Protecție împotriva criptoarelor. Blocarea utilizatorului infectat. Instalarea File Server Resource Manager și configurarea șablonului

În această toamnă, Windows 10 a fost actualizat la versiunea 1709, cu nume de cod Creatori de toamnă Actualizare sau Redstone 3. Printre numeroasele modificări, ne-a interesat în primul rând protecția îmbunătățită împotriva programelor malware necunoscute. Microsoft a luat o serie de măsuri pentru a contracara troienii și exploatările ransomware. Cât de succes au avut?

Apărător nou vechi

Tot ce este nou este unul vechi bine rebrandat. În „actualizarea de toamnă pentru designeri”, componentele de protecție încorporate au fost combinate în „Centrul de securitate Windows Defender”. Chiar firewall software a început să fie numit „Windows Defender Firewall”, dar aceste modificări sunt pur cosmetice. Cele mai semnificative privesc noile caracteristici, pe care le vom analiza mai detaliat mai jos.

O altă componentă veche-nouă introdusă în Redstone 3 se numește Exploit Protection. Windows Defender Exploit Guard, sau pur și simplu EG, este activat prin Centrul de securitate Windows Defender în secțiunea Control aplicație și browser.

Din punct de vedere tehnic, Exploit Guard este un fost program utilitar Setul de instrumente îmbunătățit pentru experiența de atenuare, cu un set ușor crescut de funcții și o nouă interfață. EMET a apărut din nou înăuntru ori Windows Vista a fost întreruptă și Exploit Guard i-a luat locul. Aparține instrumentelor Advanced Threat Protection, împreună cu managerul de dispozitiv conectat Device Guard și apărătorul Aplicație gardian. Limbi rele spun că Microsoft a vrut inițial să introducă o componentă comună Sistem avansat Paznic, dar abrevierea s-a dovedit a fi complet disonantă.

Protecția exploatării

Exploit Guard este doar un instrument de reducere a riscurilor, nu elimină nevoia de a închide vulnerabilitățile din software, dar le face mai dificil de utilizat. În general, principiul de funcționare al Exploit Guard este de a interzice acele operațiuni care sunt cel mai des folosite de malware.

Problema este că multe programe legitime le folosesc și ele. Mai mult, există programe vechi (sau mai bine zis, biblioteci dinamice), care pur și simplu nu va mai funcționa dacă este folosit în Windows nou funcții de control al memoriei și altele mijloace moderne protecţie.

Prin urmare, configurarea Exploit Guard este aceeași cu utilizarea EMET anterior. În memoria mea, mulți administratori au petrecut luni de zile analizând complexitatea setărilor și apoi pur și simplu au încetat să mai folosească funcții restrictive din cauza numeroaselor plângeri ale utilizatorilor.

Dacă siguranța este pe primul loc și trebuie să strângeți șuruburile, atunci cele mai populare caracteristici ale Exploit Guard au fost (din zilele EMET) și rămân:

  • DEP(Data Execution Prevention) - împiedicarea execuției datelor. Nu permite executarea unui fragment de cod care ajunge într-o zonă de memorie care nu este destinată acestui scop (de exemplu, ca urmare a unei erori de depășire a stivei);
  • realocare aleatoare a memoriei- previne atacurile la adrese cunoscute;
  • dezactivarea punctelor de expansiune- previne injectarea de DLL-uri în procesele care rulează (vezi despre ocolirea UAC, unde această metodă a fost utilizată pe scară largă);
  • echipă DisallowChildProcessCreation- interzice aplicație specificată creați procese copil;
  • filtrarea tabelelor de adrese de import (IAF) și a tabelelor de adrese de export (EAF)- previne un proces (malițios) de la forțarea brută a tabelelor de adrese și accesarea paginii de memorie a bibliotecilor de sistem;
  • Verificare apelant- verifică drepturile de a apela API-uri confidențiale;
  • SimExec- simularea executiei. Verifică înainte de executarea efectivă a codului cui se vor întoarce apelurile API sensibile.

