По всему миру с 12 мая. Этот шифровальщик проникает в операционные системы компьютеров при скачивании файла из интернета. Когда компьютер получает такой вирус, WannaCry шифрует различные файлы — фото, музыку, фильмы, текстовые документы, презентации, архиваторы и т.п. Злоумышленники вымогают за расшифровку 300 долларов. Как бороться с этим вирусом-шифровальщиком?
Michael Stern, CC BY-SA 2.0, part from original.
В «Лаборатории Касперского» заявляют, что наиболее уязвимыми к атаке оказались компьютеры, на которых не были установлены обновления программ и имелся пиратский софт.
1 Как работает вирус Wanna Cry?
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе - Microsoft Security Bulletin MS17−010, существование которой было ранее неизвестно.
2 Как распространяется вирус WannaCry?
Вирус WannaCry распространяется через электронную почту. После открытия вложения в письме со спамом запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.
3 На что нужно обращать внимание, чтобы не заразить компьютер вирусом WannaCry?
Внимательно смотрите, что вам присылают по электронной почте. Не раскрывайте файлы с такими расширениями: .exe , .vbs и .scr . Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ(например, avi.exe или doc.scr ), пишет ru24.top.
Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков советует: «В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall(межсетевой экран), через которое идет заражение». Для обнаружения потенциально вредоносных файлов нужно включить опцию «Показывать расширения файлов» в настройках Windows.
4 Что предприняла компания Microsoft, чтобы защитить OC Windows от вируса WannaCry?
Microsoft уже выпустила «заплатку» - достаточно запустить обновление Windows Update до последней версии. Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows - при попытке обновить «пиратку» система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии, сообщает Rorki.ru.
5 Простейшие способы защиты от вируса WannaCry
Чтобы не «поймать» на свой компьютер вирус WannaCry, нужно следовать нескольким простым правилам безопасности:
- вовремя осуществлять обновление системы - все зараженные ПК не были обновлены,
- пользоваться лицензионной ОС,
- не открывать сомнительные электронные письма,
- не переходить по сомнительным ссылкам, оставленных пользователями, не вызывающими доверия.
6 Что нужно делать, если вы «поймали» вирус WannaCry на свой компьютер?
Если вы подозреваете, что ваш компьютер заражен вирусом WannaCry, нужно в обязательном порядке отключить устройство от интернета или Wi-Fi - это позволит предотвратить распространение вируса, советуют в Group-IB. Рекомендации специалистов: никогда не платить выкуп мошенникам, так как нет никакой гарантии, что злоумышленники отправят ключ дешифрования,
-
Заражению подверглись уже более 200 000 компьютеров!
Основные цели атаки были направлены на корпоративный сектор, за ним потянуло уже и телекоммуникационные компании Испании, Португалии, Китая и Англии.
-
Самый крупный удар был нанесен по российским пользователям и компаниям. В том числе «Мегафон», РЖД и, по неподтвержденной информации, Следственный Комитет и МВД. Сбербанк и Минздрав то же сообщили об атаках на свои системы.
За расшифровку данных злоумышленники требуют выкуп от 300 до 600 долларов в биткоинах (около 17 000-34000 рублей).
Разбить HDD или SSD диск на разделы в Windows 10
Интерактивная карта заражения (КЛИКНИ ПО КАРТЕ)
Окно с требованием выкупа
Шифрует файлы следующих расширений
Несмотря на нацеленность вируса атаки корпоративного сектора, обычный пользователь так же не застрахован от проникновения WannaCry и возможной потери доступа к файлам.
-
Инструкция по защите компьютера и данных в нем от заражения:
1. Выполните установку приложения Kaspersky System Watcher , которое оснащено встроенной функцией отката изменений, возникших от действий шифровальщика, которому все-таки удалось обойти средства защиты.
2. Пользователям антивирусника от «Лаборатории Касперского» рекомендуется проверить, чтоб была включен функция «Мониторинг системы».
