Вирус WannaCry – это достаточно новый образец вредоносных программ, появившийся только в мае 2017 года. При попадании в систему компьютера этот сетевой червь производит шифровку большинства файлов, которые там хранятся. При этом за возможность расшифровки нужных документов вирус требует определенную денежную сумму в качестве своеобразного выкупа.
Вирус-вымогатель WannaCry поражает компьютеры вне зависимости от их владельца. Таким образом, под эту своеобразную эпидемию попадает оборудование, принадлежащее различным структурам, а также представителям населения и бизнес-сообщества. В том числе происходит поражение техники:
Компьютерный вирус шифровальщик WannaCry впервые заявил о себе совсем недавно: это произошло 12 мая текущего года. Первое заражение произошло на территории Испании, а затем произошло стремительное распространение вредоносной программы по всему миру. В результате первой волны эпидемии наиболее сильно пострадали следующие страны:
За сравнительно короткое время существование рассматриваемой нами вредоносной программы она уже успела превратиться в проблему глобального масштаба. Помимо первоначальной версии, летом стали появляться новые модификации со схожим принципом действия. Например, еще один распространенный в последнее время вирус Petya – это не что иное, как подобие WannaCry. Многие специалисты по информационной безопасности и простые пользователи считают данную версию еще более вредоносной для оборудования.
Чтобы предотвратить возможное заражение важных файлов, требуется понимать, как распространяется опасный вирус WannaCry. Прежде всего, компьютерная техника работает на определенной системе, и некоторые их типы попадают в основную зону риска, в то время как другие, напротив, автоматически защищают хранящиеся там файлы от вредоносного воздействия. Оказывается, что злостный вирус, требующий денежный выкуп, поражает исключительно те компьютеры, которые работают на основе операционки Windows.
Однако, как известно, под данным названием объединяется целое семейство различных операционных систем. В таком случае возникает вопрос, владельцам каких систем стоит особенно сильно опасаться за сохранность своих важных документов при атаке вируса WannaCry? По информации русской службы BBC, наиболее часто воздействию вредоносной программы подвергается оборудование, работающее на основе Windows 7. При этом речь идет исключительно о тех устройствах, на которых своевременно не были установлены недавно выпущенные компанией Microsoft обновления, направленные на повышение безопасности компьютера.
Каким типом соединения пользуется вирус WannaCry? Первоначально программа узнает IP-адрес компьютера для установления удаленного подключения к нему. А благодаря использованию соединения с Tor-узлами сетевому червю удается сохранять анонимность.
По оценкам экспертов, от сетевого червя уже успело пострадать более 500 тысяч компьютеров по всему миру. Возможна ли новая атака вируса WannaCry и что говорят об этом последние новости? Вторую волну заражения ждали практически сразу после появления данного феномена. После этого успели появиться новые модифицированные версии, действующие по схожему принципу с вирусом WannaCry. Они стали известны по всему миру под названиями «Петя» и «Миша». Многие специалисты уверены в том, что подобные вредоносные программы постоянно совершенствуются, а это значит, что их повторные атаки абсолютно не исключены.
Многие пользователи беспокоятся по поводу безопасности используемого ими оборудования и поэтому интересуются, как удалить вирус WannaCry в случае его заражения. Первый вариант, который может прийти на ум рядовому пользователю – это произвести оплату. Однако за возможность расшифровки вымогатели требуют не самую маленькую сумму – порядка 300 долларов. Впоследствии первоначальная сумма выкупа была повышена в два раза – до 600 долларов. Кроме того, ее выплата вовсе не гарантирует восстановления первоначального состояния вашей системы: все-таки речь идет о злоумышленниках, которым уж точно не стоит доверять.
Специалисты считают данное действие и вовсе бессмысленным: они аргументируют свое мнение тем, что сама опция предоставления индивидуального ключа для пользователя, решившего совершить оплату, разработчиками вредоносной программы реализована с ошибкой, получившей название «состояние гонки». Простых пользователям необязательно разбираться в ее особенностях: намного важнее понимать ее смысл, означающий, что ключ для расшифроки, скорее всего, вам так и не будет прислан.