Comenzile pot fi transmise prin PowerShell. De exemplu, interzicerea creării de procese copil arată astfel:

Set-ProcessMitigation -Name executable.exe -Activați DisallowChildProcessCreation

Toate procesoarele și chipset-urile x86 din ultimii zece ani acceptă DEP nivelul hardware, iar pentru persoanele foarte în vârstă este disponibilă implementare software această funcție. Cu toate acestea, de dragul compatibilității noului versiuni Windows cu cel vechi software Microsoft recomandă în continuare activarea DEP în „numai pentru procesele sistemului" Din același motiv, a fost posibilă dezactivarea DEP pentru orice proces. Toate acestea au fost folosite cu succes în tehnicile de bypass DEP.

Prin urmare, are sens să utilizați Exploit Guard numai dacă este posibil să utilizați mai multe funcții de protecție simultan, fără a provoca cel puțin o defecțiune în funcționarea principalelor aplicații. În practică, acest lucru este rareori posibil. Iată un exemplu de profil EG convertit din EMET, care, în general, face ca Windows 10 să se blocheze în BSoD. Cândva, Hacker avea o secțiune „Construcții de Vest”, iar Exploit Guard s-ar fi potrivit perfect în ea.

Continuarea este disponibilă numai pentru abonați

Opțiunea 1. Abonați-vă la Hacker pentru a citi toate materialele de pe site

Abonamentul vă va permite perioada specificata citiți TOATE materialele plătite de pe site. Acceptăm plata carduri bancare, bani electronici și transferuri din conturile operatorului de telefonie mobilă.

Un val al unui nou virus ransomware, WannaCry (alte nume Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), care criptează documentele de pe un computer și stoarce 300-600 USD pentru decodarea lor. Cum îți poți da seama dacă computerul tău este infectat? Ce ar trebui să faci pentru a evita să devii victimă? Și ce să faci pentru a te recupera?

După instalarea actualizărilor, va trebui să reporniți computerul.

Cum să vă recuperați de la virusul ransomware Wana Decrypt0r?

Când utilitar antivirus, detectează un virus, fie îl va elimina imediat, fie vă va întreba dacă îl tratați sau nu? Răspunsul este să tratezi.

Cum se recuperează fișierele criptate de Wana Decryptor?

Nimic reconfortant acest moment Nu putem spune. Nu a fost creat încă niciun instrument de decriptare a fișierelor. Deocamdată, tot ce rămâne este să așteptați până când decriptorul este dezvoltat.

Potrivit lui Brian Krebs, un expert în domeniul Securitatea calculatorului, momentan infractorii au primit doar 26.000 USD, adică doar vreo 58 de persoane au fost de acord să plătească răscumpărarea estorcatorilor. Nimeni nu știe dacă și-au restaurat documentele.

Cum să oprești răspândirea unui virus online?

In caz de Soluția WannaCry Problema poate fi blocarea portului 445 de pe firewall ( firewall), prin care apare infecția.

În această toamnă, Windows 10 a fost actualizat la versiunea 1709 cu cod numită Fall Actualizarea creatorilor sau Redstone 3. Printre numeroasele modificări, ne-a interesat în primul rând protecția îmbunătățită împotriva programelor malware necunoscute. Microsoft a luat o serie de măsuri pentru a contracara troienii și exploatările ransomware. Cât de succes au avut?

Apărător vechi nou
Tot ce este nou este unul vechi bine rebrandat. În „actualizarea de toamnă pentru designeri”, componentele de protecție încorporate au fost combinate în „Centrul de securitate Windows Defender”. Chiar și firewall-ul software a început să fie numit „Windows Defender Firewall”, dar aceste modificări sunt pur cosmetice. Cele mai semnificative privesc noile caracteristici, pe care le vom analiza mai detaliat mai jos.

O altă componentă veche-nouă introdusă în Redstone 3 se numește Exploit Protection. Windows Defender Exploit Guard, sau pur și simplu EG, este activat prin Centrul de securitate Windows Defender din secțiunea Control aplicație și browser.

