La câțiva ani, în rețea apare un virus care poate infecta multe computere într-un timp scurt. De data aceasta a devenit un astfel de virus Vreau să plâng(sau, așa cum îi spun uneori utilizatorii din Rusia - „acolo”, „vreau să plâng”). Acest malware a infectat aproximativ 57.000 de mii de computere în aproape toate țările lumii în doar câteva zile. De-a lungul timpului, rata de infectare cu virusul a scăzut, dar încă apar dispozitive noi care au fost infectate. Pe acest moment Peste 200.000 de computere au fost afectate - atât utilizatori privați, cât și organizații.

Wanna Cry este cea mai gravă amenințare computerizată din 2017 și încă poți să fii victimă. În acest articol vă vom spune ce este Wanna Cry, cum se răspândește și cum să vă protejați de virus.

WannaCry criptează majoritatea sau chiar toate fișierele de pe computer. Apoi software se afișează pe ecranul computerului mesaj specific care cere o răscumpărare de 300 USD pentru a vă decripta fișierele. Plata trebuie să aibă loc pe Portofel Bitcoin. Dacă utilizatorul nu plătește răscumpărarea în 3 zile, suma se dublează la 600 USD. După 7 zile, virusul va șterge toate fișierele criptate și toate datele dumneavoastră se vor pierde.

Symantec a publicat o listă cu toate tipurile de fișiere pe care Wanna Cry le poate cripta. Această listă include TOATE formatele de fișiere populare, inclusiv .xlsx, .xls, .docx, .doc, .mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, . .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar. Lista plina este sub spoiler.

• .accdb
• .backup
• .clasă
• .djvu
• .docb
• .docm
• .docx
• .dotm
• .dotx
• .java
• .jpeg
• .lay6
• .mpeg
• .onetoc2
• .potm
• .potx
• .ppam
• .ppsm
• .ppsx
• .pptm
• .pptx
• .sldm
• .sldx
• .sqlite3
• .sqlitedb
• .tiff
• .vmdk
• .vsdx
• .xlsb
• .xlsm
• .xlsx
• .xltm
• .xltx

După cum puteți vedea, un virus poate cripta aproape orice fișier de pe hard diskul computerului. După finalizarea criptării, Wanna Cry postează instrucțiuni pentru decriptarea fișierelor, ceea ce implică plata unei anumite răscumpări.

Agenția de Securitate Națională a SUA (NSA) a descoperit un exploit numit „EternalBlue”, dar a ales să ascundă Acest lucru să-l folosești în avantajul tău. În aprilie 2017, grupul de hackeri Shadow Brokers a publicat informații despre exploit.

Virusul Wanna Cry se răspândește cel mai adesea în felul următor: primiți un e-mail cu un atașament. Atașamentul poate conține o fotografie, un fișier video sau o compoziție muzicală. Cu toate acestea, dacă aruncați o privire mai atentă la fișier, puteți înțelege că extensia a acestui dosar este .exe (fișier executabil). Astfel, după lansarea fișierului, sistemul este infectat și, datorită exploit-ului găsit anterior, este descărcat un virus care criptează datele utilizatorului.

Cu toate acestea, acest lucru nu este singura cale, cu ajutorul căruia Wanna Cry (virusul „de acolo”) se poate răspândi. Nu există nicio îndoială că puteți descărca și un fișier infectat din trackere torrent sau îl puteți primi în mesaje personaleîn rețelele sociale.

Cum să te protejezi de virusul Wanna Cry?

Cum să te protejezi de Vreau virus Strigăt?

• În primul rând, trebuie să instalați totul actualizări disponibile pentru sistemul dvs. de operare. În special, utilizatorii de Windows care rulează pe Windows XP, Windows 8 sau Windows Server 2003 ar trebui să instaleze imediat actualizarea de securitate a datelor de SO care a fost lansată Compania Microsoft.
• În plus, fii extrem de atent la toate scrisorile care vin pe adresa ta de e-mail. Nu trebuie să-ți cobori vigilența, chiar dacă destinatarul este cunoscut de tine. Nu deschideți niciodată fișiere cu extensiile .exe, .vbs și .scr. Cu toate acestea, extensia fișierului poate fi deghizată ca video obișnuit sau document și arată ca avi.exe sau doc.scr.
• Este recomandabil să activați opțiunea „Afișați extensiile fișierelor” în Setări Windows. Acest lucru vă va ajuta să vedeți adevărata extensie de fișier, chiar dacă infractorii au încercat să o mascheze.
• Este puțin probabil ca instalarea să vă ajute să evitați infecția. Faptul este că virusul Wanna Cry exploatează o vulnerabilitate a sistemului de operare, așa că asigurați-vă că instalați toate actualizările pentru Windows - și apoi puteți instala un antivirus.
• Asigurați-vă că salvați toate datele importante în dur extern disc sau nor. Chiar dacă computerul este infectat, va trebui doar să reinstalați sistemul de operare pentru a scăpa de virusul de pe computer.
• Asigurați-vă că utilizați baze de date curente pentru antivirusul tău. Avast, Dr.web, Kaspersky, Nod32 - toate antivirusurile moderne își actualizează în mod constant bazele de date. Principalul lucru este să vă asigurați că licența antivirusului dvs. este activă și este actualizată.
• descarca si instaleaza utilitate gratuită Kaspersky Anti-Ransomware de la Kaspersky Lab. Acest software vă protejează de ransomware în timp real. In afara de asta, această utilitate poate fi folosit simultan cu antivirusurile convenționale.

După cum am scris deja, Microsoft a lansat un patch care închide vulnerabilitățile din sistemul de operare și împiedică virusul Wanna Cry să vă cripteze datele. Acest patch trebuie instalat urgent pe următorul sistem de operare:

Windows XP, Windows 8 sau Windows Server 2003, Windows Embedded

Dacă aveți o altă versiune de Windows, instalați pur și simplu toate actualizările disponibile.

Eliminarea virusului Wanna Cry de pe computer este ușoară. Pentru a face acest lucru, scanați-vă computerul cu unul dintre (de exemplu, Hitman Pro). Cu toate acestea, în în acest caz,, documentele dvs. vor rămâne în continuare criptate. Prin urmare, dacă intenționați să plătiți răscumpărarea, atunci eliminați programul @ [email protected] E mai bine să aștepți. Dacă nu aveți nevoie de date criptate, cel mai simplu mod este să faceți formatare hard disc și instalați din nou sistemul de operare. Acest lucru va distruge cu siguranță toate urmele virusului.

Programele ransomware (care includ Wanna Cry) vă criptează de obicei datele cu chei de 128 sau 256 de biți. Cheia pentru fiecare computer este unică, așa că acasă poate dura zeci sau sute de ani pentru a o decripta. De fapt, acest lucru face imposibil ca utilizatorul obișnuit să decripteze datele.

Desigur, cu toții am dori să avem un decriptor Wanna Cry în arsenalul nostru, dar o astfel de soluție nu există încă. De exemplu, unul similar a apărut acum câteva luni, dar încă nu există un decriptor disponibil pentru el.

Prin urmare, dacă nu ați fost încă infectat, atunci ar trebui să aveți grijă de dvs. și să luați măsuri pentru a vă proteja de virus, care sunt descrise în articol. Dacă ați devenit deja victimă a infecției, atunci aveți mai multe opțiuni:

• Plătește răscumpărarea. Minusuri această decizie- relativ preț mare pentru date; nu este un fapt că toate datele vor fi decriptate
• A pune HDD raft și sper să apară un decodor. Apropo, decriptoarele sunt dezvoltate de Kaspersky Lab și postate pe site-ul web No Ransom. Nu există încă un decriptor pentru Wanna Cry, dar poate apărea după ceva timp. Cu siguranță vom actualiza articolul pe măsură ce o astfel de soluție devine disponibilă.
• Dacă sunteți un utilizator licențiat al produselor Kaspersky Lab, puteți trimite o solicitare de decriptare a fișierelor care au fost criptate de virusul Wanna Cry.
• Reinstalați sistemul de operare. Dezavantaje - toate datele se vor pierde
• Utilizați una dintre metodele de recuperare a datelor după infectarea cu virusul Wanna Cry (o voi publica pe site-ul nostru ca articol separat în câteva zile). Cu toate acestea, rețineți că șansele de recuperare a datelor sunt extrem de scăzute.

Cum să vindeci virusul Wanna Cry?

După cum ați înțeles deja din articol, vindecarea virusului Wanna Cry este extrem de simplă. Instalezi unul dintre ele, îți scanează hard disk-ul și elimină toți virușii. Dar problema este că toate datele tale vor rămâne criptate. Pe lângă recomandările date anterior pentru eliminarea și Vreau decriptare Plânge, poți da următoarele:

1. Puteți consulta forumul Kaspersky Lab. În firul, care este disponibil la link, au fost create mai multe subiecte despre Wanna Cry. Reprezentanții dezvoltatorului răspund pe forum, așa că poate vă pot spune și vouă ceva util.
2. Ar trebui să așteptați - virusul a apărut nu cu mult timp în urmă, poate va apărea un decriptor. De exemplu, în urmă cu nu mai mult de șase luni, Kaspersky a reușit să învingă criptatorul CryptXXX. Este posibil ca după ceva timp să lanseze un decriptor pentru Wanna Cry.
3. Soluția cardinală este formatarea hard disk-ului, instalarea sistemului de operare și pierderea tuturor datelor. Sunt fotografiile tale de la ultima ta petrecere corporativă atât de importante pentru tine?)

După cum puteți vedea din infograficele prezentate, majoritatea computerelor care au fost infectate cu Wanna Cry sunt situate în Rusia. Cu toate acestea, acest lucru nu este surprinzător - în țara noastră, procentul de utilizatori ai sistemului de operare „piratat” este extrem de mare. Cel mai adesea, astfel de utilizatori au lor actualizare automata, ceea ce a făcut posibilă infectarea.

După cum a devenit cunoscut, în Rusia nu a fost numai utilizatori obișnuiți, dar și întreprinderi de stat și companii private. Se raportează că printre victime s-au numărat Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență și Banca Centrală, precum și Megafon, Sberbank și Căile Ferate Ruse.

În Marea Britanie, rețeaua de spitale a fost afectată, făcând imposibilă efectuarea unor operații.

A fost ușor să te protejezi de infecție - în martie, Microsoft a lansat o actualizare de securitate pentru Windows care a închis „găurile” în sistemul de operare. Virusul operează prin intermediul lor. Dacă nu ați făcut acest lucru încă, asigurați-vă că instalați toate actualizările pentru sistemul de operare, precum și patch-ul special pentru versiunile mai vechi de Windows pe care le-am menționat mai sus.

Unii utilizatori ai sălii de operație sisteme Linux se întreabă: pot computerele lor să fie infectate cu virusul Wanna Cry? Îi pot liniști: computerele sunt sub control Linux acest virus nu infricosator. În acest moment, nu au fost detectate variații ale virusului pentru acest sistem de operare.

Concluzie

Așadar, astăzi am vorbit despre virusul Wanna Cry. Am aflat ce este acest virus, cum să vă protejați de infecție, cum să eliminați virusul și să restaurați fișierele, de unde să obțineți decriptorul Wanna Cry. În plus, am aflat de unde să descărcați un patch pentru Windows care vă va proteja de infecție. Sper că ați găsit acest articol de ajutor.

În acest articol, veți afla despre ce să faceți dacă computerul este atacat de virusul Wanna Cry, precum și ce acțiuni trebuie luate pentru a evita pierderea fișierelor de pe hard disk.

Virusul Wcrypt este un ransomware care blochează toate fișierele de pe computerele sau rețelele infectate și solicită o răscumpărare în schimbul unei soluții de recuperare a datelor.

Primele versiuni ale acestui virus au apărut în februarie 2017, iar acum are diverse denumiri precum WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 2.0 sau chiar DarkoderCrypt0r.

Imediat ce aceasta program periculos se strecoară într-un sistem informatic, criptează toate datele stocate pe acesta în câteva secunde. În timpul acestei proceduri, virusul poate adăuga extensii de fișiere .Wcrypt la fișierele afectate.

Alte versiuni ale acestui virus sunt cunoscute pentru a adăuga extensii de fișiere .wcry sau .wncry. Scopul acestei proceduri de criptare este de a face datele victimei inutile și de a solicita o răscumpărare. Victima poate ignora cu ușurință instrumentul de extorcare în cazul în care are copie de rezervă date.

Cu toate acestea, în majoritatea cazurilor, utilizatorii de computere uită să creeze aceste copii ale datelor în timp util. Într-un astfel de caz, singura modalitate de a recupera fișierele criptate este să plătiți criminalii cibernetici, dar vă recomandăm insistent să nu faceți acest lucru.

Amintiți-vă că escrocii de obicei nu au niciun interes să interacționeze cu victima după ce au primit răscumpărarea, deoarece banii sunt tot ce caută. În schimb, vă sugerăm să eliminați ransomware-ul folosind instrumente anti-malware, cum ar fi Reimage sau Plumbytes, conform ghidului de eliminare Wcrypt pe care l-am furnizat mai jos.

După criptarea tuturor fișierelor sistem țintă virusul schimbă imaginea de fundal de pe desktop într-o imagine neagră cu ceva text care spune că datele stocate pe computer au fost criptate.

Imagine, asemănătoare ultimele versiuni Cryptolocker, explică cum să recuperezi un fișier @WanaDecryptor.exe, Dacă program antivirusîl pune în carantină. Apoi malware declanșează un mesaj către victimă care spune: „Oh, fișierele tale au fost criptate!”Și oferă adresa portofelului Bitcoin, prețul de răscumpărare (de la 300 USD) și instrucțiuni pentru cumpărarea Bitcoin. Virusul acceptă răscumpărare doar în criptomoneda Bitcoin.

Cu toate acestea, victima trebuie să plătească în termen de trei zile de la infectare. De asemenea, virusul promite că va șterge toate fișierele criptate dacă victima nu plătește în decurs de o săptămână. Prin urmare, vă sugerăm să eliminați Wcrypt cât mai curând posibil, astfel încât să nu deterioreze fișierele de pe computer sau laptop.

Cum se răspândește virusul Wcrypt?

Wcrypt, care este cunoscut și sub numele de ransomware WansCry, a șocat comunitatea virtuală pe 12 mai 2017. În această zi, a fost efectuat un atac cibernetic masiv împotriva utilizatorii Microsoft Windows. Atacatorii au folosit exploit-ul EternalBlue pentru a infecta sistemele informatice și pentru a captura toate fișierele victimei.

În plus, beneficiul în sine funcționează ca un job care caută computere conectate și le reproduce. Deși se pare că ransomware-ul nu mai vizează noi victime în acest moment (deoarece un cercetător de securitate a oprit accidental atacul cibernetic), experții raportează că este prea devreme pentru a ne bucura.

Autorii de programe malware pot ascunde o altă modalitate de a răspândi virusul, așa că utilizatorii de computere ar trebui să ia toate măsurile posibile pentru a-și proteja computerul de un astfel de atac cibernetic. Deși, în general, recomandăm să instalați software pentru a vă proteja computerul de malware și să actualizați în mod regulat toate programele de pe acesta.

Nu valoreaza nimic pe care noi, ca toți ceilalți, recomandăm să creați o copie a datelor dvs. valoroase și să o transferăm dispozitiv extern stocare a datelor.

Cum să eliminați virusul Wcrypt? Ce ar trebui să fac dacă Wcrypt apare pe computerul meu?

Din motivele menționate mai sus, trebuie să eliminați virusul Wcrypt cât mai curând posibil. Nu este sigur să păstrați un computer pe sistem, deoarece acesta se poate replica rapid pe alte computere sau dispozitive portabile dacă cineva le conectează la un computer compromis.

Cel mai cale sigura completați eliminarea Wcrypt - executați verificare completă sisteme care utilizează software antivirus. Pentru a-l rula, trebuie mai întâi să vă pregătiți computerul. Urmați aceste instrucțiuni pentru a elimina complet virusul.

Metoda 1: Dezinstalați WCrypt în modul sigur prin rețea

• Pasul 1: Reporniți computerul în modul Safe folosind Rețea.

Windows 7/Vista/XP

1. Clic start → Opriți → Repornire → Bine.
2. Când apare ecranul, începeți să atingeți F8 .
3. Selectați din listă Modul sigur cu încărcarea driverelor de rețea.

Windows 10/Windows 8

1. Schimb „Reporniți”.
2. Acum selectați "Depanare" → « Opțiuni suplimentare» → „Setări de pornire”și apăsați .
3. "Porniți modul sigur cu încărcarea driverelor de rețea" La fereastră „Opțiuni de pornire”.

• Pasul 2: Eliminați WCrypt

Conectați-vă la contul dvs. infectat și lansați browserul. sau alt program anti-spyware legitim. Actualizați-l înainte scanare completă sistem și eliminați fișierele rău intenționate.

Dacă WCrypt blochează Safe Mode de la încărcarea driverelor de rețea, încercați o metodă diferită.

Metoda 2: Dezinstalați WCrypt utilizând System Restore

• Pasul 1: Reporniți computerul în modul sigur folosind Linie de comanda.

Windows 7/Vista/XP

1. Clic start → Închide → Reporniți → Bine.
2. Când computerul dvs. devine activ, începeți să faceți clic F8 de mai multe ori până când vezi o fereastră „Opțiuni avansate de pornire”.
3. Selectați „Mod sigur cu suport pentru linia de comandă” din lista.

Windows 10/Windows 8

1. Apăsați butonul de pornire de pe ecranul de conectare Windows. Acum apăsați și mențineți apăsat Schimb, care se află pe tastatură și apăsați „Reporniți”.
2. Acum selectați "Depanare" → „Opțiuni suplimentare” → „Setări de pornire”și apăsați .
3. După ce computerul este activ, selectați „Activați modul sigur cu suport pentru linia de comandă” La fereastră „Opțiuni de pornire”.

• Pasul 2: Restaurați fișiere de sistemși setări.

1. Când apare fereastra promptului de comandă, tastați restaurare cdși apăsați Introduce.

2. Acum intră rstrui.exeși apăsați din nou Introduce.

3. Când apare o nouă fereastră, faceți clic pe "Mai departe"și selectați un punct de restaurare înainte de infiltrarea WCrypt. După acel clic "Mai departe".

4. Acum faceți clic "Da" pentru a continua procesul.

5. După aceea, faceți clic pe butonul "Gata" pentru a porni System Restore.

• După ce ați restaurat sistemul la o dată anterioară, porniți și scanați computerul cu Reimage și asigurați-vă că eliminarea WCrypt are succes.

Sperăm că acest articol v-a ajutat să rezolvați problema cu virusul WCrypt!

Video: Virusul Wanna Cry continuă să infecteze sistemele informatice din întreaga lume

Virusul Wanna Cry a devenit un adevărat coșmar pentru jumătate de milion de utilizatori din întreaga lume. Nu numai că au fost afectați utilizatori obișnuiți, dar și organizații.

