• ×

    • Обновление виндовс от вируса шифровальщика. Вирус Wanna Cry

    17.10.2020
    1. Пришел Май, Познакомьтесь с WannaCry.
    2. Wanna название вируса шифровальщика который начал свою деятельность скажем так 12 мая 2017 года заразив в 90 странах компьютеры пользователей и компаний. Microsoft официально выпустила патчи для старых операционных систем которые более не поддерживаются и являются устаревшими. Полный список и все ссылки приведу в конце статьи.
      3. Как проявляет себя Wanna ?
    3. Как и все вирусы шифровальщики в процессе шифрования трудно заметить если вы случайно сами не увидели что файлы меняются и становятся с другим расширением. К примеру с этим вирусом зашифрованные файлы будут выглядеть так: название файла.png.WNCRY
    4. Ниже предоставлена карта заражения вирусом стран в первые часы заражения и распространения,карта от компании Sumantec.
    5. Далее как проявляет вирус после того как зашифровал файлы, пользователю будет показано сообщение и можно выбрать подходящий язык. Которое сообщает что ваши файлы заражены и перейдите к действиям об оплате скажем так.
    6. Второе окно показывает сколько и как вы должны заплатить, перевести 300 биткойнов. А так же таймер для обратного отсчета.
    7. Фон рабочего стола и другие фоновые картинки показывают сообщение:
    8. Зашифрованные файлы имеют двойное расширение, например: название файла.doc.WNCRY. Ниже представленно как это выглядит:
    9. Также в каждой папке есть исполняемый файл @[email protected] для дешифровки после выкупа(возможно но врятли), а также текстовый документ @[email protected] в котором есть что почитать пользователю(тоже возможно но врятли).
      10. Вирус шифрует файлы со следующими расширениями:
    10. Хочу заметить что среди расширений которые шифрует WannaCry нет расширения 1С которое используется в России.
    11. Так же прошу обратить внимание на самое главное в востановлении ваших файлов после заражения. Возможно если у вас включена защита системы а именно теневое копирование тома и работает uac система контроля учетных записей а она работает скорей всего если вы не отключали. То вирус предложит отключить защиту системы для не возможности восстановления зашифрованных файлов а именно удаленных после шифрования. Конечно в таком случае не в коем роде не соглашаться с отключением. Выглядит примерно так:
      12. Bitcoin кошельки мошенников.
    12. Здесь самое интересное, как растет сумма на кошельке мошенников. Bitcoin wallet:
    17. понаблюдайте заходя хотя бы раз в день на сколько выросла прибыль мошенников и вы удивитесь поверьте! Это обычный Wallet Bitcoin сервис в котором любой желающий может за регистрировать себе кошелек, нет не чего страшного если вы посмотрите статистику пополнения кошелька.
    18. WannaCry 1.0 распространялся при помощи спама и сайтов. Версия 2.0 идентична первой версии но в нее добавили червя который распространялса самостоятельно попадая на компьютеры жертвы через протокол.
      19. Корпорация Microsoft на борьбе с Wanna:
    19. Microsoft предлагает установить пакеты обновлений для пользователей старых операционных систем:
      20. Windows Server 2003 SP2 x64
      Windows Server 2003 SP2 x86
      Windows XP SP2 x64
      Windows XP SP3 x86
      Windows XP Embedded SP3 x86
      Windows 8 x86
      Windows 8 x64
      Перейти на официальный blogs.technet.microsoft
      Что говорит Kaspersky ?
    20. На официальном блоге Kaspersky более подробней расписан процесс и есть несколько дополнений которые вы можете узнать, правда на английском языке.
      21. Securelist .
    21. Дополнилось статьей support kaspersky от 15 май 2017г:
      22. .
    22. Так же вы можете просмотреть интерактивную карту кибер угроз и узнать распространение вируса в реальном времени:
      23. Intel malwaretech карта по вирусу WannaCry 2.0:
    23. Еще карта но именно по вирусу WannaCry2.0 распространение вируса в реальном времени(если карта после перехода не заработала обновите страницу):
      24. Видео Comodo Firewall 10 vs WannaCry Ransomware о технологии защиты:
      официальный сайт.
      596 вариантов WannaCry
    24. Независимая лаборатория обнаружила 596 образцов WannaCrypt. Список хэшей SHA256:
      25. От автора:
    25. От себя добавлю так как использую защиту от Comodo is 10 и в довесок а также но лучший антивирус это вы сами. Как говориться береженого бог бережет а защита у меня такая потому что по мере работы мне приходится выполнять различные задачи в которых есть место просочиться вирусным атакам назовем их так.
    26. Отключите протокол SMB1 на время пока не установите обновления защиты или если он вам не нужен совсем с помощью командной строки, запускаете cmd от имени админстратора системы и с помощью dism отключаем протокол, команда:

      27. dism /online /norestart /disable-feature /featurename:SMB1Protocol

    27. А также другие методы включения и отключения протокола SMBv1,2,3 на официальном сайте Microsoft.
    28. В графическом интерфейсе отключения протокола можно сделать так: Панель управления> Установка и удаление программ(Удаление или изменение программы)> Включение или отключение компонентов Windows> далее картинка ниже.