Din punct de vedere tehnic, Exploit Guard este fostul set de instrumente pentru experiența de atenuare îmbunătățită, cu un set de caracteristici ușor crescut și o interfață nouă. EMET a apărut în vremuri Windows Vista, acum a fost întrerupt și Exploit Guard i-a luat locul. Aparține Advanced Threat Protection, împreună cu Device Guard Connected Device Manager și Application Guard. Limbi rele spun că Microsoft a vrut inițial să introducă un comun Componentă avansată System Security Guard, dar abrevierea s-a dovedit a fi complet disonantă.

Protecția exploatării
Exploit Guard este doar un instrument de reducere a riscurilor, nu elimină nevoia de a închide vulnerabilitățile din software, dar le face mai dificil de utilizat. În general, principiul de funcționare al Exploit Guard este interzicerea acelor operațiuni care sunt cel mai des folosite de malware.

Problema este că multe programe legitime le folosesc și ele. Mai mult, există programe vechi (sau mai bine zis, biblioteci dinamice) care pur și simplu nu vor mai funcționa dacă în Windows sunt activate noi funcții de control al memoriei și alte măsuri moderne de protecție.

Prin urmare, configurarea Exploit Guard este aceeași cu utilizarea EMET anterior. În memoria mea, mulți administratori au petrecut luni de zile analizând complexitatea setărilor și apoi pur și simplu au încetat să mai folosească funcții restrictive din cauza numeroaselor plângeri ale utilizatorilor.

Dacă siguranța este pe primul loc și trebuie să strângeți șuruburile, atunci cele mai populare caracteristici ale Exploit Guard au fost (din zilele EMET) și rămân:

  • DEP(Data Execution Prevention) - împiedicarea execuției datelor. Nu permite executarea unui fragment de cod care ajunge într-o zonă de memorie care nu este destinată acestui scop (de exemplu, ca urmare a unei erori de depășire a stivei);
  • realocare aleatoare a memoriei- previne atacurile la adrese cunoscute;
  • dezactivarea punctelor de expansiune- previne injectarea de DLL-uri în procesele care rulează (vezi articolul despre ocolirea UAC, unde această metodă a fost utilizată pe scară largă);
  • Comanda DisallowChildProcessCreation- interzice aplicației specificate să creeze procese copil;
  • filtrarea tabelelor de adrese de import (IAF) și a tabelelor de adrese de export (EAF)- previne un proces (malițios) de la forțarea brută a tabelelor de adrese și accesarea paginii de memorie a bibliotecilor de sistem;
  • Verificare apelant- verifică drepturile de a apela API-uri confidențiale;
  • SimExec- simularea executiei. Verifică înainte de executarea efectivă a codului cui se vor întoarce apelurile API sensibile.
Comenzile pot fi transmise prin PowerShell. De exemplu, interzicerea creării de procese copil arată astfel:

Set-ProcessMitigation -Nume executable.exe
-Activați DisallowChildProcessCreation

Toate procesoarele și chipset-urile x86 din ultimii zece ani suportă DEP la nivel hardware, iar pentru cele foarte vechi este disponibilă o implementare software a acestei funcții. Cu toate acestea, de dragul compatibilității noilor versiuni de Windows cu software mai vechi, Microsoft încă recomandă activarea DEP în modul „numai procesele de sistem”. Din același motiv, a fost posibilă dezactivarea DEP pentru orice proces. Toate acestea au fost folosite cu succes în tehnicile de bypass DEP.

Prin urmare, are sens să utilizați Exploit Guard numai dacă este posibil să utilizați mai multe funcții de protecție simultan, fără a provoca cel puțin o defecțiune în funcționarea principalelor aplicații. În practică, acest lucru este rareori posibil. Iată un exemplu de profil EG convertit din EMET, care, în general, face ca Windows 10 să se blocheze în BSoD. Cândva, Hacker avea o secțiune „Construcții de Vest”, iar Exploit Guard s-ar fi potrivit perfect în ea.

