Virus ransomware baru WannaCry atau WanaDecryptor 2.0, yang meninggalkan file .wncry terenkripsi alih-alih data pengguna, mengguncang Internet. Ratusan ribu komputer dan laptop di seluruh dunia terkena dampaknya. Tidak hanya mereka yang terkena dampaknya pengguna biasa, tapi jaringan seperti itu perusahaan besar seperti Sberbank, Rostelecom, Beeline, Megafon, Kereta Api Rusia dan bahkan Kementerian Dalam Negeri Rusia.

Penyebaran virus ransomware yang begitu luas disebabkan oleh penggunaan kerentanan baru dalam sistem operasi keluarga Windows, yang dideklasifikasi dengan dokumen intelijen AS.

WanaDecryptor, Wanna Cry, WanaCrypt atau Wana Decryptor - nama mana yang benar?

Pada saat serangan virus di web global dimulai, tidak ada yang tahu persis apa nama infeksi baru tersebut. Awalnya mereka meneleponnya Wana Dekripsi0r dengan nama jendela pesan yang muncul di desktop. Beberapa saat kemudian, modifikasi baru dari enkripsi muncul - Ingin Mendekripsi0r 2.0. Tapi sekali lagi, ini adalah jendela ransomware yang sebenarnya menjual kunci dekripsi kepada pengguna, yang secara teoritis akan sampai ke korban setelah dia mentransfer jumlah yang diperlukan ke penipu. Ternyata, virus itu sendiri disebut Ingin Menangis(Tepi Kamar Mandi).
Anda masih dapat menemukan berbagai nama di Internet. Apalagi, pengguna sering kali membubuhkan angka “0” alih-alih huruf “o” dan sebaliknya. Banyak juga kebingungan yang berasal dari berbagai manipulasi spasi, misalnya WanaDecryptor dan Dekripsi Wana, atau WannaCry dan Ingin Menangis.

Bagaimana WanaDecryptor bekerja

Prinsip operasi ransomware ini pada dasarnya berbeda dari virus ransomware sebelumnya yang kami temui. Sebelumnya, agar infeksi dapat mulai bekerja di komputer, infeksi tersebut harus diluncurkan terlebih dahulu. Artinya, pengguna bertelinga panjang menerima surat melalui surat dengan lampiran yang rumit - sebuah skrip yang menyamar sebagai semacam dokumen. Orang tersebut meluncurkan file yang dapat dieksekusi dan dengan demikian mengaktifkan infeksi OS. Virus Bath Edge bekerja secara berbeda. Dia tidak perlu mencoba menipu pengguna, cukup baginya untuk memiliki akses kerentanan kritis Layanan berbagi file SMBv1 menggunakan port 445. Omong-omong, kerentanan ini menjadi tersedia berkat informasi dari arsip badan intelijen Amerika yang dipublikasikan di situs web Wikileaks.
Setelah berada di komputer korban, WannaCrypt mulai mengenkripsi file secara massal menggunakan algoritmanya yang sangat kuat. Format berikut ini paling terpengaruh:

kunci, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, toples, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, pertengahan, djvu, svg, psd, nef, tiff, tif, cgm, mentah, gif, png, bmp, jpg, jpeg, vcd, iso, cadangan, zip, rar, tgz, tar, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, pesan, ost, pst, pot, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Ekstensi file terenkripsi berubah menjadi .wncry. Virus ransomware dapat menambahkan dua file lagi ke setiap folder. Yang pertama adalah instruksi yang menjelaskan cara mendekripsi file wncry Please_Read_Me.txt, dan yang kedua adalah aplikasi dekripsi WanaDecryptor.exe.
Trik kotor ini bekerja dengan tenang dan damai hingga menimpa semua orang. perangkat keras, setelah itu akan muncul jendela WanaDecrypt0r 2.0 yang meminta Anda memberikan uang. Jika pengguna tidak mengizinkan penyelesaian akhir dan antivirus dapat menghapus program cryptor, pesan berikut akan muncul di desktop:

Artinya, pengguna diperingatkan bahwa beberapa filenya telah terpengaruh dan jika Anda ingin mendapatkannya kembali, kembalikan cryptornya. Ya, sekarang! Jangan lakukan ini dalam keadaan apa pun, jika tidak, Anda akan kehilangan sisanya. Perhatian! Tidak ada yang tahu cara mendekripsi file WNCRY. Selamat tinggal. Mungkin semacam alat dekripsi akan muncul nanti - kita tunggu dan lihat.

