Cum infectează virusul wanna cry. Virusul Wannacry - cum să te protejezi și să recuperezi datele. Simptomele infecției și tratamentul virusului

După cum a raportat presa rusă, activitatea departamentelor Ministerului Afacerilor Interne din mai multe regiuni din Rusia a fost întreruptă din cauza unui ransomware care a infectat multe computere și amenință să distrugă toate datele. În plus, operatorul de comunicații Megafon a fost atacat.

Este despre despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe computer și cere o răscumpărare de 300 USD sau 600 USD în Bitcoin pentru decriptare.

@[email protected], fișiere criptate, extensia WNCRY. Sunt necesare un utilitar și instrucțiuni de decriptare.

WannaCry criptează fișierele și documentele cu următoarele extensii adăugând .WCRY la sfârșitul numelui fișierului:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Atacul WannaCry în întreaga lume

Atacurile au fost înregistrate în peste 100 de țări. Rusia, Ucraina și India testează cele mai mari probleme. Rapoartele de infecție cu virus vin din Marea Britanie, SUA, China, Spania și Italia. Se observă că atacul hackerilor a afectat spitale și companii de telecomunicații din întreaga lume. O hartă interactivă a răspândirii amenințării WannaCrypt este disponibilă pe Internet.

Cum apare infecția?

După cum spun utilizatorii, virusul ajunge pe computerele lor fără nicio acțiune din partea lor și se răspândește necontrolat în rețele. Pe forumul Kaspersky Lab ei subliniază că nici măcar un antivirus activat nu garantează securitatea.

Este raportat că atacul ransomware WannaCry (Wana Decryptor) are loc prin vulnerabilitatea Microsoft Security Bulletin MS17-010. Apoi a fost instalat un rootkit pe sistemul infectat, cu ajutorul căruia atacatorii au lansat un program de criptare. Toate soluțiile Kaspersky Lab detectează acest rootkit ca MEM:Trojan.Win64.EquationDrug.gen.

Se presupune că infecția a avut loc cu câteva zile mai devreme, dar virusul s-a manifestat numai după ce a criptat toate fișierele de pe computer.

Cum să eliminați WanaDecryptor

Veți putea elimina amenințarea folosind un antivirus majoritatea programelor antivirus vor detecta deja amenințarea. Definiții comune:

Avast Win32:WanaCry-A, AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Răscumpărare:Win32/WannaCrypt, urs panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Dacă ați lansat deja amenințarea pe computer și fișierele dvs. au fost criptate, decriptarea fișierelor este aproape imposibilă, deoarece exploatarea vulnerabilității lansează un criptator de rețea. Cu toate acestea, sunt deja disponibile mai multe opțiuni pentru instrumentele de decriptare:

Notă: Dacă fișierele dvs. au fost criptate și nu există o copie de rezervă, iar instrumentele de decriptare existente nu au ajutat, atunci este recomandat să salvați fișierele criptate înainte de a curăța amenințarea de pe computer. Acestea vor fi utile dacă în viitor este creat un instrument de decriptare care funcționează pentru dvs.

Microsoft: Instalează Actualizări Windows

Microsoft a spus că utilizatorii cu antivirusul gratuit al companiei și funcția de actualizare sunt activate sisteme Windows va fi protejat de Atacurile WannaCry ptor.

Actualizările din 14 martie remediază vulnerabilitatea sistemului prin care este distribuit troianul ransomware. Astăzi, detectarea a fost adăugată la anti baze de date cu virusi Microsoft Elemente esențiale de securitate / Windows Defender pentru a proteja împotriva noilor malware cunoscut sub numele de Ransom:Win32.WannaCrypt.

• Asigurați-vă că antivirusul este activat și instalat Ultimele actualizări.
• Instalați un antivirus gratuit dacă computerul dvs. nu are nicio protecție.
• Instalați cele mai recente actualizări de sistem utilizând Windows Update:
  • Pentru Windows 7, 8.1 Din meniul Start, deschideți Panou de control > Actualizare Windows și faceți clic pe Căutare actualizări.
  • Pentru Windows 10 Accesați Setări > Actualizare și securitate și faceți clic pe „Căutați actualizări”.
• Dacă instalați manual actualizări, instalați patch-ul oficial Microsoft MS17-010, care abordează vulnerabilitatea serverului SMB utilizată în atacul ransomware WanaDecryptor.
• Dacă antivirusul tău are protecție împotriva ransomware, pornește-l. Avem și o secțiune separată pe site-ul nostru, Ransomware Protection, de unde puteți descărca instrumente gratuite.
• Efectuați o scanare antivirus a sistemului dvs.

Experții notează că cel mai simplu mod de a te proteja de un atac este să închizi portul 445.

• Tastați sc stop lanmanserver și apăsați Enter
• Introduceți pentru Windows 10: sc config lanmanserver start=disabled , pentru alții versiuni Windows: sc config lanmanserver start= dezactivat și apăsați Enter
• Reporniți computerul
• La promptul de comandă, introduceți netstat -n -a | findstr „ASCULTARE” | findstr „:445” pentru a vă asigura că portul este dezactivat. Dacă există linii goale, portul nu ascultă.

Dacă este necesar, deschideți portul înapoi:

• Rulați Command Prompt (cmd.exe) ca administrator
• Introduceți pentru Windows 10: sc config lanmanserver start=auto , pentru alte versiuni de Windows: sc config lanmanserver start= auto și apăsați Enter
• Reporniți computerul

Notă: Portul 445 este folosit de Windows pentru colaborare cu dosare. Închiderea acestui port nu împiedică PC-ul să se conecteze la alte resurse de la distanță, dar alte PC-uri nu se vor putea conecta la sistem.

WannaCry se răspândește prin protocoale de partajare a fișierelor instalate pe computerele companiilor și agențiilor guvernamentale. Ransomware-ul dăunează computerelor bazate pe Windows.