Protecție împotriva ransomware
„Toate fișierele tale au fost criptate. Pentru a le decripta, enumerați bitcoinii după adresa specificată„- Probabil că ați văzut deja o inscripție similară, dacă nu pe cont propriu, atunci pe desktopul altcuiva.

Astăzi, ransomware-ul este principala subclasă de troieni ransomware, iar Windows este principala platformă atacată. Prin urmare, Microsoft încearcă să ia măsuri de securitate suplimentare. Problema este că ransomware-ul nu este un virus clasic, iar contracararea eficientă a acestuia necesită abordări fundamental diferite. Aproape orice antivirus poate prinde un troian binecunoscut prin semnătură, dar prinderea unuia nou este o sarcină complet diferită.

O lovitură preventivă a unui antivirus este dificilă, chiar dacă doar pentru că troienii ransomware folosesc mijloace criptografice legitime, ca multe programe populare. De obicei, nu există semne evidente de activitate rău intenționată în codul lor, așa că euristice și alte măsuri de analiză fără semnături eșuează adesea.

Găsirea unor markeri distinctivi de ransomware este o durere de cap pentru toți dezvoltatorii de antivirus. Tot ce pot oferi până acum este să înlocuiască sarcina. În loc să cauți ransomware, concentrează-te pe ținta lor principală și urmărește-l. Adică, controlați accesul la fișierele și directoarele utilizatorului, precum și efectuați în mod regulat copii de rezervă în cazul în care criptatorul ajunge la ele.

După cum am aflat într-unul dintre articolele anterioare, în practică aceasta este departe de a fi o abordare ideală. Controlul accesului este din nou un echilibru între securitate și comoditate, puternic înclinat spre disconfort. Din punct de vedere conceptual, situația este aceeași ca și atunci când utilizați Exploit Guard: fie regulile restrictive sunt aplicate în totalitate, dar lucrul pe un computer devine problematic, fie restricțiile sunt stabilite oficial de dragul menținerii compatibilității cu software-ul vechi și al confortului utilizatorului.


Un control similar al accesului a apărut de mult în antivirusurile de la terți, dar într-o formă ușor diferită. A avut ca scop siguranța sistemului, nu detectarea amenințărilor. Se presupune că, dacă antivirusul ratează malware-ul, fonduri suplimentare controalele vor bloca pur și simplu modificările nedorite în directorul \Windows\ și în bootloader.

Dacă pentru fișiere de sistem Această abordare este încă potrivită, dar pentru cele personalizate nu este. Spre deosebire de directorul de sistem, al cărui conținut este mai mult sau mai puțin același diferite calculatoare, utilizatorul poate conține orice. În plus, solicitările de modificare a fișierelor din acesta pot veni din orice program. Adăugați la acest OLE, capacitatea oricărui proces de a apela altul și de a deschide fișiere prin intermediul acestuia și vă faceți o idee despre cum arată iadul pentru un dezvoltator de antivirus.

De la modificare fișierele utilizator nu afectează în niciun fel funcționarea sistemului de operare; Windows nu a avut mijloace încorporate pentru a le proteja. Totul s-a schimbat odată cu lansarea versiune actualizata Windows 10, în care Defender-ul încorporat a început să monitorizeze documentele, fotografiile și alt conținut de utilizator. Se susține că va împiedica înlocuirea fișierelor cu versiuni criptate, privând autorii troienilor de un motiv pentru a cere o răscumpărare.

Experiment
Pentru a testa, am decis să creăm un folder de testare C:\Docs\ cu documente tipuri diferiteși adăugați-l la lista de control Acces Windows Apărător. Apoi au lansat mai mulți troieni ransomware și au văzut dacă pot „ Windows Defender» rezistă-le.


In aceea Test Windows Defender a făcut față selecției troienilor mai bine decât multe antivirusuri terțe. Doar că nu m-a lăsat să copiez de pe unitate de rețea nici o singură mostră, inclusiv diverse modificări WannaCry, Petya, TeslaCrypt, Jigsaw, Locky și Satana. Toate au fost șterse automat, în ciuda extensiei modificate (.tst) și a ambalajului folosind UPX.


