Cutie cu nisip

mreana amuzantă 18 mai 2017 la 09:52

Cum să recuperați fișierele după criptarea virusului ransomware WannaCry

Bună ziua, Habrazhiteliki. S-au scris multe despre Habré despre cum să te protejezi de WannaCry. Dar din anumite motive, nicăieri nu a fost explicat cum să returnezi datele criptate. Vreau să umplu acest gol. Și a aruncat puțină lumină asupra modului în care am făcut acest lucru în compania noastră „cunoscută” implicată în logistică. Aceasta este mai mult o instrucțiune pentru administratorii noștri de securitate a informațiilor.

Recuperare după criptarea datelor

Aceasta nu este decriptare, ci mai degrabă recuperare. Și funcționează numai dacă copiarea umbră este activată în Windows, adică. Datele pot fi restaurate chiar din punctele de restaurare Windows.

Pentru a face acest lucru, puteți utiliza utilitarul ShadowExplorer - este gratuit și vă permite să restaurați fișierele din punctele de recuperare. Punctele de restaurare sunt create de fiecare dată când sistemul este actualizat, iar cele vechi sunt suprascrise cu altele noi. Numărul de puncte depinde de spațiul alocat punctelor de recuperare. În medie, 5-6 dintre ele sunt stocate pe Windows mediu.

Selectați un punct de recuperare și puteți exporta fișiere și directoare în locația de care aveți nevoie:

Selectați acele fișiere care nu sunt încă criptate și exportați-le în locația de care aveți nevoie.

(În unele cazuri, când actualizarea a trecut deja, acele puncte de recuperare pot fi suprascrise atunci când fișierele nu au fost încă criptate. De asemenea, este posibil ca unele dintre date să fie deja criptate în punctele de recuperare, dar unele să nu fie încă criptate. trebuie să restaurați doar ceea ce poate fi restaurat.)

Asta, în principiu, este tot ceea ce este necesar pentru restaurare, acolo unde este posibil.

Important! După restaurarea fișierelor, trebuie să ștergeți acele puncte de recuperare în care datele au fost deja criptate. S-a observat că aici virusul se restabilește după curățare.

Recuperați datele, precum și neutralizați și eliminați virusul:

1. Deconectați computerul de la rețea
2. În continuare, trebuie să utilizați utilitarul wann_kill_v_(numărul versiunii) - acest utilitar oprește procesul virusului. Semnăturile virusului în sine rămân stocate în sistem. Facem asta pentru că când aduceți o unitate flash pe computer care trebuie dezinfectată, virusul criptează unitatea flash. Este important să rulați acest utilitar înainte ca virusul să intre pe unitatea flash.

3. Curățați-vă computerul folosind DrWeb CureIt (aici virusul însuși este eliminat de pe computer)
4. Recuperați datele de care aveți nevoie așa cum este descris mai sus „ După criptarea datelor»
5. (Numai după recuperarea datelor) Distrugeți punctele de recuperare, deoarece aici virusul se restabilește după curățare.

Protecția sistemului:

Ton:

Șterge.

6. Apoi lansați corecția KB4012212, închizând astfel vulnerabilitatea rețelei MS17-010
7. Porniți rețeaua și instalați (sau actualizați) software-ul antivirus.

Practic, așa am luptat cu virusul Wanna Cry.

Etichete: WannaCry, Decriptare

Virusul WannaCry este un program ransomware care utilizează exploit-ul EternalBlue pentru a infecta computerele care rulează sistemul de operare Microsoft Windows. Ransomware-ul este cunoscut și ca WannaCrypt0r, WannaCryptor, WCry și Wana Decrypt0r. Odată ce atinge computerul țintă, criptează rapid toate fișierele și le etichetează cu una dintre următoarele extensii: .wcry, .wncrytȘi .wncry.

Virusul face datele inutile folosind o criptare puternică, schimbă imaginea de fundal de pe desktop, creează o notă de răscumpărare „Please Read Me!.txt” și apoi lansează o fereastră de program numită „WannaDecrypt0r” care raportează că fișierele de pe computer au fost criptate. Malware-ul solicită victimei să plătească o răscumpărare de la 300 la 600 USD în Bitcoin și promite că va șterge toate fișierele dacă victima nu plătește banii în termen de 7 zile.

Programul malware șterge copiile umbra pentru a preveni recuperarea datelor criptate. În plus, ransomware-ul acționează ca un vierme, deoarece odată ce aterizează pe computerul țintă, începe să caute alte computere pentru a infecta.

Chiar dacă virusul promite să vă restaureze fișierele după plată, nu există niciun motiv să aveți încredere în criminali. Echipa site-ului recomandă eliminarea ransomware-ului în modul sigur folosind drivere de rețea, folosind programe anti-malware precum .

Criminalii cibernetici au folosit acest ransomware într-un atac cibernetic masiv care a fost lansat vineri, 12 mai 2017. Potrivit rapoartelor recente, atacul rău intenționat a afectat cu succes peste 230.000 de computere din peste 150 de țări.

Impactul unui atac cibernetic este îngrozitor, deoarece virusul vizează organizații din diferite sectoare, asistența medicală pare să fie cea mai grav afectată. Din cauza atacului, diverse servicii spitalicești au fost suspendate, cu sute de intervenții chirurgicale anulate. Primele companii majore care au fost lovite de cumpărare au fost Telefonica, Gas Natural și Iberdrola, potrivit rapoartelor.

Unele dintre companiile afectate au avut copii de siguranță ale datelor, în timp ce altele s-au confruntat cu consecințe tragice. Fără excepție, toate victimele sunt sfătuite să elimine WannaCry cât mai curând posibil, deoarece acest lucru poate ajuta la prevenirea răspândirii în continuare a ransomware-ului.

WannaCry se răspândește folosind exploit EternalBlue

Principalul vector de infecție al ransomware-ului WannaCry este exploit-ul EternalBlue, care este un program spion cibernetic furat de la Agenția de Securitate Națională a SUA (NSA) și publicat online de un grup de hackeri cunoscuți sub numele de Shadow Brokers.