Таким образом, эффективная защита и лечение от вируса WannaCry должна быть иной и включать в себя целый комплекс мероприятий, которые способны помочь вам обезопасить свои личные файлы и хранящуюся в них информацию. Специалисты советуют не игнорировать выпускаемые обновления системы, особенно те из них, которые касаются вопросов безопасности.
Чтобы не пострадать от атаки вредоносных программ, необходимо заранее изучить основные способы, как защититься от вируса WannaCry. Прежде всего, стоит убедиться, что на вашем оборудовании установлены все необходимые обновления, которые способны устранить возможные уязвимости системы. Если вы разбираетесь в вопросах информационной безопасности, то вам может помочь настройка проверки входящего трафика при помощи специальной системы управления пакетами IPS. Также рекомендуется применять различные системы борьбы с ботами и вирусами: например, программу Threat Emulation в рамках шлюзов безопасности от Check Point.
В случае заражения возникает вопрос, как убрать вирус WannaCry. Если вы не являетесь специалистом в области информационной безопасности, то вы можете обратиться за помощью на специализированные форумы, где вам могут помочь справиться с вашей проблемой.
Знаете ли вы, как лучше всего расшифровать файлы, зашифрованные таким популярным вирусом, как WannaCry? Возможно ли произвести данную операцию без потери важных данных? На форуме известной Лаборатории Касперского в случае заражения советуют действовать следующим образом:
При этом российские специалисты не предложили специальных программ, позволяющих расшифровать зараженные файлы. Единственный предлагаемый ими вариант заключался в рекомендации попробовать произвести их восстановление из теневых копий. Зато была создана французская утилита WannaKiwi от компании Comae Technologies, которая помогает вылечить важные документы на вашем компьютере.
Специалисты по информационной безопасности, что своевременное обновление Windows 7 способно надежно защитить оборудование от вируса WannaCry. Сетевой червь пользовался уязвимостью, известную под аббревиатурой MS17-010. Своевременная установка официальных обновлений способна устранить указанную уязвимость, надежно защитив ваше оборудование.
Если вас поразил WannaCry вирус, то вам стоит установить патч от компании Microsoft на свой компьютер. Для системы Windows 7 на официальном сайте вы сможете найти обновление под номером 3212646. Для системы Windows 8 подойдет вариант 3205401. Для версии Windows 10 там же можно найти следующие версии:
Также патчи доступны для более старых версий Windows, а именно для Vista (32 и 64-разрядной) под номером 3177186 и для XP под номером 4012598.
Как правильно устанавливать обновление против вируса с названием WannaCry? Это обычно очень просто: вам необходимо только скачать нужный файл и далее следовать инструкциям, содержащимся в мастере установки. Фактически от вас требуется только нажимать кнопки «Далее» и «Готово». После установки лучше всего перезагрузить систему перед началом ее дальнейшего использования. Для специалистов доступен также способ не ручной, а автоматической установки обновлений при помощи настройки групповых политик своей системы, а также использования специальных фильтров.
О массовых заражениях компьютеров трояном-шифровальщиком WannaCry («хочется плакать»), начавшихся 12 мая 2017 года, сегодня не знает, пожалуй, только очень далекий от Интернета человек. А реакцию тех, кто знает, я бы разделил на 2 противоположных категории: безразличие и панический испуг. О чем это говорит?
А о том, что обрывочные сведения не дают полного понимания ситуации, порождают домыслы и оставляют после себя больше вопросов, чем ответов. Дабы разобраться, что происходит на самом деле, кому и чем это грозит, как защититься от заражения и как расшифровать файлы, поврежденные WannaCry, посвящена сегодняшняя статья.
Не пойму, что за возня вокруг WannaCry? Вирусов много, новые появляются постоянно. А этот чем особенный?