Noua componentă Controlled Folder Access face parte din protecția în timp real. Prin urmare, dezactivați scanarea din mers în Windows Defender și verificați optiune noua Nu va funcționa separat. Dezactivați protectie permanenta este posibil doar complet, dar atunci rezultatul va fi previzibil.


Am extins selecția de testare a ransomware-ului pentru a include tipuri noi și puțin cunoscute. Cu toate acestea, Windows Defender le-a șters instantaneu pe toate, fără a lăsa de ales. Prin urmare, s-a decis desfășurarea unui experiment model, scriind... nu, nu! Despre ce vorbesti, domnule procuror! Nu un troian, ci un program simplu, inofensiv. Iată codul, bun venit în anii nouăzeci!

@echo dezactivat
echo Deschideți directorul „Docs”.
cd C:\Docs\
dir
echo Conținutul original al fișierului `lenses.txt` este listat mai jos:
Mai mult< lenses.txt
echo Se schimbă textul din fișierul „lenses.txt”...
echo Datele fișierului au fost înlocuite cu acest șir>lenses.txt
ecou Gata!
Mai mult< lenses.txt
Orice ransomware înlocuiește fișierele utilizatorului cu versiunile lor criptate. În esență, dorim să testăm modul în care caracteristica Acces controlat la foldere blochează operațiunile de suprascriere a fișierelor din directorul unui utilizator. Acest program doar înlocuiește conținutul fișierului în directorul specificat linia pe care o specificați. Semnul > redirecționează ieșirea consolei către un fișier, suprascriindu-l complet.

Avantajul acestui fișier batch este că pare suspect (un fișier executabil cu o reputație scăzută) și codul său este cu siguranță necunoscut antivirusului. A fost doar scris și nu a avut timp să apară nicăieri. Fișierul lens.txt a fost specificat ca țintă, deoarece conținutul său este formatat cu caractere de tabulatură și este afișat clar în consolă cu comanda mai mult într-un singur ecran.

După lansare fișier batch afișează conținutul directorului C:\Docs\ și apoi fișierul lenses.txt. Încearcă să-l suprascrie cu șirul Datele fișierului au fost înlocuite cu acest șir și arată din nou conținutul lenses.txt pentru a verifica rezultatul. Fișierul batch în sine este lansat dintr-un alt director - „Descărcări”, simulând obiceiul utilizator neexperimentat(descărcați orice și faceți clic pe totul).

Dacă pur și simplu rulăm un fișier batch dublu click, vom vedea că fișierul lenses.txt rămâne în in aceeasi forma. Funcția „Acces controlat la foldere” a făcut față sarcinii sale, împiedicând suprascrierea documentului de o comandă de la o persoană necunoscută fisier executabil. În acest caz, textul poate fi ușor deschis și editat în Notepad și apoi salvat peste cel vechi, iar acest lucru nu va ridica întrebări. Notepad-ul este un proces de încredere, iar protecția este transparentă pentru utilizator.


Dacă doriți, puteți adăuga aplicație terță parte la lista de încredere. Da, aveți absolut dreptate când percepeți acest lucru ca un potențial vector de atac.


Dacă mai întâi creștem privilegiile și rulăm fișierul batch cu drepturi de administrator, fișierul lenses.txt va fi suprascris în liniște. Windows Defender nu se va clinti și nici măcar nu va reflecta acest eveniment în jurnal. Nu-i pasă dacă administratorul a emis o comandă sau un fișier lăsat în numele administratorului.