Atacul EternalBlue vizează vulnerabilitatea Windows CVE-2017-0145 din protocolul Microsoft SMB (Server Message Block). Vulnerabilitatea a fost corectată acum, conform buletinului de securitate Microsoft MS17-010 (lansat pe 14 mai 2017). Codul de exploatare folosit de executori a fost destinat să infecteze sistemele vechi Windows 7 și Windows Server 2008, dar utilizatorii Windows 10 ar putea să nu fie afectați de virus.

Malware-ul vine de obicei sub forma unui dropper troian care conține un set de exploit-uri și ransomware-ul în sine. Dropperul încearcă apoi să se conecteze la unul dintre serverele de la distanță pentru a descărca ransomware-ul pe computer. Cele mai recente versiuni de WannaCry sunt distribuite prin girlfriendbeautiful[.]ga/ hotgirljapan.jpg?i =1 în regiunea APAC. Ransomware-ul poate afecta pe oricine nu are cunoștințe despre distribuția de ransomware, așa că vă recomandăm să citiți acest ghid pentru prevenirea ransomware-ului WannaCry, pregătit de experții noștri:

1. Instalați actualizarea de securitate a sistemului MS17-010, lansată recent de Microsoft, care va remedia vulnerabilitatea exploatată de ransomware. Actualizările au fost lansate exclusiv pentru sisteme de operare mai vechi, cum ar fi Windows XP sau Windows 2003.
2. Rămâneți la curent pentru actualizări ale altor programe de calculator.
3. Instalați un instrument antivirus de încredere pentru a vă proteja computerul de încercările ilegale de a vă infecta sistemul cu programe malware.
4. Nu deschide niciodată e-mailuri care vin de la străini sau companii cu care nu faci afaceri.
5. Dezactivați SMBv1 utilizând instrucțiunile furnizate de Microsoft.

Cercetătorul arată capturi de ecran făcute în timpul atacului WannaCry. Puteți vedea fereastra Wanna Decrypt0r, precum și imaginea setată de WannaCry ca fundal pentru desktop după infectarea sistemului și criptarea tuturor fișierelor de pe acesta.
Metoda 1. (Mod sigur)
Selectați „Mod sigur cu rețea” Metoda 1. (Mod sigur)
Selectați „Activați modul sigur cu rețea”

Selectați „Modul sigur cu linie de comandă” Metoda 2. (Restaurare sistem)
Selectați „Activați modul sigur cu linia de comandă”
Metoda 2. (Restaurare sistem)
Tastați „cd restore” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
Tastați „rstrui.exe” fără ghilimele și apăsați „Enter”
Metoda 2. (Restaurare sistem)
În fereastra „System Restore” care apare, selectați „Next”
Metoda 2. (Restaurare sistem)
Selectați punctul de restaurare și faceți clic pe „Următorul”
Metoda 2. (Restaurare sistem)
Faceți clic pe „Da” și începeți recuperarea sistemului ⇦ ⇨

Slide 1 din 10

Versiunile WannaCry

Virusul folosește cifrul criptografic AES-128 pentru a bloca în siguranță fișierele, adaugă extensia de fișier .wcry la numele acestora și cere să transfere 0,1 Bitcoin în portofelul virtual furnizat. Malware-ul a fost distribuit inițial prin e-mailuri spam; Cu toate acestea, acest virus special nu a generat prea multe venituri pentru dezvoltatorii săi. În ciuda faptului că fișierele criptate de acest ransomware s-au dovedit a fi irecuperabile fără o cheie de decriptare, dezvoltatorii au decis să actualizeze programul rău intenționat.

Virusul ransomware WannaCrypt0r. Acesta este un alt nume pentru versiunea actualizată a ransomware-ului. Noua versiune vizează vulnerabilitățile Windows ca principal vector de atac și criptează toate fișierele stocate în sistem în câteva secunde. Fișierele infectate pot fi recunoscute prin extensiile adăugate la numele fișierului imediat după numele fișierului original - .wncry, wncryt sau .wcry.

Nu există nicio modalitate de a recupera datele deteriorate fără copii de rezervă sau o cheie privată creată în timpul procesului de criptare a datelor. Virusul cere de obicei 300 USD, deși crește prețul răscumpărării la 600 USD dacă victima nu plătește banii în trei zile.

Virusul ransomware WannaDecrypt0r. WannaDecrypt0r este un program pe care virusul îl rulează după ce s-a infiltrat cu succes în sistemul țintă. Cercetătorii au observat deja că versiunile Wanna Decryptor 1.0 și Wanna Decryptor 2.0 se apropie de victime.

Malware-ul afișează un ceas de numărătoare inversă care arată cât timp a mai rămas pentru a plăti răscumpărarea înainte ca prețul acesteia să atingă valoarea maximă, precum și un ceas de numărătoare inversă identică care arată cât timp a mai rămas până când virusul șterge toate datele de pe un computer. Această versiune a șocat comunitatea virtuală pe 12 mai 2017, deși câteva zile mai târziu a fost oprită de un cercetător în securitate care poartă numele de MalwareTech.

Astăzi, probabil, doar oamenii foarte departe de Internet nu cunosc infecțiile în masă ale computerelor cu troianul de criptare WannaCry („Vreau să plâng”), care a început pe 12 mai 2017. Și aș împărți reacția celor care știu în 2 categorii opuse: indiferența și panica. Ce înseamnă acest lucru?

Iar faptul că informațiile fragmentare nu oferă o înțelegere completă a situației dă naștere la speculații și lasă în urmă mai multe întrebări decât răspunsuri. Pentru a înțelege ce se întâmplă cu adevărat, cui și ce amenință, cum să vă protejați de infecție și cum să decriptați fișierele deteriorate de WannaCry, articolul de astăzi îi este dedicat.

Este „diavolul” chiar atât de înfricoșător?

Nu înțeleg despre ce este toată agitațiaVreau să plâng? Există mulți viruși, alții noi apar în mod constant. Ce e special la acesta?

WannaCry (alte denumiri WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) nu este un malware cibernetic obișnuit. Motivul notorietății sale este cantitățile gigantice de pagube cauzate. Potrivit Europol, a perturbat funcționarea a peste 200.000 de computere care rulează Windows în 150 de țări, iar pagubele suferite de proprietarii acestora s-au ridicat la peste 1.000.000.000 de dolari Și asta doar în primele 4 zile de distribuție. Majoritatea victimelor sunt în Rusia și Ucraina.