WannaCry (другие названия WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) – не совсем обычный киберзловред. Причина его печальной известности – гигантские суммы причиненного ущерба. По данным Европола, он нарушил работу более 200 000 компьютеров под управлением Windows в 150 странах мира, а ущерб, который понесли их владельцы, составил более $ 1 000 000 000. И это только за первые 4 дня распространения. Больше всего пострадавших – в России и Украине.
Я знаю, что вирусы проникают на ПК через сайты для взрослых. Я такие ресурсы не посещаю, поэтому мне ничего не грозит.
Вирус? Тоже мне проблема. Когда на моем компьютере заводятся вирусы, я запускаю утилиту *** и через полчаса все в порядке. А если не помогает, я переустанавливаю Виндовс.
Вирус вирусу – рознь. WannaCry – троян-вымогатель, сетевой червь, способный распространяться через локальные сети и Интернет от одного компьютера к другому без участия человека.
Большинство вредоносных программ, в том числе шифровальщиков, начинает работать только после того, как пользователь «проглотит наживку», то есть кликнет по ссылке, откроет файл и т. п. А чтобы заразиться WannaCry, не нужно делать вообще ничего!
Оказавшись на компьютере с Виндовс, вредонос за короткое время шифрует основную массу пользовательских файлов, после чего выводит сообщение с требованием выкупа в размере $300-600, который нужно перечислить на указанный кошелек в течение 3 дней. В случае промедления он грозит через 7 дней сделать расшифровку файлов невозможной.
Одновременно вредонос ищет лазейки для проникновения на другие компьютеры, и если находит, заражает всю локальную сеть. Это значит, что резервные копии файлов, хранимые на соседних машинах, тоже приходят в негодность.
Удаление вируса с компьютера не приводит к расшифровке файлов! Переустановка операционной системы – тоже. Наоборот, при заражении шифровальщиками оба этих действия могут лишить вас возможности восстановить файлы даже при наличии валидного ключа.
Так что да, «черт» вполне себе страшен.
Вы всё врете. Вирус может проникнуть на мой комп, только если я сам его скачаю. А я бдительный.
Многие вредоносные программы умеют заражать компьютеры (и мобильные девайсы, кстати, тоже) через уязвимости – ошибки в коде компонентов операционной системы и программ, которые открывают кибер-злоумышленникам возможность использовать удаленную машину в своих целях. WannaCry, в частности, распространяется через уязвимость 0-day в протоколе SMB (уязвимостями нулевого дня называют ошибки, которые на момент начала их эксплуатации вредоносным/шпионским ПО не были исправлены).
То есть для заражения компьютера червем-шифровальщиком достаточно двух условий:
Откуда эта зараза вообще взялась? Это проделки русских хакеров?
По некоторым данным (за достоверность не отвечаю), брешь в сетевом протоколе SMB, который служит для легального удаленного доступа к файлам и принтерам в ОС Windows, первым обнаружило Агентство национальной безопасности США. Вместо того чтобы сообщить о ней в Microsoft, дабы там исправили ошибку, в АНБ решили попользоваться ею сами и разработали для этого эксплойт (программу, эксплуатирующую уязвимость).
Визуализация динамики распространения WannaCry на сайте intel.malwaretech.com
Впоследствии этот эксплойт (кодовое имя EternalBlue), служивший какое-то время АНБ для проникновения на компьютеры без ведома владельцев, был украден хакерами и лег в основу создания вымогателя WannaCry. То есть благодаря не вполне законным и этичным действиям госструктуры США вирусописцы и узнали об уязвимости.
Я отключил установку обновлений Windows. Нафиг надо, когда и без них всё работает.
Причина столь быстрого и масштабного распространения эпидемии – отсутствие на тот момент «заплатки» – обновления Windows, способного закрыть лазейку Wanna Cry. Ведь чтобы его разработать, требовалось время.