Astfel, prin utilizarea proceselor de (auto-)încredere sau prin prima escaladare a privilegiilor, troienii ransomware vor putea ocoli noua funcție de acces controlat la foldere introdusă în Windows 10 v. 1709. Mai mult, acest lucru se poate face chiar și folosind metode din vremurile MS-DOS. Trăiască compatibilitatea!

concluzii
Exploit Guard s-a dovedit a fi EMET ambalaj nou, iar „Controlul accesului” este o jumătate de măsură de protecție. Va ajuta la reducerea daunelor cauzate de un simplu ransomware care rulează cu drepturi de utilizator. Dacă autorul următorului război aleatoriu folosește tehnici de escaladare a privilegiilor sau este capabil să trimită o solicitare de modificare a fișierelor printr-un proces de încredere, atunci noul caracteristici ferestre 10 nu va salva datele utilizatorului. Doar backup-urile regulate vor ajuta la minimizarea consecințelor infecției. Principalul lucru este că troianul nu poate cripta și copii de rezervă. Prin urmare, este mai bine să le stocați pe un fișier care nu poate fi scris (sau cel puțin dezactivat) medii externeși au un duplicat în cloud.

Articol preluat de pe xakep.ru

Acest articol a fost pregătit în legătură cu atac de hacker caracter de masă la scară globală, care te poate afecta și pe tine. Consecințele devin cu adevărat grave. Mai jos veți găsi scurta descriere problemele și o descriere a principalelor măsuri care trebuie luate pentru a proteja împotriva familiei de viruși ransomware WannaCry.

Ransomware-ul WannaCry exploatează vulnerabilitatea Microsoft Windows MS17-010 a executa cod rău intenționatși rulați un program de criptare pe computere vulnerabile, apoi virusul se oferă să plătească atacatorilor aproximativ 300 de dolari pentru a decripta datele. Virusul s-a răspândit pe scară largă în întreaga lume, primind acoperire activă în mass-media - Fontanka.ru, Gazeta.ru, RBC.

Această vulnerabilitate afectează computerele cu sistemul de operare Windows instalat de la XP la Windows 10 și Server 2016, informatii oficiale Puteți citi despre vulnerabilitate de la Microsoft.

Această vulnerabilitate aparține clasei Executarea codului de la distanță, ceea ce înseamnă că infecția poate fi efectuată de pe un computer deja infectat printr-o rețea cu nivel scăzut securitate fără segmentare ME - rețele locale, retele publice, rețele de invitați, precum și prin lansarea de programe malware primite prin poștă sau ca link.

Masuri de securitate

Ce măsuri ar trebui identificate ca fiind eficiente pentru combaterea acestui virus:

  1. Asigurați-vă că ați instalat actualizările curente Microsoft Windows, care elimină vulnerabilitatea MS17-010. Puteți găsi link-uri către actualizări și, de asemenea, rețineți că, din cauza gravității fără precedent a acestei vulnerabilități, actualizările pentru sisteme de operare neacceptate (windowsXP, server 2003, server 2008) au fost lansate pe 13 mai, le puteți descărca.
  2. Utilizarea soluțiilor de aprovizionare securitatea retelei Clasa IPS, asigurați-vă că aveți instalate actualizări care includ detectarea și compensarea vulnerabilitatea rețelei. Această vulnerabilitate este descrisă în baza de cunoștințe Check Point; este inclusă în actualizarea IPS din 14 martie 2017, Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). De asemenea, recomandăm configurarea scanării traficului intern pe segmente cheie de rețea folosind IPS, cel puțin pentru o perioadă scurtă de timp, până când probabilitatea de infecție scade.
  3. Datorita posibilitatii de schimbare a codului virusului, recomandam activarea sistemelor AntiBot&Antivirus si emularea lansarii fisierelor provenite din surse externe prin poștă sau pe internet. Dacă sunteți utilizator Check Point Security Gateway, atunci acest sistem este Threat Emulation. În special pentru companiile care nu au acest abonament, oferim un abonament rapid în perioada de probă de 30 de zile. Pentru a solicita o cheie care activează un abonament cu funcții complete pentru poarta Check Point, scrieți la [email protected] Puteți citi mai multe despre sistemele de emulare de fișiere și.
De asemenea, blocați transferul arhivelor de parole și activați semnăturile IPS din listă:

Chiar mai multe recomandări și un exemplu de raport de blocare a lucrărilor wannacry ransomware.