Perlindungan terhadap virus Wanna Cry

Secara umum, Microsoft menambal MS17-010 untuk perlindungan terhadap ransomware Ingin Dekripsi keluar pada 12 Mei dan jika layanan tersebut ada di PC Anda Pembaruan Windows berfungsi dengan baik kalau begitu
Kemungkinan besar sistem operasi sudah terlindungi. DI DALAM jika tidak perlu mengunduh yang ini tambalan Microsoft untuk Anda Versi Windows dan segera menginstalnya.
Maka disarankan untuk menonaktifkan dukungan SMBv1 sama sekali. Setidaknya sampai gelombang epidemi mereda dan situasi menjadi tenang. Ini dapat dilakukan baik dari baris perintah dengan hak Administrator dengan memasukkan perintah:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Seperti ini:

Atau melalui Panel Kontrol Windows. Di sana Anda harus pergi ke bagian “Program dan Fitur”, pilih “Aktifkan atau nonaktifkan” dari menu Komponen Windows" Sebuah jendela akan muncul:

Temukan item “Dukungan untuk berbagi file SMB 1.0/CIFS”, hapus centang dan klik “OK”.

Jika tiba-tiba muncul masalah dengan menonaktifkan dukungan SMBv1, maka untuk melindungi dari Wanacrypt0r 2.0 Anda dapat mengambil cara lain. Buat aturan di firewall yang digunakan di sistem yang memblokir port 135 dan 445. Untuk standar WindowsFirewall Anda harus memasukkan yang berikut ini pada baris perintah:

netsh advfirewall firewall tambahkan aturan dir=dalam tindakan=blok protokol=TCP localport=135 nama=»Close_TCP-135″
netsh advfirewall firewall tambahkan aturan dir=dalam tindakan=blok protokol=TCP localport=445 nama=»Close_TCP-445″

Pilihan lainnya adalah menggunakan yang gratis khusus aplikasi Windows Pembersih Pintu Cacing:

Itu tidak memerlukan instalasi dan memungkinkan Anda dengan mudah menutup celah dalam sistem yang memungkinkan virus enkripsi masuk ke dalamnya.

Dan tentu saja kita tidak boleh melupakannya perlindungan antivirus. Gunakan hanya yang sudah terbukti produk antivirus-DrWeb Internet Kaspersky Keamanan, E-SET Nod32. Jika Anda sudah menginstal antivirus, pastikan untuk memperbarui database-nya:

Terakhir, saya akan memberi Anda sedikit nasihat. Jika Anda memiliki data yang sangat penting yang sangat tidak diinginkan untuk hilang, simpanlah dapat dilepas dengan keras disk dan menaruhnya di lemari. Setidaknya selama epidemi ini terjadi. Ini adalah satu-satunya cara untuk menjamin keselamatan mereka, karena tidak ada yang tahu apa modifikasi selanjutnya.

Virus WannaCry menggelegar di seluruh dunia pada tanggal 12 Mei, pada hari ini sejumlah institusi medis di Inggris mengumumkan bahwa jaringan mereka telah terinfeksi, perusahaan telekomunikasi Spanyol dan Kementerian Dalam Negeri Rusia melaporkan menangkis serangan hacker.

WannaCry (orang awam sudah menjulukinya Vaughn's Land) termasuk dalam kategori virus enkripsi (cryptors), yang ketika menyerang PC, akan mengenkripsi file pengguna algoritma yang tahan enkripsi, selanjutnya – membaca file-file ini menjadi tidak mungkin.

Pada saat ini, berikut ini diketahui ekstensi populer file yang tunduk pada enkripsi WannaCry:

1. File populer Microsoft Office(.xlsx, .xls, .docx, .doc).
2. File arsip dan media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - bagaimana virus menyebar

Sebelumnya kami telah menyebutkan metode penyebaran virus ini di artikel tentang, jadi bukan hal baru.

Surat dengan lampiran "tidak berbahaya" tiba di kotak surat pengguna - bisa berupa gambar, video, lagu, tetapi alih-alih ekstensi standar untuk format ini, lampiran tersebut akan memiliki ekstensi file yang dapat dieksekusi– exe. Ketika file tersebut dibuka dan diluncurkan, sistem “terinfeksi” dan, melalui kerentanan, virus langsung dimuat ke dalam OS Windows, mengenkripsi data pengguna.

Mungkin tidak satu-satunya metode Distribusi WannaCry – Anda dapat menjadi korban dengan mengunduh file yang “terinfeksi” di jejaring sosial, pelacak torrent, dan situs lainnya.

WannaCry – cara melindungi diri Anda dari virus ransomware

1. Instal patch untuk Microsoft Windows. 14 Mei perusahaan Microsoft telah merilis patch darurat untuk versi berikut – Vista, 7, 8.1, 10, Server Windows. Anda dapat menginstal patch ini hanya dengan menjalankan pembaruan sistem melalui layanan Pembaruan Windows.

2. Menggunakan software antivirus dengan database saat ini data. Pengembang terkenal Perangkat lunak keamanan, seperti Kaspersky, Dr.Web, telah merilis pembaruan untuk produk mereka yang berisi informasi tentang WannaCry, sehingga melindungi penggunanya.