На сегодняшний день такая заплатка существует. Пользователи, которые обновляют систему автоматически, получили ее в первые часы после выпуска. А те, кто считает, что обновления не нужны, до сих пор находятся под угрозой заражения.
Насколько я знаю, более 90% компьютеров, зараженных WannaCry, работало под управлением Windows 7. У меня «десятка», значит, мне ничего не грозит.
Опасности заражения WannaCry подвержены все операционные системы, которые используют сетевой протокол SMB v1. Это:
Подхватить зловреда по сети сегодня рискуют пользователи систем, на которых не установлено (доступно для бесплатного скачивания с сайта technet.microsoft.com, на который приведена ссылка). Патчи для Windows XP, Windows Server 2003, Windows 8 и других неподдерживаемых ОС можно скачать . На ней же описаны способы проверки наличия спасительного обновления.
Если вы не знаете версию ОС на вашем компьютере, нажмите комбинацию клавиш Win+R и выполните команду winver.
Для усиления защиты, а также при невозможности обновить систему сейчас, Microsoft приводит инструкции по временному отключению протокола SMB версии 1. Они находятся и . Дополнительно, но не обязательно можно закрыть через брандмауэр 445 порт TCP, который обслуживает SMB.
У меня лучший в мире антивирус ***, с ним я могу делать что угодно и мне ничего не страшно.
Распространение WannaCry может происходить не только вышеописанным самоходом, но и обычными способами – через социальные сети, электронную почту, зараженные и фишинговые веб-ресурсы и т. д. И такие случаи есть. Если скачать и запустить вредоносную программу вручную, то ни антивирус, ни патчи, закрывающие уязвимости, от заражения не спасут.
Да пусть шифрует, что хочет. У меня друг программист, он мне все расшифрует. В крайнем случае найдем ключ методом перебора.
Ну зашифрует пару файлов и что? Это не помешает мне работать на компе.
К сожалению, не расшифрует, поскольку способов взлома алгоритма шифрования RSA-2048, который использует Wanna Cry, нет и в обозримом будущем не появится. И зашифрует он не пару файлов, а практически все.
Приводить детальное описание работы вредоноса я не буду, кому интересно, может ознакомиться с его анализом, например, в . Отмечу только самые значимые моменты.
Шифрованию подвергаются файлы с расширениями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks, .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, .xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z, .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, .djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl, .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, .ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.
Как видно, здесь и документы, и фото, и видео-аудио, и архивы, и почта, и файлы, созданные в различных программах… Зловред старается дотянуться до каждого каталога системы.
Зашифрованные объекты получают двойное расширение с припиской WNCRY , например, «Документ1.doc.WNCRY».
После шифрования вирус копирует в каждую папку исполняемый файл @[email protected] – якобы для дешифровки после выкупа, а также текстовый документ @[email protected] с сообщением для пользователя.
Далее он пытается истребить теневые копии и точки восстановления Windows. Если в системе работает UAC, пользователь должен подтвердить эту операцию. Если отклонить запрос, останется шанс восстановить данные из копий .
Ключи шифрования пораженной системы WannaCry передает в командные центры, расположенные в сети Tor, после чего удаляет их с компьютера. Для поиска других уязвимых машин он сканирует локальную сеть и произвольные диапазоны IP в Интернете, а найдя, проникает на всё, до чего сможет добраться.
Сегодня аналитикам известно несколько модификаций WannaCry с разным механизмом распространения, и в ближайшее время, надо ожидать, появятся новые.
Я вижу, как файлы меняют расширения. Что происходит? Как это остановить?
Шифрование – не одномоментный процесс, хотя и не слишком долгий. Если вам удалось заметить его до появления на экране сообщения вымогателя, вы можете спасти часть файлов, немедленно выключив питание компьютера. Не завершением работы системы, а выдергиванием вилки из розетки !
При загрузке Виндовс в нормальном режиме шифрование будет продолжено, поэтому важно его не допустить. Следующий запуск компьютера должен произойти или в безопасном режиме, в котором вирусы не активны, или с другого загрузочного носителя.