Stimați colegi, pe baza experienței de lucru cu atacuri masive anterioare, cum ar fi Heart Bleed, vulnerabilitatea Microsoft Windows MS17-010 va fi exploatată în mod activ în următoarele 30-40 de zile, nu întârziați contramăsurile! Pentru orice eventualitate, verificați funcționarea sistemului dvs. BackUp.

Riscul este chiar mare!

UPD. Joi, 18 mai, la ora 10.00, ora Moscovei, vă invităm la un webinar despre extorcare. softwareși metode de protecție.

Webinarul este condus de TS Solution și Sergey Nevstruev, Director de vânzări Check Point Threat Prevention Europa de Est.
Vom acoperi următoarele întrebări:

  • Atacul #WannaCry
  • Domeniul de aplicare și starea actuală
  • Particularități
  • Factori de masă
Recomandări de securitate

Cum să fii cu un pas înainte și să dormi liniștit

  • IPS+AM
  • SandBlast: Emularea amenințărilor și Extracția amenințărilor
  • Agent SandBlast: Anti-Ransomware
  • Agent SandBlast: criminalistică
  • Agent SandBlast: Anti-Bot
Vă puteți înscrie răspunzând la această scrisoare sau urmând linkul de înregistrare

Pe 12 aprilie 2017, au apărut informații despre răspândirea rapidă a unui virus ransomware numit WannaCry în întreaga lume, care poate fi tradus prin „Vreau să plâng”. Utilizatorii au întrebări despre Windows Update de la virusul WannaCry.

Virusul de pe ecranul computerului arată astfel:

Virusul rău WannaCry care criptează totul

Virusul criptează toate fișierele de pe computer și solicită o răscumpărare pentru un portofel Bitcoin în valoare de 300 sau 600 de dolari pentru a decripta computerul. Calculatoarele din 150 de țări din întreaga lume au fost infectate, Rusia fiind cea mai afectată.

Megafon, Căile Ferate Ruse, Ministerul Afacerilor Interne, Ministerul Sănătății și alte companii se confruntă îndeaproape cu acest virus. Printre victime se numără utilizatori obișnuiți Internet.

Aproape toți sunt egali înaintea virusului. Diferența, poate, este că în companii virusul se răspândește peste tot retea localaîn cadrul organizației și infectează instantaneu cât mai mult posibil cantitate posibilă calculatoare.

Virusul WannaCry criptează fișierele de pe computere care folosesc Windows. Microsoft a lansat actualizările MS17-010 pentru versiuni diferite Windows XP, Vista, 7, 8, 10.

Se pare că cei care sunt hotărâți actualizare automata Windows nu este expus riscului pentru virus, deoarece au primit actualizarea în timp util și au reușit să o evite. Nu presupun să spun că acesta este de fapt cazul.

Orez. 3. Mesaj la instalarea actualizării KB4012212

Actualizarea KB4012212 a necesitat o repornire a laptopului după instalare, ceea ce nu mi-a plăcut, deoarece nu se știe cum s-ar putea termina, dar unde ar trebui să meargă utilizatorul? Cu toate acestea, repornirea a mers bine. Așadar, trăim liniștiți până la următorul atac de virus, și că astfel de atacuri se vor întâmpla, din păcate, nu există nicio îndoială.

Unii viruși câștigă, alții apar din nou. Această luptă va fi evident nesfârșită.

Video „Vreau să plâng”: virusul ransomware a infectat 75 de mii de sisteme în 99 de țări

Primiți articole curente de către alfabetizare computer direct la a ta Cutie poștală .
Deja mai multe 3.000 de abonați

.

Vă recomandăm alte articole
Tableta congelată - ce să faci?
Tableta congelată - ce să faci?
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Cameră wireless USB cumpărați o mini cameră wireless pentru computer Cameră digitală cu ieșire USB
Stoloto, loto rusesc – o înșelătorie?
Stoloto, loto rusesc – o înșelătorie?