3. Пользователям антивирусника от ESET NOD32 для Windows 10, внедрена функция проверки новых доступных обновлений ОС. В том случае если вы позаботились заранее и она была у вас включена, то все необходимые новые обновления Windows будут установлены и ваша система будет полностью защищена от данного вируса WannaCryptor и других похожих атак.
4. Так же у пользователей продуктов ESET NOD32, имеется такая функция в программе, как детектирования еще неизвестных угроз. Данный метод основан на использование поведенческих, эвристических технологии.
Если вирус ведет себя как вирус - скорее всего, это вирус.
Технология облачной системы ESET LiveGrid с 12 мая отражал очень успешно все нападения атак данного вируса и всё это происходило еще до поступления обновлении сигнатурных баз.
5. Технологии ESET предоставляют защищенность в том числе и устройствам с прошлыми системами Windows XP, Windows 8 и Windows Server 2003 ( рекомендуем отказаться от использования данных устаревших систем ). Из за возникшей весьма высокого уровня угрозы, для данных ОС, Microsoft приняла решение выпустить обновления. Скачать их .
6. Для снижения до минимума угрозы причинения вреда вашему ПК, необходимо в срочном порядке выполнить обновление своей версии Windows 10: Пуск - Параметры - Обновление и безопасность - Проверка наличия обновлений (в других случаях: Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить).
7. Выполните установку официального патча (MS17-010) от Microsoft, который исправляет ошибку сервера SMB, через которую может проникнуть вирус. Данный сервер задействован в этой атаке.
8. Проверьте, чтобы на вашем компьютере были запущены и находились в рабочем состояний все имеющиеся инструменты безопасности.
9. Выполните проверку на вирусы всей системы. При обнажении вредоносной атаки с названием MEM:Trojan.Win64.EquationDrug.gen , перезагрузите систему.
И еще раз вам рекомендую проверить чтобы были установлены патчи MS17-010.
В настоящее время специалисты «Лаборатории Касперского», «ESET NOD32» и других антивирусных продуктов, ведут активную работу над написанием программы для дешифрования файлов, которое будет в помощь пользователям зараженных ПК для восстановления доступа к файлам.
Во-первых, важно, что шифровальщик WannaCry существует только для Windows. Если на вашем устройстве в качестве операционной системы используется macOS, iOS, Android, Linux или что угодно другое, то для него этот зловред угрозы не представляет.
А вот для устройств на Windows - представляет. Но для разных версий Windows нужны разные патчи. Так что перед тем, как что-то ставить, нужно разобраться, какая у вас версия Windows.
Делается это так:
- Нажмите на клавиатуре клавиши и [R] одновременно.
- В появившемся окне введите winver и нажмите OK.
В появившемся окне будет указана версия Windows.
2. Установите патч MS17-010, который закрывает уязвимость Windows
При нажатии на нужную ссылку скачается исполняемый файл с расширением MSU с необходимым обновлением. Нажмите на него и далее следуйте подсказкам мастера установки. После окончания установки на всякий случай перезагрузите систему. Готово - уязвимость закрыта, просто так на ваш компьютер WannaCry уже не проберется.
3. Проверьте компьютер на вирусы
Возможно, WannaCry успел пролезть на ваш компьютер до того, как вы закрыли уязвимость. Так что на всякий случай стоит проверить компьютер на вирусы.
сли у вас нет антивируса, то скачайте бесплатную 30-дневную версию Kaspersky Internet Security . Если же у вас уже установлено защитное решение «Лаборатории Касперского», сделайте вот что.
- Убедитесь, что у вас включен модуль Мониторинг активности. Для этого зайдите в настройки, выберите раздел Защита и убедитесь, что напротив пункта Мониторинг активности написано Вкл.
- Запустите быструю проверку компьютера на вирусы. Для этого в интерфейсе антивирусного решения выберите раздел Проверка, в нем - пункт Быстрая проверка, а затем нажмите Запустить проверку.
- Если антивирус обнаружит зловреда с вердиктом Trojan.Win64.EquationDrug.gen - его надо удалить, а затем перезагрузить компьютер.
Все, вы защищены от WannaCry . Теперь позаботьтесь о родных и друзьях, которые не умеют защищать свои устройства сами.
12 мая около 13:00 началось распространение вируса Wana Decryptor. Практически за пару часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.
Свыше 40 тысяч взломов в 74 странах — интернет-пользователи по всему миру стали свидетелями самой масштабной в истории кибератаки. В списке пострадавших не только обычные люди, но также серверы банков, телекоммуникационных компаний и даже силовых ведомств.
Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России. К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.
Официальные патчи от Microsoft для защиты от вируса Wanna Cry:
- Windows 7 32bit / x64
- Windows 10 32bit /x64
- Windows XP 32 bit /x64 — патча от WCry нет.
Как защититься от вируса Wanna Cry
Защитится от вируса Wanna Cry можно скачав патч для вашей версии Windows.
Как распространяется Wanna Cry
Распространяется Wanna Cry:
- через файлы
- почтовые сообщения.
Как сообщается российскими СМИ, работа отделений МВД в нескольких регионах России нарушена из-за шифровальщика, поразившего множество компьютеров и грозящего уничтожить все данные. Кроме того, атаке подверглись оператор связи «Мегафон».
Речь идет о трояне-вымогателе WCry (WannaCry или WannaCryptor). Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 или 600 долларов биткоинами за расшифровку.
Также на форумах и в социальных сетях о заражениях сообщают обычные пользователи:
Эпидемия шифратора WannaCry: что сделать для избежания заражения. Пошаговое руководство
Вечером 12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. В качестве выкупа за расшифровку программа требует 300 долларов в биткоинах (около 17 000 рублей).
Основной удар пришелся на российских пользователей и компании. На данный момент WannaCry успел поразить около 57 000 компьютеров, включая корпоративные сети МВД, РЖД и “Мегафона”. Также об атаках на свои системы сообщили Сбербанк и Минздрав.
Рассказываем, что прямо сейчас надо сделать для избежания заражения.
1. Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:
Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить
2. Даже если система не была обновлена и WannaCry попал на компьютер - и корпоративные, и домашние решения ESET NOD32 успешно детектируют и блокируют все его модификации .
5. Для детектирования еще неизвестных угроз в наших продуктах используются поведенческие, эвристические технологии. Если вирус ведет себя как вирус - скорее всего, это вирус. Так, облачная система ESET LiveGrid успешно отражала атаку с 12 мая, еще до обновления сигнатурных баз.
Как правильно называется вирус Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r?
С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r , основным отличием которого было способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.
Но все же основным именем является Wana Decrypt0r , хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor .
И последним именем, под которым часто называют этот вирус-шифровальщик пользователи - это WNCRY вирус , то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.
Чтoбы минимизиpoвaть pиcк пoпaдaния виpуca Wanna crу нa кoмпьютepы cпeциaлиcты «Лaбopaтopии Kacпepcкoгo» coвeтуют уcтaнoвить вce вoзмoжныe oбнoвлeния нa тeкущую вepcию Windows. Дeлo в тoм, чтo вpeдoнocнaя пpoгpaммa пopaжaeт тoлькo тe кoмпьютepы, кoтopыe paбoтaют нa этoм ПO.
Вирус Wanna Cry: Как распространяется
Ранее, мы упоминали об этом способе распространения вирусов в статье о безопасном поведении в интернете, так что – ничего нового.
Wanna Cry распространяется следующим образом: На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные, об этом информирует therussiantimes.com.
Вирус Wanna Cry: описание вируса
Wanna Cry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится не возможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию Wanna Cry:
Популярные файлы Microsoft Office (.xlsx, передает therussiantimes.com.xls, .docx, .doc).
Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).
WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе - Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.
Источники:
Продолжает свое угнетающее шествие по Сети, заражая компьютеры и шифруя важные данные. Как защититься от шифровальщика, защитить Windows от вымогателя – выпущены ли заплатки, патчи, чтобы расшифровать и вылечить файлы?
Новый вирус-шифровальщик 2017 Wanna Cry продолжает заражать корпоративные и частные ПК. Ущерб от вирусной атаки насчитывает 1 млрд долларов . За 2 недели вирус-шифровальщик заразил по меньшей мере 300 тысяч компьютеров , несмотря на предупреждения и меры безопасности.
Вирус-шифровальщик 2017, что это - как правило, можно «подцепить», казалось бы, на самых безобидных сайтах, например, банковских серверах с доступом пользователя. Попав на жесткий диск жертвы, шифровальщик «оседает» в системной папке System32 . Оттуда программа сразу отключает антивирус и попадает в «Автозапуск ». После каждой перезагрузки программа-шифровальщик запускается в реестр , начиная свое черное дело. Шифровальщик начинает скачивать себе подобные копии программ типа Ransom и Trojan . Также нередко происходит саморепликация шифровальщика . Процесс этот может быть сиюминутным, а может происходить неделями – до тех пор, пока жертва заметит неладное.
Шифровальщик часто маскируется под обычные картинки, текстовые файлы , но сущность всегда одна – это исполняемы файл с расширением.exe, .drv, .xvd ; иногда – библиотеки.dll . Чаще всего файл несет вполне безобидное имя, например «документ. doc », или «картинка.jpg », где расширение прописано вручную, а истинный тип файла скрыт .
После завершения шифровки пользователь видит вместо знакомых файлов набор «рандомных» символов в названии и внутри, а расширение меняется на доселе неизвестное - .NO_MORE_RANSOM, .xdata и другие.
Вирус-шифровальщик 2017 Wanna Cry – как защититься . Хотелось бы сразу отметить, что Wanna Cry – скорее собирательный термин всех вирусов шифровальщиков и вымогателей, так как за последнее время заражал компьютеры чаще всех. Итак, речь пойдет о защите от шифровальщиков Ransom Ware, коих великое множество: Breaking.dad, NO_MORE_RANSOM, Xdata, XTBL, Wanna Cry .
Как защитить Windows от шифровальщика. – EternalBlue через протокол SMB портов .
Защита Windows от шифровальщика 2017 – основные правила:
- обновление Windows, своевременный переход на лицензионную ОС (примечание: версия XP не обновляется)
- обновление антивирусных баз и файрволлов по требованию
- предельная внимательность при скачивании любых файлов (милые «котики» могут обернуться потерей всех данных)
- резервное копирование важной информации на сменный носитель.
Вирус-шифровальщик 2017: как вылечить и расшифровать файлы.
Надеясь на антивирусное ПО, можно забыть о дешифраторе на некоторое время . В лабораториях Касперского, Dr. Web, Avast! и других антивирусов пока не найдено решение по лечению зараженных файлов . На данный момент есть возможность удалить вирус с помощью антивируса, но алгоритмов вернуть все «на круги своя» пока нет.
Некоторые пытаются применить дешифраторы типа утилиты RectorDecryptor , но это не поможет: алгоритм для дешифровки новых вирусов пока не составлен . Также абсолютно неизвестно, каким образом поведет себя вирус, если он не удален, после применения таких программ. Часто это может обернуться стиранием всех файлов – в назидание тем, кто не хочет платить злоумышленникам, авторам вируса.
На данный момент самым эффективным способом вернуть потерянные данные – это обращение в тех. поддержку поставщика антивирусной программы, которую вы используете . Для этого следует отправить письмо, либо воспользоваться формой для обратной связи на сайте производителя. Во вложение обязательно добавить зашифрованный файл и, если таковая имеется – копия оригинала. Это поможет программистам в составлении алгоритма. К сожалению, для многих вирусная атака становится полной неожиданностью, и копий не находится, что в разы осложняет ситуацию.
Кардиальные методы лечения Windows от шифровальщика . К сожалению, иногда приходится прибегать к полному форматированию винчестера, что влечет за собой полную смену ОС. Многим придет в голову восстановление системы, но это не выход – даже есть «откат» позволит избавиться от вируса, то файлы все равно останутся зашированными.