12 мая компьютеры по всему миру подверглись масштабной кибератаке. Вредоносная хакерская программа Wanna Cry, также известная, как WanaCrypt0r 2.0 или WCry, или Wana Decryptor («хочу плакать»), которая поражает только те устройства, на которых установлена ОС Windows, шифрует данные и требует за их восстановление деньги. Жители Кирова подверглись атаке глобального вируса, получившего название Wanna Cry. Сообщения от пострадавших появились в паблике «ЗК — ЗЛОЙ КИРОВЧАНИН (18+) КИРОВ». Вирусная атака сегодня продолжает волновать россиян. …Вирус Wanna Cry, как работает О том, как распространяется вирус Wanna Cry уже точно известно – через электронную почту.
как обезопасить свой компьютер от атаковавшего весь мир вируса wanna cry
От владельцев зараженных компьютеров требуют перевести деньги. …Кибератака на Россию сегодня активно обсуждается в сети, ведь от нее пострадали десятки тысяч человек.
Новый вирус Wanna cry заставил плакать миллионы пользователей ПК. Вредоносная программа начала распространяться с Великобритании и, конечно, успела дойти до нашей страны.
В последние дни в мире начал массово распространяться вирус Wanna Cry. …Вирус Wanna Cry: как распространяется, патч microsoft windows 7 Британскому специалисту компании Proofpoint Дэриен Хасс удалось установить массовое распространение вируса по сети.
Вирусная атака сегодня продолжает волновать россиян. …Вирус Wanna Cry, как работает О том, как распространяется вирус Wanna Cry уже точно известно – через электронную почту.
Вирус Wanna Cry продолжает охватывать все больше стран, блокируя и заражая компьютерные системы по всему миру. На сегодня насчитывается 37 стран, чьи системы подверглись атаке вируса.В России были атакованы серверы МВД, Сбербанка и МЧС.
12 мая компьютеры по всему миру подверглись масштабной кибератаке. Вредоносная хакерская программа Wanna Cry, также известная, как WanaCrypt0r 2.0 или WCry, или Wana Decryptor («хочу плакать»), которая поражает только те устройства, на которых установлена ОС Windows, шифрует данные и требует за их восстановление деньги.
Она признана одним из самых масштабных кибер-вирусов, повреждающих официальные сервера компаний-гигантов и государственных ведомств, однако, среди пострадавших известны также и простые граждане с обычными домашними компьютерами. …А вот в МВД факт атаки признали, подтвердив, что в ее следствии повреждены оказались порядка тысячи компьютеров, но вирус вовремя удалось локализовать.
Жители Кирова подверглись атаке глобального вируса, получившего название Wanna Cry. Сообщения от пострадавших появились в паблике «ЗК — ЗЛОЙ КИРОВЧАНИН (18+) КИРОВ».
Вирус Wanna Cry – новый вид хакерской атаки, которая была совершена на компьютеры министерств и ведомств в разных странах мира. По сути, это вредоносная программа-вымогатель, которая блокирует работу ПК и требует за восстановление деньги в биткоинах.
По всему миру с 12 мая. Этот шифровальщик проникает в операционные системы компьютеров при скачивании файла из интернета. Когда компьютер получает такой вирус, WannaCry шифрует различные файлы — фото, музыку, фильмы, текстовые документы, презентации, архиваторы и т.п. Злоумышленники вымогают за расшифровку 300 долларов. Как бороться с этим вирусом-шифровальщиком?
Michael Stern, CC BY-SA 2.0, part from original.
В «Лаборатории Касперского» заявляют, что наиболее уязвимыми к атаке оказались компьютеры, на которых не были установлены обновления программ и имелся пиратский софт.
1 Как работает вирус Wanna Cry?
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе - Microsoft Security Bulletin MS17−010, существование которой было ранее неизвестно.
2 Как распространяется вирус WannaCry?
Вирус WannaCry распространяется через электронную почту. После открытия вложения в письме со спамом запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.
3 На что нужно обращать внимание, чтобы не заразить компьютер вирусом WannaCry?
Внимательно смотрите, что вам присылают по электронной почте. Не раскрывайте файлы с такими расширениями: .exe , .vbs и .scr . Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ(например, avi.exe или doc.scr ), пишет ru24.top.
Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков советует: «В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall(межсетевой экран), через которое идет заражение». Для обнаружения потенциально вредоносных файлов нужно включить опцию «Показывать расширения файлов» в настройках Windows.