Мои файлы зашифрованы! Вирус требует за них выкуп! Что делать, как расшифровать?
Расшифровка файлов после WannaCry возможна лишь при наличии секретного ключа, который злоумышленники обещают предоставить, как только пострадавший перечислит им сумму выкупа. Однако подобные обещания почти никогда не выполняются: зачем распространителям зловреда утруждаться, если они и так получили что хотели?
В отдельных случаях решить проблему можно и без выкупа. На сегодняшний день разработано 2 дешифратора WannaCry: и . Первый работает только в Windows XP, а второй, созданный на основе первого, – в Windows XP, Vista и 7 x86, а также в северных системах 2003, 2008 и 2008R2 x86.
Алгоритм работы обоих дешифраторов основан на поиске секретных ключей в памяти процесса шифровальщика. Это значит, что шанс на расшифровку есть только у тех, кто не успел перезагрузить компьютер. И если после шифрования прошло не слишком много времени (память не была перезаписана другим процессом).
Итак, если вы пользователь Windows XP-7 x86, первое, что следует сделать после появления сообщения с требованием выкупа, это отключить компьютер от локальной сети и Интернета и запустить дешифратор WanaKiwi, скачанный на другом устройстве. До извлечения ключа не выполняйте никаких других действий на компьютере!
Ознакомиться с описанием работы дешифровщика WanaKiwi можно в еще в одном .
После расшифровки файлов запустите антивирус для удаления зловреда и установите патч, закрывающий пути его распространения.
Сегодня WannaCry распознают практически все антивирусные программы, за исключением тех, которые не обновляются, поэтому подойдет почти любая.
Как считают аналитики, WanaCry принес распространителям очень неплохие дивиденды, а значит, атаки, подобные этой, будут повторяться. И тех, кого пронесло сейчас, не обязательно пронесет потом. Конечно, если не побеспокоиться об этом заранее.
Итак, чтобы вам не пришлось когда-либо плакать над шифрованными файлами:
И главное: даже если вы пострадали, не переводите злоумышленникам деньги за расшифровку. Вероятность того, что вас обманут, – 99%. Кроме того, если никто будет платить, бизнес на вымогательстве станет бессмысленным. А иначе распространение подобной заразы будет только расти.
Ещё на сайте:
Эпидемия WannaCry: ответы на частые вопросы и развенчание заблуждений пользователей обновлено: Май 27, 2017 автором: Johnny Mnemonic
12 апреля 2017 года появилась информация о стремительном распространении по всему миру вируса-шифровальщика под названием WannaCry, что можно перевести как «Хочется плакать». У пользователей появились вопросы про обновление Windows от вируса WannaCry.
Вирус на экране компьютера выглядит так:
Вирус шифрует все файлы на компьютере и требует выкуп на кошелек Биткоина в сумме 300$ или 600$ для якобы расшифровки компьютера. Заражению подверглись компьютеры в 150 странах мира, самая пострадавшая – Россия.
Мегафон, РЖД, МВД, Минздрав и другие компании вплотную столкнулись с этим вирусом. Среди пострадавших есть и простые пользователи Интернета.
Перед вирусом практически все равны. Разница, пожалуй, в том, что в компаниях вирус распространяется по всей локальной сети внутри организации и мгновенно заражает максимально возможное количество компьютеров.
Вирус WannaCry шифрует файлы на компьютерах, использующих Windows. В компании Microsoft еще в марте 2017 года были выпущены обновления MS17-010 для различных версий Windows XP, Vista, 7, 8, 10.
Получается, что те, у кого настроено автоматическое обновление Windows, находятся вне зоны риска для вируса, ибо своевременно получили обновление и смогли его избежать. Не берусь утверждать, что так оно и есть на самом деле.
