dekriptues Wanna Cry në arsenalin tonë, por një zgjidhje e tillë nuk ekziston ende. Për shembull, një i ngjashëm u shfaq disa muaj më parë, por ende nuk ka asnjë deshifrues për të në natyrë.
Prandaj, nëse ende nuk jeni infektuar, atëherë duhet të kujdeseni për veten dhe të merrni masa mbrojtëse kundër virusit, të cilat përshkruhen në artikull. Nëse tashmë jeni bërë viktimë e një infeksioni, atëherë keni disa opsione:
- Paguani shpërblimin. Disavantazhet e kësaj zgjidhjeje janë çmimi relativisht i lartë për të dhënat; jo fakti që të gjitha të dhënat janë të deshifruara
- Vendoseni hard diskun në një raft dhe shpresoni për një dekoder. Nga rruga, deshifruesit janë zhvilluar nga Kaspersky Lab dhe janë postuar në faqen e internetit No Ransom. Nuk ka ende një dekoder për Wanna Cry, por mund të shfaqet pas një kohe. Ne patjetër do ta përditësojmë artikullin sapo të shfaqet një zgjidhje e tillë.
- Nëse jeni përdorues i licencuar i produkteve të Kaspersky Lab, mund të paraqisni një kërkesë për të deshifruar skedarët e koduar nga virusi Wanna Cry.
- Riinstaloni OS. Minus - të gjitha të dhënat do të humbasin
- Përdorni një nga metodat e rikuperimit të të dhënave pas infektimit me virusin Wanna Cry (do të publikohet në faqen tonë të internetit si një artikull i veçantë brenda dy ditësh). Sidoqoftë, mbani në mend - shanset për rikuperimin e të dhënave janë jashtëzakonisht të vogla.
Si të kuroni virusin Wanna Cry?
Siç e keni kuptuar tashmë nga artikulli, është jashtëzakonisht e lehtë për të kuruar virusin Wanna Cry. Instaloni njërën prej tyre, skanoni hard diskun tuaj dhe ai heq të gjithë viruset. Por problemi është se të gjitha të dhënat tuaja do të mbeten të koduara. Përveç rekomandimeve të dhëna më parë për heqjen dhe deshifrimin e Wanna Cry, mund të jepni sa vijon:
- Mund të vizitoni forumin e Kaspersky Lab. Në temën që është në dispozicion në lidhjen, janë krijuar disa tema rreth Wanna Cry. Përfaqësuesit e zhvilluesit përgjigjen në forum, në mënyrë që t'ju japin diçka të arsyeshme.
- Duhet të prisni - virusi u shfaq jo shumë kohë më parë, një dekoder mund të shfaqet ende. Për shembull, jo më shumë se gjashtë muaj më parë, Kaspersky ishte në gjendje të mposhtte enkriptuesin CryptXXX. Është e mundur që pas një kohe ata të lëshojnë një dekoder për Wanna Cry.
- Zgjidhja kryesore është të formatoni atë të vështirë, të instaloni OS dhe të humbni të gjitha të dhënat. A janë fotot tuaja nga festa e fundit e korporatës kaq të rëndësishme për ju?)
Siç mund ta shihni nga infografika e paraqitur, shumica e kompjuterëve të infektuar me Wanna Cry ndodhen në Rusi. Sidoqoftë, kjo nuk është për t'u habitur - në vendin tonë përqindja e përdoruesve të OS "pirated" është jashtëzakonisht e lartë. Më shpesh, përditësimet automatike çaktivizohen për përdorues të tillë, gjë që bëri të mundur infeksionin.
Siç u bë e ditur, në Rusi u prekën jo vetëm përdoruesit e zakonshëm, por edhe ndërmarrjet shtetërore dhe kompanitë private. Raportohet se në mesin e viktimave janë parë Ministria e Punëve të Brendshme, Ministria e Situatave të Emergjencave dhe Banka Qendrore, si dhe Megafon, Sberbank dhe Hekurudhat Ruse.
Në Britaninë e Madhe, rrjeti spitalor pësoi, duke e bërë të pamundur kryerjen e disa operacioneve.
Ishte e lehtë të mbrohej nga infeksioni - në mars, Microsoft lëshoi një përditësim sigurie për Windows, i cili mbylli "vrimat" në OS. Virusi vepron përmes tyre. Nëse nuk e keni bërë tashmë këtë, sigurohuni që të instaloni të gjitha përditësimet për OS tuaj, si dhe një patch të veçantë për versionet më të vjetra të Windows, të cilat i përmenda më lart.
Disa përdorues Linux po pyesin: a mund të infektohen kompjuterët e tyre me virusin Wanna Cry? Unë mund t'i siguroj ata: kompjuterët Linux nuk kanë frikë nga ky virus. Për momentin, asnjë variacion virusi nuk është gjetur për këtë OS.
konkluzioni
Pra, sot folëm për virusin Wanna Cry. Mësuam se çfarë është ky virus, si të mbroheni nga infeksioni, si të hiqni virusin dhe të rivendosni skedarët, ku të merrni dekriptuesin Wanna Cry. Përveç kësaj, ne zbuluam se ku mund të shkarkoni patch-in për Windows, i cili do t'ju shpëtojë nga infeksioni. Shpresoj se ky artikull ishte i dobishëm për ju.