4 Что предприняла компания Microsoft, чтобы защитить OC Windows от вируса WannaCry?
Microsoft уже выпустила «заплатку» - достаточно запустить обновление Windows Update до последней версии. Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows - при попытке обновить «пиратку» система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии, сообщает Rorki.ru.
5 Простейшие способы защиты от вируса WannaCry
Чтобы не «поймать» на свой компьютер вирус WannaCry, нужно следовать нескольким простым правилам безопасности:
- вовремя осуществлять обновление системы - все зараженные ПК не были обновлены,
- пользоваться лицензионной ОС,
- не открывать сомнительные электронные письма,
- не переходить по сомнительным ссылкам, оставленных пользователями, не вызывающими доверия.
6 Что нужно делать, если вы «поймали» вирус WannaCry на свой компьютер?
Если вы подозреваете, что ваш компьютер заражен вирусом WannaCry, нужно в обязательном порядке отключить устройство от интернета или Wi-Fi - это позволит предотвратить распространение вируса, советуют в Group-IB. Рекомендации специалистов: никогда не платить выкуп мошенникам, так как нет никакой гарантии, что злоумышленники отправят ключ дешифрования,
Вирус WannaCry «прогремел» на весь мир 12 мая, в этот день о заражении своих сетей заявили ряд медицинских учреждений в Великобритании, Испанская телекоммуникационная компания и МВД России сообщили об отражении хакерской атаки.
WannaCry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится невозможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию WannaCry:
- Популярные файлы Microsoft Office (.xlsx, .xls, .docx, .doc).
- Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry — как распространяется вирус
Ранее, мы упоминали об этом способе распространения вирусов в статье о , так что – ничего нового.
На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные.
Возможно, это не единственный метод распространения WannaCry – стать жертвой вы можете при скачивании «инфицированных» файлов в социальных сетях, торрент-трекерах и других сайтов.
WannaCry – как защититься от вируса шифровальщика
1. Установить патч для Microsoft Windows. 14 Мая компания Microsoft выпустила экстренный патч для следующих версий – Vista, 7, 8.1, 10, Windows Server. Установить данный патч можно просто запустив обновление системы, через службу обновлений Windows.
2. Использование антивирусного ПО с актуальными базами данных. Известные разработчики защитного ПО, такие, как Касперский, Dr.Web, уже выпустили обновление для своих продуктов содержащие информацию о WannaCry, тем самым обезопасив своих пользователей.
3. Сохранить важные данные на отдельный носитель. Если ваш компьютер еще не подает , вы можете сохранить наиболее важные файлы на отдельный носитель (flash-накопитель, диск). При таком подходе, даже став жертвой – вы сохраните наиболее ценные файлы от шифрования.
На данный момент – это все известные эффективные способы защиты от WannaCry.
WannaCry дешифратор, где скачать и возможно ли удалить вирус?
Вирусы шифровальщики относятся к разряду самых «противных» вирусов, т.к. в большинстве случаев, файлы пользователя шифруются 128bit’ным или 256bit’ным ключом. Самое страшное, в каждом случае — ключ уникален и на расшифровку каждого требуются огромные вычислительные мощности, что делает практически невозможным лечение «рядовых» пользователей.
Но, как же быть, если вы стали жертвой WannaCry и нужен дешифратор?
1. Обратитесь на форум поддержки Лаборатории Касперского — https://forum.kaspersky.com/ с описанием проблемы. На форуме работают, как представители компании, так и волонтеры, активно помогающие в решении проблем.
2. Как и в случае с известным шифровальщиком CryptXXX – было найдено универсальное решение для дешифрования файлов, подвергшихся кодированию. С момента обнаружения WannaCry прошло не более недели и специалисты из антивирусных лабораторий еще не успели найти такое решение для него.
3. Кардинальным решением будет — полное удаление OS с компьютера с последующей чистой установкой новой. При таком раскладе – все пользовательские файлы и данные полностью теряются, вместе с удалением WannaCry.
Май 2017 года войдет в анналы истории, как черный день для службы информационной безопасности. В этот день мир узнал, что безопасный виртуальный мир может быть хрупким и уязвимым. Вирус вымогатель под названием Wanna decryptor или wannacry захватил более 150 тысяч компьютеров по всему миру. Случаи заражения зафиксированы более чем в ста странах. Конечно, глобальное заражение было остановлено, но ущерб исчисляется миллионами. Волны распространения вируса-вымогателя все еще будоражат некоторые отдельные машины, но эту чуму пока сумели сдержать и остановить.