3. Simpan data penting ke media tersendiri. Jika komputer Anda belum mendukungnya, Anda dapat menghemat paling banyak file penting ke media terpisah (flash drive, disk). Dengan pendekatan ini, bahkan jika Anda menjadi korban, Anda akan menyimpan file paling berharga dari enkripsi.

Saat ini, semua ini adalah metode perlindungan efektif terhadap WannaCry yang diketahui.

Decryptor WannaCry, di mana mendownloadnya dan apakah mungkin untuk menghapus virus?

Virus Ransomware termasuk dalam kategori virus yang paling “menjijikkan”, karena... dalam kebanyakan kasus, file pengguna dienkripsi dengan kunci 128bit atau 256bit. Hal terburuknya adalah dalam setiap kasus, kuncinya unik dan mendekripsi masing-masing kunci membutuhkan banyak waktu kekuatan komputasi, sehingga hampir tidak mungkin untuk memperlakukan pengguna “biasa”.

Namun bagaimana jika Anda menjadi korban WannaCry dan membutuhkan decryptor?

1. Hubungi forum dukungan Kaspersky Lab - https://forum.kaspersky.com/ dengan penjelasan masalahnya. Forum ini dikelola oleh perwakilan perusahaan dan relawan yang secara aktif membantu memecahkan masalah.

2. Seperti dalam kasus ransomware CryptXXX yang terkenal – ditemukan solusi universal untuk mendekripsi file yang telah dienkripsi. Tidak lebih dari seminggu telah berlalu sejak ditemukannya WannaCry dan spesialis darinya laboratorium antivirus Kami belum menemukan solusinya.

3. Sebuah keputusan radikal akan - penghapusan lengkap OS dari komputer diikuti oleh instalasi bersih baru. Dalam situasi ini, semua file dan data pengguna hilang sepenuhnya, bersamaan dengan penghapusan WannaCry.

Serangan siber ini disebut-sebut sebagai yang terbesar sepanjang sejarah. Lebih dari 70 negara, puluhan ribu komputer terinfeksi. Virus ransomware yang disebut Wanna Cry (“Saya ingin menangis”) tidak ada yang menyayangkan siapa pun. Rumah sakit sedang diserang kereta api, instansi pemerintah.

Di Rusia, serangan tersebut merupakan yang paling masif. Pesan-pesan yang masuk sekarang menyerupai laporan dari bagian depan komputer. Dari yang terbaru: Kereta Api Rusia menyatakan bahwa virus tersebut mencoba menembus sistem TI mereka, virus tersebut telah terlokalisasi dan mereka mencoba untuk menghancurkannya. Bank Sentral, Kementerian Dalam Negeri, Kementerian Situasi Darurat, dan perusahaan komunikasi juga berbicara tentang upaya peretasan.

Seperti inilah rupa virus yang melumpuhkan puluhan ribu komputer di seluruh dunia. Antarmuka yang jelas dan teks yang diterjemahkan ke dalam lusinan bahasa - “Anda hanya punya waktu tiga hari untuk membayar.” Program jahat yang mengenkripsi file, menurut berbagai sumber, memerlukan 300 hingga 600 dolar untuk membukanya. Hanya dalam mata uang cyber. Pemerasan benar-benar berada di ambang hidup dan mati.

“Saya benar-benar siap untuk operasi, mereka bahkan memasang infus, lalu ahli bedah datang dan mengatakan bahwa mereka mengalami masalah dengan peralatan karena serangan dunia maya,” kata Patrick Ward.

Vaksin dari virus komputer tidak ada yang ditemukan di empat puluh klinik Inggris yang pertama kali diserang, maupun di perusahaan telekomunikasi terbesar Spanyol, Telefonica. Jejak, menurut para ahli, dari salah satu serangan peretas terbesar dalam sejarah dunia, bahkan pada tampilan stasiun kereta api di Jerman. Di salah satu dari tujuh pusat kendali perusahaan kereta api Jerman Deutsche Bahn, sistem kendalinya gagal. Konsekuensinya bisa menjadi bencana besar.

Secara total, 74 negara telah menjadi korban serangan siber. Satu-satunya negara yang belum tersentuh adalah Afrika dan beberapa negara di Asia dan Amerika Latin. Apakah ini hanya untuk saat ini?

“Ini semua dilakukan untuk menghasilkan uang bagi kejahatan terorganisir. Tidak ada agenda politik atau motif tersembunyi. Pemerasan murni,” kata pakar antivirus perusahaan IT Ben Rapp.

Namun media Inggris segera menemukan motif politik. Dan mereka menyalahkan peretas Rusia atas segalanya, meski tanpa bukti apa pun, yang menghubungkan serangan dunia maya dengan serangan udara Amerika di Suriah. Diduga, virus ransomware menjadi balas dendam Moskow. Di saat yang sama, menurut media Inggris yang sama, Rusia adalah pihak yang paling menderita dalam serangan ini. Dan sangat sulit untuk membantah hal ini. Lebih dari seribu komputer diserang di Kementerian Dalam Negeri saja. Namun, tidak berhasil.

Kami menangkis serangan terhadap Kementerian Situasi Darurat dan Kementerian Kesehatan, terhadap Bank Tabungan dan Megafon.” Operator seluler Saya bahkan menghentikan sementara pekerjaan call center.

“Keputusan presiden tentang pembentukan segmen Jaringan Rusia adalah Internet tertutup di sekitar pejabat pemerintah. Industri pertahanan telah lama berada di balik perisai ini. Kemungkinan besar, menurut saya, menderita komputer sederhana karyawan biasa. Kemungkinan besar bukan akses ke database yang terkena dampaknya - database tersebut biasanya berada di sistem operasi lain dan biasanya berada di penyedia layanan,” kata Penasihat Presiden Rusia untuk Pengembangan Internet German Klimenko.

Program tersebut, menurut pengembang antivirus, menginfeksi komputer jika pengguna telah membuka surat yang mencurigakan dan belum memperbarui Windows. Hal ini terlihat jelas dalam contoh Tiongkok yang terkena dampak serius - penduduk Kerajaan Tengah, seperti yang Anda tahu, sangat menyukai sistem operasi bajakan. Tetapi apakah itu layak dibayar dengan mengklik mouse tanpa berpikir, mereka bertanya-tanya di seluruh dunia

“Jika perusahaan tidak memiliki cadangan, mereka mungkin kehilangan akses terhadap data. Misalnya, jika database pasien rumah sakit beserta riwayat kesehatannya disimpan dalam satu salinan di server tempat virus masuk, maka rumah sakit tidak akan lagi memulihkan data tersebut dengan cara apa pun,” kata pakar keamanan siber Ilya Skachkov. .

Sejauh ini, seperti yang diketahui para blogger, di dompet elektronik penipu tidak lebih dari empat ribu dolar. Agak sepele, mengingat daftar korbannya - biaya meretas hard drive mereka jelas tidak sebanding. Financial Times edisi Inggris menyatakan bahwa virus ransomware tidak lebih dari program jahat Badan Keamanan Nasional AS yang dimodifikasi oleh penyerang. Dahulu kala, ia diciptakan untuk menembus sistem tertutup Amerika. Hal ini juga dibenarkan oleh mantan karyawannya Edward Snowden.

Dari Twitter Snowden: "Wow, keputusan NSA menciptakan alat untuk menyerang Amerika perangkat lunak sekarang membahayakan nyawa pasien di rumah sakit.”

Namun WikiLeaks juga telah berulang kali memperingatkan bahwa, karena keinginan besar untuk memantau seluruh dunia, badan intelijen Amerika menyebarkan malware. Namun meskipun hal ini tidak terjadi, hal ini menimbulkan pertanyaan tentang bagaimana program NSA bisa sampai ke tangan para penyerang. Hal lain yang menarik. Badan intelijen Amerika lainnya, Departemen Keamanan Dalam Negeri, mengusulkan untuk menyelamatkan dunia dari virus ini.

Meskipun demikian, skala sebenarnya dari serangan ini masih harus dinilai. Infeksi komputer di seluruh dunia terus berlanjut. Hanya ada satu “vaksin” di sini – kehati-hatian dan pemikiran ke depan. Penting untuk tidak membuka lampiran yang mencurigakan. Pada saat yang sama, para ahli memperingatkan: akan ada lebih banyak lagi yang akan datang. Frekuensi dan skala serangan siber akan semakin meningkat.

Seperti dilansir media Rusia, pekerjaan departemen Kementerian Dalam Negeri di beberapa wilayah Rusia terganggu akibat ransomware yang telah menginfeksi banyak komputer dan mengancam akan menghancurkan seluruh data. Selain itu, operator komunikasi Megafon diserang.

Kita berbicara tentang Trojan ransomware WCry (WannaCry atau WannaCryptor). Dia mengenkripsi informasi di komputer dan meminta tebusan sebesar $300 atau $600 dalam bentuk Bitcoin untuk dekripsi.

@[dilindungi email], file terenkripsi, ekstensi WNCRY. Diperlukan instruksi utilitas dan dekripsi.

WannaCry mengenkripsi file dan dokumen dengan ekstensi berikut dengan menambahkan .WCRY di akhir nama file:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Serangan WannaCry di seluruh dunia

Serangan tercatat di lebih dari 100 negara. Rusia, Ukraina dan India sedang melakukan pengujian masalah terbesar. Laporan infeksi virus datang dari Inggris, Amerika Serikat, Tiongkok, Spanyol, dan Italia. Tercatat, serangan hacker tersebut berdampak pada rumah sakit dan perusahaan telekomunikasi di seluruh dunia. Peta interaktif penyebaran ancaman WannaCrypt tersedia di Internet.

Bagaimana infeksi terjadi?

Seperti yang dikatakan pengguna, virus masuk ke komputer mereka tanpa tindakan apa pun dari mereka dan menyebar tanpa terkendali ke seluruh jaringan. Di forum Kaspersky Lab mereka menunjukkan bahwa antivirus yang diaktifkan pun tidak menjamin keamanan.

Serangan ransomware WannaCry (Wana Decryptor) dilaporkan terjadi melalui kerentanan Keamanan Microsoft Buletin MS17-010. Kemudian rootkit diinstal pada sistem yang terinfeksi, yang digunakan penyerang untuk meluncurkan program enkripsi. Semua solusi Kaspersky Lab mendeteksi rootkit ini sebagai MEM:Trojan.Win64.EquationDrug.gen.

Infeksi tersebut diduga terjadi beberapa hari sebelumnya, namun virus tersebut baru muncul setelah mengenkripsi semua file di komputer.

Bagaimana menghapus WanaDecryptor

Anda akan dapat menghilangkan ancaman menggunakan antivirus; sebagian besar program antivirus sudah mendeteksi ancaman tersebut. Definisi umum:

Avast Win32:WanaCry-A, rata-rata Tebusan_r.CFY, Avira TR/FileCoder.ibtft, Pembela Bit Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Tebusan.WanaCrypt0r, Microsoft Tebusan: Win32/WannaCrypt, Panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Tebusan.Wannacry

Jika Anda telah meluncurkan ancaman di komputer Anda dan file Anda telah dienkripsi, mendekripsi file hampir tidak mungkin, karena mengeksploitasi kerentanan akan meluncurkan enkripsi jaringan. Namun, beberapa opsi alat dekripsi sudah tersedia:

Catatan: Jika file Anda telah dienkripsi dan cadangan hilang, dan alat dekripsi yang ada tidak membantu, disarankan untuk menyimpan file terenkripsi sebelum membersihkan ancaman dari komputer Anda. Mereka akan berguna jika alat dekripsi yang sesuai untuk Anda dibuat di masa depan.

Microsoft: Instal pembaruan Windows

Microsoft mengatakan bahwa pengguna dengan antivirus gratis perusahaan dan fitur pembaruan diaktifkan sistem Windows akan terlindungi dari serangan WannaCryptor.

Pembaruan tertanggal 14 Maret memperbaiki kerentanan sistem yang menyebarkan Trojan ransomware. Deteksi hari ini telah ditambahkan database antivirus Esensi Keamanan Microsoft / Pembela Windows untuk melindungi terhadap yang baru perangkat lunak perusak dikenal sebagai Tebusan:Win32.WannaCrypt.

• Pastikan antivirus Anda diaktifkan dan diinstal pembaruan terkini.
• Instal antivirus gratis jika komputer Anda tidak memiliki perlindungan apa pun.
• Instal pembaruan sistem terbaru menggunakan Pembaruan Windows:
  • Untuk jendela 7, 8.1 Dari menu Start, buka Control Panel > Windows Update dan klik Search for Updates.
  • Untuk jendela 10 Buka Pengaturan > Perbarui & Keamanan dan klik "Periksa pembaruan"..
• Jika Anda menginstal pembaruan secara manual, instal patch resmi Microsoft MS17-010, yang mengatasi kerentanan server SMB yang digunakan dalam serangan ransomware WanaDecryptor.
• Jika antivirus Anda memiliki perlindungan ransomware, aktifkan. Kami juga memiliki bagian terpisah di situs web kami, Perlindungan Ransomware, tempat Anda dapat mengunduh alat gratis.
• Lakukan pemindaian anti-virus pada sistem Anda.

Para ahli mencatat bahwa cara termudah untuk melindungi diri Anda dari serangan adalah dengan menutup port 445.

• Ketik sc stop lanmanserver dan tekan Enter
• Masukkan untuk Windows 10: sc config lanmanserver start=disabled , untuk yang lain Versi Windows: sc config lanmanserver start= dinonaktifkan dan tekan Enter
• Nyalakan kembali komputer Anda
• Pada prompt perintah, masukkan netstat -n -a | menemukantr "MENDENGARKAN" | findtr ":445" untuk memastikan port dinonaktifkan. Jika ada baris kosong, port tidak mendengarkan.

Jika perlu, buka kembali port tersebut:

• Berlari Baris perintah(cmd.exe) sebagai administrator
• Masukkan untuk Windows 10: sc config lanmanserver start=auto , untuk versi Windows lainnya: sc config lanmanserver start= auto dan tekan Enter
• Nyalakan kembali komputer Anda

Catatan: Port 445 digunakan oleh Windows untuk kolaborasi dengan file. Menutup port ini tidak mencegah PC untuk terhubung ke sumber daya jarak jauh lainnya, namun PC lain tidak akan dapat terhubung ke sistem.

