Virusul WannaCry este un program malware destul de nou, care a apărut abia în mai 2017. Când intră într-un sistem informatic, acest vierme de rețea criptează majoritatea fișierelor stocate acolo. În același timp, pentru capacitatea de a decripta documentele necesare, virusul cere o anumită sumă de bani ca un fel de răscumpărare.

Virusul ransomware WannaCry afectează computerele, indiferent de proprietarul acestora. Astfel, echipamentele aparținând diferitelor structuri, precum și reprezentanții populației și ai comunității de afaceri, se încadrează în această epidemie unică. Echipamentul este deteriorat, inclusiv:

• companii comerciale;
• agentii guvernamentale;
• indivizii.

Virusul computerizat WannaCry ransomware s-a făcut cunoscut pentru prima dată destul de recent: s-a întâmplat pe 12 mai a acestui an. Prima infecție a avut loc în Spania, iar apoi malware-ul s-a răspândit rapid în întreaga lume. Următoarele țări au fost cel mai grav afectate de primul val al epidemiei:

• India;
• Ucraina;
• Rusia.

În timpul relativ scurt în care malware-ul pe care îl luăm în considerare a existat, a devenit deja o problemă la scară globală. Pe lângă versiunea originală, în vară au început să apară noi modificări cu un principiu de funcționare similar. De exemplu, un alt virus recent răspândit, Petya, nu este altceva decât o asemănare cu WannaCry. Mulți specialiști în securitatea informațiilor și utilizatori obișnuiți consideră această versiune ca fiind și mai dăunătoare echipamentelor.

Ar trebui să ne așteptăm la un nou val de infecții și cum să vă protejați computerul?

Pentru a preveni posibila infectare a fișierelor importante, trebuie să înțelegeți cum se răspândește periculosul virus WannaCry. În primul rând, echipamentele informatice rulează pe un sistem specific, iar unele tipuri se încadrează în zona principală de risc, în timp ce altele, dimpotrivă, protejează automat fișierele stocate acolo de influența rău intenționată. Se pare că un virus rău intenționat care cere o răscumpărare afectează doar acele computere care rulează pe sistemul de operare Windows.

Cu toate acestea, după cum știți, acest nume unește o întreagă familie de sisteme de operare diferite. În acest caz, apare întrebarea, proprietarii căror sisteme ar trebui să fie preocupați în special de siguranța documentelor lor importante în timpul unui atac al virusului WannaCry? Potrivit serviciului rusesc BBC, echipamentele care rulează Windows 7 sunt cel mai adesea afectate de malware. Vorbim exclusiv despre acele dispozitive pe care actualizările recent lansate de Microsoft, menite să îmbunătățească securitatea computerelor, nu au fost instalate în timp util.

Ce tip de conexiune folosește virusul WannaCry? Inițial, programul află adresa IP a computerului pentru a stabili o conexiune de la distanță la acesta. Și prin utilizarea unei conexiuni la nodurile Tor, viermele de rețea reușește să rămână anonim.

Potrivit experților, peste 500 de mii de computere din întreaga lume au fost deja afectate de viermele de rețea. Este posibil un nou atac al virusului WannaCry și ce spun ultimele știri despre acesta? Al doilea val de infecție era așteptat aproape imediat după apariția acestui fenomen. După aceasta, au apărut noi versiuni modificate, care funcționează pe un principiu similar cu virusul WannaCry. Au devenit cunoscuți în întreaga lume sub numele de „Petya” și „Misha”. Mulți experți sunt încrezători că astfel de programe malware sunt îmbunătățite în mod constant, ceea ce înseamnă că atacurile repetate sunt absolut posibile.

Prevenire și tratament

Mulți utilizatori sunt îngrijorați de securitatea echipamentului pe care îl folosesc și, prin urmare, sunt interesați de cum să elimine virusul WannaCry dacă este infectat. Prima opțiune care poate veni în minte unui utilizator obișnuit este efectuarea unei plăți. Cu toate acestea, pentru capacitatea de a decripta, ransomware-ul nu cere cea mai mică sumă - aproximativ 300 USD. Ulterior, suma inițială a răscumpărării a fost dublată la 600 USD. În plus, plata acestuia nu garantează deloc restabilirea stării inițiale a sistemului tău: la urma urmei, vorbim despre atacatori în care cu siguranță nu ar trebui să aibă încredere.