Știu că virușii intră în computere prin site-uri web pentru adulți. Nu vizitez astfel de resurse, așa că nu sunt în pericol.

Virus? Am si eu o problema. Când apar viruși pe computer, rulez utilitarul *** și după o jumătate de oră totul este bine. Și dacă nu ajută, reinstalez Windows.

Virusul este diferit de virus. WannaCry este un ransomware troian, un vierme de rețea care se poate răspândi prin rețelele locale și pe internet de la un computer la altul fără intervenția umană.

Majoritatea programelor malware, inclusiv ransomware-ul, începe să funcționeze numai după ce utilizatorul „înghite momeala”, adică face clic pe un link, deschide un fișier etc. Pentru a vă infecta cu WannaCry, nu trebuie să faceți absolut nimic!

Odată ajuns pe un computer Windows, malware-ul criptează cea mai mare parte a fișierelor utilizatorului într-un timp scurt, după care afișează un mesaj care cere o răscumpărare de 300-600 USD, care trebuie transferat în portofelul specificat în termen de 3 zile. În caz de întârziere, el amenință că va face imposibilă decriptarea fișierelor în 7 zile.

În același timp, malware-ul caută lacune pentru a pătrunde în alte computere, iar dacă îl găsește, infectează întreaga rețea locală. Aceasta înseamnă că copiile de rezervă ale fișierelor stocate pe mașinile învecinate devin și ele inutilizabile.

Eliminarea unui virus de pe un computer nu decriptează fișierele! Reinstalarea si sistemul de operare. Dimpotrivă, dacă sunt infectate cu ransomware, ambele aceste acțiuni vă pot lipsi de capacitatea de a recupera fișiere chiar dacă aveți o cheie validă.

Deci da, „la naiba” este destul de înfricoșător.

Cum se răspândește WannaCry

Minți. Un virus poate intra pe computerul meu doar dacă îl descarc eu. Și sunt vigilent.

Multe programe malware sunt capabile să infecteze computerele (și dispozitivele mobile, de altfel, de asemenea) prin vulnerabilități - erori în codul componentelor sistemului de operare și al programelor care deschid oportunitatea atacatorilor cibernetici de a folosi o mașină de la distanță în propriile scopuri. WannaCry, în special, se răspândește printr-o vulnerabilitate de 0 zile în protocolul SMB (vulnerabilitățile zero-day sunt erori care nu au fost remediate în momentul în care au fost exploatate de malware/spyware).

Adică, pentru a infecta un computer cu un vierme ransomware, sunt suficiente două condiții:

• Conexiuni la o rețea în care există alte mașini infectate (Internet).
• Prezența lacunei descrise mai sus în sistem.

De unde a apărut această infecție? Este aceasta opera hackerilor ruși?

Potrivit unor rapoarte (nu sunt responsabil pentru autenticitate), Agenția Națională de Securitate din SUA a fost prima care a descoperit o defecțiune în protocolul de rețea SMB, care este folosit pentru accesul legal de la distanță la fișiere și imprimante în Windows. În loc să o raporteze la Microsoft, astfel încât să poată remedia eroarea, NSA a decis să o folosească ea însăși și a dezvoltat un exploit pentru aceasta (un program care exploatează vulnerabilitatea).

Vizualizarea dinamicii distribuției WannaCry pe site-ul intel.malwaretech.com

Ulterior, această exploatare (cu nume de cod EternalBlue), care a servit de ceva timp NSA să pătrundă în computere fără știrea proprietarilor, a fost furată de hackeri și a stat la baza creării ransomware-ului WannaCry. Adică, datorită acțiunilor nu în întregime legale și etice ale agenției guvernamentale americane, scriitorii de virusi au aflat despre vulnerabilitate.

Am dezactivat instalarea actualizărilorWindows. Pentru ce este necesar când totul funcționează fără ele.

Motivul pentru o răspândire atât de rapidă și pe scară largă a epidemiei a fost absența la acel moment a unui „patch” - o actualizare Windows care ar putea închide lacuna Wanna Cry. La urma urmei, a fost nevoie de timp pentru ao dezvolta.

Astăzi există un astfel de patch. Utilizatorii care actualizează sistemul l-au primit automat în primele ore de la lansare. Iar cei care cred că actualizările nu sunt necesare sunt încă expuși riscului de infecție.

Cine este expus riscului de atacul WannaCry și cum să vă protejați împotriva acestuia

Din câte știu eu, mai mult de 90% dintre computere sunt infectateWannaCry, operat deWindows 7. Am „zece”, ceea ce înseamnă că nu sunt în pericol.

Toate sistemele de operare care utilizează protocolul de rețea SMB v1 sunt susceptibile la infecția cu WannaCry. Acest:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v1607
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

Astăzi, utilizatorii sistemelor pe care nu este instalat (disponibil pentru descărcare gratuită de pe site-ul web technet.microsoft.com, către care este furnizat linkul) riscă să prindă malware prin rețea. Pot fi descărcate corecții pentru Windows XP, Windows Server 2003, Windows 8 și alte sisteme de operare neacceptate. De asemenea, descrie modalități de a verifica prezența unei actualizări salvatoare.

Dacă nu cunoașteți versiunea sistemului de operare de pe computer, apăsați combinația de taste Win+R și executați comanda winver.

Pentru a spori securitatea și dacă nu este posibilă actualizarea sistemului acum, Microsoft oferă instrucțiuni pentru dezactivarea temporară a protocolului SMB versiunea 1. Acestea sunt localizate și. În plus, dar nu neapărat, puteți închide portul TCP 445, care servește SMB, prin firewall.

Am cel mai bun antivirus din lume ***, cu el pot face orice și nu mi-e frică de nimic.

Răspândirea WannaCry poate avea loc nu numai prin metoda autopropulsată descrisă mai sus, ci și în modurile obișnuite - prin rețele sociale, e-mail, resurse web infectate și de phishing etc. Și există astfel de cazuri. Dacă descărcați și rulați manual un program rău intenționat, nici un antivirus, nici patch-urile care închid vulnerabilitățile nu vă vor salva de infecție.