    Во-первых, важно, что шифровальщик WannaCry существует только для Windows. Если на вашем устройстве в качестве операционной системы используется macOS, iOS, Android, Linux или что угодно другое, то для него этот зловред угрозы не представляет.

    А вот для устройств на Windows - представляет. Но для разных версий Windows нужны разные патчи. Так что перед тем, как что-то ставить, нужно разобраться, какая у вас версия Windows.

    Делается это так:

    • Нажмите на клавиатуре клавиши и [R] одновременно.
    • В появившемся окне введите winver и нажмите OK.

    В появившемся окне будет указана версия Windows.

    2. Установите патч MS17-010, который закрывает уязвимость Windows

    При нажатии на нужную ссылку скачается исполняемый файл с расширением MSU с необходимым обновлением. Нажмите на него и далее следуйте подсказкам мастера установки. После окончания установки на всякий случай перезагрузите систему. Готово - уязвимость закрыта, просто так на ваш компьютер WannaCry уже не проберется.

    3. Проверьте компьютер на вирусы

    Возможно, WannaCry успел пролезть на ваш компьютер до того, как вы закрыли уязвимость. Так что на всякий случай стоит проверить компьютер на вирусы.

    сли у вас нет антивируса, то скачайте бесплатную 30-дневную версию Kaspersky Internet Security . Если же у вас уже установлено защитное решение «Лаборатории Касперского», сделайте вот что.

    • Убедитесь, что у вас включен модуль Мониторинг активности. Для этого зайдите в настройки, выберите раздел Защита и убедитесь, что напротив пункта Мониторинг активности написано Вкл.
    • Запустите быструю проверку компьютера на вирусы. Для этого в интерфейсе антивирусного решения выберите раздел Проверка, в нем - пункт Быстрая проверка, а затем нажмите Запустить проверку.
    • Если антивирус обнаружит зловреда с вердиктом Trojan.Win64.EquationDrug.gen - его надо удалить, а затем перезагрузить компьютер.

    Все, вы защищены от WannaCry . Теперь позаботьтесь о родных и друзьях, которые не умеют защищать свои устройства сами.

    Вирус WannaCry «прогремел» на весь мир 12 мая, в этот день о заражении своих сетей заявили ряд медицинских учреждений в Великобритании, Испанская телекоммуникационная компания и МВД России сообщили об отражении хакерской атаки.

    WannaCry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится невозможным.

    На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию WannaCry:

    1. Популярные файлы Microsoft Office (.xlsx, .xls, .docx, .doc).
    2. Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

    WannaCry — как распространяется вирус

    Ранее, мы упоминали об этом способе распространения вирусов в статье о , так что – ничего нового.

    На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные.

    Возможно, это не единственный метод распространения WannaCry – стать жертвой вы можете при скачивании «инфицированных» файлов в социальных сетях, торрент-трекерах и других сайтов.

    WannaCry – как защититься от вируса шифровальщика

    1. Установить патч для Microsoft Windows. 14 Мая компания Microsoft выпустила экстренный патч для следующих версий – Vista, 7, 8.1, 10, Windows Server. Установить данный патч можно просто запустив обновление системы, через службу обновлений Windows.

    2. Использование антивирусного ПО с актуальными базами данных. Известные разработчики защитного ПО, такие, как Касперский, Dr.Web, уже выпустили обновление для своих продуктов содержащие информацию о WannaCry, тем самым обезопасив своих пользователей.

    3. Сохранить важные данные на отдельный носитель. Если ваш компьютер еще не подает , вы можете сохранить наиболее важные файлы на отдельный носитель (flash-накопитель, диск). При таком подходе, даже став жертвой – вы сохраните наиболее ценные файлы от шифрования.

    На данный момент – это все известные эффективные способы защиты от WannaCry.

    WannaCry дешифратор, где скачать и возможно ли удалить вирус?

    Вирусы шифровальщики относятся к разряду самых «противных» вирусов, т.к. в большинстве случаев, файлы пользователя шифруются 128bit’ным или 256bit’ным ключом. Самое страшное, в каждом случае — ключ уникален и на расшифровку каждого требуются огромные вычислительные мощности, что делает практически невозможным лечение «рядовых» пользователей.

    Но, как же быть, если вы стали жертвой WannaCry и нужен дешифратор?

    1. Обратитесь на форум поддержки Лаборатории Касперского — https://forum.kaspersky.com/ с описанием проблемы. На форуме работают, как представители компании, так и волонтеры, активно помогающие в решении проблем.