WannaCry – что это такое и как от него защититься
Wanna decryptor относится к группе вирусов, которые шифруют данные на компьютере и вымогают деньги у владельца. Как правило, сумма выкупа своих данных колеблется в диапазоне от 300 до 600 долларов. За сутки вирус он сумел заразить муниципальную сеть больниц в Великобритании, крупную телевизионную сеть в Европе и даже часть компьютеров МВД России. Остановили его благодаря счастливому стечению обстоятельств зарегистрировав проверочный домен, который был вшит в код вируса его создателями, для ручной остановки распространения.
Вирус заражает компьютер также, как и в большинстве других случаях. Рассылка писем, социальные профили и просто серфинг по сути – эти способы дают вирусу возможность проникнуть в вашу систему и зашифровать все ваши данные, однако может проникнуть и без ваших явных действий через уязвимость системы и открытый порт.
Пролезает WannaCry через 445 порт, используя уязвимость в операционной системе Windows , которая недавно была закрыта выпущенными обновлениями. Так что если данный порт у вас закрыт или вы на днях обновляли Windows с оф. сайта, то можете не переживай о заражении.
Вирус работает по следующей схеме - вместо данных в ваших файлах, вы получаете непонятные закорючки на марсианском языке, а вот чтобы снова получить нормальный компьютер, придется заплатить злоумышленникам. Те, кто спустил эту чуму на компьютеры простых людей, пользуются оплатой биткоинами, так что вычислить владельцев злобного трояна не удастся. Если не платите в течение суток, то сумма выкупа возрастает.
Новая версия трояна переводится как «Хочу плакать» и потеря данных может довести некоторых пользователей до слез. Так что лучше принимать профилактические меры и не допускать заражения.
Шифровальщик использует уязвимость в системе Windows, которую компания Microsot уже устранила. Нужно просто обновить операционную систему до протокола безопасности MS17-010 от 14 марта 2017 года.
Кстати, обновиться могут только те пользователи, у которых стоит лицензированная операционная система . Если же вы к таким не относитесь, то просто скачайте пакет обновлений и установите его вручную. Только скачивать нужно с проверенных ресурсов, чтобы не подхватить заразу вместо профилактики.
Конечно же, защита может быть самого высокого уровня, но многое зависит и от самого пользователя. Помните, что нельзя открывать подозрительные ссылки, которые приходят к вам по почте или в социальном профиле.
Как вылечить вирус Wanna decryptor
Те, чей компьютер уже заразился, должны приготовиться к долгому процессу лечения.
Вирус запускается на компьютере пользователя и создает несколько программ. Одна из них начинает шифровать данные, другая обеспечивает связь с вымогателями. На рабочем мониторе появляется надпись, где вам объясняют, что вы стали жертвой вируса и предлагают побыстрее перечислить деньги. При этом, вы не можете открыть ни один файл, а расширения состоят из непонятных букв.
Первое действие, которое пытается предпринять пользователь – это восстановление данных с помощью встроенных в Windows служб . Но при запуске команды, либо ничего не произойдет, либо ваши старания пройдут впустую - избавиться от Wanna Decryptor не так просто.
(WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor) - вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяет ся масштабом распространения и используемыми техниками.
Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут , что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».
Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю...
Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?» Действительно - почему?
Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма - если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).
Анализ WannaCry
Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп - 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.
Для шифрования используется американский алгоритм AЕS с 128-битным ключом.
В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.
В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.
Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!
Признаки заражения WannaCry
Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя - Microsoft Security Center (2.0) Service).
Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.
После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети - производит поиск машин в внутренней сети и пытается их заразить.
Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.
Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.
Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.
< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY
< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion
< nulldot> 0x1000f1b4, 12, 00000000.eky
< nulldot> 0x1000f270, 12, 00000000.pky
< nulldot> 0x1000f2a4, 12, 00000000.res
Защита от WannaCrypt и других шифровальщиков
Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:
- Отключить неиспользуемые сервисы, включая SMB v1.
- Выключить SMBv1 возможно используя PowerShell:
Set-SmbServerConfiguration -EnableSMB1Protocol $false - Через реестр:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0 - Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start=disabled
- Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).
Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows
Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows
- Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.
Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows
