Virus nou ransomware WannaCry sau WanaDecryptor 2.0, care lasă fișiere .wncry criptate în loc de datele utilizatorului, zguduie Internetul. Sute de mii de computere și laptopuri din întreaga lume sunt afectate. Nu numai că au fost afectați utilizatori obișnuiți, dar rețele de astfel de companii mari precum Sberbank, Rostelecom, Beeline, Megafon, Căile Ferate Ruse și chiar Ministerul Afacerilor Interne al Rusiei.

O astfel de răspândire pe scară largă a virusului ransomware a fost asigurată prin utilizarea unor noi vulnerabilități în sistemele de operare Familia Windows, care au fost desecretizate cu documente de informații americane.

WanaDecryptor, Wanna Cry, WanaCrypt sau Wana Decryptor - care nume este corect?

La momentul în care a început atacul viral asupra rețelei globale, nimeni nu știa exact cum se numește noua infecție. La început au sunat-o Wana Decrypt0r după numele ferestrei de mesaj care a apărut pe desktop. Ceva mai târziu, a apărut o nouă modificare a criptorului - Vrei Decrypt0r 2.0. Dar din nou, aceasta este o fereastră de ransomware care vinde utilizatorului o cheie de decriptare, care teoretic ar trebui să vină victimei după ce aceasta transferă suma necesară escrocilor. Virusul în sine, după cum se dovedește, este numit Vreau să plâng(Marginea băii).
Puteți găsi în continuare diferite nume ale acestuia pe Internet. Mai mult, utilizatorii pun adesea cifra „0” în loc de litera „o” și invers. De asemenea, multe confuzii provin din diverse manipulări cu spații, de exemplu WanaDecryptor și Wana Decryptor, sau WannaCry și Wanna Cry.

Cum funcționează WanaDecryptor

Principiul de funcționare al acestui ransomware este fundamental diferit de virușii ransomware anteriori pe care i-am întâlnit. Anterior, pentru ca o infecție să înceapă să funcționeze pe un computer, trebuia mai întâi lansată. Adică, utilizatorul cu urechi lungi a primit o scrisoare prin poștă cu un atașament viclean - un script mascandu-se ca un fel de document. Persoana a lansat fișierul executabil și, prin urmare, a activat infecția sistemului de operare. Virusul Bath Edge funcționează diferit. Nu trebuie să încerce să înșele utilizatorul, este suficient să aibă acces la el vulnerabilitate critică Serviciu de partajare a fișierelor SMBv1 folosind portul 445. Apropo, această vulnerabilitate a devenit disponibilă datorită informațiilor din arhivele agențiilor de informații americane publicate pe site-ul wikileaks.
Odată ajuns pe computerul victimei, WannaCrypt începe să cripteze fișierele în masă folosind algoritmul său foarte puternic. Următoarele formate sunt afectate în principal:

cheie, crt, odt, max, ods, odp, sqlite3, sqlitedb, sql, accdb, mdb, dbf, odb, mdf, asm, cmd, bat, vbs, jsp, php, asp, java, borcan, wav, swf, fla, wmv, mpg, vob, mpeg, asf, avi, mov, mkv, flv, wma, mid, djvu, svg, psd, nef, tiff, tif, cgm, brut, gif, png, bmp, jpg, jpeg, vcd, iso, backup, zip, rar, tgz, gudron, bak, tbk, gpg, vmx, vmdk, vdi, sldm, sldx, sti, sxi, hwp, snt, dwg, pdf, wks, rtf, csv, txt, edb, eml, msg, ost, pst, oală, pptm, pptx, ppt, xlsx, xls, dotx, dotm, docx, doc

Extensia fișierului criptat se schimbă în .wncry. Virusul ransomware poate adăuga încă două fișiere în fiecare folder. Prima este o instrucțiune care descrie cum să decriptați fișierul wncry Please_Read_Me.txt, iar a doua este aplicația de decriptare WanaDecryptor.exe.
Acest truc murdar funcționează liniștit și pașnic până când lovește pe toată lumea. HDD, după care va afișa o fereastră WanaDecrypt0r 2.0 care vă va cere să dați bani. Dacă utilizatorul nu i-a permis să se termine și antivirusul a reușit să elimine programul cryptor, pe desktop va apărea următorul mesaj:

Adică, utilizatorul este avertizat că unele dintre fișierele sale au fost deja afectate și dacă doriți să le recuperați, returnați criptorul înapoi. Da, acum! Nu faceți acest lucru în nicio circumstanță, altfel veți pierde restul. Atenţie! Nimeni nu știe cum să decripteze fișierele WNCRY. Pa. Poate că un fel de instrument de decriptare va apărea mai târziu - vom aștepta și vom vedea.

Protecție împotriva virusului Wanna Cry

În general, patch-ul Microsoft MS17-010 pentru protecție împotriva ransomware Vreau Decryptor a apărut pe 12 mai și dacă serviciul este pe computer Actualizări Windows merge bine atunci
Cel mai probabil sistemul de operare este deja protejat. ÎN in caz contrar trebuie să îl descărcați pe acesta Patch Microsoft pentru tine versiuni Windowsși instalați-l imediat.
Apoi, este recomandabil să dezactivați complet suportul SMBv1. Cel puțin până când valul epidemiei se va calma și situația se va calma. Acest lucru se poate face fie din linia de comandă cu drepturi de administrator, introducând comanda:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Ca aceasta:

Sau prin panoul de control Windows. Acolo trebuie să accesați secțiunea „Programe și caracteristici”, selectați „Pornire sau dezactivare” din meniu Componentele Windows" Va apărea o fereastră:

Găsiți elementul „Suport pentru partajarea fișierelor SMB 1.0/CIFS”, debifați-l și faceți clic pe „OK”.

Dacă brusc apar probleme cu dezactivarea suportului SMBv1, atunci pentru a vă proteja împotriva Wanacrypt0r 2.0 puteți lua o altă cale. Creați o regulă în firewall-ul folosit în sistem care blochează porturile 135 și 445. Pentru standard Firewall Windows trebuie să introduceți următoarele pe linia de comandă:

netsh advfirewall firewall add rule dir=în acțiune=block protocol=TCP localport=135 name=»Close_TCP-135″
netsh advfirewall firewall add rule dir=în acțiune=block protocol=TCP localport=445 name=»Close_TCP-445″

O altă opțiune este să folosești un gratuit special aplicație Windows Detergent pentru uși Worms:

Nu necesită instalare și vă permite să închideți cu ușurință golurile din sistem prin care un virus de criptare poate pătrunde în el.

Și, desigur, nu trebuie să uităm protectie antivirus. Folosiți doar cele dovedite produse antivirus-DrWeb Kaspersky Internet Securitate, E-SET Nod32. Dacă aveți deja instalat un antivirus, asigurați-vă că îi actualizați baza de date:

În sfârșit, vă dau un mic sfat. Dacă aveți date foarte importante care este extrem de nedorit să le pierdeți, salvați-le greu detașabil disc și pune-l în dulap. Cel puțin pe durata epidemiei. Acesta este singurul mod de a le garanta cumva siguranța, pentru că nimeni nu știe care va fi următoarea modificare.

Virusul WannaCry a fulgerat în întreaga lume pe 12 mai, în această zi o serie de instituții medicale din Marea Britanie anunțând că rețelele lor au fost infectate, compania spaniolă de telecomunicații și Ministerul rus al Afacerilor Interne au raportat că au respins un atac de hacker.

WannaCry (oamenii de rând l-au poreclit deja Țara lui Vaughn) aparține categoriei de viruși de criptare (criptori), care, atunci când lovește un computer, criptează fișierele utilizator algoritm rezistent la criptare, ulterior – citirea acestor fișiere devine imposibilă.

Pe acest moment, se cunosc următoarele extensii populare fișiere supuse criptării WannaCry:

1. Fișiere populare Microsoft Office(.xlsx, .xls, .docx, .doc).
2. Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - cum se răspândește virusul

Mai devreme, am menționat această metodă de răspândire a virușilor într-un articol despre, așa că nu este nimic nou.

O scrisoare cu un atașament „inofensiv” ajunge la cutia poștală a utilizatorului - ar putea fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea extensia fisier executabil- exe. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și, printr-o vulnerabilitate, un virus este încărcat direct în sistemul de operare Windows, criptând datele utilizatorului.

Poate că nu este singura metoda Distribuție WannaCry – poți deveni o victimă descărcând fișiere „infectate” pe rețelele sociale, trackere de torrent și alte site-uri.

WannaCry – cum să te protejezi de virusul ransomware

1. Instalați patch-ul pentru Microsoft Windows. 14 mai Compania Microsoft a lansat un patch de urgență pentru următoarele versiuni – Vista, 7, 8.1, 10, Windows Server. Puteți instala acest patch pur și simplu rulând o actualizare de sistem prin serviciul Windows Update.