    2. Как и в случае с известным шифровальщиком CryptXXX – было найдено универсальное решение для дешифрования файлов, подвергшихся кодированию. С момента обнаружения WannaCry прошло не более недели и специалисты из антивирусных лабораторий еще не успели найти такое решение для него.

    3. Кардинальным решением будет — полное удаление OS с компьютера с последующей чистой установкой новой. При таком раскладе – все пользовательские файлы и данные полностью теряются, вместе с удалением WannaCry.

    Шифровальщик WannaCry (Wana Decrypt0r) стал главной IT-новостью выходных. Достаточно подробно о нем можно прочитать и . А в данной заметке будет лишь информация об обновлениях Windows, которые необходимо установить и требуемых мерах по обнаружению.

    Итак, перечень обновлений Windows, закрывающих уязвимость, в зависимости от версий ОС плюс ссылки:

    Windows 10 версия 1511 — KB4013198 (скачать)

    Windows 10 версия 1607 и Windows Server 2016 — KB4013429 (скачать)

    Windows 8.1 и Windows Server 2012 R2 — KB4012213 (скачать) или KB4012216 (скачать)

    Первый патч представляет собой сборник только обновлений безопасности, второй — полный пакет ежемесячный исправлений. Уязвимость, используемую WannaCry, закрывает любой из них. Подобное касается и других версий ОС, где будут указаны два патча.

    Windows Embedded 8 Standart и Windows Server 2012 — KB4012214 (скачать) или KB4012217 (скачать)

    Windows 7, Windows Embedded 7 Standart и Windows Server 2008 R2 — KB4012212 (скачать) или KB4012215 (скачать)

    Windows XP, Windows Vista, Windows 8, Windows Server 2003, Windows Server 2008, WES09 и POSReady 2009 — KB4012598 (скачать)

    Как видите, Microsoft представила патчи и для устаревших систем, которые больше не поддерживаются.

    Антивирусы уже детектируют Wana Decrypt0r, однако прогноз о перспективах дешифрования файлов пока неутешительный. Цитата с официального сайта Лаборатории Касперского :

    В случае если Ваши файлы оказались зашифрованы, категорически нельзя использовать предлагаемые в сети Интернет или полученные в электронных письмах средства расшифровки. Файлы зашифрованы криптостойким алгоритмом и не могут быть расшифрованы, а утилиты, загруженные вами, могут нанести еще больший вред как вашему компьютеру, так и компьютерам во всей организации, поскольку потенциально являются вредоносными и нацелены на новую волну эпидемии.

    Скорее всего, пик заражений уже позади, хотя в будущем, вероятно, возникнет еще парочка видоизмененных шифровальщиков. Впрочем, они уже не будут такой новостью, как WannaCry.

    Как показал анализ,

    • Trojan-Ransom.Win32.Fury.fr
    • Trojan-Ransom.Win32.Gen.djd
    • Trojan-Ransom.Win32.Wanna.b
    • Trojan-Ransom.Win32.Wanna.c
    • Trojan-Ransom.Win32.Wanna.d
    • Trojan-Ransom.Win32.Wanna.f
    • Trojan.Win64.EquationDrug.gen
    • Мониторинг системы должен быть включен)
    • Защита от сетевых атак должен быть включен).

    отчете «Лаборатории Касперского» .

    Как вылечить зараженную сеть, если установлено решение «Лаборатории Касперского»

    1. Убедитесь, что компонент Мониторинг cистемы и все его модули включены:
    1. Мониторинг системы
    1. Защита от сетевых атак .
    2. Файловый антивирус .
    3. Запустите задачу Проверка важных областей
    4. Подключите хост к сети.
    1. Убедитесь, что включен компонент Постоянная защита файлов .
    2. статьи
    3. Запустите задачу Проверка важных областей
    4. Подключите хост к сети.
    1. Отключите зараженный хост от корпоративной сети.
    2. Установите официальный патч от Microsoft:
    3. Убедитесь, что включен компонент Постоянная защита файлов .
    4. Запустите задачу Проверка важных областей , чтобы обнаружить возможное заражение как можно раньше.
    5. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
    6. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
    7. Подключите хост к сети.
    1. Отключите зараженный хост от корпоративной сети.
    2. Установите официальный патч от Microsoft:
    3. Убедитесь, что включен компонент Файловый антивирус .
    4. Убедитесь, что включен компонент Анти-Хакер .
    5. Запустите задачу Полная проверка , чтобы обнаружить возможное заражение как можно раньше.
    6. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
    7. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
    8. Подключите хост к сети.

    Как вылечить зараженную сеть, если установлено стороннее защитное решение

    Воспользуйтесь бесплатными программами «Лаборатории Касперского» для проверки и лечения зараженных компьютеров.

    Локальное выполнение:

    1. Отключите зараженный хост от корпоративной сети.
    2. Установите официальный патч от Microsoft:
    3. Запустите задачу сканирования в Kaspersky Virus Removal Tool. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье.
    4. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
    5. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
    6. Подключите хост к сети.