Experții consideră această acțiune complet lipsită de sens: ei susțin că însăși opțiunea de a furniza o cheie individuală pentru un utilizator care decide să efectueze o plată a fost implementată de dezvoltatorii de malware cu o eroare numită „condiție de cursă”. Utilizatorii obișnuiți nu trebuie să-i înțeleagă caracteristicile: este mult mai important să-i înțeleagă semnificația, ceea ce înseamnă că, cel mai probabil, cheia de decriptare nu vă va fi trimisă niciodată.

Astfel, protecția și tratamentul eficient împotriva virusului WannaCry trebuie să fie diferite și să includă o întreagă gamă de măsuri care vă pot ajuta să vă securizați fișierele personale și informațiile stocate în acestea. Experții sfătuiesc să nu ignore actualizările de sistem lansate, în special cele care se referă la probleme de securitate.

Pentru a evita să suferiți de un atac de malware, trebuie să învățați dinainte modalitățile de bază de a vă proteja de virusul WannaCry. În primul rând, ar trebui să vă asigurați că echipamentul dumneavoastră are toate actualizările necesare care pot elimina posibilele vulnerabilități ale sistemului. Dacă aveți cunoștințe despre problemele de securitate a informațiilor, atunci configurarea scanării traficului de intrare folosind un sistem special de gestionare a pachetelor IPS vă poate ajuta. De asemenea, se recomandă utilizarea diferitelor sisteme pentru combaterea boților și a virușilor: de exemplu, programul Threat Emulation ca parte a gateway-urilor de securitate Check Point.

Dacă este infectat, apare întrebarea cum să eliminați virusul WannaCry. Dacă nu sunteți un specialist în securitatea informațiilor, atunci puteți solicita ajutor de la forumuri specializate unde vă pot ajuta să vă rezolvați problema.

Știți cel mai bun mod de a decripta fișierele criptate de un virus popular precum WannaCry? Este posibil să efectuați această operațiune fără a pierde date importante? Pe forumul celebrului Kaspersky Lab, în ​​caz de infecție, ei sfătuiesc să acționeze după cum urmează:

• executați un script special în utilitarul AVZ;
• verificați setările din sistemul HijackThis;
• lansați software-ul specializat Farbar Recovery Scan Tool.

În același timp, specialiștii ruși nu au oferit programe speciale care să permită decriptarea fișierelor infectate. Singura opțiune oferită de ei a fost să recomande încercarea de a le restaura din copiile umbră. Dar a fost creat utilitarul francez WannaKiwi de la Comae Technologies, care ajută la dezinfectarea documentelor importante de pe computer.

Cum să vă actualizați sistemul din punct de vedere al securității?

Specialiștii în securitatea informațiilor spun că actualizarea în timp util a Windows 7 poate proteja în mod fiabil echipamentul de virusul WannaCry. Viermele de rețea a exploatat o vulnerabilitate cunoscută sub numele de MS17-010. Instalarea la timp a actualizărilor oficiale poate elimina această vulnerabilitate, protejându-vă în mod fiabil echipamentul.

Dacă ați fost afectat de virusul WannaCry, atunci ar trebui să instalați un patch de la Microsoft pe computer. Pentru sistemul Windows 7, pe site-ul oficial găsiți numărul de actualizare 3212646. Pentru sistemul Windows 8, opțiunea 3205401 este potrivită Pentru versiunea Windows 10, puteți găsi acolo și următoarele versiuni:

• 3210720;
• 3210721;

Patch-urile sunt disponibile și pentru versiunile mai vechi de Windows, și anume pentru Vista (32 și 64 de biți) sub numărul 3177186 și pentru XP sub numărul 4012598.

Cum se instalează corect o actualizare împotriva unui virus numit WannaCry? Acest lucru este de obicei foarte simplu: trebuie doar să descărcați fișierul necesar și apoi să urmați instrucțiunile conținute în asistentul de instalare. De fapt, tot ce trebuie să faceți este să faceți clic pe butoanele „Următorul” și „Terminare”. După instalare, cel mai bine este să reporniți sistemul înainte de a-l folosi în continuare. Pentru specialiști, există și o modalitate de a instala actualizările automat, mai degrabă decât manual, prin configurarea politicilor de grup pentru sistemul dvs., precum și prin utilizarea filtrelor speciale.