Cum funcționează virusul, ce criptează

Da, lasă-l să cripteze ceea ce vrea. Am un prieten care este programator, el va descifra totul pentru mine. Ca ultimă soluție, vom găsi cheia folosind forța brută.

Ei bine, criptează câteva fișiere, deci ce? Acest lucru nu mă va împiedica să lucrez la computer.

Din păcate, nu va decripta, deoarece nu există modalități de a sparge algoritmul de criptare RSA-2048 pe care Wanna Cry îl folosește și nu va apărea în viitorul apropiat. Și va cripta nu doar câteva fișiere, ci aproape totul.

Nu voi oferi o descriere detaliată a funcționării malware-ului oricine este interesat poate citi analiza acestuia, de exemplu, în. Voi nota doar momentele cele mai semnificative.

Fișierele cu următoarele extensii sunt criptate: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

După cum puteți vedea, există documente, fotografii, video-audio, arhive, e-mail și fișiere create în diferite programe... Malware-ul încearcă să ajungă la fiecare director din sistem.

Obiectele criptate primesc extensie dublă cu postscript WNCRY, de exemplu, „Document1.doc.WNCRY”.

După criptare, virusul copiază un fișier executabil în fiecare folder @[email protected] – se presupune că pentru decriptare după răscumpărare, precum și un document text @[email protected] cu un mesaj pentru utilizator.

Apoi, încearcă să distrugă copiile umbre și punctele de restaurare Windows. Dacă sistemul rulează UAC, utilizatorul trebuie să confirme această operație. Dacă respingeți solicitarea, există în continuare șansa de a restaura datele din copii.

WannaCry transmite cheile de criptare ale sistemului afectat către centrele de comandă situate în rețeaua Tor, după care le șterge de pe computer. Pentru a căuta alte mașini vulnerabile, scanează rețeaua locală și intervalele IP arbitrare de pe Internet și, odată găsite, pătrunde în tot ceea ce poate ajunge.

Astăzi, analiștii cunosc mai multe modificări ale WannaCry cu diferite mecanisme de distribuție și ar trebui să apară altele noi în viitorul apropiat.

Ce trebuie să faceți dacă WannaCry v-a infectat deja computerul

Văd fișierele schimbând extensiile. Ce se întâmplă? Cum să oprești asta?

Criptarea nu este un proces unic, deși nu durează prea mult. Dacă ați reușit să observați înainte ca mesajul ransomware să apară pe ecran, puteți salva unele dintre fișiere oprind imediat alimentarea computerului. Nu prin oprirea sistemului, dar prin scoaterea ștecherului din priză!

Când Windows pornește în modul normal, criptarea va continua, așa că este important să o preveniți. Următoarea pornire a computerului trebuie să aibă loc fie în modul sigur, în care virușii nu sunt activi, fie de pe un alt mediu de pornire.

Fișierele mele sunt criptate! Virusul cere o răscumpărare pentru ei! Ce să faci, cum să decriptezi?

Decriptarea fișierelor după WannaCry este posibilă numai dacă aveți o cheie secretă, pe care atacatorii promit să o furnizeze de îndată ce victima le transferă suma de răscumpărare. Cu toate acestea, astfel de promisiuni nu sunt aproape niciodată îndeplinite: de ce ar trebui să se deranjeze distribuitorii de programe malware dacă au obținut deja ceea ce și-au dorit?

În unele cazuri, problema poate fi rezolvată fără răscumpărare. Până în prezent, au fost dezvoltate 2 decriptoare WannaCry: și . Primul funcționează doar în Windows XP, iar al doilea, creat pe baza primului, funcționează în Windows XP, Vista și 7 x86, precum și în sistemele nordice 2003, 2008 și 2008R2 x86.

Algoritmul de operare al ambelor decriptoare se bazează pe căutarea cheilor secrete în memoria procesului de criptare. Aceasta înseamnă că doar cei care nu au avut timp să repornească computerul au șanse de decriptare. Și dacă nu a trecut prea mult timp de la criptare (memoria nu a fost suprascrisă de un alt proces).

Deci, dacă sunteți un utilizator Windows XP-7 x86, primul lucru pe care ar trebui să-l faceți după ce apare mesajul de răscumpărare este să vă deconectați computerul de la rețeaua locală și de la Internet și să rulați decriptorul WanaKiwi descărcat pe alt dispozitiv. Înainte de a scoate cheia, nu efectuați alte acțiuni pe computer!

Puteți citi descrierea activității decriptorului WanaKiwi într-un altul.

După decriptarea fișierelor, rulați un antivirus pentru a elimina malware-ul și instalați un patch care îi închide căile de distribuție.

Astăzi, WannaCry este recunoscut de aproape toate programele antivirus, cu excepția celor care nu sunt actualizate, așa că aproape orice va face.

Cum să trăiești această viață mai departe

Această epidemie autopropulsată a luat lumea prin surprindere. Pentru tot felul de servicii de securitate, s-a dovedit a fi la fel de neașteptat ca și debutul iernii de la 1 decembrie pentru lucrătorii de utilități. Motivul este nepăsarea și întâmplărea. Consecințele sunt pierderi ireparabile de date și daune. Și pentru creatorii malware-ului, acesta este un stimulent pentru a continua în același spirit.

Potrivit analiștilor, WanaCry a adus dividende foarte bune distribuitorilor, ceea ce înseamnă că astfel de atacuri se vor repeta. Iar cei care sunt duși acum nu vor fi neapărat duși mai târziu. Desigur, dacă nu vă faceți griji în avans.

Deci, pentru a nu fi nevoit să plângi niciodată pentru fișierele criptate:

• Nu refuzați să instalați actualizări de sistem de operare și aplicații. Acest lucru vă va proteja de 99% dintre amenințările care se răspândesc prin vulnerabilități nepatificate.
• Continuă.
• Creați copii de rezervă ale fișierelor importante și stocați-le pe un alt mediu fizic sau, mai bine, pe mai multe. În rețelele corporative, este optim să utilizați baze de date distribuite de stocare a datelor, utilizatorii casnici pot folosi servicii cloud gratuite, cum ar fi Yandex Disk, Google Drive, OneDrive, MEGASynk etc. Nu păstrați aceste aplicații în funcțiune când nu le utilizați.
• Alegeți sisteme de operare de încredere. Windows XP nu este așa.
• Instalați un antivirus cuprinzător de clasă Internet Security și protecție suplimentară împotriva ransomware-ului, de exemplu. Sau analogi de la alți dezvoltatori.
• Creșteți-vă nivelul de alfabetizare în combaterea troienilor ransomware. De exemplu, furnizorul de antivirus Dr.Web a pregătit pentru utilizatorii și administratorii diferitelor sisteme. O mulțime de informații utile și, cel mai important, de încredere sunt conținute în blogurile altor dezvoltatori A/V.

Și cel mai important: chiar dacă ați suferit, nu transferați bani către atacatori pentru decriptare. Probabilitatea să fiți înșelat este de 99%. Mai mult, dacă nimeni nu plătește, afacerea de extorcare va deveni lipsită de sens. În caz contrar, răspândirea unei astfel de infecții va crește.

Tot pe site:

Epidemia WannaCry: răspunsuri la întrebările frecvente și dezmințirea concepțiilor greșite ale utilizatorilor actualizat: 27 mai 2017 de: Johnny Mnemonic

Recent, 360 ​​Internet Security Center a descoperit un nou tip de virus ransomware care vizează atât companiile, cât și persoanele fizice din multe țări și regiuni. 360 a emis un avertisment de urgență în timp util pe 12 mai, în urma descoperirii, pentru a reaminti utilizatorilor riscurile viitoare. Acest ransomware se răspândește cu mare viteză în întreaga lume. Potrivit unor statistici incomplete, zeci de mii de dispozitive din 99 de țări au fost infectate în doar câteva ore după explozie, iar acest vierme de rețea încă încearcă să-și extindă influența.

De obicei, un virus ransomware este un program rău intenționat cu intenția clară de extorcare. Criptează fișierele victimei folosind un algoritm criptografic asimetric, le face inaccesibile și solicită o răscumpărare pentru a le decripta. Dacă răscumpărarea nu este plătită, fișierele nu pot fi recuperate. Această nouă specie poartă numele de cod WanaCrypt0r. Ceea ce îl face atât de mortal este că a folosit instrumentul de hacking „EternalBLue”, care a fost furat de la NSA. Acest lucru explică și de ce WanaCrypt0r a putut să se răspândească rapid în întreaga lume și a provocat pierderi mari într-un timp foarte scurt. După descoperirea viermilor de rețea din 12 mai, departamentul Core Security de la Centrul de securitate Internet 360 a efectuat o monitorizare amănunțită și o analiză aprofundată. Acum putem lansa o suită de soluții de detectare, protecție și recuperare a datelor împotriva WanaCrypt0r.

360 Helios Team este o echipă de cercetare și analiză APT (Advanced Persistent Attack) din cadrul departamentului Core Security, dedicată în primul rând investigației atacurilor APT și răspunsului la incidente de amenințare. Cercetătorii de securitate au analizat cu atenție mecanismul virușilor pentru a găsi cea mai eficientă și precisă metodă de recuperare a fișierelor criptate. Folosind această metodă, 360 poate deveni primul furnizor de securitate care lansează un instrument de recuperare a datelor - „360 Ransomware Infected File Recovery” pentru a-și ajuta clienții să recupereze rapid și complet fișierele infectate. Sperăm că acest articol vă va ajuta să înțelegeți trucurile acestui vierme, precum și discuția mai largă despre recuperarea fișierelor criptate.

Capitolul 2 Analiza proceselor de criptare de bază

Acest vierme expune modulul de criptare în memorie și încarcă direct DLL-ul în memorie. DLL-ul exportă apoi o funcție TaskStart care ar trebui utilizată pentru a activa întregul proces de criptare. DLL accesează în mod dinamic sistemul de fișiere și funcțiile API legate de criptare pentru a evita detectarea statică.

1. Etapa inițială

Mai întâi folosește „SHGetFolderPathW” pentru a obține căile pentru desktop și foldere de fișiere. Apoi va apela funcția „10004A40” pentru a obține calea către desktopurile și folderele de fișiere ale altor utilizatori și va apela funcția EncrytFolder pentru a cripta folderele individual.

Scanează toate unitățile de două ori de la driverul Z la C. Prima scanare este să ruleze toate unitățile locale (cu excepția driverului-CD). A doua scanare verifică toate dispozitivele de stocare mobile și apelează funcția EncrytFolder pentru a cripta fișierele.

2.File travers

Funcția „EncryptFolder” este o funcție recursivă care poate colecta informații despre fișiere urmând procedura de mai jos:

Eliminați căile de fișiere sau folderele în timpul procesului încrucișat:

Există un folder interesant numit „Acest folder protejează împotriva ransomware-ului. Schimbarea acestuia va reduce protecția.” Când faceți acest lucru, veți descoperi că acesta corespunde folderului de protecție al software-ului anti-ransomware.

În timpul accesării cu crawlere a fișierelor, ransomware-ul colectează informații despre fișier, cum ar fi dimensiunea fișierelor, apoi clasifică fișierele în diferite tipuri în funcție de extensia lor, urmând anumite reguli:

Lista tipurilor de extensii 1:

Lista tipurilor de extensii 2:

3.Prioritate de criptare

Pentru a cripta fișierele importante cât mai repede posibil, WanaCrypt0r a dezvoltat o coadă de priorități complexă:

Coada de prioritate:

I.Criptați fișierele de tip 2 care se potrivesc și cu lista de extensii 1. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
II. Criptați fișierele de tip 3 care se potrivesc și cu lista de extensii 2. Dacă fișierul este mai mic de 0X400, prioritatea de criptare va fi redusă.
III. Criptați fișierele rămase (mai puțin de 0x400) și alte fișiere.

4.Logica de criptare

Întregul proces de criptare este finalizat folosind atât RSA, cât și AES. Deși procesul de criptare RSA utilizează Microsoft CryptAPI, codul AES este compilat static într-un DLL. Procesul de criptare este prezentat în figura de mai jos:

Lista cheilor folosite:

Format de fișier după criptare:

Vă rugăm să rețineți că în timpul procesului de criptare, ransomware-ul va selecta aleatoriu unele fișiere de criptat, folosind cheia publică RSA încorporată pentru a oferi câteva fișiere pe care victimele le pot decripta gratuit.

Calea către fișierele gratuite poate fi găsită în fișierul „f.wnry”.

5. Completarea numerelor aleatorii

Odată criptat, WanaCrypt0r va umple fișierele pe care le consideră importante cu numere aleatorii până când va distruge complet fișierul, apoi va muta fișierele într-un director de fișiere temporar pentru ștergere. Făcând acest lucru, este destul de dificil pentru instrumentele de recuperare a fișierelor să recupereze fișierele. În același timp, poate accelera procesul de criptare.

Fișierele completate trebuie să îndeplinească următoarele cerințe:

— În directorul specificat (desktop, documentul meu, folderul utilizator)

— Fișierul are mai puțin de 200 MB

— Extensia de fișier se află în lista de tipuri de extensii 1

Logica de completare a fișierelor:

- Dacă fișierul este mai mic de 0x400, acesta va fi acoperit cu numere aleatorii de aceeași lungime

- Dacă fișierul este mai mare de 0x400, ultimul 0x400 va fi acoperit cu numere aleatorii

- Mutați indicatorul fișierului la antetul fișierului și setați 0x40000 ca bloc de date pentru a acoperi fișierul cu numere aleatorii până la sfârșit.

6.Ștergerea fișierelor

WanaCrypt0r va muta mai întâi fișierele într-un folder temporar pentru a crea un fișier temporar, apoi îl va șterge în diferite moduri.

Când parcurge unitățile pentru a cripta fișierele, va crea un fișier temporar numit în formatul „$RECYCLE + auto increment + .WNCYRT” (de exemplu: „D:\$RECYCLE\1.WNCRYT”) pe unitatea curentă. . Mai ales dacă unitatea curentă este o unitate de sistem (cum ar fi Driver-C), va folosi directorul temporar al sistemului.

Ulterior, procesul rulează taskdl.exe și șterge fișierele temporare la un interval de timp fix.

Capitolul 3 Posibilitatea de recuperare a datelor

Analizând logica sa de execuție, am observat că acest vierme va suprascrie fișierele care îndeplinesc cerințele specificate cu numere aleatorii sau 0x55 pentru a distruge structurile de fișiere și a preveni recuperarea acestora. Dar această operațiune este acceptată doar pentru anumite fișiere sau fișiere cu o anumită extensie. Aceasta înseamnă că există încă multe fișiere care nu au fost suprascrise, lăsând loc pentru recuperarea fișierelor.

În timpul procesului de eliminare, viermele a mutat fișierele sursă într-un folder cu fișiere temporare apelând funcția MoveFileEx. În cele din urmă, fișierele temporare sunt șterse în masă. În timpul procesului de mai sus, fișierele originale pot fi modificate, dar software-ul actual de recuperare a datelor de pe piață nu este conștient de acest lucru, așa că destul de multe fișiere nu pot fi recuperate cu succes. Este aproape imposibil de realizat nevoia de fișiere de recuperare pentru victime.

Pentru alte fișiere, viermele a executat pur și simplu comanda „mutare și ștergere”. Deoarece procesele de ștergere a fișierelor și mutarea fișierelor sunt separate, cele două fire de execuție vor concura între ele, ceea ce poate duce la eșecul mișcării fișierelor din cauza diferențelor din mediul de sistem al utilizatorului. Acest lucru va șterge fișierul direct în locația sa curentă. În acest caz, există o mare probabilitate ca fișierul să poată fi recuperat.

https://360totalsecurity.com/s/ransomrecovery/

Folosind metodele noastre de recuperare, un procent mare de fișiere criptate pot fi recuperate perfect. Acum, versiunea actualizată 360 a instrumentului de recuperare a fișierelor a fost dezvoltată ca răspuns la această nevoie de a ajuta zeci de mii de victime să atenueze pierderile și consecințele.

14 mai 360 este primul furnizor de securitate care a lansat un instrument de recuperare a fișierelor care a salvat multe fișiere de la ransomware. Această nouă versiune face un alt pas în exploatarea vulnerabilităților logice ale WanaCrypt0r. Poate elimina virusul pentru a preveni infecția ulterioară. Folosind mai mulți algoritmi, poate găsi conexiuni ascunse între fișierele recuperabile gratuite și fișierele decriptate pentru clienți. Acest serviciu de recuperare all-in-one poate reduce daunele cauzate de un atac ransomware și poate proteja securitatea datelor utilizatorilor.

Capitolul 4 Concluzie

Focare în masă și răspândire a viermilor WannaCry prin utilizarea MS17-010, ceea ce îl face capabil de auto-replicare și propagare activă, în plus față de funcțiile unui ransomware general. În afară de sarcina utilă de atac, structura tehnică a ransomware-ului joacă cel mai important rol în atacuri. Ransomware-ul criptează cheia AES folosind algoritmul criptografic asimetric RSA-2048. Fiecare fișier este apoi criptat folosind un algoritm de criptare simetric AES-128 aleatoriu. Aceasta înseamnă că, bazându-se pe calculele și metodele existente, este aproape imposibil să decriptați RSA-2048 și AES-128 fără chei publice sau private. Cu toate acestea, autorii lasă unele erori în procesul de criptare, ceea ce asigură și mărește posibilitatea de recuperare. Dacă acțiunile sunt efectuate suficient de rapid, majoritatea datelor pot fi salvate înapoi.

În plus, deoarece banii de răscumpărare sunt plătiți în Bitcoins anonimi, pentru care oricine poate obține adresa fără o certificare adevărată, este imposibil să se identifice atacatorul pe adrese, cu atât mai puțin între diferite conturi ale aceluiași proprietar de adresă. Prin urmare, datorită adoptării unui algoritm de criptare care nu poate fi spart și a Bitcoin-urilor anonime, este foarte probabil ca acest tip de erupție profitabilă de ransomware să continue mult timp. Toată lumea trebuie să fie atentă.

Echipa 360 Helios

360 Helios Team este o echipă de cercetare APT (Advanced Persistent Attack) în Qihoo 360.

Echipa este dedicată investigării atacurilor APT, răspunsului la incidente de amenințări și cercetării lanțurilor industriale ale economiei subterane.

De la înființarea sa în decembrie 2014, echipa a integrat cu succes o bază de date uriașă 360 și a creat un proces rapid de inversare și corelare. Până în prezent, au fost identificate și identificate mai mult de 30 de APT și grupuri economice subterane.

360 Helios oferă, de asemenea, soluții de evaluare și răspuns a amenințărilor pentru întreprinderi.

Rapoarte publice

a lua legatura
E-mail Poștă: [email protected]
Grupul WeChat: Echipa 360 Helios
Vă rugăm să descărcați codul QR de mai jos pentru a ne urmări pe WeChat!

La câțiva ani, în rețea apare un virus care poate infecta multe computere într-un timp scurt. De data aceasta, un astfel de virus a fost Wanna Cry (sau, așa cum îl numesc uneori utilizatorii din Rusia - „acolo”, „vreau să plâng”). Acest malware a infectat aproximativ 57.000 de mii de computere în aproape toate țările lumii în doar câteva zile. De-a lungul timpului, rata de infectare cu virusul a scăzut, dar încă apar dispozitive noi care au fost infectate. În acest moment, au fost afectate peste 200.000 de computere - atât utilizatori privați, cât și organizații.

Wanna Cry este cea mai gravă amenințare computerizată din 2017 și încă poți să fii victimă. În acest articol vă vom spune ce este Wanna Cry, cum se răspândește și cum să vă protejați de virus.

WannaCry criptează majoritatea sau chiar toate fișierele de pe computer. Software-ul afișează apoi un mesaj specific pe ecranul computerului dvs. care cere o răscumpărare de 300 USD pentru a vă decripta fișierele. Plata trebuie efectuată într-un portofel Bitcoin. Dacă utilizatorul nu plătește răscumpărarea în decurs de 3 zile, suma se dublează la 600 USD. După 7 zile, virusul va șterge toate fișierele criptate și toate datele dumneavoastră se vor pierde.

Symantec a publicat o listă cu toate tipurile de fișiere pe care Wanna Cry le poate cripta. Această listă include TOATE formatele de fișiere populare, inclusiv .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, . .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. Lista completă este sub spoiler.

• .accdb
• .backup
• .clasă
• .djvu
• .docb
• .docm
• .docx
• .dotm
• .dotx
• .java
• .jpeg
• .lay6
• .mpeg
• .onetoc2
• .potm
• .potx
• .ppam
• .ppsm
• .ppsx
• .pptm
• .pptx
• .sldm
• .sldx
• .sqlite3
• .sqlitedb
• .tiff
• .vmdk
• .vsdx
• .xlsb
• .xlsm
• .xlsx
• .xltm
• .xltx

După cum puteți vedea, un virus poate cripta aproape orice fișier de pe hard diskul computerului. După finalizarea criptării, Wanna Cry postează instrucțiuni pentru decriptarea fișierelor, ceea ce implică plata unei anumite răscumpări.

Agenția de Securitate Națională a SUA (NSA) a descoperit un exploit numit „EternalBlue”, dar a ales să ascundă acest fapt pentru a-l folosi în avantajul lor. În aprilie 2017, grupul de hackeri Shadow Brokers a publicat informații despre exploit.

Virusul Wanna Cry se răspândește cel mai adesea în felul următor: primiți un e-mail cu un atașament. Atașamentul poate conține o fotografie, un fișier video sau o compoziție muzicală. Cu toate acestea, dacă aruncați o privire mai atentă la fișier, puteți înțelege că extensia acestui fișier este .exe (fișier executabil). Astfel, după lansarea fișierului, sistemul este infectat și, datorită exploit-ului găsit anterior, este descărcat un virus care criptează datele utilizatorului.

Cu toate acestea, acesta nu este singurul mod în care Wanna Cry (virusul „de acolo”) se poate răspândi. Nu există nicio îndoială că poți descărca și un fișier infectat din trackere torrent sau îl poți primi în mesaje private pe rețelele sociale.

Cum să te protejezi de virusul Wanna Cry?

Cum să te protejezi de virusul Wanna Cry?

• În primul rând, trebuie să instalați toate actualizările disponibile pentru sistemul dvs. de operare. În special, utilizatorii Windows care rulează Windows XP, Windows 8 sau Windows Server 2003 ar trebui să instaleze imediat actualizarea de securitate pentru acest sistem de operare pe care Microsoft a lansat-o.
• În plus, fii extrem de atent la toate scrisorile care vin pe adresa ta de e-mail. Nu trebuie să-ți cobori vigilența, chiar dacă destinatarul îți este cunoscut. Nu deschideți niciodată fișiere cu extensiile .exe, .vbs și .scr. Cu toate acestea, extensia de fișier poate fi deghizată ca un videoclip sau document obișnuit și poate arăta ca avi.exe sau doc.scr.
• Este recomandabil să activați opțiunea „Afișați extensiile de fișiere” în setările Windows. Acest lucru vă va ajuta să vedeți adevărata extensie de fișier, chiar dacă infractorii au încercat să o mascheze.
• Este puțin probabil ca instalarea să vă ajute să evitați infecția. Faptul este că virusul Wanna Cry exploatează o vulnerabilitate a sistemului de operare, așa că asigurați-vă că instalați toate actualizările pentru Windows - și apoi puteți instala un antivirus.
• Asigurați-vă că salvați toate datele importante pe un hard disk extern sau pe cloud. Chiar dacă computerul este infectat, va trebui doar să reinstalați sistemul de operare pentru a scăpa de virusul de pe computer.
• Asigurați-vă că utilizați cele mai recente baze de date pentru antivirusul dvs. Avast, Dr.web, Kaspersky, Nod32 - toate antivirusurile moderne își actualizează în mod constant bazele de date. Principalul lucru este să vă asigurați că licența antivirusului dvs. este activă și este actualizată.
• Descărcați și instalați utilitarul gratuit Kaspersky Anti-Ransomware de la Kaspersky Lab. Acest software vă protejează de ransomware în timp real. În plus, acest utilitar poate fi utilizat simultan cu programele antivirus convenționale.