    Удаленное выполнение:

    1. Установите официальный патч от Microsoft:
    2. Разместите исполняемый файл-утилиту Kaspersky Virus Removal Tool в общедоступной папке.
    3. Выполните запуск утилиты на удаленном хосте (через удаленную командную строку, групповую политику или Kaspersky Security Center с помощью BAT-файла) командой:

    \\share\kvrt.exe -accepteula -silent -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

    1. share - имя общедоступной папки.
    2. После выполнения данной команды на удаленном хосте будет выполнена проверка БЕЗ лечения и создан лог работы в каталоге \\share\logs\
    1. Для выполнения лечения добавьте к команде параметры -adinsilent -processlevel 1

    \\share\kvrt.exe -accepteula -silent -adinsilent -processlevel 1 -dontcryptsupportinfo -d \\share\logs\%COMPUTERNAME%

    1. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
    1. Отключите зараженный хост от корпоративной сети.
    2. Установите официальный патч от Microsoft:
    3. Загрузите хост с загрузочного диска Kaspersky Rescue Disk. Если вы не знаете, как создать загрузочный диск Kaspersky Rescue Disk, смотрите инструкцию в статье.
    1. Запустите задачу сканирования. Если вы не знаете, как запустить сканирование, смотрите инструкцию в статье.
    2. После детектирования MEM:Trojan.Win64.EquationDrug.gen перезагрузите систему.
    3. Выполните полную проверку на вирусы, чтобы удалить вредоносное ПО.
    4. Подключите хост к сети.

    Как избежать заражения сети

    Kaspersky Endpoint Security 8/10:

    1. Установите официальный патч от Microsoft:
    2. Убедитесь, что компонент Мониторинг системы и все его модули включены:
    1. Если вы не знаете, как включить Мониторинг системы , смотрите инструкцию в статье.
    1. Убедитесь, что включен компонент Защита от сетевых атак .
    2. Убедитесь, что включен компонент Файловый антивирус .
    3. статье.

    Kaspersky Security 10 для Windows Server:

    1. Установите официальный патч от Microsoft:
    2. Убедитесь, что включен компонент Постоянная защита файлов .
    3. Настройте продукт согласно рекомендациям из статьи - данные рекомендации позволят защитить сервер от удаленного шифрования с хостов, у которых есть доступ к сетевым ресурсам сервера.
    4. Обновите антивирусные базы.

    Антивирус 8.0 для Windows Servers EE:

    1. Отключите зараженный хост от корпоративной сети.
    2. Установите официальный патч от Microsoft:
    3. Убедитесь, что включен компонент Постоянная защита файлов .
    4. Обновите антивирусные базы. Если вы не знаете, как обновить базы, смотрите инструкцию в статье.

    Антивирус Касперского 6.0 R2 для Windows Workstations:

    1. Отключите зараженный хост от корпоративной сети.
    2. Установите официальный патч от Microsoft:
    3. Убедитесь, что включен компонент Файловый антивирус .
    4. Убедитесь, что включен компонент Анти-Хакер .
    5. Обновите антивирусные базы.

    Как распространить обновления от Microsoft с помощью Kaspersky Security Center

    Для распространения обновлений от Microsoft с помощью Kaspersky Security Center воспользуйтесь одним из методов:

    Основной метод

    1. Загрузите необходимые обновления с ресурсов Microsoft:
    2. Создайте на локальном диске временный каталог и поместите туда загруженные файлы (MSU).
    3. Во временном каталоге создайте BAT-файл и пропишите в нем команду вида:

    wusa.exe "%cd%\updatename.msu" /quiet /warnrestart

      updatename - имя файла обновления.

      Пример команды:

    wusa.exe "%cd%\kb4012212-x64.msu" /quiet /warnrestart

    1. Данная команда предписывает провести установку обновления, не показывая процесс пользователю, но потом выводит запрос на перезагрузку и дает около минуты на сохранение открытых файлов (отказаться от перезагрузки нельзя).
      Если прописать forcerestart вместо warnrestart - то ПК будет незамедлительно перезагружен, а открытые приложения - закрыты с потерей данных.

      2. В итоге во временном каталоге должен быть BAT-файл и необходимые файлы MSU.

    Eсли команду запустить на ПК, где обновление уже установлено или оно не подходит - последствий не будет.

    1. В Kaspersky Security Center перейдите в раздел Удаленная установка\Инсталляционные пакеты и выберите опцию Создать инсталляционный пакет для программы, указанной пользователем .
    1. Создайте инсталляционный пакет, который будет вызывать созданный BAT-файл, при этом обязательно установите флажок копировать всю папку в инсталляционный пакет - чтобы MSU-файлы были включены в пакет.

    В BAT-файле вы можете указать установку нескольких обновлений и поместить их все во временный каталог, но размер установочного пакета увеличится.