Рис. 3. Сообщение при установке обновления KB4012212
Обновление KB4012212 после установки потребовало перезагрузки ноутбука, что мне не очень понравилось, ибо неизвестно, чем это может закончиться, но куда деваться пользователю? Впрочем, перезагрузка прошла нормально. Значит, живем спокойно до следующей вирусной атаки, а что такие атаки будут – сомневаться, увы, не приходится.
Вирусы одни побеждают, другие появляются снова. Эта борьба будет, очевидно, бесконечной.
Получайте актуальные статьи по компьютерной грамотности прямо на ваш почтовый ящик
.
Уже более 3.000 подписчиков
Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.
Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010
, чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру , Газета.ру , РБК .
Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать и .
Эта уязвимость относится к классу Remote code execution , что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ - локальные сети, публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.
Меры безопасности
Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:
Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.
Риск действительно большой!
UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.
Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
Мы затронем следующие вопросы:
Как быть на шаг впереди и спать спокойно
12 мая около 13:00 началось распространение вируса Wana Decryptor. Практически за пару часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.
Свыше 40 тысяч взломов в 74 странах — интернет-пользователи по всему миру стали свидетелями самой масштабной в истории кибератаки. В списке пострадавших не только обычные люди, но также серверы банков, телекоммуникационных компаний и даже силовых ведомств.
Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России. К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.
Официальные патчи от Microsoft для защиты от вируса Wanna Cry:
Защитится от вируса Wanna Cry можно скачав патч для вашей версии Windows.
Распространяется Wanna Cry:
Как сообщается российскими СМИ, работа отделений МВД в нескольких регионах России нарушена из-за шифровальщика, поразившего множество компьютеров и грозящего уничтожить все данные. Кроме того, атаке подверглись оператор связи «Мегафон».
Речь идет о трояне-вымогателе WCry (WannaCry или WannaCryptor). Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 или 600 долларов биткоинами за расшифровку.
Также на форумах и в социальных сетях о заражениях сообщают обычные пользователи:
Вечером 12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. В качестве выкупа за расшифровку программа требует 300 долларов в биткоинах (около 17 000 рублей).
Основной удар пришелся на российских пользователей и компании. На данный момент WannaCry успел поразить около 57 000 компьютеров, включая корпоративные сети МВД, РЖД и “Мегафона”. Также об атаках на свои системы сообщили Сбербанк и Минздрав.
Рассказываем, что прямо сейчас надо сделать для избежания заражения.
1. Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:
Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить
2. Даже если система не была обновлена и WannaCry попал на компьютер - и корпоративные, и домашние решения ESET NOD32 успешно детектируют и блокируют все его модификации .
5. Для детектирования еще неизвестных угроз в наших продуктах используются поведенческие, эвристические технологии. Если вирус ведет себя как вирус - скорее всего, это вирус. Так, облачная система ESET LiveGrid успешно отражала атаку с 12 мая, еще до обновления сигнатурных баз.
С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r , основным отличием которого было способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.
Но все же основным именем является Wana Decrypt0r , хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor .
И последним именем, под которым часто называют этот вирус-шифровальщик пользователи - это WNCRY вирус , то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.
Чтoбы минимизиpoвaть pиcк пoпaдaния виpуca Wanna crу нa кoмпьютepы cпeциaлиcты «Лaбopaтopии Kacпepcкoгo» coвeтуют уcтaнoвить вce вoзмoжныe oбнoвлeния нa тeкущую вepcию Windows. Дeлo в тoм, чтo вpeдoнocнaя пpoгpaммa пopaжaeт тoлькo тe кoмпьютepы, кoтopыe paбoтaют нa этoм ПO.
Ранее, мы упоминали об этом способе распространения вирусов в статье о безопасном поведении в интернете, так что – ничего нового.
Wanna Cry распространяется следующим образом: На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные, об этом информирует therussiantimes.com.
Wanna Cry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится не возможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию Wanna Cry:
Популярные файлы Microsoft Office (.xlsx, передает therussiantimes.com.xls, .docx, .doc).
Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе - Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.