Peste 98% dintre infecțiile cu ransomware WannaCry apar pe computere care rulează Windows 7, peste 60% dintre infecții afectând versiunea pe 64 de biți a sistemului de operare. Astfel de date au fost publicate de analiștii Kaspersky Lab. Conform statisticilor, mai puțin de 1% dintre computerele infectate rulează versiuni de Windows Server 2008 R2 și Windows 10 (0,03%).

După ce pătrunde în folderul cu documente și alte fișiere, virusul le criptează, schimbând extensia în .WNCRY. Malware-ul vă cere apoi să cumpărați cheie specială, care costă între 300 și 600 de dolari, amenințând cu ștergerea fișierelor în caz contrar.

În general, WannaCry este un exploit care este folosit pentru a infecta și răspândi, plus un ransomware care este descărcat pe computer după ce a apărut infecția.

Acesta este ce diferenta importanta WannaCry este diferit de majoritatea altor ransomware. Pentru a vă infecta computerul cu, să spunem, un ransomware obișnuit, utilizatorul trebuie să facă o greșeală - faceți clic pe un link suspect, permiteți executarea unei macrocomenzi în Word, descărcați un atașament dubios dintr-un e-mail. Te poți infecta cu WannaCry fără să faci nimic.

Creatorii WannaCry au folosit un exploit Windows cunoscut sub numele de EternalBlue. Acesta exploatează o vulnerabilitate pe care Microsoft a remediat-o în actualizarea de securitate MS17-010 pe 14 martie a acestui an. Folosind acest exploit, atacatorii ar putea obține acces de la distanță la un computer și ar putea instala ransomware-ul real pe acesta.

Dacă aveți actualizarea instalată și vulnerabilitatea este închisă, atunci nu vă veți putea sparge computerul de la distanță. Cu toate acestea, cercetătorii Kaspersky Lab de la GReAT subliniază în mod special că închiderea vulnerabilității nu împiedică în niciun fel funcționarea ransomware-ului în sine, așa că dacă îl lansați cumva, patch-ul nu vă va salva.

După ce a spart cu succes un computer, WannaCry încearcă să se răspândească în rețeaua locală către alte computere, ca un vierme. Scanează alte computere pentru prezența aceleiași vulnerabilități care poate fi exploatată folosind EternalBlue și, dacă o găsește, le atacă și le criptează și ele.

Se pare că, odată pe un singur computer, WannaCry poate infecta întreaga rețea locală și poate cripta toate computerele prezente în ea. De aceea companiile mari au suferit cel mai mult de pe urma WannaCry - decât mai multe computere online, cu atât prejudiciul este mai mare.

În plus, virusul a afectat computere din Spania, Italia, Germania, Portugalia, Turcia, Ucraina, Kazahstan, Indonezia, Vietnam, Japonia și Filipine.

Analiza a arătat că aproape toate mesajele de răscumpărare au fost traduse prin Google Translate și doar în engleză și două versiuni chineze(simplificate și clasice) au fost scrise probabil de vorbitori nativi.

Chiar dacă mesajul este Limba engleză a fost scris de o persoană care stăpânește bine limba, nepoliticos greseala gramaticala indică faptul că aceasta nu este limba maternă a autorului. Flashpoint a aflat că textul în limba engleză a devenit sursa principală, care a fost ulterior tradus în alte limbi.

Mesaje despre cererile de răscumpărare pe chinez diferă de ceilalți prin conținut și ton. In afara de asta, un numar mare de caracterele unice indică faptul că au fost scrise de o persoană care vorbește fluent chineza.

La trei luni după începerea atacurilor folosind ransomware WannaCry, creatorii săi au retras toate fondurile disponibile în portofelele Bitcoin - peste 142 de mii de dolari Tranzacțiile au fost observate de un bot din publicația Quartz. Ransomware-ul a cerut o răscumpărare de 300-600 USD în bitcoini de la victimele sale. Toți banii primiți au fost împărțiți în trei portofele. În noaptea de 3 august 2017 au fost înregistrate șapte transferuri de fonduri, care au fost efectuate în 15 minute. Cel mai probabil, banii vor trece printr-un lanț de alte portofele Bitcoin pentru a ascunde destinatarul final.

Cine este vinovat

V. Putin: Serviciile de informații din SUA

„Atacul s-a răspândit fără discernământ în întreaga lume în luna mai. Acesta (malware WannaCry - n.red.) a criptat și a făcut inutile sute de mii de computere în spitale, școli, companii și case. A fost răutăcios, neglijent și a cauzat pagube materiale mari. Atacul a fost larg răspândit și a costat miliarde. Responsabilitatea pentru aceasta revine direct Coreei de Nord”, a spus Bossert.

După cum a explicat consilierul, declarația sa nu este neîntemeiată și se bazează pe probe obținute în timpul anchetei. Serviciile de informații și specialiștii unui număr de companii private au ajuns, de asemenea, la concluzia că RPDC a fost implicată în atacurile WannaCry, a menționat Bossert.

La fel de tehnologii digitale devin omniprezente, atacatorii încep să le folosească în propriile lor scopuri. Atacurile din spațiul cibernetic le permit să rămână anonimi și să-și acopere urmele. Infractorii folosesc atacurile cibernetice pentru a răpi proprietate intelectualăși provoacă daune în fiecare sector, a remarcat consilierul.

Distribuție în lume

Prezența pe sute de mii de computere din întreaga lume

Pe 26 decembrie 2018, a devenit cunoscut faptul că, la 18 luni după o epidemie pe scară largă a ransomware-ului WannaCry, care a afectat mulți utilizatori din peste 100 de țări, malware-ul este încă prezent pe sute de mii de computere, potrivit datelor de la Kryptos Logic .

Potrivit Kryptos Logic, peste 17 milioane de încercări de conectare la domeniul switch sunt înregistrate în fiecare săptămână, provenind de la peste 630 de mii de adrese unice din 194 de țări. Liderii în numărul de încercări de conectare sunt China, Indonezia, Vietnam, India și Rusia. După cum v-ați aștepta, numărul de încercări crește în zilele lucrătoare în comparație cu weekendul.

Prezența ransomware-ului pe un număr atât de mare de computere se poate transforma într-o problemă gravă - o eșec la scară largă pe Internet este suficientă pentru a-l activa, subliniază experții.

Anterior, Kryptos Logic a prezentat serviciu gratuit TellTale, care permite organizațiilor să monitorizeze WannaCry sau alte infecții amenințări cunoscute.

Atacul asupra TSMC

Cel mai mare producător de cipuri din lume, TSMC, a pierdut 85 de milioane de dolari din cauza virusului WannaCry. Compania a anunțat acest lucru într-un raport financiar trimis Taiwanului bursa de valori(Bursa din Taiwan, TSE). Citeşte mai mult.

Atacul la Boeing

După cum a declarat un purtător de cuvânt al LG Electronics pentru Korea Herald, încercarea ransomware-ului de a ataca compania a eșuat. Închiderea imediată a rețelelor centre de servicii ne-a permis să evităm criptarea datelor și cererile de răscumpărare. Potrivit KISA, chioșcurile au fost infectate cu WannaCry, cu toate acestea, nu se știe cum a intrat malware-ul în sisteme. Poate că cineva a instalat intenționat programul pe dispozitive. De asemenea, este posibil ca atacatorii să fi păcălit unul dintre angajați să descarce malware-ul.

Atacurile asupra producătorilor de automobile

Infectarea camerelor de trafic

În iunie 2017, creatorii infamului virus ransomware WannaCry i-au ajutat fără să vrea șoferii australieni să evite amenzile pentru viteză, relatează BBC News.

În urma incidentului, poliția din statul australian Victoria a anulat 590 de amenzi pentru depășirea vitezei și circulația semaforului roșu, deși oamenii legii susțin că toate amenzile au fost emise corect.

Comisarul adjunct interimar Ross Guenther a explicat că publicul trebuie să aibă deplină încredere că sistemul funcționează corect, motiv pentru care poliția a luat această decizie.

Deși principalul val de atacuri WannaCry a avut loc la jumătatea lui mai 2017, ransomware-ul a continuat să cauzeze probleme timp de încă două luni. Anterior, compania americană de securitate a informațiilor KnowBe4 a estimat că prejudiciul cauzat de WannaCry în doar primele patru zile de distribuție s-a ridicat la peste 1 miliard de dolari, inclusiv pierderi datorate pierderii de date, scăderii productivității, întreruperilor de afaceri, precum și daunelor reputației și alți factori. .

Primul atac asupra echipamentului medical

WannaCry a devenit primul virus de criptare care a atacat nu numai computerele personale ale instituțiilor medicale, ci și echipamentele medicale în sine.

Kaspersky solicită certificarea de stat a software-ului pentru instituțiile medicale

În timpul expoziției recente CeBIT Australia, Evgeniy Kaspersky, șeful producătorului de software antivirus KasperskyLab, a împărtășit câteva gânduri cu privire la virusul ransomware WannaCry. Sute de mii de utilizatori din 150 de țări au suferit de pe urma acțiunilor acestuia din urmă, scrie ZDNet.

Având în vedere că WannaCry a ajuns pe internet în primul rând institutii medicale, protecția lor este de o importanță capitală, spune șeful companiei de antivirus, și necesită intervenția guvernului. „Nu pot să nu cred că guvernele ar trebui să acorde mai multă atenție reglementării spațiului cibernetic, cel puțin atunci când vine vorba de infrastructura critică de asistență medicală”, a spus Evgeniy.

În opinia sa, certificarea instituțiilor medicale ar trebui să includă anumite cerințe care să garanteze protecția datelor valoroase. Una dintre ele este obținerea de permise speciale, care certifică faptul că o anumită clinică se angajează să facă copii de siguranță ale datelor într-un program, precum și să actualizeze în timp util sistemul de operare. În plus, guvernul trebuie să întocmească o listă a sistemelor și aplicațiilor necesare pentru utilizare în sectorul sănătății (împreună cu specificațiile de care au nevoie pentru o conexiune la Internet sigură).

Evgeny Kaspersky consideră că echipamentele furnizate de producătorii de echipamente medicale trebuie să respecte și cerințele agențiilor guvernamentale. „Producătorii de echipamente medicale produc produse certificate care, conform termenilor contractului, nu pot fi modificate. În multe cazuri, aceste cerințe nu permit înlocuirea sau actualizarea software-ului din astfel de echipamente. Nu este de mirare că Windows XP poate rămâne nepattched mulți ani, dacă nu pentru totdeauna”, spune expertul.

Harta distribuției și daunelor cauzate de ransomware-ul WannaCry

Experții americani au evaluat pagubele cauzate de un atac pe scară largă a hackerilor care a lovit țara la începutul lui mai 2017. sisteme informatice agenții guvernamentale, corporații mari și alte instituții din 150 de țări. Acest prejudiciu, potrivit evaluatorilor KnowBe4, s-a ridicat la un miliard de dolari. Conform acestor date, WannaCry a afectat în total de la 200 de mii la 300 de mii de computere.

„Daunele estimate cauzate de WannaCry în primele patru zile au depășit 1 miliard de dolari, având în vedere timpul de nefuncționare pe scară largă pe care l-a cauzat organizațiilor mari din întreaga lume”, a declarat CEO-ul KnowBe4, Stu Sjuverman. Estimarea generală a daunelor a inclus pierderea de date, pierderea productivității, timpul de nefuncționare, costurile legale, daunele reputației și alți factori.

Date din 18.05.2017

Distribuție în Rusia

Rusia este printre primele trei țări pentru răspândirea virusului

La sfârșitul lunii mai 2017, compania Kryptos Logic, care dezvoltă soluții de securitate cibernetică, a publicat un studiu care a arătat că Rusia se numără printre primele trei țări cu cele mai multe o cantitate mare atacurile hackerilor folosind virusul ransomware WannaCry.

Descoperirile Kryptos Logic se bazează pe numărul de solicitări făcute la comutatorul de ucidere, care previne infecția. În perioada 12-26 mai 2017, experții au înregistrat aproximativ 14-16 milioane de solicitări.

Grafic care arată țările cu cea mai mare răspândire a virusului WannaCry în primele două săptămâni, date de la Kryptos Logic

În primele zile ale răspândirii masive a lui WannaCry companii de antivirus a raportat că majoritatea (de la 50% la 75%) atacurilor cibernetice care utilizează acest virus au avut loc în Rusia. Totuși, conform Kryptos Logic, lider în acest sens a fost China, care a înregistrat 6,2 milioane de cereri către domeniul de urgență. Cifra pentru SUA a fost de 1,1 milioane, pentru Rusia - 1 milion.

Primele zece țări cu cea mai mare activitate WannaCry au inclus și India (0,54 milioane), Taiwan (0,375 milioane), Mexic (0,3 milioane), Ucraina (0,238 milioane), Filipine (0,231 milioane), Hong Kong (0,192 milioane) și Brazilia. (0,191 milioane).

Șeful Ministerului Comunicațiilor: WannaCry nu a afectat software-ul rusesc

Virusul WannaCry nu l-a lovit pe rus software, dar au găsit slăbiciuni în software-ul străin, a spus ministrul Comunicațiilor și comunicatii de masa RF Nikolai Nikiforov în programul „Opinie” „Vesti.Ekonomika” în mai 2017.

El a recunoscut că unele întreprinderi de stat au avut probleme din cauza virusului. Prin urmare, tehnologiile informaționale care operează în Rusia trebuie să fie „tehnologiile noastre, ruse”, a subliniat Nikiforov.

„În plus, avem potențial științific și tehnic Suntem una dintre puținele țări care, cu un oarecare efort, organizațional, financiar, tehnic, este capabilă să creeze întregul teanc de tehnologii care ne permit să ne simțim încrezători”, a spus ministrul.

„Virusul nu a afectat software-ul autohton, virusul a afectat software-ul străin, pe care îl folosim în masă”, a subliniat el.

Consiliul de Securitate al Rusiei: WannaCry nu a cauzat daune grave Rusiei

Consiliul de Securitate al Rusiei a evaluat daunele pe care virusul WannaCry le-a provocat infrastructurii ruse. După cum a declarat secretarul adjunct al Consiliului de Securitate al Rusiei, Oleg Khramov, virusul WannaCry nu a cauzat daune grave infrastructurii informaționale critice din Rusia.

Aceste obiecte includ sisteme informatice din industria de apărare, sănătate, transporturi, comunicații, credit și sectoare financiare, energie și altele.

Hramov a reamintit că pentru a ne proteja în mod fiabil propria infrastructură informațională critică în conformitate cu decretul prezidențial Federația Rusă se creează în mod constant un sistem de stat de detectare, prevenire și atenuare a consecințelor atacuri informatice pe resurse informaționale Federația Rusă.

„Mulțumesc celor menționate sistem de stat S-au evitat pagube grave. Infrastructura informațională critică s-a dovedit a fi pregătită să reziste la răspândirea pe scară largă a acestui virus”, a spus Oleg Khramov.

În același timp, secretarul adjunct al Consiliului de Securitate al Federației Ruse a subliniat că astfel de amenințări la adresa securității informațiilor devin din ce în ce mai sofisticate și la scară largă.

Atacul la adresa Ministerului Afacerilor Interne

Pe 12 mai 2017, a fost cunoscut atacul virusului WannaCry asupra computerelor Ministerului Afacerilor Interne (MVD) al Rusiei. 1% din sistemele departamentului au fost infectate.

După cum a raportat RIA Novosti cu referire la reprezentantul oficial al Ministerului Afacerilor Interne al Federației Ruse Irina Volk, Departamentul tehnologia Informatiei, protecția comunicațiilor și a informațiilor (DITSiZI) a Ministerului rus al Afacerilor Interne înregistrate atac de virus către calculatoarele personale ale departamentului pe care este instalat sistemul de operare Windows.

Ministerul rus al Afacerilor Interne a raportat că pe 12 mai serverele sale au fost supuse unui atac de hacker.

Ea a menționat, de asemenea, că WannaCry nu a putut infecta resursele de server ale Ministerului Afacerilor Interne, deoarece folosesc alte sisteme de operare și servere pe procesoare rusești„Elbrus”.

Au fost supuse mai multor calculatoare personale ale angajaților departamentului Infecția cu WannaCry din cauza încălcării angajaţilor a regulilor de utilizare a sistemelor informaţionale. Infecția a fost cauzată de încercările angajaților Ministerului Afacerilor Interne de a-și conecta computerele de birou la internet „printr-un mecanism sau altul”. Doar computerele personale ale angajaților au fost infectate, rețeaua internă Ministerul Afacerilor Interne este protejat de influența externă.

Atacul asupra celor Trei Mari

Într-o lucrare publicată, cercetătorii au arătat cum au reușit să ocolească instrumentele Protecție Windows 10 - în special, veniți cu Metoda noua ocoliți DEP (Prevenirea execuției datelor) și ASLR (randomizarea aspectului spațiului de adrese).

Virușii Adylkuzz și Uiwix

Cercetătorii notează că Adylkuzz a început atacurile mai devreme decât WannaCry - cel puțin 2 mai și, posibil, 24 aprilie. Virusul nu a primit atât de multă atenție pentru că este mult mai greu de depistat. Singurele „simptome” la care victima le poate acorda atenție sunt încetinirea computerului, deoarece virusul preia resursele sistemului.