Cu doar câteva săptămâni în urmă, internetul mondial a explodat cu știri despre apariția unei noi amenințări tehnologice, pentru care nu exista un remediu la acel moment. Virusul Wanna Cry a pătruns în peste 500 de mii de computere și le-a paralizat complet munca. Ce fel de amenințare este această forță fără precedent și există vreo salvare de la ea? Să încercăm să ne dăm seama.

Virusul Wanna Cry - descriere

Tradusă literal, expresia Wanna Cry înseamnă „Vreau să plâng”. Și într-adevăr, cum vă puteți reține lacrimile dacă un vierme de rețea ascuns blochează sistemul de operare al computerului, nepermițând literalmente utilizatorului să facă nimic și, ca răscumpărare, ransomware-ul Wanna Cry cere plata la o anumită sumă? portofel online suma de 300 de dolari, iar în echivalent bitcoin. Adică, este imposibil să urmăriți autorul ransomware-ului folosind metodele obișnuite de căutare a atacatorilor de rețea.

Cel mai masiv atac a avut loc pe 12 mai a acestui an. Peste 70 de țări au suferit în timpul acesteia și, așa cum se știe astăzi, Vrei virus ransomware Cry a fost activ mai ales în Rusia, Ucraina și India. Acestea sunt țările în care se găsesc cele mai multe victime. Dar cei mai mulți dintre ei sunt utilizatori obișnuiți, dar în țările din Europa și America, hackerii „au trecut” prin agenții guvernamentale. Spitalele, companiile de telecomunicații și chiar agențiile guvernamentale au fost forțate să suspende operațiunile din cauza infectării computerelor cu ransomware. Pentru dreptate, merită remarcat faptul că în Federația Rusă multe întreprinderi și organizații municipale au fost atacate, dar, se pare, sistemul rusesc protecția anti-hacker s-a dovedit a fi mai fiabilă decât cele străine. Astfel, au existat rapoarte de tentative de hacking sisteme de informare Căile Ferate Ruse, Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență, Banca Centrală, companii de comunicații. Dar peste tot, fie viermele a fost localizat rapid, fie încercările de a pătrunde în PC-urile instituționale au fost fără succes.

Cum apare infecția cu virusul Wanna Cry?

Toată lumea se întreabă cum se răspândește virusul Wanna Cry? De ce au devenit atât de mulți utilizatori victimele acestuia?

Metoda de distribuire a ransomware-ului este foarte, foarte simplă. Virusul scanează nodurile direct în sursele deschise de pe Internet, unde se poate vedea dacă Port TCP 445, responsabil de întreținerea protocolului acces de la distanță la fișiere (SMBv1). Dacă un astfel de computer este detectat, malware-ul începe să încerce să exploateze vulnerabilitatea EternalBlue, iar dacă acest eveniment are succes, se instalează ușa de spate DoublePulsar. Prin intermediul acestuia, codul executabil este descărcat pe computerul selectat. Pot exista opțiuni când ușa din spate este deja instalată în sistem în mod implicit, atunci sarcina virusului devine și mai simplă: pur și simplu descărcați informații rău intenționate în computerul utilizatorului.

Este de remarcat faptul că virusul poate intra și pe un computer prin e-mail împreună cu fișiere care se presupune că nu trezesc suspiciuni.

Cum funcționează virusul Wanna Cry?

În caz contrar, virusul ransomware se comportă ca orice alt virus similar. Deci, pentru fiecare dispozitiv pe care îl generează propriile perechi chei și apoi „trece” prin întregul sistem, selectând fișiere de anumite tipuri și criptându-le folosind algoritmul AES-128-CBC folosind o cheie generată aleatoriu, care, la rândul său, este criptată folosind cheie publică RSA. Acesta este ceea ce indică virusul Wanna Cry în antetul fișierului criptat. Prin urmare, tratamentul conform schema clasica se dovedește a fi inutil. Este nevoie de o abordare specială.

Cum să te protejezi de virusul Wanna Cry

Protecția împotriva virusului wanna cry nu este atât de complicată pe cât ar părea la prima vedere. Trebuie doar să descărcați patch-ul de la Microsoft împotriva virusului Wanna Cry.

Dezvoltatorii au făcut tot posibilul și rapid, literalmente în două zile, au lansat extensii/actualizări speciale pentru absolut toate versiunile de Windows care rulează, inclusiv XP, care are încă mulți utilizatori în întreaga lume.

Aceasta este o modalitate de a preveni infecția în timpul unui posibil următor atac al virusului Wanna Cry. Dar ce ar trebui să facă cei ale căror computere au fost deja sparte? Din păcate, este imposibil să spui încă ceva încurajator, deoarece este imposibil de descifrat fișiere corupte Nimeni nu a reușit încă. Dar te poți pregăti măcar pentru un posibil atac. Deci, dacă „patch-ul” de zone cu probleme de la Microsoft detectează un vierme, cu siguranță va întreba ce să facă cu el. În general, principiul este același cu cel al sutelor de programe antivirus.

Prin urmare, la întrebarea cum să eliminați virusul Wanna Cry, răspunsul poate fi singurul și nu cel mai roz: pur și simplu împiedicați codul executiv rău intenționat să intre în computer. Și, bineînțeles, așteptați până când dezvoltatorii de top oferă antivirus puternic, capabil să reziste Wanna Cry.

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) - malware, vierme de rețea și ransomware Bani. Programul criptează aproape toate fișierele stocate pe computer și solicită o răscumpărare pentru a le decripta. Un număr mare de programe malware de acest tip au fost înregistrate de-a lungul anilor. anul trecut, dar WannaCry iese în evidență pe fundalul lor datorită amplorii răspândirii și tehnicilor folosite.

Acest virus ransomware a început să se răspândească la aproximativ 10 dimineața și deja în seara zilei de 12 mai, mass-media a început să raporteze numeroase infecții. Diverse publicații scriu că un atac de hacker a fost efectuat asupra celor mai mari holdinguri, inclusiv Sberbank.

Întrebarea utilizatorului. „Laptopul meu personal actual care rulează Windows 7 Home Premium”, diferite feluri instalează patch-uri automat când îl opresc...

Și tableta W10 pe care o am instalează automat noi patch-uri când este pornită... PC-urile desktop corporative nu își actualizează automat sistemul de operare când sunt pornite sau oprite?” Într-adevăr - De ce?

Peste orar Set complet exploit-urile au fost puse la dispoziția publicului împreună cu videoclipuri de instruire. Oricine îl poate folosi. Ceea ce s-a întâmplat exact. Setul de exploatare include instrumentul DoublePulsar. Cu portul 445 deschis și nu actualizare instalată MS 17-010, folosind vulnerabilitatea clasei de execuție a codului de la distanță (abilitatea de a infecta un computer de la distanță (exploatare NSA EternalBlue)), este posibil să interceptați apeluri de sistemși introduceți în memorie cod rău intenționat. Nu este nevoie să primiți niciunul e-mail- daca ai un calculator cu acces la internet, cu rularea serviciului SMBv1 și fără patch-ul MS17-010 instalat, atunci atacatorul vă va găsi el însuși (de exemplu, prin adrese de forțare brută).

Analiza WannaCry

Troianul WannaCry (alias WannaCrypt) criptează fișierele cu anumite extensii de pe computer și solicită o răscumpărare de 300 USD în bitcoins. Se acordă trei zile pentru plată, apoi suma se dublează.

Algoritmul american AES cu o cheie de 128 de biți este utilizat pentru criptare.

În modul de testare, criptarea este efectuată folosind o a doua cheie RSA conectată în troian. În acest sens, este posibilă decriptarea fișierelor de testare.

În timpul criptării la întâmplare Sunt selectate mai multe fișiere. Troianul se oferă să le decripteze gratuit, pentru ca victima să fie convinsă că poate decripta restul după ce a plătit răscumpărarea.

Dar aceste fișiere selective și restul sunt criptate chei diferite. Prin urmare, nu există nicio garanție de decriptare!

Semne ale unei infecții cu WannaCry

Odată ajuns pe computer, troianul rulează ca un sistem serviciu Windows numit mssecsvc2.0 (nume vizibil - Microsoft Centru de securitate(2.0) Serviciu).

Viermele este capabil să accepte argumente ale liniei de comandă. Dacă este specificat cel puțin un argument, încearcă să deschidă serviciul mssecsvc2.0 și să îl configureze să repornească în cazul unei erori.

După lansare, încearcă să redenumească fișierul C:\WINDOWS\tasksche.exe în C:\WINDOWS\qeriuwjhrf, îl salvează din resursele troiene encoder în fișierul C:\WINDOWS\tasksche.exe și îl lansează cu /i parametru. În timpul pornirii, troianul primește adresa IP a mașinii infectate și încearcă să se conecteze la portul TCP 445 al fiecărei adrese IP din subrețea - caută mașini în rețeaua internăși încearcă să-i infecteze.

La 24 de ore de la lansare ca serviciul de sistem viermele iese automat.

Pentru a se răspândi, malware-ul inițializează Windows Sockets, CryptoAPI și lansează mai multe fire. Una dintre ele enumeră totul interfețe de rețea pe computerul infectat și sondajează nodurile disponibile în retea locala, restul generează adrese IP aleatorii. Viermele încearcă să se conecteze cu acestea noduri la distanță utilizând portul 445. Dacă este disponibil, nodurile de rețea sunt infectate într-un fir separat folosind o vulnerabilitate în Protocolul SMB.

Imediat după lansare, viermele încearcă să trimită o solicitare către server la distanta, al cărui domeniu este stocat în troian. Dacă se primește un răspuns la această solicitare, acesta iese.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolfhimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Protecție împotriva WannaCrypt și a altor ransomware

Pentru a proteja împotriva WannaCry ransomwareși modificările sale viitoare este necesar:

1. Dezactivați serviciile neutilizate, inclusiv SMB v1.

• Este posibil să dezactivați SMBv1 folosind PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Prin registru:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, parametrul SMB1 tip DWORD = 0
• De asemenea, puteți elimina serviciul în sine, care este responsabil pentru SMBv1 (da, un serviciu separat de SMBv2 este personal responsabil pentru acesta):
  sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start=dezactivat

1. Utilizați un firewall pentru a închide porturile de rețea neutilizate, inclusiv porturile 135, 137, 138, 139, 445 (porturi SMB).

Figura 2. Exemplu de blocare a portului 445 folosind un firewallWindows

Figura 3. Exemplu de blocare a portului 445 folosind un firewallWindows

1. Utilizați un antivirus sau un firewall pentru a restricționa accesul aplicațiilor la Internet.

Figura 4. Un exemplu de restricționare a accesului la Internet la o aplicație folosind Windows Firewall

14.05.2017 28.05.2017 de Vlad

Virusul Wanna Cry – noul fel atac de hacker, malware-ul ransomware a trimis unde de șoc prin utilizatorii de computere și de internet din întreaga lume. Cum funcționează virusul Wanna Cry, este posibil să te protejezi de el și, dacă da, cum?

12 mai, computere în funcțiune sisteme de operare Ferestrele din întreaga lume au suferit cel mai mare atac din istorie În ultima vreme. Vorbim despre virusul Wanna Cry (WNCRY, Wana Decrypt0r 2.0), care aparține clasei Ransomware, adică ransomware rău intenționat care criptează fișierele utilizatorului și solicită o răscumpărare pentru a restabili accesul la acestea. În acest caz, vorbim despre sume de la 300 USD la 600 USD, pe care victima trebuie să le transfere într-un anume portofel în bitcoins. Mărimea răscumpărării depinde de timpul care a trecut de la momentul infecției - după un anumit interval crește.

Atacul ransomware a paralizat multe companii și organizații din întreaga lume, inclusiv compania spaniolă de telecomunicații Telefonica, spitalele din Marea Britanie și compania de livrare FedEx din SUA. Lovitura principală a căzut asupra utilizatorilor și companiilor ruși. În acest moment, WannaCry a reușit să infecteze aproximativ 57.000 de computere, inclusiv rețele corporative Ministerul Afacerilor Interne, Căilor Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Răspândirea virusului Wanna Cry

Pentru a evita alăturarea în rândurile celor ale căror computere sunt infectate, este necesar să înțelegem cum pătrunde malware-ul în sistem. Computerul este infectat folosind o vulnerabilitate din protocolul SMB, care vă permite să lansați de la distanță codul programului. Se bazează pe exploitul EternalBlue, creat între zidurile Agenției de Securitate Națională a SUA (NSA) și postat de hackeri pe acces deschis.

Fișierul inițial mssecsvc.exe lansează un alt fișier numit tasksche.exe. Domeniul de comutare este apoi verificat și serviciul mssecsvc2.0 este creat. Acest serviciu execută fișierul mssecsvc.exe cu un alt punct de intrare decât atunci când a fost lansat pentru prima dată. A doua rulare obține adresa IP a mașinii infectate și încearcă să se conecteze la 445 Port TCP fiecare adresă IP din subrețea. Când malware-ul se conectează cu succes la mașina de la distanță, se stabilește o conexiune și se transferă datele. Aparent, undeva în acest proces de transfer este exploatată o vulnerabilitate cunoscută, care a fost remediată prin actualizarea MS 17-010. În prezent, nu există o înțelegere completă a traficului IMM-urilor și în ce condiții se pot răspândi malware-ul folosind o gaură de securitate.

Fișierul tasksche.exe verifică toate unitățile, precum și folderele partajate în rețea și dispozitivele conectate care sunt asociate cu litere precum „C:/”, „D:/”, etc. Programul malware caută apoi fișiere cu extensii care sunt listate în program (și date mai jos) și le criptează folosind 2048 de biți Criptare RSA. În timp ce fișierele sunt criptate, este creat un folder „Tor/”, unde sunt plasate fișierele tor.exe și 9 fișiere dll pe care le folosește. În plus, sunt create taskdl.exe și taskse.exe. Primul șterge fișierele temporare, iar al doilea rulează @ [email protected], care arată utilizatorului o fereastră în care îi cere să plătească. Fișier @ [email protected] este responsabil doar pentru afișarea mesajului. Criptarea fișierelor are loc în fundal folosind tasksche.exe.

Fișierul tor.exe este lansat folosind @ [email protected]. Acest proces nouîncepe să se conecteze la Nodurile Tor. În acest fel, WannaCry își păstrează anonimatul trimițând tot traficul prin rețeaua Tor.

Așa cum este tipic pentru ransomware, programul elimină și orice copii umbră pe computerul victimei pentru a face recuperarea și mai dificilă. Acest lucru se face folosind WMIC.exe, vssadmin.exe și cmd.exe

WannaCry folosește diferite căi pentru a vă ajuta performanța. Deci este folosit de attrib.exe pentru a schimba steag-ul +h (ascundere), și, de asemenea, de icacls.exe pentru a da drepturi depline tuturor utilizatorilor: „icacls. / acordă tuturor: F /T /C /Q.”

Este de remarcat faptul că programul are o arhitectură modulară. Este probabil ca toate fișierele executabile din el să fi fost scrise de persoane diferite. Acest lucru ar putea însemna că structura programului ar putea permite lansarea diferitelor scripturi rău intenționate.

După ce criptarea este completă, malware-ul afișează o fereastră care solicită răscumpărare pentru fișiere. Interesant punct este că fereastra este fisier executabil, nu o imagine, un fișier HTA sau un fișier text.

Victimele ar trebui să înțeleagă că nimeni nu garantează că, după plata răscumpărării, dispozitivul nu va mai fi paralizat.

Ce trebuie să faceți acum pentru a evita infecția.

1. Microsoft a introdus o remediere pentru problema EternalBlue în MS17-010 din 14 martie 2017, deci prima şi principală măsură Pentru a vă proteja împotriva WannaCry, ar trebui să instalați această actualizare de securitate pentru Windows.

Link direct pentru actualizare: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Este tocmai faptul că mulți utilizatori și administratorii de sistem nu au făcut încă acest lucru și au servit drept motiv pentru un atac la scară atât de mare, ale cărui pagube nu au fost încă evaluate. Adevărat, actualizarea este concepută pentru aceștia versiuni Windows, sprijin pentru care nu a încetat încă. Din cauza nivel inalt amenințări Microsoft a lansat și actualizări pentru sistemele de operare vechi, cum ar fi Windows XP, Windows 8 și Windows Server 2003. Descărcați-le.

2. Pentru a minimiza amenințarea, este necesar să instalați urgent totul Ultimele actualizări Sistemul de operare Windows: Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați.

3. Orice organizație care are SMB accesibil public (porturile 139, 445) ar trebui să blocheze imediat traficul de intrare.

4. Nu trebuie să uităm de regulat backup date importante. Vă rugăm să rețineți că WannaCry vizează următoarele categorii de fișiere:

• cel mai comun documente de birou(.ppt, .doc, .docx, .xlsx, .sxi).
• unele tipuri de documente mai puțin populare (.sxw, .odt, .hwp).
• arhive și fișiere media (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• fișiere de e-mail (.eml, .msg, .ost, .pst, .edb).
• baze de date (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• dosare de proiect și codurile sursă(.php, .java, .cpp, .pas, .asm).
• chei și certificate de criptare (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• formate grafice (.vsd, .odg, .raw, .nef, .svg, .psd).
• fişiere mașini virtuale(.vmx, .vmdk, .vdi).

5. Software-ul rău intenționat poate veni prin intermediul e-mail. Victima primește infecția făcând clic pe un atașament rău intenționat. Cel mai adesea vorbim despre fișiere cu extensii js și exe, precum și despre documente cu macrocomenzi rău intenționate (de exemplu, fișiere Microsoft Cuvânt). Prin urmare, vă recomandăm să fiți vigilenți în ceea ce privește e-mailurile care vin prin e-mail și alte canale.

6. Asigurați-vă că utilizați un antivirus actualizat în modul de monitorizare și, dacă este posibil, verificați sistemul pentru amenințări. Singurul antivirus care găsește virusul: ESET NOD32. Dacă activitatea MEM:Trojan.Win64.EquationDrug.gen este detectată și eliminată, reporniți sistemul și apoi asigurați-vă că MS17-010 este instalat. În prezent, sunt cunoscute opt nume ale virusului:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM:Trojan.Win32.Generic.

Chiar dacă sistemul nu a fost actualizat și WannaCry a intrat pe computer, atât soluțiile corporative, cât și cele de acasă ESET NOD32 detectează și blochează cu succes toate modificările acestuia.

PS: Dacă infecția nu a putut fi evitată, tot nu puteți plăti atacatorii. În primul rând, chiar dacă banii sunt transferați în portofelul Bitcoin specificat, nimeni nu garantează decriptarea fișierelor. În al doilea rând, nu poți fi sigur că un atac asupra aceluiași computer nu va fi repetat și că infractorii cibernetici nu vor cere o mare cantitate răscumpărare. Și, în cele din urmă, în al treilea rând, plata pentru „serviciul” de deblocare îi va recompensa pe cei care desfășoară activități criminale pe internet și îi va servi drept stimulent pentru a efectua noi atacuri.