14.05.2017 28.05.2017 de Vlad

Virusul Wanna Cry este un nou tip de atac al hackerilor, un program ransomware rău intenționat care a șocat utilizatorii de computere și de internet din întreaga lume. Cum funcționează virusul Wanna Cry, este posibil să te protejezi de el și, dacă da, cum?

Pe 12 mai, computerele care rulau sisteme de operare Windows din întreaga lume au fost supuse celui mai mare atac din memoria recentă. Vorbim despre virusul Wanna Cry (WNCRY, Wana Decrypt0r 2.0), care aparține clasei Ransomware, adică ransomware rău intenționat care criptează fișierele utilizatorului și solicită o răscumpărare pentru a restabili accesul la acestea. În acest caz, vorbim despre sume de la 300 USD la 600 USD, pe care victima trebuie să le transfere într-un anume portofel în bitcoins. Mărimea răscumpărării depinde de timpul care a trecut de la momentul infectării - după un anumit interval crește.

Atacul ransomware a paralizat multe companii și organizații din întreaga lume, inclusiv compania spaniolă de telecomunicații Telefonica, spitalele din Marea Britanie și compania de livrare FedEx din SUA. Lovitura principală a căzut asupra utilizatorilor și companiilor ruși. În acest moment, WannaCry a reușit să infecteze aproximativ 57.000 de computere, inclusiv rețelele corporative ale Ministerului Afacerilor Interne, Căile Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Răspândirea virusului Wanna Cry

Pentru a evita alăturarea în rândurile celor ale căror computere sunt infectate, este necesar să înțelegem cum pătrunde malware-ul în sistem. Computerul este infectat folosind o vulnerabilitate din protocolul SMB, care permite executarea de la distanță a codului programului. Se bazează pe exploit-ul EternalBlue, creat între zidurile Agenției de Securitate Națională a SUA (NSA) și pus la dispoziție publică de hackeri.

Fișierul inițial mssecsvc.exe lansează un alt fișier numit tasksche.exe. Domeniul de comutare este apoi verificat și serviciul mssecsvc2.0 este creat. Acest serviciu execută fișierul mssecsvc.exe cu un alt punct de intrare decât atunci când a fost lansat pentru prima dată. A doua rulare obține adresa IP a mașinii infectate și încearcă să se conecteze la portul TCP 445 al fiecărei adrese IP din subrețea. Când malware-ul se conectează cu succes la mașina de la distanță, se stabilește o conexiune și se transferă datele. Aparent, undeva în acest proces de transfer este exploatată o vulnerabilitate cunoscută, care a fost remediată prin actualizarea MS 17-010. În acest moment, nu există o înțelegere completă a traficului IMM-urilor și în ce condiții se pot răspândi malware-ul folosind o gaură de securitate.

Fișierul tasksche.exe verifică toate unitățile, precum și folderele partajate în rețea și dispozitivele conectate care sunt asociate cu litere precum „C:/”, „D:/”, etc. Malware-ul caută apoi fișiere cu extensii care sunt listate în program (și date mai jos) și le criptează folosind criptarea RSA pe 2048 de biți. În timp ce fișierele sunt criptate, este creat un folder „Tor/”, unde sunt plasate fișierul tor.exe și cele 9 fișiere dll pe care le folosește. În plus, sunt create taskdl.exe și taskse.exe. Primul șterge fișierele temporare, iar al doilea rulează @ [email protected], care arată utilizatorului o fereastră în care îi cere să plătească. Fișier @ [email protected] este responsabil doar pentru afișarea mesajului. Criptarea fișierelor are loc în fundal folosind tasksche.exe.

Fișierul tor.exe este lansat folosind @ [email protected]. Acest nou proces începe conectarea la nodurile Tor. În acest fel, WannaCry își păstrează anonimatul trimițând tot traficul prin rețeaua Tor.

Așa cum este tipic cu ransomware, programul șterge, de asemenea, orice copii umbră de pe computerul victimei pentru a face recuperarea și mai dificilă. Acest lucru se face folosind WMIC.exe, vssadmin.exe și cmd.exe

WannaCry folosește diverse metode pentru a ajuta execuția sa. Acesta este modul în care este folosit de attrib.exe pentru a schimba marcajul +h (ascunde), precum și de icacls.exe pentru a acorda drepturi depline tuturor utilizatorilor: „icacls. / acordă tuturor: F /T /C /Q.”

Este de remarcat faptul că programul are o arhitectură modulară. Este probabil ca toate fișierele executabile din el să fi fost scrise de persoane diferite. Acest lucru ar putea însemna că structura programului ar putea permite lansarea diferitelor scripturi rău intenționate.

După ce criptarea este completă, malware-ul afișează o fereastră care solicită răscumpărare pentru fișiere. Punctul interesant este că fereastra este un fișier executabil și nu o imagine, un fișier HTA sau un fișier text.

Victimele ar trebui să înțeleagă că nimeni nu garantează că, după plata răscumpărării, dispozitivul nu va mai fi paralizat.

Ce trebuie să faceți acum pentru a evita infecția.

1. Microsoft a introdus o remediere pentru problema EternalBlue în MS17-010 din 14 martie 2017, deci prima şi principală măsură Pentru a vă proteja împotriva WannaCry, ar trebui să instalați această actualizare de securitate pentru Windows.

Link direct pentru actualizare: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Faptul că mulți utilizatori și administratori de sistem nu au făcut încă acest lucru a fost motivul unui atac la scară atât de mare, a cărui pagubă nu a fost încă evaluată. Adevărat, actualizarea este concepută pentru acele versiuni de Windows pentru care suportul nu a încetat încă. Datorită nivelului ridicat de amenințare, Microsoft a lansat și actualizări pentru sistemele de operare vechi, cum ar fi Windows XP, Windows 8 și Windows Server 2003. Descărcați-le.

2. Pentru a minimiza amenințarea, trebuie să instalați urgent toate cele mai recente actualizări ale sistemului de operare Windows: Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați.

3. Orice organizație care are SMB accesibil public (porturile 139, 445) ar trebui să blocheze imediat traficul de intrare.

4. Nu trebuie să uităm de backup-urile regulate ale datelor importante. Vă rugăm să rețineți că WannaCry vizează următoarele categorii de fișiere:

• cele mai comune documente de birou (.ppt, .doc, .docx, .xlsx, .sxi).
• unele tipuri de documente mai puțin populare (.sxw, .odt, .hwp).
• arhive și fișiere media (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• fișiere de e-mail (.eml, .msg, .ost, .pst, .edb).
• baze de date (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• fișiere de proiect și coduri sursă (.php, .java, .cpp, .pas, .asm).
• chei și certificate de criptare (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• formate grafice (.vsd, .odg, .raw, .nef, .svg, .psd).
• fișierele mașinii virtuale (.vmx, .vmdk, .vdi).

5. Software-ul rău intenționat poate ajunge prin e-mail. Victima primește infecția făcând clic pe atașamentul rău intenționat. Cel mai adesea vorbim despre fișiere cu extensiile js și exe, precum și despre documente cu macrocomenzi rău intenționate (de exemplu, fișiere Microsoft Word). Prin urmare, vă recomandăm să fiți vigilenți în ceea ce privește e-mailurile care vin prin e-mail și alte canale.

6. Asigurați-vă că utilizați un antivirus actualizat în modul de monitorizare și, dacă este posibil, verificați sistemul pentru amenințări. Singurul antivirus care găsește virusul: ESET NOD32. Dacă activitatea MEM:Trojan.Win64.EquationDrug.gen este detectată și eliminată, reporniți sistemul și apoi asigurați-vă că MS17-010 este instalat. În prezent, sunt cunoscute opt nume ale virusului:

Trojan-Ransom.Win32.Gen.djd;

Trojan-Ransom.Win32.Scatter.tr;

Trojan-Ransom.Win32.Wanna.b;

Trojan-Ransom.Win32.Wanna.c;

Trojan-Ransom.Win32.Wanna.d;

Trojan-Ransom.Win32.Wanna.f;

Trojan-Ransom.Win32.Zapchast.i;

PDM:Trojan.Win32.Generic.

Chiar dacă sistemul nu a fost actualizat și WannaCry a intrat pe computer, atât soluțiile corporative, cât și cele de acasă ESET NOD32 detectează și blochează cu succes toate modificările acestuia.

PS: Dacă infecția nu a putut fi evitată, tot nu puteți plăti atacatorii. În primul rând, chiar dacă banii sunt transferați în portofelul Bitcoin specificat, nimeni nu garantează decriptarea fișierelor. În al doilea rând, nu poți fi sigur că un atac asupra aceluiași computer nu va fi repetat și că infractorii cibernetici nu vor cere o răscumpărare mare. Și, în cele din urmă, în al treilea rând, plata pentru „serviciul” de deblocare îi va recompensa pe cei care desfășoară activități criminale pe internet și îi va servi drept stimulent pentru a efectua noi atacuri.

Acest atac cibernetic a fost deja numit cel mai mare din istorie. Peste 70 de țări, zeci de mii de computere infectate. Virusul ransomware numit Wanna Cry („Vreau să plâng”) nu cruță pe nimeni. Spitalele, căile ferate, agențiile guvernamentale sunt atacate.

În Rusia, atacul a fost cel mai masiv. Mesajele care vin acum seamănă cu rapoartele de pe fronturile computerelor. Din cele mai recente: Căile Ferate Ruse au declarat că virusul a încercat să pătrundă în sistemul lor IT, a fost deja localizat și încearcă să-l distrugă. Despre tentative de hacking au vorbit și Banca Centrală, Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență și companiile de comunicații.

Așa arată virusul, paralizând zeci de mii de computere din întreaga lume. O interfață clară și text tradus în zeci de limbi - „aveți doar trei zile să plătiți”. Un program rău intenționat care criptează fișiere necesită, conform diverselor surse, de la 300 la 600 de dolari pentru a le debloca. Doar în moneda cibernetică. Șantajul este literalmente în pragul vieții și al morții.

„Eram complet pregătit pentru operație, chiar mi-au pus un IV, apoi vine chirurgul și spune că au probleme cu echipamentul din cauza unui atac cibernetic”, spune Patrick Ward.

Un vaccin împotriva virusului informatic nu a fost găsit nici în cele patruzeci de clinici britanice care au fost primele atacate, nici în cea mai mare companie spaniolă de telecomunicații, Telefonica. Urme, după cum spun experții, ale unuia dintre cele mai mari atacuri de hackeri din istoria lumii, chiar și pe afișajele gărilor din Germania. Într-unul dintre cele șapte centre de control ale transportatorului feroviar german Deutsche Bahn, sistemul de control a eșuat. Consecințele ar putea fi catastrofale.

În total, 74 de țări au devenit deja victime ale atacurilor cibernetice. Singurele țări rămase neatinse sunt Africa și mai multe state din Asia și America Latină. Este chiar doar pentru moment?

„Totul se face pentru a face bani pentru crima organizată. Nu există agendă politică sau motiv ascuns. Pur șantaj”, spune Ben Rapp, expertul antivirus al companiei IT.

Presa britanică a găsit însă imediat un motiv politic. Și i-au dat vina pe hackeri ruși pentru tot, deși fără nicio dovadă, legând atacul cibernetic cu un atac aerian american în Siria. Se presupune că virusul ransomware a devenit răzbunarea Moscovei. În același timp, potrivit aceleiași mass-media britanice, Rusia a suferit cel mai mult în acest atac. Și este absolut greu de argumentat cu asta. Peste o mie de calculatoare au fost atacate numai în Ministerul Afacerilor Interne. Cu toate acestea, fără niciun rezultat.

Am respins atacurile la Ministerul Situațiilor de Urgență și la Ministerul Sănătății, la Sberbank și Megafon.” Operatorul de telefonie mobilă a suspendat chiar și call center-ul de ceva timp.

„Decretul prezidențial privind crearea segmentului rus al Rețelei este un internet închis în jurul oficialilor guvernamentali. Industria de apărare a stat în spatele acestui scut de mult timp. Cel mai probabil, cred, computerele simple ale angajaților obișnuiți au fost afectate. Este puțin probabil ca accesul la bazele de date să fi fost afectat - acestea, de regulă, se află pe alte sisteme de operare și sunt de obicei localizate la furnizori”, a declarat consilierul președintelui rus pentru dezvoltarea internetului, German Klimenko.

Programul, potrivit dezvoltatorilor de antivirus, infectează computerul dacă utilizatorul a deschis o scrisoare suspectă și nu a actualizat încă Windows. Acest lucru se vede clar în exemplul Chinei grav afectate - locuitorii Regatului de Mijloc, după cum știți, au o dragoste specială pentru sistemele de operare piratate. Dar oare merită plătit, făcând clic neatenționat pe mouse, se întreabă peste tot în lume

„Dacă o companie nu are o copie de rezervă, poate pierde accesul la date. Adică, de exemplu, dacă o bază de date a pacienților din spital împreună cu istoricul medical este stocată într-o singură copie pe acest server pe care a intrat virusul, atunci spitalul nu va mai restaura aceste date în niciun fel”, spune expertul în securitate cibernetică Ilya Skachkov. .

Până acum, după cum au aflat bloggerii, nu există mai mult de patru mii de dolari în portofelul electronic al escrocilor. Un fleac, ținând cont de lista victimelor - costurile piratarii hard disk-urilor lor nu sunt în mod clar comparabile. Ediția britanică a Financial Times a sugerat că virusul ransomware nu este altceva decât un program rău intenționat al Agenției de Securitate Națională a SUA, modificat de atacatori. A fost creat odată pentru a pătrunde în sistemele americane închise. Acest lucru a fost confirmat și de fostul său angajat Edward Snowden.

De pe Twitter-ul lui Snowden: „Uau, decizia NSA de a crea instrumente de atac împotriva software-ului american pune acum în pericol viața pacienților din spitale”.

WikiLeaks, însă, a avertizat în mod repetat că, din cauza dorinței maniacale de a monitoriza întreaga lume, agențiile americane de informații distribuie malware. Dar chiar dacă nu este cazul, ridică întrebări despre modul în care programele NSA ajung în mâinile atacatorilor. Un alt lucru este interesant. O altă agenție americană de informații, Departamentul pentru Securitate Internă, își propune să salveze lumea de virus.

Oricum ar fi, adevărata amploare a acestui atac rămâne de evaluat. Infectarea computerelor din întreaga lume continuă. Există un singur „vaccin” aici - prudență și premeditare. Este important să nu deschideți atașamente suspecte. În același timp, experții avertizează: vor urma și altele. Frecvența și amploarea atacurilor cibernetice vor crește doar.

Virusul Wanna Cry a devenit un adevărat coșmar pentru jumătate de milion de utilizatori din întreaga lume. Nu numai utilizatorii obișnuiți, ci și organizațiile au avut de suferit.

Cu doar câteva săptămâni în urmă, internetul mondial a explodat cu știri despre apariția unei noi amenințări tehnologice, pentru care nu exista un remediu la acel moment. Virusul Wanna Cry a pătruns în peste 500 de mii de computere și le-a paralizat complet munca. Ce fel de amenințare este această forță fără precedent și există vreo salvare de la ea? Să încercăm să ne dăm seama.

Virusul Wanna Cry - descriere

Tradusă literal, expresia Wanna Cry înseamnă „Vreau să plâng”. Și într-adevăr, cum vă puteți reține lacrimile dacă un vierme de rețea josnic blochează sistemul de operare al computerului, împiedicând literalmente utilizatorul să facă ceva, iar ca răscumpărare, ransomware-ul Wanna Cry cere un depozit de 300 USD, în echivalent bitcoin, la un anumit portofel electronic. Adică, este imposibil să urmăriți autorul ransomware-ului folosind metodele obișnuite de căutare a atacatorilor de rețea.

Cel mai masiv atac a avut loc pe 12 mai a acestui an. Peste 70 de țări au fost afectate în timpul acesteia și, după cum se știe astăzi, virusul de criptare Wanna Cry a fost activ în special în Rusia, Ucraina și India. Acestea sunt țările în care se găsesc cele mai multe victime. Dar cei mai mulți dintre ei sunt utilizatori obișnuiți, dar în țările din Europa și America, hackerii „au trecut” prin agenții guvernamentale. Spitalele, companiile de telecomunicații și chiar agențiile guvernamentale au fost forțate să suspende operațiunile din cauza infectării computerelor cu ransomware. Pentru a fi corect, merită remarcat faptul că în Federația Rusă au fost atacate multe întreprinderi și organizații municipale, dar, se pare, sistemul rus de protecție anti-hacker s-a dovedit a fi mai fiabil decât cel străin. Astfel, s-au raportat încercări de spargere a sistemelor informatice ale Căilor Ferate Ruse, Ministerului Afacerilor Interne, Ministerului Situațiilor de Urgență, Băncii Centrale și companiilor de comunicații. Dar peste tot, fie viermele a fost localizat rapid, fie încercările de a pătrunde în PC-urile instituționale au fost fără succes.

Cum apare infecția cu virusul Wanna Cry?

Toată lumea se întreabă cum se răspândește virusul Wanna Cry? De ce au devenit atât de mulți utilizatori victimele acestuia?

Metoda de distribuire a ransomware-ului este foarte, foarte simplă. Virusul scanează nodurile direct în sursele deschise de pe Internet, unde se poate vedea dacă portul TCP 445, care este responsabil pentru deservirea protocolului de acces la fișiere la distanță (SMBv1), este deschis. Dacă un astfel de computer este detectat, malware-ul începe să încerce să exploateze vulnerabilitatea EternalBlue, iar dacă acest eveniment are succes, se instalează ușa de spate DoublePulsar. Prin intermediul acestuia, codul executabil este descărcat pe computerul selectat. Pot exista opțiuni atunci când ușa din spate este deja instalată în sistem în mod implicit, atunci sarcina virusului devine și mai simplă: pur și simplu descărcați informații rău intenționate în computerul utilizatorului.

Este de remarcat faptul că virusul poate intra și pe un computer prin e-mail împreună cu fișiere care se presupune că nu trezesc suspiciuni.

Cum funcționează virusul Wanna Cry?

În caz contrar, virusul ransomware se comportă ca orice alt virus similar. Deci, pentru fiecare dispozitiv generează propriile perechi de chei, iar după aceea „trece” prin întregul sistem, selectând fișiere de anumite tipuri și criptându-le folosind algoritmul AES-128-CBC folosind o cheie generată aleatoriu, care, la rândul său, , este criptat folosind o cheie publică RSA. Acesta este ceea ce indică virusul Wanna Cry în antetul fișierului criptat. Prin urmare, tratamentul conform schemei clasice se dovedește a fi inutil. Este nevoie de o abordare specială.

Cum să te protejezi de virusul Wanna Cry

Protecția împotriva virusului wanna cry nu este atât de complicată pe cât ar părea la prima vedere. Trebuie doar să descărcați patch-ul de la Microsoft împotriva virusului Wanna Cry.

Dezvoltatorii au făcut tot posibilul și rapid, literalmente în două zile, au lansat extensii/actualizări speciale pentru absolut toate versiunile de Windows care rulează, inclusiv XP, care are încă mulți utilizatori în întreaga lume.

Aceasta este o modalitate de a preveni infecția în timpul unui posibil următor atac al virusului Wanna Cry. Dar ce ar trebui să facă cei ale căror computere au fost deja sparte? Din păcate, încă nu se poate spune nimic liniștitor, deoarece nimeni nu a reușit încă să decripteze fișierele deteriorate. Dar te poți pregăti măcar pentru un posibil atac. Deci, dacă „patch-ul” Microsoft de zone cu probleme detectează un vierme, cu siguranță va întreba ce să facă cu el. În general, principiul este același cu cel al sutelor de programe antivirus.

Prin urmare, la întrebarea cum să eliminați virusul Wanna Cry, răspunsul poate fi singurul și nu cel mai roz: pur și simplu împiedicați codul executiv rău intenționat să intre în computer. Și, bineînțeles, așteptați până când dezvoltatorii de top oferă un antivirus puternic care poate rezista la Wanna Cry.