În același timp, Adylkuzz i-a protejat pe utilizatorii afectați de atacurile WannaCry, deoarece a închis gaura în Windows și nu a permis unui alt virus să-l exploateze.

În plus, după WannaCry, a apărut un alt ransomware - Uiwix, care exploatează și o vulnerabilitate senzațională în Windows. Așa au afirmat specialiștii de la Heimdal Security.

Uiwix, spre deosebire de numeroși imitatori WannaCry, criptează de fapt fișierele și cadourile victimelor amenințare reală. În plus, Uiwix nu are un kill switch, așa că este imposibil să oprești răspândirea acestuia prin înregistrarea unui anumit domeniu.

Acest virus criptează datele victimelor și solicită o răscumpărare de 0,11943 bitcoin (aproximativ 215 USD la cursul de schimb actual).

Încercările de a profita de WannaCry de la creatorii altor viruși

În iunie 2017, cercetătorii de la RiskIQ au descoperit sute de aplicatii mobile prefăcându-se drept protecție împotriva ransomware-ului WannaCry, dar în realitate ajung în cel mai bun scenariu inutil, în cel mai rău caz - dăunător. Aplicațiile ca acestea fac parte dintr-o problemă mai mare: aplicațiile false. antivirusuri mobile. Citeşte mai mult.

Erori în codul WannaCry

Codul WannaCry era plin de bug-uri și avea foarte multe de calitate inferioară. Atât de scăzut încât unele victime pot recâștiga accesul la fișierele lor originale chiar și după ce au fost criptate.

O analiză a WannaCry efectuată de cercetătorii de la specialistul în securitate Kaspersky Lab a constatat că majoritatea erorilor însemnau că fișierele pot fi recuperate folosind acces public. instrumente software sau chiar comenzi simple.

Într-un caz, o eroare în motorul de procesare a fișierelor de numai citire al WannaCry înseamnă că nu poate cripta deloc astfel de fișiere. În schimb, ransomware-ul creează copii criptate ale fișierelor victimei. În acest caz, fișierele originale rămân neatuse, dar sunt marcate ca ascunse. Aceasta înseamnă că fișierele pot fi returnate cu ușurință prin simpla eliminare a atributului „ascuns”.

Acesta nu este singurul exemplu de codare proastă a lui WannaCry. Dacă ransomware-ul pătrunde în sistem, fișierele pe care dezvoltatorii săi nu le consideră importante sunt mutate într-un folder temporar. Aceste fișiere conțin date originale care nu sunt suprascrise, ci doar șterse de pe disc. Aceasta înseamnă că pot fi returnate folosind un software de recuperare a datelor. Din păcate, dacă fișierele se află într-un folder „important”, cum ar fi Documente sau Desktop, WannaCry va suprascrie fișierele originale cu date aleatorii, făcând imposibilă recuperarea.

Cu toate acestea, numeroasele erori din cod dau speranță victimelor, așa cum oferă natura amator a ransomware-ului oportunități ample pentru a recupera măcar fișierele.

„Dacă ai fost infectat WannaCry ransomware, există șanse mari să puteți recupera multe dintre fișierele de pe computerul afectat. Recomandăm ca indivizii și organizațiile să folosească utilitare de recuperare a fișierelor pe mașinile afectate din rețeaua lor”, a declarat Anton Ivanov, cercetător de securitate la Kaspersky Lab.

Nu este prima dată când WannaCry este caracterizată ca o formă de ransomware amator. Iar faptul că, în cele trei săptămâni de la atac, doar o mică parte din victimele infectate au plătit un total de 120.000 USD în răscumpărări Bitcoin sugerează că ransomware-ul, deși a provocat o agitație masivă, nu a reușit să obțină multi bani, care este scopul final al ransomware-ului.

Instrument de eliminare WannaCry

Cum să vă protejați computerul de infecție?

• Instalați toate actualizările Microsoft Windows.
• Asigurați-vă că toate nodurile de rețea sunt protejate de un software antivirus cuprinzător. Vă recomandăm tehnologii bazate pe euristică care vă permit să detectați noile amenințări și să ofere protecție împotriva așa-numitelor atacuri zero-day. Acest lucru îmbunătățește securitatea în cazul în care malware necunoscut anterior se infiltrează în sistem.
• Nu mai utilizați sistemul de operare Microsoft Windows, care nu sunt acceptate de producător. Înainte de a înlocui sistemele de operare vechi, utilizați actualizarea lansată de Microsoft pentru Windows XP, Windows 8 și Windows Server 2003.
• Utilizați serviciile pentru a accesa informații despre cele mai recente amenințări.
• Dacă suspectați o infecție, deconectați stațiile de lucru infectate de la rețeaua corporativă și contactați serviciul suport tehnic furnizorul dvs. de soluții antivirus pentru recomandări suplimentare.

Salutare tuturor! Mai nou, internetul a fost agitat de un eveniment care a afectat calculatoarele multor companii și utilizatori privați. Toate acestea se datorează virusului emergent Wanna Cry, care în scurt timp a pătruns și a infectat rapid o cantitate mare calculatoare în tari diferite pace. În prezent, răspândirea virusului a scăzut, dar nu s-a oprit complet. Din această cauză, utilizatorii cad periodic în capcana acesteia și nu știu ce să facă, deoarece nu toate programele antivirus sunt capabile să o neutralizeze. Potrivit datelor preliminare, peste 200 de mii de computere din întreaga lume au fost atacate. Virusul Wanna Cry poate fi considerat pe bună dreptate cea mai gravă amenințare a anului curent și, probabil, computerul tău va fi următorul pe calea sa. Prin urmare, să aruncăm o privire mai atentă asupra modului în care acest cod rău intenționat se răspândește și cum îl puteți combate.

„Vona Krai”, așa cum numesc și utilizatorii ruși acest virus, se referă la un tip de malware care se instalează pe un computer ca un troian și începe să stoarcă bani de la utilizatorul PC-ului. Principiul funcționării acestuia este următorul: pe desktopul computerului apare un banner, care blochează toată munca utilizatorului și îl solicită să trimită SMS plătit mesaj pentru a elimina blocarea. Dacă utilizatorul refuză să plătească banii, informațiile de pe computer vor fi criptate fără posibilitatea de recuperare. În mod obișnuit, dacă nu întreprindeți nicio măsură, vă puteți lua rămas bun de la toate informațiile stocate pe hard disk.

De fapt, virusul Wanna Cry poate fi clasificat ca un grup de viruși, blocanți de ransomware, care strică periodic nervii multor utilizatori.

Cum funcționează noul dăunător?

Odată ajuns pe computer, acesta criptează rapid informațiile aflate pe hard disk.

După aceasta, pe desktop apare un mesaj special, în care utilizatorului i se cere să plătească 300 de dolari SUA pentru ca programul să decripteze fișierele. Dacă utilizatorul se gândește mult timp și banii nu ajung la special portofel online Bitcoin, atunci suma răscumpărării se va dubla și va trebui să plătiți 600 de dolari, adică aproximativ 34.000 de mii de ruble cu banii noștri, o sumă decentă, nu-i așa?

După șapte zile, dacă utilizatorul nu trimite o recompensă pentru a decripta fișierele, acele fișiere vor fi șterse definitiv de ransomware.

Virusul Wanna Cry poate funcționa cu aproape toată lumea tipuri moderne fişiere. Iată o mică listă de extensii care sunt în pericol: .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4 , .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar.

După cum puteți vedea, această mică listă conține toate fișierele populare pe care virusul le poate cripta.

Cine este creatorul virusului Wanna Cry?

Potrivit Agenției Naționale de Securitate a Statelor Unite ale Americii, acesta a fost descoperit anterior codul programului numit „Eternal Blue”, deși informațiile despre acest cod au fost ascunse pentru a fi folosite în interese personale. Deja în aprilie a acestui an, comunitatea de hackeri a publicat informații despre acest exploit.

Cel mai probabil, creatorul terenului a folosit acest cod pentru a scrie un virus foarte eficient. Momentan, nu s-a stabilit încă cine este autorul principal al ransomware-ului.

Cum se răspândește virusul Wanna Cry și ajunge pe computerul tău?

Dacă nu ați căzut încă în capcana virusului Wanna Cry, atunci aveți grijă. Este distribuit cel mai adesea prin e-mailuri cu atașamente.

Să ne imaginăm o astfel de situație! Primiți un mesaj de e-mail, poate chiar de la un utilizator pe care îl cunoașteți, care conține o înregistrare audio, un videoclip sau o fotografie După ce a deschis scrisoarea, utilizatorul dă clic cu plăcere pe atașament, fără a sesiza faptul că fișierul are. extensia exe. Adică, în esență, utilizatorul însuși începe să instaleze programul, în urma căruia fișierele computerului devin infectate și, folosind cod rău intenționat, este descărcat un virus care criptează datele.

Notă! Vă puteți infecta computerul cu blocantul Vona Krai descărcând fișiere din trackere torrent sau primind un mesaj personal în în rețelele sociale sau mesageri.

Cum să vă protejați computerul de virusul Wanna Cry?

Probabil că în capul tău a apărut o întrebare rezonabilă: „Cum să te protejezi de virusul Wanna Cry?”

Aici vă pot oferi câteva metode de bază:

• Deoarece dezvoltatorii Microsoft erau foarte îngrijorați de acțiunile virusului, au lansat imediat o actualizare pentru toate versiunile sistemului de operare Windows. Prin urmare, pentru a vă proteja computerul de acest dăunător, trebuie să descărcați și să instalați urgent un patch de securitate;
• Monitorizați cu atenție ce scrisori primiți prin e-mail. Dacă primiți un e-mail cu un atașament, chiar și de la un destinatar pe care îl cunoașteți, fiți atenți la extensia fișierului. Sub nicio formă, nu deschideți fișierele descărcate cu extensia: .exe; .vbs; .scr. Extensia poate fi, de asemenea, mascată și să arate astfel: avi.exe; doc.scr ;
• Pentru a evita căderea în ghearele unui virus, activați afișarea extensiilor de fișiere în setările sistemului de operare. Acest lucru vă va permite să vedeți ce tip de fișiere încercați să rulați. Tipul de fișiere mascate va fi, de asemenea, clar vizibil;
• Instalarea chiar și a lui L în sine nu va salva, cel mai probabil, situația, deoarece virusul folosește vulnerabilitățile sistemului de operare pentru a accesa fișierele. Prin urmare, în primul rând, instalați toate actualizările pentru Windows și abia apoi instalați ;
• Dacă este posibil, transferați toate datele importante către un extern HDD. Acest lucru vă va proteja de pierderea informațiilor;
• Dacă averea ți-a întors spatele și ai căzut sub influența virusului Wanna Cry, atunci pentru a scăpa de el, reinstalează sistem de operare;
• Păstrați-vă bazele de date cu viruși antivirusuri instalate la zi;
• Recomand descărcarea și instalarea utilitate gratuită Produse Kaspersky Anti-Ransom. Acest utilitar vă permite să vă protejați computerul în timp real împotriva diferitelor agenți de blocare a ransomware.

Patch Windows de la Wanna Cry pentru a împiedica computerul să se îmbolnăvească.

Dacă computerul dvs. are instalat un sistem de operare:

• Windows XP;
• Windows 8;
• Windows Server 2003;
• Windows Embedded

Instalați acest patch, îl puteți descărca de pe linkul de pe site-ul oficial Microsoft.

Pentru toate celelalte versiuni ale sistemului de operare Windows, va fi suficient să instalați totul actualizări disponibile. Doar cu aceste actualizări vei închide găurile din sistem Securitate Windows.

Eliminarea virusului Wanna Cry.

Pentru a elimina ransomware, încercați să utilizați unul dintre cele mai bune utilitare de eliminare a programelor malware.

Notă! După rularea programului antivirus, fișierele criptate nu vor fi decriptate. Și cel mai probabil va trebui să le eliminați.

Este posibil să decriptați singur fișierele după Wanna Cry.

De regulă, agenții de blocare a ransomware, care includ „de-a lungul marginii”, criptează fișierele folosind chei de 128 și 256 de biți. În același timp, cheia pentru fiecare computer este unică și nu se repetă nicăieri. Prin urmare, dacă încercați să decriptați astfel de date acasă, vă va lua sute de ani.

În acest moment, nu există un singur decodor Wanna Cry în natură. Prin urmare, niciun utilizator nu va putea decripta fișierele după ce virusul rulează. Prin urmare, dacă nu ați devenit încă victima acesteia, vă recomand să aveți grijă de securitatea computerului dvs. dacă aveți ghinion, atunci există mai multe opțiuni pentru rezolvarea problemei:

• Plătește răscumpărarea. Aici dai bani pe riscul și riscul tău. Deoarece nimeni nu vă garantează că după ce trimiteți banii, programul va putea decripta toate fișierele înapoi;
• Dacă virusul nu v-a ocolit computerul, atunci puteți pur și simplu să deconectați hard disk-ul și să-l puneți pe un raft îndepărtat până la vremuri mai bune, când apare un decriptor. Momentan nu există, dar cel mai probabil va apărea în viitorul apropiat. Vreau să vă spun un secret că decriptoarele sunt dezvoltate de Kaspersky Lab și postate pe site-ul web No Ramsom;
• Pentru utilizatorii de antivirus Kaspersky licențiat, este posibil să se aplice pentru decriptarea fișierelor care au fost criptate de virusul Wanna Cry;
• Dacă nu există nimic important pe hard disk-ul computerului, nu ezitați să îl formatați și să instalați un sistem de operare curat;

Virusul Wanna Cry în Rusia.

Vă prezint un grafic care arată clar că cel mai mare număr de computere au fost afectate de virus pe teritoriul Federației Ruse.

Cel mai probabil acest lucru s-a întâmplat pentru că utilizatori ruși nu le place în mod deosebit să cumpere software cu licență și cel mai adesea folosesc copii piratate ale sistemului de operare Windows. Din acest motiv, sistemul nu este actualizat și rămâne foarte vulnerabil la viruși.

Astfel de computere nu au fost cruțate de virusul Wanna Cry. Recomand instalarea versiune licenţiată sistem de operare și nu dezactivați actualizările automate.

Apropo, nu numai computerele utilizatorilor privați au fost afectate de blocantul „acolo”, ci și organizatii de stat precum: Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență, Banca Centrală, precum și mari companii private precum: operator comunicare celulară Megafon, Sberbank a Rusiei și Căile Ferate Ruse.

După cum am spus mai sus, a fost posibil să vă protejați de pătrunderea virusului. Deci, în martie a acestui an, Microsoft a lansat actualizări de securitate Windows. Adevărat, nu toți utilizatorii l-au instalat, motiv pentru care au căzut într-o capcană.

Dacă utilizați versiune veche sistem de operare, apoi asigurați-vă că descărcați și instalați patch-ul despre care am scris în paragraful de mai sus.

Să rezumam.

În articolul de astăzi v-am vorbit despre noul virus Wanna Cry. Am încercat să vă explic cât mai detaliat ce este acest dăunător și cum vă puteți proteja de el. De asemenea, acum știi de unde poți descărca un patch care va închide găurile în sistemul de securitate Windows.

Dacă computerul sau mai multe dispozitive simultan în casa dvs. sau retea de lucru lovit de virusul Wannacry - citiți articolul nostru.

Aici veți învăța cum să vă protejați și să preveniți infecția, precum și cum să decriptați corect datele criptate.

Importanța acestor cunoștințe este confirmată de informații despre peste 150 de mii de computere infectate în 2017, al căror sistem de operare a fost infectat cu cod WC rău intenționat.

Și, deși răspândirea globală a amenințării a fost oprită, este posibil ca următoarea versiune ransomware-ul va deveni și mai eficient și ar trebui să vă pregătiți pentru apariția lui în avans.

Continut:

Consecințe

Primele semne de infectare a computerului cu un virus ransomware au fost descoperite pe 12 mai 2017, Când program necunoscut a interferat cu activitatea a mii de utilizatori și a sute de organizații diferite din întreaga lume.

Codul rău intenționat a început să se răspândească la ora 8:00 și în prima zi a infectat peste 50 de mii de computere.

Cele mai multe infecții au avut loc în - deși primele date au venit din Marea Britanie, iar printre organizațiile afectate s-au numărat companii de telecomunicații spaniole și portugheze și chiar concern auto „Renault”.

În Rusia a atacat operatorii comunicatii mobile "Megafon", "Linie dreaptă"Și "Iotă", Ministerul Situațiilor de Urgență, Ministerul Afacerilor Interne și Administrația Căilor Ferate.

Din această cauză, examenele permisului de conducere au fost anulate în unele regiuni ale țării, iar o serie de organizații și-au suspendat temporar activitatea.

Înregistrarea unui nume de domeniu scris în codul virusului, a făcut posibilă oprirea răspândirii acesteia. După aceasta, programul nu a mai putut accesa un anumit domeniu și nu a funcționat. Adevărat, doar înainte de absolvire versiune noua, unde nu mai era prescris să contactați o anumită adresă.

Cerințe ale dezvoltatorilor de programe malware

Rezultatul infectării computerelor a fost blocarea majorității celor de pe ele. hard disk-uri fişiere.

Din cauza incapacității de a utiliza informațiile, utilizatorii chiar au tradus numele aplicației WannaCry ca "Vreau sa plang", dar nu „Vreau să criptez”(Wanna Cryptor) așa cum sa întâmplat cu adevărat.

Dar, având în vedere că fișierele necriptate cel mai probabil nu au putut fi recuperate, opțiune personalizată părea mai potrivită.

Windows a apărut pe desktopul computerului infectat cu solicitări de a plăti escrocii pentru a debloca informații.

La început, atacatorii au cerut doar 300 de dolari, după un timp suma a crescut la 500 de dolari – iar după plată nu exista nicio garanție că atacul nu se va mai repeta – deoarece computerul era încă infectat.

Dar dacă ați refuzat să plătiți, datele criptate s-au pierdut la 12 ore de la apariția avertismentului.

Metode de răspândire a amenințării

Dezvoltatorii malware-ului au folosit o vulnerabilitate din acest sistem de operare pentru a infecta computerele cu Windows, care a fost închisă cu actualizarea MS17-010.

Victimele au fost în principal acei utilizatori care nu au instalat această remediere în martie 2017.

După instalarea (manuală sau automată) a actualizării acces de la distanță la computer a fost închis.

În același timp Remedierea lunii martie nu a protejat pe deplin sistemul de operare. Mai ales dacă utilizatorul îl deschide el însuși - așa se răspândește și virusul.

Și după infectarea unui computer, virusul a continuat să se răspândească în căutarea unor vulnerabilități - din acest motiv, cei mai vulnerabili nu erau utilizatorii individuali, ci companii mari.

Prevenirea infecției

În ciuda pericolului grav ca un virus (și noile sale versiuni) să intre pe aproape orice computer, există mai multe modalități de a evita infectarea sistemului.

Pentru a face acest lucru ar trebui să luați urmatoarele masuri:

• asigurați-vă că instalați ultimele remedieri securitate și, dacă lipsesc, adăugați-le manual. După aceasta, cu siguranță ar trebui să activați actualizările automate - cel mai probabil, această opțiune a fost dezactivată;

• nu deschide e-mailuri cu atașamente de la utilizatori necunoscuți;
• nu faceți clic pe linkuri suspecte – mai ales dacă antivirusul dumneavoastră vă avertizează asupra pericolului acestora;
• stabiliți calitatea program antivirus– de exemplu, sau , procentul de detecție a Bath Edge care are maximum. Majoritatea celor mai puțin cunoscute și mai ales aplicații gratuite protejați mai rău platforma;

• După infectare, deconectați imediat computerul de la Internet și, mai ales, de la rețeaua locală, protejând celelalte dispozitive de răspândirea ransomware-ului.

În plus, utilizatorul ar trebui să salveze periodic datele importante prin crearea unor copii de rezervă.

Dacă este posibil, merită să copiați informațiile pe unități flash USB, carduri de memorie sau nu (externe sau interne detașabile).

Dacă este posibil să recuperați informații, daunele cauzate de virus vor fi minime - dacă un computer este infectat, este suficient să formatați pur și simplu dispozitivul de stocare.

Tratamentul unui PC infectat

Dacă computerul este deja infectat, utilizatorul ar trebui să încerce să-l vindece, scăpând de consecințe Acțiuni WannaCry.

La urma urmei, după program virus intrat în sistem, are loc odată cu modificarea extensiilor lor.

Când încearcă să lanseze aplicații sau să deschidă documente, utilizatorul eșuează, forțându-l să se gândească la rezolvarea problemei plătind cei 500 USD necesari.

De bază etapele de rezolvare a problemelor:

1 Pornirea serviciilor încorporate în sistemul de operare Windows.Șansă pentru rezultat pozitivîn acest caz este mic, așa că cel mai probabil va trebui să utilizați alte opțiuni;

2 Reinstalarea sistemului.În acest caz, ar trebui să formatați totul - este posibil ca toate informațiile să se piardă;

3 Accesați decriptarea datelor– această opțiune este utilizată dacă există date importante pe disc.

4 Proces de recuperare a fișierelorîncepe cu descărcarea actualizărilor corespunzătoare și deconectarea de la Internet. După aceasta, utilizatorul trebuie să ruleze Linie de comanda(prin "Start" si sectiunea "Standard" sau prin meniu "Alerga"și ) și blochează portul 445, blocând calea de intrare a virusului. Acest lucru se poate face prin introducerea comenzii netsh advfirewall firewall add rule dir=în acțiune=block protocol=tcp localport=445 name=»Block_TCP-445.

5 Acum urmează alerga . Pentru a face acest lucru, țineți apăsată tasta în timp ce încărcați F8 pentru a accesa meniul de pornire al computerului și selectați elementul corespunzător. În acest mod, un folder cu cod rău intenționat, care este localizat folosind comanda rapidă a virusului care apare pe desktop. După ștergerea tuturor fișierelor din director, trebuie să reporniți sistemul și să reporniți Internetul.

Decriptarea fișierelor

După ce WannaCry este oprit, utilizatorului i se cere să restaureze toate fișierele criptate.

Este de remarcat faptul că acum există mult mai mult timp pentru acest lucru decât 12 ore - prin urmare, dacă nu puteți returna datele pe cont propriu, puteți contacta specialiști în câteva zile sau luni.

Cea mai bună opțiune – restaurarea datelor din copii de rezervă. Dacă utilizatorul nu a prevăzut posibilitatea infecției și nu a copiat date importante, ar trebui să descărcați un program de decriptare:

• Shadow Explorer, care se bazează pe restaurarea copiilor „shadow” ale fișierelor (în primul rând documente);

Orez. 6. Lansarea programului

Fig.9. Funcționarea programului Windows Data Recovery.

Orez. 10. Recuperați fișierele prin program cu 1 clic

• utilitare produse de Kaspersky Lab special pentru restaurarea informațiilor criptate.

Orez. 11. Lansați utilitarul

Fig. 12. Procesul de restaurare a datelor

Ar trebui sa stii: Programul ar trebui să fie lansat numai după ce virusul în sine a fost eliminat. Dacă nu puteți opri Vanna Edge, nu trebuie să utilizați decodorul.