Anda dapat melindungi diri Anda dari Wanna Cry dengan mengikuti beberapa aturan sederhana:

perbarui sistem tepat waktu - semua PC yang terinfeksi tidak diperbarui

menggunakan OS berlisensi

jangan buka email yang mencurigakan

Menurut laporan media, produsen perangkat lunak antivirus akan merilis pembaruan untuk memerangi Wanna Cry, jadi pembaruan antivirus Anda tidak boleh ditunda.

Sepertinya semua orang sudah mendengar tentang serangan ransomware WannaCry. Kami telah menulis dua postingan tentang ini - dengan cerita umum tentang apa yang terjadi dan dengan saran untuk bisnis. Dan kami menemukan bahwa tidak semua orang memahami apa, di mana, dan bagaimana memperbarui untuk menutup kerentanan di Windows yang menyebabkan WannaCry menembus komputer. Kami memberi tahu Anda apa yang perlu dilakukan dan di mana mendapatkan tambalan.

1. Cari tahu versi Windows di komputer Anda

Pertama, penting bahwa ransomware WannaCry hanya ada untuk Windows. Jika di perangkat Anda sebagai sistem operasi Jika Anda menggunakan macOS, iOS, Android, Linux, atau apa pun, malware ini tidak menimbulkan ancaman.

Namun untuk perangkat Windows, hal itu berlaku. Tetapi versi Windows yang berbeda memerlukan patch yang berbeda pula. Jadi sebelum Anda menginstal apa pun, Anda perlu mencari tahu versi Windows yang Anda miliki.

Ini dilakukan seperti ini:

• Tekan tombol dan [R] pada keyboard Anda secara bersamaan.
• Di jendela yang muncul, masukkan pemenang dan klik oke. Jendela yang muncul akan menunjukkan versi Windows.
• Jika Anda tidak tahu apakah sistem Anda 32-bit atau 64-bit, Anda cukup mengunduh kedua pembaruan untuk Windows 32-bit dan 64-bit - salah satunya pasti akan diinstal.

2. Instal patch MS17-010, yang menutup kerentanan Windows

• unduh uji coba gratis 30 hari Versi Kaspersky Keamanan Internet. Jika Anda sudah menginstal solusi keamanan Kaspersky Lab, lakukan ini.
  • Pastikan Anda mengaktifkan modul Pemantauan aktivitas. Untuk melakukan ini, buka pengaturan, pilih bagian Perlindungan dan pastikan berlawanan dengan item tersebut Pemantauan aktivitas tertulis Pada.
  • Jalankan pemindaian cepat pada komputer Anda untuk mencari virus. Untuk melakukan ini, pilih bagian di antarmuka solusi antivirus Penyelidikan, itu berisi sebuah poin Periksa cepat lalu klik Jalankan pemindaian.
  • Jika antivirus mendeteksi malware dengan putusan Trojan.Win64.EquationDrug.gen, maka harus dihapus dan kemudian dimulai ulang.

  Itu saja, Anda terlindungi dari WannaCry. Sekarang jagalah keluarga dan teman-teman yang tidak tahu cara melindungi perangkat mereka sendiri.

Virus Ransomware Ingin Menangis, atau Dekripsi Wana, mempengaruhi puluhan ribu komputer di seluruh dunia. Sementara mereka yang diserang sedang menunggu solusi untuk masalah ini, pengguna yang belum terkena dampak harus menggunakan semua lini pertahanan yang ada. Salah satu cara untuk menghilangkan infeksi virus dan melindungi diri Anda dari penyebaran WannaCry adalah dengan menutup port 135 dan 445, yang tidak hanya melalui WannaCry, tetapi juga sebagian besar Trojan, pintu belakang, dan program jahat lainnya memasuki komputer Anda. Ada beberapa cara untuk menutupi celah ini.

Metode 1. Perlindungan dari WannaCry - menggunakan Firewall

Jendela utama program berisi daftar port (135–139, 445, 5000) dan informasi singkat tentang port tersebut - layanan apa yang digunakan, apakah terbuka atau tertutup. Di samping setiap port terdapat tautan ke pernyataan keamanan resmi Microsoft.

1. Untuk menutup port menggunakan Windows Worms Doors Cleaner dari WannaCry, Anda perlu mengklik tombol Disable.
2. Setelah ini, tanda silang merah akan diganti dengan tanda centang hijau, dan akan muncul pesan yang menunjukkan bahwa port telah berhasil diblokir.
3. Setelah ini, program harus ditutup dan komputer dihidupkan ulang.

Metode 3. Menutup port dengan menonaktifkan layanan sistem

Masuk akal bahwa port dibutuhkan tidak hanya oleh virus seperti WannaCry - dalam kondisi normal port tersebut digunakan layanan sistem, yang tidak diperlukan oleh sebagian besar pengguna dan mudah dinonaktifkan. Setelah ini, port tidak perlu dibuka lagi, dan malware tidak akan dapat menembus komputer.

Menutup port 135

Port 135 digunakan oleh layanan DCOM (COM Terdistribusi), yang diperlukan untuk menghubungkan objek pada mesin berbeda di jaringan lokal. Teknologi ini praktis tidak digunakan dalam sistem modern, sehingga layanan dapat dinonaktifkan dengan aman. Hal ini dapat dilakukan dengan dua cara - menggunakan utilitas khusus atau melalui registri.

Menggunakan utilitas, layanan dinonaktifkan sebagai berikut:

Pada Windows Server 2003 dan sistem yang lebih lama, Anda perlu melakukan sejumlah operasi tambahan, tetapi karena virus WannaCry hanya berbahaya untuk versi OS modern, tidak ada gunanya menyentuh poin ini.

Melalui port registri dari program virus WannaCry ditutup seperti ini:

1. 1. Editor registri dimulai (regedit di jendela Jalankan).
2. 2. Mencari kunci HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
3. 3. Parameter EnableDCOM berubah dari Y ke N.
4. 4. Komputer restart.

Anda hanya dapat mengedit registri dari akun administrator.

Menutup port 445

Port 445 digunakan oleh layanan NetBT - protokol jaringan, yang memungkinkan program lama yang mengandalkan NetBIOS API untuk berjalan jaringan modern TCP/IP. Jika tidak ada perangkat lunak kuno seperti itu di komputer, port dapat diblokir dengan aman - ini akan menutup pintu depan penyebaran virus WannaCry. Ini dapat dilakukan melalui pengaturan koneksi jaringan atau editor registri.

Cara pertama:

1. 1. Sifat koneksi yang digunakan terbuka.
2. 2. Properti TCP/IPv4 terbuka.
3. 3. Klik tombol “Lanjutan…”
4. 4. Pada tab WINS, centang kotak di samping “Disable NetBIOS over TCP/IP.”

Microsoft mengatakan bahwa pengguna dengan antivirus gratis perusahaan dan Pembaruan Sistem Windows yang diaktifkan akan terlindungi dari serangan WannaCryptor.

Pembaruan tertanggal 14 Maret memperbaiki kerentanan sistem yang menyebarkan Trojan ransomware. Deteksi hari ini telah ditambahkan ke database antivirus Microsoft Security Essentials/Windows Defender untuk melindungi dari malware baru yang dikenal sebagai Ransom:Win32.WannaCrypt.

Pastikan antivirus Anda dihidupkan dan pembaruan terkini diinstal.
Instal antivirus gratis jika komputer Anda tidak memiliki perlindungan apa pun.
Instal pembaruan sistem terbaru menggunakan Pembaruan Windows:
Untuk Windows 7, 8.1, di menu Start, buka Control Panel > Windows Update dan klik “Search for update.”
Untuk Windows 10, buka Pengaturan > Pembaruan & Keamanan dan klik “Periksa pembaruan”.
Jika Anda menginstal pembaruan secara manual, instal patch resmi Microsoft MS17-010, yang mengatasi kerentanan server SMB yang digunakan dalam serangan ransomware WanaDecryptor.
Jika antivirus Anda memiliki perlindungan ransomware, aktifkan. Situs web kami juga memiliki bagian perlindungan ransomware terpisah, tempat Anda dapat mengunduh alat gratis.
Lakukan pemindaian anti-virus pada sistem Anda.
Cara menutup port 445

Para ahli mencatat bahwa cara termudah untuk melindungi diri Anda dari serangan adalah dengan menutup port 445.

Cara menutup port 445

Ketik sc stop lanmanserver dan tekan Enter
Masukkan untuk Windows 10: sc config lanmanserver start=disabled, untuk versi Windows lainnya: sc config lanmanserver start= dinonaktifkan dan tekan Enter
Nyalakan kembali komputer Anda
Pada prompt perintah, masukkan netstat -n -a | menemukantr “MENDENGARKAN” | findtr “:445″ untuk memastikan port dinonaktifkan. Jika ada baris kosong, port tidak mendengarkan.
Cara menutup port 445

Jika perlu, buka kembali port tersebut:

Jalankan Command Prompt (cmd.exe) sebagai administrator
Masukkan untuk Windows 10: sc config lanmanserver start=auto, untuk versi Windows lainnya: sc config lanmanserver start= auto dan tekan Enter
Nyalakan kembali komputer Anda
Catatan: Port 445 digunakan oleh Windows untuk berbagi file. Menutup port ini tidak mencegah PC untuk terhubung ke sumber daya jarak jauh lainnya, namun PC lain tidak akan dapat terhubung ke sistem.

Perawatan untuk Ingin Cryptor

Epidemi enkripsi WannaCry: apa yang harus dilakukan untuk menghindari infeksi. Panduan langkah demi langkah

Pada malam tanggal 12 Mei, serangan ransomware WannaCryptor (WannaCry) berskala besar ditemukan, yang mengenkripsi semua data di PC dan laptop yang menjalankan Windows. Program ini menuntut $300 dalam bentuk bitcoin (sekitar 17.000 rubel) sebagai tebusan untuk dekripsi.