    1. Созданный пакет установите на ПК. Это можно сделать из выборки ПК по типу ОС (в контекстном меню любой группы ПК выберите Установить программу ), можно создать задачу для группы ПК (в Управляемые ПК выберите корень списка или определенную группу, перейдите на вкладку Задачи и создайте задачу по установке), либо другим привычным вам способом.
      Пакет также можно установить локально.

    Альтернативный метод

    Условия работы:

    1. Наличие расширенной лицензии на продукт.
    2. Использование задачи Поиска уязвимостей и обновлений для ПО Microsoft . Подробнее о задаче смотрите в статье.

    Выполнение:

    1. Перейдите в раздел Дополнительно Управление программами Обновление .
    2. В строке поиска найдите необходимое обновление Microsoft.
    3. В контекстном меню обновления выберите Установить обновление .
    4. Выполните установку на необходимые хосты.

    Как безопасно включить хосты, если обновления от Microsoft не установлены

    Для безопасного включения компьютеров:

    1. Отключите компьютер от сети организации (отключите сетевой кабель).
    2. В настройках сервисов отключите службу Сервер : в выпадающем списке Тип запуска выберите Отключена .
    1. Подключите сетевой шнур и обновите ОС со всеми перезагрузками.

    Убедитесь, что система больше не предлагает установить обновления.

    1. Включите службу Сервер .
    2. Убедитесь, что в Kaspersky Endpoint Security включены компоненты:
      • Файловый антивирус .
      • Мониторинг системы .
      • Защита от сетевых атак .

    Была ли информация полезна?

    Общие статьи: Общие статьи

    Мы проанализировали информацию о заражениях программой-шифровальщиком, получившей название «WannaCry», с которыми 12 мая 2017 года столкнулись компании по всему миру.

    Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010 . Затем на зараженную систему устанавливался руткит, с помощью которого злоумышленники запускали программу-шифровальщик.

    Все решения «Лаборатории Касперского» детектируют данный руткит как MEM:Trojan.Win64.EquationDrug.gen, а программы-шифровальщики, которые использовались в этой атаке, как:

    • Trojan-Ransom.Win32.Scatter.uf
    • Trojan-Ransom.Win32.Scatter.tr
    • Trojan-Ransom.Win32.Fury.fr
    • Trojan-Ransom.Win32.Gen.djd
    • Trojan-Ransom.Win32.Wanna.b
    • Trojan-Ransom.Win32.Wanna.c
    • Trojan-Ransom.Win32.Wanna.d
    • Trojan-Ransom.Win32.Wanna.f
    • Trojan-Ransom.Win32.Zapchast.i
    • Trojan.Win64.EquationDrug.gen
    • PDM:Trojan.Win32.Generic (для детектирования компонент Мониторинг системы должен быть включен)
    • Intrusion.Win.DoublePulsar.a (для детектирования компонент Защита от сетевых атак должен быть включен).
    1. Установите официальный патч от Microsoft, который закрывает используемую в атаке уязвимость:
    2. Убедитесь, что включены защитные решения на всех узлах сети.
    3. Обновите базы всех используемых продуктов «Лаборатории Касперского».

    Наши эксперты анализируют образцы вредоносного ПО для установления возможности расшифровки данных.

    Более подробную информацию об атаках «WannaCry» вы можете найти в

    12 мая началась эпидемия трояна-шифровальщика WannaCry - похоже, происходит это по всему миру. Эпидемией мы это называем потому, что очень уж велики масштабы. За один только день мы насчитали более 45 000 случаев атаки, но на самом деле их наверняка намного больше.

    Что произошло?

    О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более 300 000 компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

    Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

    Что такое WannaCry?

    Он шифрует файлы различных типов (полный список можно), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение.WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

    После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере - чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников - и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки - в последних версиях WannaCry фигурирует цифра в $600.

    Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп - никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

    Как регистрация домена приостановила заражение и почему это еще не все

    Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

    Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

    Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

    Есть версия, что эта функциональность была встроена в WannaCry как рубильник - на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы - и в этом случае в тестовой среде троян бы не делал ничего.

    К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

    Способы защиты от WannaCry

    К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом - не допускать его.

    Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

    • Регулярно делайте резервные копии файлов и храните их на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия , то заражение шифровальщиком - не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы. Лень делать бэкапы самостоятельно - воспользуйтесь встроенным модулем в Kaspersky Total Security , он умеет автоматизировать этот процесс.
    • Устанавливайте обновления ПО. В данном случае всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010 , тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003 . Серьезно, установите его вот прямо сейчас - сейчас как раз тот самый случай, когда это действительно важно.
    • Используйте надежный антивирус. Kaspersky Internet Security умеет обнаруживать WannaCry как локально, так и при попытках распространения по сети. Более того, встроенный модуль «Мониторинг активности» (System Watcher) умеет откатывать нежелательные изменения, то есть не позволит зашифровать файлы даже тем версиям зловредов, которые еще не попали в антивирусные базы.
    • Если у вас уже установлено наше защитное решение, рекомендуем сделать следующее: вручную запустить задачу сканирования критических областей и в случае обнаружения зловреда с вердиктом MEM:Trojan.Win64.EquationDrug.gen (так наши антивирусные решения определяют WannaCry) перезагрузить систему.

    Данная статья подготовлена в связи в хакерской атакой массового характера в мировом масштабе, которая может коснуться и вас. Последствия становятся действительно серьезными. Ниже вы найдете краткое описание проблемы и описание основных мер, которые необходимо предпринять для защиты от вируса-шифровальщика семейства WannaCry.

    Вирус-шифровальщик WannaCry использует уязвимость Microsoft Windows MS17-010 , чтобы выполнить вредоносный код и запустить программу-шифровальщик на уязвимых ПК, затем вирус предлагает заплатить злоумышленникам порядка 300$, чтобы осуществить расшифровку данных. Вирус широко распространился в мировых масштабах, получив активное освещение в СМИ – Фонтанка.ру, Газета.ру, РБК.

    Данной уязвимости подвержены ПК с установленными ОС Windows начиная с XP и до Windows 10 и Server 2016, официальную информацию об уязвимости от Microsoft вы можете прочитать и.

    Эта уязвимость относится к классу Remote code execution , что означает, что заражение может быть произведено с уже зараженного ПК через сеть с низким уровнем безопасности без сегментирования МЭ - локальные сети , публичные сети, гостевые сети, а также путем запуска вредоноса полученного по почте или в виде ссылки.

    Меры безопасности

    Какие меры необходимо выделить как эффективные, для борьбы с данным вирусом:

    1. Убедитесь, что у вас установлены актуальные обновления Microsoft Windows, которые убирают уязвимость MS17-010. Найти ссылки на обновления вы можете, а также обратите внимание, что в связи с беспрецедентной серьезностью данной уязвимости - 13-го мая были выпущены обновления для неподдерживаемых ОС (windowsXP, 2003 server, 2008 server) их вы можете скачать.
    2. Используя решения по обеспечению сетевой безопасности класса IPS, убедитесь, что у вас установлены обновления, включающие выявление и компенсацию сетевой уязвимости. В базе знаний Check Point данная уязвимость описана, она входит в обновление IPS от 14 марта 2017 года Microsoft Windows SMB Remote Code Execution (MS17-010: CVE-2017-0143). Также рекомендуем настроить проверку внутреннего трафика ключевых сетевых сегментов с помощью IPS, хотя бы на короткое время, пока вероятность заражения не снизится.
    3. В связи с вероятностью изменения кода вируса, рекомендуем активировать системы AntiBot&Antivirus и эмуляции запуска файлов, приходящих из внешних источников по почте или сети интернет. Если вы являетесь пользователями шлюзов безопасности Check Point, то данной системой является Threat Emulation. Специально для компаний, не имеющих данной подписки, мы предлагаем быстро оформить её в триальный период 30 дней. Для того чтобы запросить ключ активирующий полнофункциональную подписку для вашего шлюза Check Point - напишите на почту Подробнее про системы эмуляции файлов вы можете прочитать, и.
    Также заблокируйте передачу парольных архивов и активируйте сигнатуры IPS из списка:

    Уважаемые коллеги, основываясь на опыте работы с предыдущими массированными атаками, такими как Heart Bleed, уязвимость Microsoft Windows MS17-010 будет активно эксплуатировать на протяжении ближайших 30-40 дней, не откладывайте меры противодействия! На всякий случай, проверьте работу вашей BackUp системы.

    Риск действительно большой!

    UPD. В четверг, 18 мая, в 10.00 по Московскому времени, мы приглашаем вас на вебинар о вымогательском программном обеспечении и способах защиты.

    Вебинар проводит компания TS Solution и Сергей Невструев, Check Point Threat Prevention Sales Manager Eastern Europe.
    Мы затронем следующие вопросы:

    • Атака #WannaCry
    • Масштаб и текущее состояние
    • Особенности
    • Факторы массовости
    Рекомендации по безопасности

    Как быть на шаг впереди и спать спокойно

    • IPS + AM
    • SandBlast: Threat Emulation и Threat Extraction
    • SandBlast Agent: Anti-Ransomware
    • SandBlast Agent: Forensics
    • SandBlast Agent: Anti-Bot
    Зарегистрировать можно, ответив на это письмо, либо пройдя по ссылке на регистрацию.

    Благодарим Вас за обращение в компанию «Айдеко».

    Надеемся, что Вы указали достаточно контактной информации, и наши сотрудники смогут связаться с Вами в ближайшее время.

    Согласие на обработку персональных данных

    Пользователь, регистрируясь на сайте, дает свое согласие ООО «Айдеко», расположенному по адресу 620144, г. Екатеринбург, ул. Кулибина 2, оф.500, на обработку своих персональных данных со следующими условиями:

    1. Согласие дается на обработку своих персональных данных с использованием средств автоматизации.
    2. Согласие дается на обработку следующих персональных данных:
      1. Номера контактных телефонов;
      2. Адрес электронной почты;
      3. Место работы и/или занимаемая должность;
      4. Город пребывания или регистрации.
    3. Целью обработки персональных данных является: предоставление доступа к материалам сайта, доступа к сервису on-line вебинаров или подготовки документов для согласования вариантов развития договорных отношений, включая коммерческие предложения, спецификации, проекты договоров или платежных документов.
    4. В ходе обработки с персональными данными будут совершены следующие действия: сбор, систематизация, накопление, хранение, уточнение, использование, блокирование, уничтожение.
    5. Основанием для обработки персональных данных является ст. 24 Конституции Российской Федерации; ст.6 Федерального закона №152-ФЗ «О персональных данных»; Устав ООО «Айдеко», иные федеральные законы и нормативно-правовые акты.
    6. Передача персональных данных может осуществляться третьим лицам только в порядке, установленном законодательством Российской Федерации или при получении дополнительного согласия Пользователя.
    7. Данное согласие действует до момента реорганизации или ликвидации ООО «Айдеко». Также Согласие может быть отозвано Пользователем, путем направления письменного заявления на почтовый адрес ООО «Айдеко».
    8. Хранение персональных данных осуществляется согласно Приказу Министерства культуры РФ от 25.08.2010 №558 об утверждении «Перечня типовых управленческих документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения» и иным нормативно-правовым актам в области архивного дела и архивного хранения.

    Лицензионное Соглашение

    о предоставлении прав на тестовое использование Программного Комплекса «Интернет-Шлюз Ideco ICS 6»

    Лицензия ООО «Айдеко» на право использования программы для ЭВМ «Программный комплекс «Интернет-шлюз Ideco ICS 6» (далее – «Программа»):

    1. Настоящая лицензия на право использования Программы (далее - «Лицензия») предоставляется лицу – конечному пользователю (далее - «Лицензиат») Лицензиаром - ООО «Айдеко» и содержит информацию об ограничении прав на тестовое использование Программы, включая любые ее компоненты.
    2. Если Вы не согласны с условиями Лицензии, Вы не имеете права устанавливать, копировать или иным способом использовать данную Программу и любые ее компоненты, и должны их удалить.
    3. Лицензиар предоставляет Лицензиату неисключительное право, которое включает использование Программы и ее компонентов следующими способами: право на воспроизведение, ограниченное правом инсталляции запуска, в объемах использования, предусмотренными настоящей Лицензией. Право на использование Программы и ее компонентов предоставляется исключительно с целью ознакомления и тестирования сроком на 1 (один) месяц с даты, указанной в настоящей лицензии.
    4. Программа поставляется как есть, Лицензиар устранил все известные ему ошибки, остается вероятность выявления ошибок при дальнейшей эксплуатации.
    5. Лицензиату известны важнейшие функциональные свойства Программы, в отношении которых предоставляются права на использование, и Лицензиат несет риск соответствия Программы его ожиданиям и потребностям, а также риск соответствия условий и объема предоставляемых прав своим ожиданиям и потребностям.
    6. Лицензиар не несет ответственность за какие-либо убытки, ущерб, независимо от причин его возникновения, (включая, но не ограничиваясь этим, особый, случайный или косвенный ущерб, убытки, связанные с недополученной прибылью, прерыванием коммерческой или производственной деятельности, утратой деловой информации, небрежностью, или какие-либо иные убытки), возникшие вследствие использования или невозможности использования Программы и любых ее компонентов.
    7. Лицензиат может устанавливать и использовать одну копию Программы на одном компьютере или сервере.
    8. Программа включает технологии защиты от копирования, чтобы предотвратить ее неправомочное копирование. Запрещено незаконное копирование Программы и любых ее компонентов, удаление или изменение защиты от копирования.
    9. Лицензиат не может модифицировать и декомпилировать Программу и любые ее компоненты, изменять структуру программных кодов, функции программы, с целью создания родственных продуктов, распространять или содействовать распространению нелицензионных копий Программы и любых ее компонентов.
    10. Не допускается аренда и передача Программы и любых ее компонентов третьими лицам, а также распространение Программы и любых ее компонентов в сети Интернет.
    11. По истечению тестового периода использования Программы Лицензиат обязан деинсталлировать Программу и все ее компоненты (удалить из памяти ЭВМ), удалить все сделанные копии Программы и ее компонентов, и уведомить об этом Лицензиара, либо приобрести право на использование Программы.

    Глобальная хакерская атака в настоящее время затронула множество компьютеров в России и за рубежом, включая сети крупных телекоммуникационных компаний, силовых ведомств и медицинских учреждений.

    Наши технологические партнеры из Лаборатории Касперского за вчерашний день, 12 мая, зафиксировали 45 тыс. попыток взлома в 74 странах.

    О вирусе

    Программа-шифровальщик, распространяющаяся в сети, получила название WannaCry (он же Wana Decryptor, WanaCrypt0r и Wana Decrypt0r). В отличие от других программ подобного типа, данный шифровальщик сочетает в себе функции вирусного, троянского ПО и сетевых червей. В качестве механизмов проникновения использует как электронную почту (этот механизм позволяет ему преодолевать защитные межсетевые экраны), так и опубликованную 14 марта этого года сетевую уязвимость протокола SMB: Microsoft Security Bulletin MS17-010 . Данная уязвимость позволяет вирусу распространяться внутри зараженной сети и поражать максимальное число уязвимых устройств.

    Microsoft не распространяет автоматически обновления безопасности для ОС Windows XP и Windows 2003, поэтому пользователи, использующие устаревшее ПО, наиболее уязвимы.

    Заражая устройство, вирус зашифровывает все пользовательские данные на жестком диске и требует выкуп за их расшифровку.

    Ideco ICS основан на ядре Linux, все порты на внешних интерфейсах по умолчанию закрыты, поэтому он защищён от атак, использующих сетевые уязвимости, подобные тем, что использует данный вирус. Технология NAT также надежно защищает все сетевые устройства от подключений извне. Среди вариантов распространения вируса: электронная почта , возможно, зараженные сайты и флеш-диски, также вирус может быть принесен сотрудниками вместе с используемыми в других сетях ноутбуками. Все механизмы распространения вируса пока не изучены и могут быть дополнены злоумышленниками для усиления атаки в ближайшем будущем.

    Настройка Ideco ICS

    Защита конечных устройств

    • Установите патч для закрытия эксплуатируемой вирусом уязвимости: MS17-010 .
    • Заблокируйте использование протокола SMBv1, выполнив следующую команду на компьютерах и Windows-серверах:
      dism /online /norestart /disable-feature /featurename:SMB1Protocol
    • Убедитесь, что антивирусное ПО на всех компьютерах установлено, работает и использует актуальные базы сигнатур.
    • На компьютеры с устаревшими ОС Windows XP и Windows 2003 необходимо установить патчи безопасности вручную, скачав их по прямым ссылкам:
      kb4012598 для Windows XP SP3
      kb4012598 для Windows Server 2003 x86
      kb4012598 для Windows Server 2003 x64

    Если вы используете Windows в качестве интернет-шлюза

    Мы не рекомендуем использовать любые версии Windows на серверах, подключенных непосредственно к интернету. За последнее время была опубликована информация о большом количестве уязвимостей, не все из которых закрыты существующими обновлениями систем безопасности данных ОС. Заражение подобным WannaCry вирусом непосредственно интернет-шлюза может привести к заражению всех хостов сети, потерям коммерческой информации, а также участию сети, как части ботнета, в атаках на другие ресурсы, среди которых могут оказаться и правительственные.

    Программное обеспечение, использующее Windows как платформу, также не может обеспечить требуемый уровень безопасности, т.к. ядро системы все равно будет уязвимым. Если вы используете такое ПО, как, Kerio Winroute, мы рекомендуем как можно скорее мигрировать на более безопасные и современные решения.

    Шлюз безопасности Ideco ICS удобен тем, что может быть использован не только в качестве программно-аппаратного комплекса, но и устанавливаться непосредственно на имеющийся сервер или может быть развернут в качестве виртуальной машины на гипервизоре.

    По всему миру прокатилась волна нового вируса-шифровальщика WannaCry (другие названия Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), который зашифровывает документы на компьютере и вымогает 300-600 USD за их декодирование. Как узнать, заражен ли компьютер? Что надо сделать, чтобы не стать жертвой? И что сделать, чтобы вылечиться?

    После установки обновлений, компьютер надо будет перегрузить.

    Как вылечится от вируса-шифровальщика Wana Decrypt0r?

    Когда антивирусная утилита, обнаружит вирус, она либо удалит его сразу, либо спросит у вас лечить или нет? Ответ – лечить.

    Как восстановить зашифрованные Wana Decryptor файлы?

    Ничего утешительного на данный момент сообщить не можем. Пока инструмента по расшифровке файлов не создали. Пока остается только подождать, когда дешифровщик будет разработан.

    По данным Брайана Кребса (Brian Krebs), эксперта по компьютерной безопасности, на данный момент преступники получили лишь 26’000 USD, то есть только около 58 человек согласилось заплатить выкуп вымогателям. Восстановили ли они свои документы при этом, никто не знает.

    Как остановить распространение вируса в сети?

    В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение.

    Похожие статьи
     
    Категории
    Видеоматериалы
    Популярное
    Новое