2. Folosind software antivirus cu baze de date curente date. Dezvoltatori renumiți Software-ul de securitate, cum ar fi Kaspersky, Dr.Web, au lansat deja o actualizare pentru produsele lor care conține informații despre WannaCry, protejându-și astfel utilizatorii.

3. Salvați datele importante pe un mediu separat. Dacă computerul dvs. nu îl acceptă încă, puteți economisi cel mai mult fișiere importante pe un mediu separat (unitate flash, disc). Cu această abordare, chiar dacă deveniți o victimă, veți salva cele mai valoroase fișiere din criptare.

În prezent, toate acestea sunt metode eficiente de protecție împotriva WannaCry.

WannaCry decryptor, de unde să descărcați și este posibil să eliminați virusul?

Virușii ransomware aparțin categoriei celor mai „urât” viruși, deoarece... în majoritatea cazurilor, fișierele utilizator sunt criptate cu o cheie de 128 de biți sau 256 de biți. Cel mai rău lucru este că în fiecare caz cheia este unică și decriptarea fiecăreia necesită enorm putere de calcul, ceea ce face aproape imposibilă tratarea utilizatorilor „obișnuiți”.

Dar ce se întâmplă dacă devii o victimă a WannaCry și ai nevoie de un decriptor?

1. Contactați forumul de asistență Kaspersky Lab - https://forum.kaspersky.com/ cu o descriere a problemei. Forumul este alcătuit atât din reprezentanți ai companiei, cât și din voluntari care ajută în mod activ la rezolvarea problemelor.

2. Ca și în cazul celebrului ransomware CryptXXX – a fost găsit solutie universala pentru a decripta fișierele care au fost criptate. Nu a trecut mai mult de o săptămână de la descoperirea lui WannaCry și a specialiștilor din laboratoare antivirus Nu am găsit încă o astfel de soluție pentru asta.

3. O decizie radicală voi - îndepărtarea completă OS de pe un computer urmat de instalare curată nou. În această situație, toate fișierele și datele utilizatorului se pierd complet, împreună cu eliminarea WannaCry.

Acest atac cibernetic a fost deja numit cel mai mare din istorie. Peste 70 de țări, zeci de mii de computere infectate. Virusul ransomware numit Wanna Cry („Vreau să plâng”) nu cruță pe nimeni. Spitalele sunt atacate căi ferate, agentii guvernamentale.

În Rusia, atacul a fost cel mai masiv. Mesajele care vin acum seamănă cu rapoartele de pe fronturile computerelor. Din cele mai recente: Căile Ferate Ruse au declarat că virusul a încercat să pătrundă în sistemul lor IT, a fost deja localizat și încearcă să-l distrugă. Despre tentative de hacking au vorbit și Banca Centrală, Ministerul Afacerilor Interne, Ministerul Situațiilor de Urgență și companiile de comunicații.

Așa arată virusul, paralizând zeci de mii de computere din întreaga lume. O interfață clară și text tradus în zeci de limbi - „aveți doar trei zile să plătiți”. Un program rău intenționat care criptează fișiere necesită, conform diverselor surse, de la 300 la 600 de dolari pentru a le debloca. Doar în moneda cibernetică. Șantajul este literalmente în pragul vieții și al morții.

„Eram complet pregătit pentru operație, chiar mi-au pus un IV, iar apoi chirurgul vine și spune că au probleme cu echipamentul din cauza unui atac cibernetic”, spune Patrick Ward.

Vaccinuri de la virus de calculator nici nu a fost găsit în cele patruzeci de clinici britanice care au fost primele atacate, nici în cea mai mare companie spaniolă de telecomunicații, Telefonica. Urme, după cum spun experții, ale unuia dintre cele mai mari atacuri de hackeri din istoria lumii, chiar și pe afișajele gărilor din Germania. Într-unul dintre cele șapte centre de control ale transportatorului feroviar german Deutsche Bahn, sistemul de control a eșuat. Consecințele ar putea fi catastrofale.

În total, 74 de țări au devenit deja victime ale atacurilor cibernetice. Singurele țări rămase neatinse sunt Africa și mai multe state din Asia și America Latină. Este chiar doar pentru moment?

„Totul se face pentru a face bani pentru crima organizată. Nu există o agendă politică sau un motiv ascuns. Pur șantaj”, spune Ben Rapp, expertul antivirus al companiei IT.

Presa britanică a găsit însă imediat un motiv politic. Și i-au dat vina pe hackerii ruși pentru tot, deși fără nicio dovadă, legând atacul cibernetic cu un atac aerian american în Siria. Se presupune că virusul ransomware a devenit răzbunarea Moscovei. În același timp, potrivit aceleiași mass-media britanice, Rusia a suferit cel mai mult în acest atac. Și este absolut greu de argumentat cu asta. Peste o mie de computere au fost atacate numai în Ministerul Afacerilor Interne. Cu toate acestea, fără niciun rezultat.

Am respins atacurile la Ministerul Situațiilor de Urgență și la Ministerul Sănătății, la Sberbank și Megafon.” Operator mobil Chiar am suspendat de ceva vreme munca call center-ului.

„Decretul prezidențial privind crearea segmentului rus al Rețelei este un internet închis în jurul oficialilor guvernamentali. Industria de apărare a stat în spatele acestui scut de mult timp. Cel mai probabil, cred, a suferit calculatoare simple angajati obisnuiti. Este puțin probabil ca accesul la bazele de date să fi fost afectat - acestea, de regulă, se află pe alte sisteme de operare și sunt de obicei localizate la furnizori”, a declarat consilierul președintelui rus pentru dezvoltarea internetului, German Klimenko.

Programul, potrivit dezvoltatorilor de antivirus, infectează computerul dacă utilizatorul a deschis o scrisoare suspectă și nu a actualizat încă Windows. Acest lucru se vede clar în exemplul Chinei grav afectate - locuitorii Regatului de Mijloc, după cum știți, au o dragoste specială pentru sistemele de operare piratate. Dar oare merită plătit, făcând clic neatenționat pe mouse, se întreabă peste tot în lume

„Dacă o companie nu are o copie de rezervă, poate pierde accesul la date. Adică, de exemplu, dacă o bază de date a pacienților din spital împreună cu istoricul medical este stocată într-o singură copie pe acest server pe care a intrat virusul, atunci spitalul nu va mai restaura aceste date în niciun fel”, spune expertul în securitate cibernetică Ilya Skachkov. .

Până acum, după cum au aflat bloggerii, în portofel electronic escrocii nu mai mult de patru mii de dolari. Un fleac, ținând cont de lista victimelor - costurile piratarii hard disk-urilor lor nu sunt în mod clar comparabile. Ediția britanică a Financial Times a sugerat că virusul ransomware nu este altceva decât un program rău intenționat al Agenției Naționale de Securitate a SUA, modificat de atacatori. A fost creat odată pentru a pătrunde în sistemele americane închise. Acest lucru a fost confirmat și de fostul său angajat Edward Snowden.

De pe Twitter-ul lui Snowden: „Uau, decizia NSA de a crea instrumente pentru a ataca americanul software acum pune în pericol viețile pacienților din spitale.”

WikiLeaks, însă, a avertizat în mod repetat că, din cauza dorinței maniacale de a monitoriza întreaga lume, agențiile americane de informații distribuie malware. Dar chiar dacă nu este cazul, ridică întrebări despre modul în care programele NSA ajung în mâinile atacatorilor. Un alt lucru este interesant. O altă agenție americană de informații, Departamentul pentru Securitate Internă, își propune să salveze lumea de virus.

Oricum ar fi, adevărata amploare a acestui atac rămâne de evaluat. Infectarea computerelor din întreaga lume continuă. Există un singur „vaccin” aici - prudență și premeditare. Este important să nu deschideți atașamente suspecte. În același timp, experții avertizează: vor urma și altele. Frecvența și amploarea atacurilor cibernetice vor crește doar.

După cum a raportat presa rusă, activitatea departamentelor Ministerului Afacerilor Interne din mai multe regiuni din Rusia a fost întreruptă din cauza unui ransomware care a infectat multe computere și amenință să distrugă toate datele. În plus, operatorul de comunicații Megafon a fost atacat.

Vorbim despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe computer și cere o răscumpărare de 300 USD sau 600 USD în Bitcoin pentru decriptare.

@[email protected], fișiere criptate, extensia WNCRY. Sunt necesare un utilitar și instrucțiuni de decriptare.

WannaCry criptează fișierele și documentele cu următoarele extensii adăugând .WCRY la sfârșitul numelui fișierului:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Atacul WannaCry în întreaga lume

Atacurile au fost înregistrate în peste 100 de țări. Rusia, Ucraina și India testează cele mai mari probleme. Rapoartele de infecție cu virus vin din Marea Britanie, SUA, China, Spania și Italia. Se observă că atacul hackerilor a afectat spitale și companii de telecomunicații din întreaga lume. O hartă interactivă a răspândirii amenințării WannaCrypt este disponibilă pe Internet.

Cum apare infecția?

După cum spun utilizatorii, virusul ajunge pe computerele lor fără nicio acțiune din partea lor și se răspândește necontrolat în rețele. Pe forumul Kaspersky Lab ei subliniază că nici măcar un antivirus activat nu garantează securitatea.

Atacul ransomware WannaCry (Wana Decryptor) este raportat că are loc printr-o vulnerabilitate Microsoft Security Buletinul MS17-010. Apoi a fost instalat un rootkit pe sistemul infectat, cu ajutorul căruia atacatorii au lansat un program de criptare. Toate soluțiile Kaspersky Lab detectează acest rootkit ca MEM:Trojan.Win64.EquationDrug.gen.

Se presupune că infecția a avut loc cu câteva zile mai devreme, dar virusul s-a manifestat numai după ce a criptat toate fișierele de pe computer.

Cum să eliminați WanaDecryptor

Veți putea elimina amenințarea folosind un antivirus majoritatea programelor antivirus vor detecta deja amenințarea. Definiții comune:

Avast Win32:WanaCry-A, AVG Ransom_r.CFY, Avira TR/FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32/Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Răscumpărare:Win32/WannaCrypt, urs panda Trj/RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Dacă ați lansat deja amenințarea pe computer și fișierele dvs. au fost criptate, decriptarea fișierelor este aproape imposibilă, deoarece exploatarea vulnerabilității lansează un criptator de rețea. Cu toate acestea, sunt deja disponibile mai multe opțiuni pentru instrumentele de decriptare:

Notă: Dacă fișierele dumneavoastră au fost criptate și copie de rezervă lipsesc și instrumentele de decriptare existente nu au ajutat, se recomandă să salvați fișierele criptate înainte de a curăța amenințarea de pe computer. Acestea vor fi utile dacă în viitor este creat un instrument de decriptare care funcționează pentru dvs.

Microsoft: Instalați actualizări Windows

Microsoft a spus că utilizatorii cu antivirusul gratuit al companiei și funcția de actualizare sunt activate sisteme Windows va fi protejat de atacurile WannaCryptor.

Actualizările din 14 martie remediază vulnerabilitatea sistemului prin care este distribuit troianul ransomware. Azi a fost adăugată detectarea baze de date antivirus Microsoft Security Essentials / Windows Defender pentru a proteja împotriva noilor malware cunoscut sub numele de Ransom:Win32.WannaCrypt.

• Asigurați-vă că antivirusul este activat și instalat Ultimele actualizări.
• Instalați un antivirus gratuit dacă computerul dvs. nu are nicio protecție.
• Instalați cele mai recente actualizări de sistem utilizând Windows Update:
  • Pentru Windows 7, 8.1 Din meniul Start, deschideți Panou de control > Actualizare Windows și faceți clic pe Căutare actualizări.
  • Pentru Windows 10 Accesați Setări > Actualizare și securitate și faceți clic pe „Căutați actualizări”.
• Dacă instalați manual actualizări, instalați patch-ul oficial Microsoft MS17-010, care abordează vulnerabilitatea serverului SMB utilizată în atacul ransomware WanaDecryptor.
• Dacă antivirusul tău are protecție împotriva ransomware, pornește-l. Avem și o secțiune separată pe site-ul nostru, Ransomware Protection, de unde puteți descărca instrumente gratuite.
• Efectuați o scanare antivirus a sistemului dvs.

Experții notează că cel mai simplu mod de a te proteja de un atac este să închizi portul 445.

• Tastați sc stop lanmanserver și apăsați Enter
• Introduceți pentru Windows 10: sc config lanmanserver start=disabled , pentru alții versiuni Windows: sc config lanmanserver start= dezactivat și apăsați Enter
• Reporniți computerul
• La promptul de comandă, introduceți netstat -n -a | findstr „ASCULTARE” | findstr „:445” pentru a vă asigura că portul este dezactivat. Dacă există linii goale, portul nu ascultă.

Dacă este necesar, deschideți portul înapoi:

• Alerga Linie de comanda(cmd.exe) ca administrator
• Introduceți pentru Windows 10: sc config lanmanserver start=auto , pentru alte versiuni de Windows: sc config lanmanserver start= auto și apăsați Enter
• Reporniți computerul

Notă: Portul 445 este folosit de Windows pentru colaborare cu dosare. Închiderea acestui port nu împiedică PC-ul să se conecteze la alte resurse de la distanță, dar alte PC-uri nu se vor putea conecta la sistem.

Vă puteți proteja de Wanna Cry urmând câteva reguli simple:

actualizați sistemul la timp - toate computerele infectate nu au fost actualizate

utilizați un sistem de operare licențiat

nu deschide e-mailuri suspecte

Potrivit rapoartelor media, producătorii de software antivirus vor lansa actualizări pentru a combate Wanna Cry, așa că actualizarea antivirusului nu ar trebui să fie suspendată.

Se pare că toată lumea a auzit deja despre atacul ransomware WannaCry. Am scris deja două postări despre asta - cu o poveste generală despre ceea ce s-a întâmplat și cu sfaturi pentru afaceri. Și am aflat că nu toată lumea înțelege ce, unde și cum să actualizeze pentru a închide vulnerabilitatea din Windows prin care WannaCry a pătruns în computere. Vă spunem ce trebuie făcut și de unde să obțineți patch-uri.

1. Aflați versiunea de Windows pe computer

În primul rând, este important ca ransomware-ul WannaCry să existe numai pentru Windows. Dacă pe dispozitivul dvs. ca sistem de operare Dacă utilizați macOS, iOS, Android, Linux sau orice altceva, atunci acest malware nu reprezintă o amenințare pentru el.

Dar pentru dispozitivele Windows este valabil. Dar diferite versiuni de Windows necesită patch-uri diferite. Deci, înainte de a instala ceva, trebuie să vă dați seama ce versiune de Windows aveți.

Acest lucru se face astfel:

• Apăsați simultan tastele și [R] de pe tastatură.
• În fereastra care apare, intrați învingătorși faceți clic pe OK. Fereastra care apare va indica versiunea Windows.
• Dacă nu știți dacă sistemul dvs. este pe 32 de biți sau pe 64 de biți, puteți descărca pur și simplu ambele actualizări atât pentru Windows pe 32 de biți, cât și pe 64 de biți - una dintre ele se va instala cu siguranță.

2. Instalați patch-ul MS17-010, care închide vulnerabilitatea Windows

• descărcați versiune de încercare gratuită de 30 de zile Versiunea Kaspersky securitatea internetului. Dacă aveți deja instalată o soluție de securitate Kaspersky Lab, procedați astfel.
  • Asigurați-vă că aveți modulul activat Monitorizarea activitatii. Pentru a face acest lucru, accesați setări, selectați secțiunea Protecţieși asigurați-vă că vizavi de articol Monitorizarea activitatii scris Pe.
  • Rulați o scanare rapidă a computerului pentru viruși. Pentru a face acest lucru, selectați secțiunea din interfața soluției antivirus Examinare, conține un punct Verificare rapida și apoi faceți clic Rulați scanarea.
  • Dacă antivirusul detectează malware cu verdictul Trojan.Win64.EquationDrug.gen, acesta trebuie eliminat și apoi repornit.

  Gata, ești protejat de WannaCry. Acum aveți grijă de familia și prietenii care nu știu să-și protejeze singuri dispozitivele.

Virus ransomware Vreau să plâng, sau Wana Decryptor, a afectat zeci de mii de computere din întreaga lume. În timp ce cei care au fost atacați așteaptă o soluție la problemă, utilizatorii care nu au fost încă afectați ar trebui să folosească toate liniile de apărare posibile. Una dintre modalitățile de a scăpa de infecția cu virus și de a vă proteja de răspândirea WannaCry este să închideți porturile 135 și 445, prin care nu numai WannaCry, ci și majoritatea troienilor, ușilor din spate și a altor programe rău intenționate intră în computer. Există mai multe mijloace pentru a acoperi aceste lacune.

Metoda 1. Protecție împotriva WannaCry - folosind Firewall

Fereastra principală a programului conține o listă de porturi (135–139, 445, 5000) și informații scurte despre acestea - pentru ce servicii sunt utilizate, dacă sunt deschise sau închise. Lângă fiecare port există un link către declarațiile oficiale de securitate Microsoft.

1. Pentru a închide porturile utilizând Windows Worms Doors Cleaner de la WannaCry, trebuie să faceți clic pe butonul Dezactivare.
2. După aceasta, crucile roșii vor fi înlocuite cu bifă verzi și vor apărea mesaje care indică faptul că porturile au fost blocate cu succes.
3. După aceasta, programul trebuie să fie închis și computerul trebuie repornit.

Metoda 3. Închiderea porturilor prin dezactivarea serviciilor de sistem

Este logic că porturile sunt necesare nu numai de viruși precum WannaCry - în condiții normale sunt folosite servicii de sistem, de care majoritatea utilizatorilor nu au nevoie și poate fi ușor dezactivat. După aceasta, nu va mai fi nevoie ca porturile să fie deschise și programele malware nu vor putea pătrunde în computer.

Închiderea portului 135

Portul 135 este folosit de serviciu DCOM (COM distribuit), care este necesar pentru a conecta obiecte pe diferite mașini dintr-o rețea locală. Tehnologia practic nu este utilizată în sistemele moderne, astfel încât serviciul poate fi dezactivat în siguranță. Acest lucru se poate face în două moduri - folosind un utilitar special sau prin intermediul registrului.

Folosind utilitarul, serviciul este dezactivat după cum urmează:

Pe Windows Server 2003 și sistemele mai vechi, trebuie să efectuați o serie de operațiuni suplimentare, dar deoarece virusul WannaCry este periculos doar pentru versiunile moderne ale sistemului de operare, nu are rost să atingeți acest punct.

Prin portul de registry de la program virus WannaCry se închide astfel:

1. 1. Pornește editorul de registry (regedit în fereastra Run).
2. 2. În căutarea unei chei HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
3. 3. Parametrul EnableDCOM se modifică de la Y la N.
4. 4. Computerul repornește.

Puteți edita registrul doar dintr-un cont de administrator.

Închiderea portului 445

Portul 445 este folosit de serviciu NetBT - protocol de rețea, care permite rularea programelor mai vechi care se bazează pe API-ul NetBIOS rețele moderne TCP/IP. Dacă nu există un astfel de software antic pe computer, portul poate fi blocat în siguranță - acest lucru va închide ușa din față pentru răspândirea virusului WannaCry. Acest lucru se poate face prin setările de conexiune la rețea sau prin editorul de registry.

Prima cale:

1. 1. Proprietățile conexiunii utilizate sunt deschise.
2. 2. Proprietățile TCP/IPv4 se deschid.
3. 3. Faceți clic pe butonul „Avansat...”.
4. 4. În fila WINS, bifați caseta de lângă „Dezactivați NetBIOS prin TCP/IP”.

Microsoft a spus că utilizatorii cu antivirusul gratuit al companiei și Windows System Update activat vor fi protejați de atacurile WannaCryptor.

Actualizările din 14 martie remediază vulnerabilitatea sistemului prin care este distribuit troianul ransomware. Astăzi, detectarea a fost adăugată bazelor de date antivirus Microsoft Security Essentials/Windows Defender pentru a proteja împotriva unui nou malware cunoscut sub numele de Ransom:Win32.WannaCrypt.

Asigurați-vă că antivirusul este pornit și că sunt instalate cele mai recente actualizări.
Instalați un antivirus gratuit dacă computerul dvs. nu are nicio protecție.
Instalați cele mai recente actualizări de sistem utilizând Windows Update:
Pentru Windows 7, 8.1, în meniul Start, deschideți Panoul de control > Actualizare Windows și faceți clic pe „Căutați actualizări”.
Pentru Windows 10, accesați Setări > Actualizare și securitate și faceți clic pe „Verificați actualizările”.
Dacă instalați manual actualizări, instalați patch-ul oficial Microsoft MS17-010, care abordează vulnerabilitatea serverului SMB utilizată în atacul ransomware WanaDecryptor.
Dacă antivirusul tău are protecție împotriva ransomware, pornește-l. Site-ul nostru web are și o secțiune separată de protecție împotriva ransomware, de unde puteți descărca instrumente gratuite.
Efectuați o scanare antivirus a sistemului dvs.
Cum se închide portul 445

Experții notează că cel mai simplu mod de a te proteja de un atac este să închizi portul 445.

Cum se închide portul 445

Tastați sc stop lanmanserver și apăsați Enter
Introduceți pentru Windows 10: sc config lanmanserver start=dezactivat, pentru alte versiuni de Windows: sc config lanmanserver start= dezactivat și apăsați Enter
Reporniți computerul
La promptul de comandă, introduceți netstat -n -a | findstr „ASCULTARE” | findstr „:445″ pentru a vă asigura că portul este dezactivat. Dacă există linii goale, portul nu ascultă.
Cum se închide portul 445

Dacă este necesar, deschideți portul înapoi:

Rulați Command Prompt (cmd.exe) ca administrator
Introduceți pentru Windows 10: sc config lanmanserver start=auto, pentru alte versiuni de Windows: sc config lanmanserver start= auto și apăsați Enter
Reporniți computerul
Notă: Portul 445 este utilizat de Windows pentru partajarea fișierelor. Închiderea acestui port nu împiedică PC-ul să se conecteze la alte resurse de la distanță, dar alte PC-uri nu se vor putea conecta la sistem.

Tratament pentru Wanna Cryptor

Epidemia de criptare WannaCry: ce să faci pentru a evita infecția. Ghid pas cu pas

În seara zilei de 12 mai, a fost descoperit un atac ransomware WannaCryptor (WannaCry) la scară largă, care criptează toate datele de pe PC-urile și laptopurile care rulează Windows. Programul cere 300 USD în bitcoins (aproximativ 17.000 de ruble) ca răscumpărare pentru decriptare.

Lovitura principală a căzut asupra utilizatorilor și companiilor ruși. În acest moment, WannaCry a reușit să infecteze aproximativ 57.000 de computere, inclusiv rețele corporative Ministerul Afacerilor Interne, Căilor Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Vă spunem ce trebuie să faceți acum pentru a evita infecția.

1. Criptorul exploatează o vulnerabilitate Microsoft din martie 2017. Pentru a minimiza amenințarea, trebuie să vă actualizați urgent versiunea de Windows:

Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați

2. Chiar dacă sistemul nu a fost actualizat și WannaCry a intrat pe computer, atât soluțiile corporative, cât și cele casnice ESET NOD32 detectează și blochează cu succes toate modificările acestuia.

5. Pentru a detecta amenințări încă necunoscute, produsele noastre utilizează tehnologii comportamentale și euristice. Dacă un virus se comportă ca un virus, cel mai probabil este un virus. Astfel, sistemul cloud ESET LiveGrid a respins cu succes atacul din 12 mai, chiar înainte ca bazele de date de semnături să fie actualizate.

Care este numele corect pentru virusul Wana Decryptor, WanaCrypt0r, Wanna Cry sau Wana Decrypt0r?

De când virusul a fost descoperit pentru prima dată, mulți mesaje diferite despre acest virus ransomware și este adesea numit nume diferite. Acest lucru s-a întâmplat din mai multe motive. Înainte de apariția virusului Wana Decrypt0r, a existat prima sa versiune Vrei să Decrypt0r, principala diferență fiind metoda de distribuire. Această primă opțiune nu era la fel de cunoscută ca a lui fratele mai mic, dar datorită acestui fapt, în unele știri, noul virus ransomware este numit pe numele fratelui său mai mare, și anume Wanna Cry, Wanna Decryptor.

Dar totuși numele principal este Wana Decrypt0r, deși majoritatea utilizatorilor în loc de numărul „0” tastează litera „o”, care ne conduce la nume Wana Decryptor sau WanaDecryptor.

Și numele de familie prin care utilizatorii numesc adesea acest virus ransomware este Virusul WNCRY, adică prin extensia care se adaugă la numele fișierelor care au fost criptate.

Pentru a minimiza riscul ca virusul Wanna Cru să pătrundă pe computer, specialiștii Kaspersky Lab vă recomandă să instalați toate actualizările posibile pe versiunea curentă de Windows. Faptul este că malware-ul infectează numai acele computere care rulează acest software.

Virusul Wanna Cry: Cum se răspândește

Anterior, am menționat această metodă de răspândire a virușilor într-un articol despre comportamentul sigur pe Internet, așa că nu este nimic nou.

Wanna Cry este distribuită după cum urmează: O scrisoare este trimisă în căsuța poștală a utilizatorului cu un atașament „inofensiv” - poate fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea o extensie de fișier executabil. - exe. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și, printr-o vulnerabilitate, un virus este încărcat direct în sistemul de operare Windows, criptând datele utilizatorului, relatează therussiantimes.com.

Virusul Wanna Cry: descrierea virusului

Wanna Cry (oamenii de rând l-au poreclit deja Wona's Edge) aparține categoriei de viruși ransomware (criptori), care, atunci când ajunge pe un computer, criptează fișierele utilizatorului cu un algoritm criptografic, făcând ulterior imposibilă citirea acestor fișiere.
În prezent, se știe că următoarele extensii de fișiere populare sunt supuse criptării Wanna Cry:

Popular fișiere Microsoft Office (.xlsx, transmis de therussiantimes.com.xls, .docx, .doc).
Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry este un program numit WanaCrypt0r 2.0, care atacă exclusiv computerele care rulează sistemul de operare Windows. Programul exploatează o „gaură” în sistem - Buletinul de securitate Microsoft MS17-010, a cărui existență era necunoscută anterior. Programul necesită o răscumpărare de la 300 la 600 USD pentru decriptare. Apropo, în prezent, potrivit The Guardian, peste 42 de mii de dolari au fost deja transferați în conturile hackerilor.