După cum am scris deja, Microsoft a lansat un patch care închide vulnerabilitățile din sistemul de operare și împiedică virusul Wanna Cry să vă cripteze datele. Acest patch trebuie instalat urgent pe următorul sistem de operare:

Windows XP, Windows 8 sau Windows Server 2003, Windows Embedded

Dacă aveți o altă versiune de Windows, instalați pur și simplu toate actualizările disponibile.

Eliminarea virusului Wanna Cry de pe computer este ușoară. Pentru a face acest lucru, scanați-vă computerul cu unul dintre ele (de exemplu, Hitman Pro). Cu toate acestea, în acest caz, documentele dumneavoastră vor rămâne în continuare criptate. Prin urmare, dacă intenționați să plătiți răscumpărarea, atunci eliminați programul @ [email protected] E mai bine să aștepți. Dacă nu aveți nevoie de date criptate, atunci cel mai simplu mod este să formatați hard disk-ul și să instalați din nou sistemul de operare. Acest lucru va distruge cu siguranță toate urmele virusului.

Programele ransomware (care includ Wanna Cry) vă criptează de obicei datele cu chei de 128 sau 256 de biți. Cheia pentru fiecare computer este unică, așa că acasă poate dura zeci sau sute de ani pentru a o decripta. De fapt, acest lucru face imposibil ca utilizatorul obișnuit să decripteze datele.

Desigur, cu toții am dori să avem un decriptor Wanna Cry în arsenalul nostru, dar o astfel de soluție nu există încă. De exemplu, unul similar a apărut în urmă cu câteva luni, dar încă nu există un decriptor disponibil pentru el.

Prin urmare, dacă nu ați fost încă infectat, atunci ar trebui să aveți grijă de dvs. și să luați măsuri pentru a vă proteja de virus, care sunt descrise în articol. Dacă ați devenit deja victimă a infecției, atunci aveți mai multe opțiuni:

• Plătește răscumpărarea. Dezavantajele acestei soluții sunt prețul relativ mare pentru date; nu este un fapt că toate datele vor fi decriptate
• Pune hard disk-ul pe un raft și speră să apară un decriptor. Apropo, decriptoarele sunt dezvoltate de Kaspersky Lab și postate pe site-ul web No Ransom. Nu există încă un decriptor pentru Wanna Cry, dar poate apărea după ceva timp. Cu siguranță vom actualiza articolul pe măsură ce o astfel de soluție devine disponibilă.
• Dacă sunteți un utilizator licențiat al produselor Kaspersky Lab, atunci puteți trimite o solicitare de decriptare a fișierelor care au fost criptate de virusul Wanna Cry.
• Reinstalați sistemul de operare. Dezavantaje - toate datele se vor pierde
• Utilizați una dintre metodele de recuperare a datelor după infectarea cu virusul Wanna Cry (o voi publica pe site-ul nostru ca articol separat în câteva zile). Cu toate acestea, rețineți că șansele de recuperare a datelor sunt extrem de scăzute.

Cum să vindeci virusul Wanna Cry?

După cum ați înțeles deja din articol, vindecarea virusului Wanna Cry este extrem de simplă. Instalezi unul dintre ele, îți scanează hard disk-ul și elimină toți virușii. Dar problema este că toate datele tale vor rămâne criptate. În plus față de recomandările date anterior pentru eliminarea și decriptarea Wanna Cry, se pot oferi următoarele:

1. Puteți consulta forumul Kaspersky Lab. În thread, care este disponibil la link, au fost create mai multe subiecte despre Wanna Cry. Reprezentanții dezvoltatorului răspund pe forum, așa că poate vă pot spune și ție ceva util.
2. Ar trebui să așteptați - virusul a apărut nu cu mult timp în urmă, poate va apărea un decriptor. De exemplu, în urmă cu nu mai mult de șase luni, Kaspersky a reușit să învingă criptatorul CryptXXX. Este posibil ca după ceva timp să lanseze un decriptor pentru Wanna Cry.
3. Soluția cardinală este formatarea hard disk-ului, instalarea sistemului de operare și pierderea tuturor datelor. Sunt fotografiile tale de la ultima ta petrecere corporativă atât de importante pentru tine?)

După cum puteți vedea din infograficele prezentate, majoritatea computerelor care au fost infectate cu Wanna Cry sunt situate în Rusia. Cu toate acestea, acest lucru nu este surprinzător - în țara noastră, procentul de utilizatori ai sistemului de operare „piratat” este extrem de mare. Cel mai adesea, astfel de utilizatori au actualizările automate dezactivate, ceea ce a făcut posibilă infectarea.

După cum a devenit cunoscut, în Rusia nu numai utilizatorii obișnuiți au fost afectați, ci și întreprinderile de stat și companiile private. Se raportează că printre victime s-au numărat Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență și Banca Centrală, precum și Megafon, Sberbank și Căile Ferate Ruse.

În Marea Britanie, rețeaua de spitale a fost afectată, făcând imposibilă efectuarea unor operații.

A fost ușor să te protejezi de infecție - în martie, Microsoft a lansat o actualizare de securitate pentru Windows care a închis „găurile” în sistemul de operare. Virusul operează prin intermediul lor. Dacă nu ați făcut acest lucru încă, asigurați-vă că instalați toate actualizările pentru sistemul de operare, precum și patch-ul special pentru versiunile mai vechi de Windows pe care le-am menționat mai sus.

Unii utilizatori ai sistemului de operare Linux se întreabă: pot computerele lor să fie infectate cu virusul Wanna Cry? Îi pot liniști: computerele care rulează Linux nu se tem de acest virus. În acest moment, nu au fost detectate variații ale virusului pentru acest sistem de operare.

Concluzie

Așadar, astăzi am vorbit despre virusul Wanna Cry. Am aflat ce este acest virus, cum să vă protejați de infecție, cum să eliminați virusul și să restaurați fișierele, de unde să obțineți un decriptor Wanna Cry. În plus, am aflat de unde să descărcați un patch pentru Windows care vă va proteja de infecție. Sper că ați găsit acest articol de ajutor.