Pukulan terbesar menimpa pengguna dan perusahaan Rusia. Saat ini, WannaCry berhasil menginfeksi sekitar 57.000 komputer, termasuk jaringan perusahaan Kementerian Dalam Negeri, Kereta Api Rusia dan Megafon. Bank Tabungan dan Kementerian Kesehatan juga melaporkan serangan terhadap sistem mereka.

Kami memberi tahu Anda apa yang perlu Anda lakukan sekarang untuk menghindari infeksi.

1. Enkripsi mengeksploitasi kerentanan Microsoft tertanggal Maret 2017. Untuk meminimalkan ancaman, Anda harus segera memperbarui versi Windows Anda:

Mulai - Semua Program - Pembaruan Windows - Cari Pembaruan - Unduh dan Instal

2. Sekalipun sistem tidak diperbarui dan WannaCry masuk ke komputer, solusi perusahaan dan rumahan ESET NOD32 berhasil mendeteksi dan memblokir semua modifikasinya.

5. Untuk mendeteksi ancaman yang belum diketahui, produk kami menggunakan teknologi perilaku dan heuristik. Jika suatu virus berperilaku seperti virus, kemungkinan besar itu adalah virus. Dengan demikian, sistem cloud ESET LiveGrid berhasil menangkis serangan mulai 12 Mei, bahkan sebelum database tanda tangan diperbarui.

Apa nama yang benar untuk virus Wana Decryptor, WanaCrypt0r, Wanna Cry atau Wana Decrypt0r?

Sejak virus ini pertama kali ditemukan, banyak sekali pesan yang berbeda tentang virus ransomware ini dan sering disebut nama yang berbeda. Hal ini terjadi karena beberapa alasan. Sebelum virus Wana Decrypt0r sendiri muncul, sudah ada versi pertamanya Ingin Mendekripsi0r, perbedaan utamanya terletak pada metode distribusinya. Opsi pertama ini tidak begitu dikenal luas seperti miliknya adik Namun berkat hal tersebut, di beberapa pemberitaan, virus ransomware baru ini disebut dengan nama kakaknya yaitu Wanna Cry, Wanna Decryptor.

Tapi tetap saja nama utamanya adalah Wana Dekripsi0r, meskipun sebagian besar pengguna alih-alih angka "0" mengetikkan huruf "o", yang mengarahkan kita ke namanya Dekripsi Wana atau WanaDecryptor.

Dan nama belakang yang sering digunakan pengguna untuk menyebut virus ransomware ini adalah virus WNCRY, yaitu dengan ekstensi yang ditambahkan ke nama file yang telah dienkripsi.

Untuk meminimalkan risiko virus Wanna Cru masuk ke komputer Anda, spesialis Kaspersky Lab menyarankan untuk menginstal semua kemungkinan pembaruan pada versi Windows saat ini. Faktanya adalah malware hanya menginfeksi komputer yang menjalankan perangkat lunak ini.

Virus Wanna Cry: Cara penyebarannya

Sebelumnya kami telah menyebutkan cara penyebaran virus ini dalam artikel tentang perilaku aman di Internet, jadi ini bukanlah hal baru.

Wanna Cry didistribusikan sebagai berikut: Sebuah surat dikirim ke kotak surat pengguna dengan lampiran yang "tidak berbahaya" - bisa berupa gambar, video, lagu, tetapi alih-alih ekstensi standar untuk format ini, lampiran tersebut akan memiliki ekstensi file yang dapat dieksekusi - exe. Ketika file tersebut dibuka dan diluncurkan, sistem “terinfeksi” dan, melalui kerentanan, virus langsung dimuat ke dalam OS Windows, mengenkripsi data pengguna, therussiantimes.com melaporkan.

Virus Wanna Cry: deskripsi virus

Wanna Cry (orang awam sudah menjulukinya Wona's Edge) termasuk dalam kategori virus ransomware (cryptors), yang ketika masuk ke PC, mengenkripsi file pengguna dengan algoritma kriptografi, sehingga tidak mungkin untuk membaca file tersebut.
Saat ini, ekstensi file populer berikut diketahui tunduk pada enkripsi Wanna Cry:

Populer file Microsoft Office (.xlsx, dikirimkan oleh therussiantimes.com.xls, .docx, .doc).
File arsip dan media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry adalah program bernama WanaCrypt0r 2.0, yang secara eksklusif menyerang PC yang menjalankan OS Windows. Program ini mengeksploitasi “lubang” dalam sistem - Buletin Keamanan Microsoft MS17-010, yang keberadaannya sebelumnya tidak diketahui. Program ini memerlukan uang tebusan sebesar $300 hingga $600 untuk dekripsi. Omong-omong, saat ini, menurut The Guardian, lebih dari 42 ribu dolar telah ditransfer ke akun para peretas.