(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) - шкідлива програма, мережевий черв'як і програма-вимагач грошових коштів. Програма шифрує майже все що зберігаються на комп'ютері файли і вимагає грошовий викуп за їх розшифровку. Шкідливих програм такого типу реєструвалося безліч за останні роки, але WannaCry на їх фоні виділяє ся масштабом поширення і використовуваними техніками.

Цей вірус-шифрувальник почав поширення приблизно в 10 ранку і вже ввечері 12 травня ЗМІ стали повідомляти про численні заражених. У різних виданнях пишуть, що здійснена хакерська атака на найбільші холдинги, в тому числі і на «Сбербанк».

Питання користувача. «Мій поточний особистий ноутбук, що працює на" Windows 7 Домашня розширена ", різного роду патчі встановлює автоматично, коли я його вимикаю ...

Та й наявний у мене W10-планшет автоматично ставить нові патчі при його включенні ... Невже корпоративні настільні ПК не оновлюється свої ОС автоматично при включенні або виключенні? » дійсно - чому?

Через деякий час повний набір експлойтів був викладений у відкритий доступ разом з навчальними відео. Скористатися ним може будь-хто. Що і сталося. У наборі експлойтів є інструмент DoublePulsar. При відкритому 445 порте і не встановленому оновленні MS 17-010, з використанням уразливості класу Remote code execution (можливість зараження комп'ютера віддалено (експлойт NSA EternalBlue)), можливо перехоплювати системні виклики і впроваджувати в пам'ять шкідливий код. Не потрібно отримувати ніякого електронного листа - якщо у вас комп'ютер з доступом в інтернет, з запущеним сервісом SMBv1 і без встановленого патча MS17-010, то атакуючий знайде вас сам (наприклад, перебором адрес).

аналіз WannaCry

Троянець WannaCry (він же WannaCrypt) шифрує файли з певними розширеннями на комп'ютері і вимагає викуп - 300 доларів США в біткоіни. На виплату дається три дні, потім сума подвоюється.

Для шифрування використовується американський алгоритм AЕS з 128-бітовим ключем.

У тестовому режимі шифрування проводиться за допомогою зашитого в троянця другого RSA-ключа. У зв'язку з цим розшифровка тестових файлів можлива.

У процесі шифрування випадковим чином вибирається кілька файлів. Їх троянець пропонує розшифрувати безкоштовно, щоб жертва переконалася в можливості розшифровки решти після виплати викупу.

Але ці вибіркові файли і інші шифруються різними ключами. Тому ніякої гарантії розшифровки не існує!

Ознаки зараження WannaCry

Потрапивши на комп'ютер, троянець запускається як системна служба Windows з ім'ям mssecsvc2.0 (видиме ім'я - Microsoft Security Center (2.0) Service).

Черв'як здатний приймати аргументи командного рядка. Якщо вказати принаймні один аргумент, намагається відкрити сервіс mssecsvc2.0 і налаштувати його на перезапуск в разі помилки.

Після запуску намагається перейменувати файл C: \\ WINDOWS \\ tasksche.exe в C: \\ WINDOWS \\ qeriuwjhrf, зберігає з ресурсів троянця-енкодера в файл C: \\ WINDOWS \\ tasksche.exe і запускає його з параметром / i. Під час запуску троян отримує IP-адреса зараженої машини і намагається підключитися до 445 TCP-порту кожного IP-адреси всередині підмережі - здійснює пошук машин в внутрішньої мережі і намагається їх заразити.

Через 24 години після свого запуску в якості системної служби черв'як автоматично завершує роботу.

Для свого поширення шкідливий инициализирует Windows Sockets, CryptoAPI і запускає кілька потоків. Один з них перераховує всі мережеві інтерфейси на зараженому ПК і опитує доступні вузли в локальній мережі, інші генерують випадкові IP-адреси. Черв'як намагається з'єднатися з цими віддаленими вузлами з використанням порту 445. При його доступності в окремому потоці реалізується зараження мережевих вузлів з використанням уразливості в протоколі SMB.

Відразу після запуску черв'як намагається відправити запит на віддалений сервер, домен якого зберігається в троянця. Якщо відповідь на цей запит отримано, він завершує свою роботу.

< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot> 0x1000f1b4, 12, 00000000.eky

< nulldot> 0x1000f270, 12, 00000000.pky

< nulldot> 0x1000f2a4, 12, 00000000.res

Захист від WannaCrypt і інших шифрувальників

Для захисту від шифрувальника WannaCry і його майбутніх модифікацій необхідно:

1. Вимикайте сервіси, включаючи SMB v1.

• Вимкнути SMBv1 можливо використовуючи PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $ false
• Через реєстр:
  HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ LanmanServer \\ Parameters, параметр SMB1 типу DWORD \u003d 0
• Можна також видалити сам сервіс, який відповідає за SMBv1 (так, за нього особисто відповідає окремий від SMBv2-сервіс):
  sc.exe config lanmanworkstation depend \u003d bowser / mrxsmb20 / nsi
  sc.exe config mrxsmb10 start \u003d disabled

1. Закрити за допомогою брандмауера невикористовувані мережеві порти, включаючи порти 135, 137, 138, 139, 445 (порти SMB).

Малюнок 2. Приклад блокування 445 порту за допомогою брандмауераWindows

Малюнок 3. Приклад блокування 445 порту за допомогою брандмауераWindows

1. Обмежити за допомогою антивірусу або брандмауера доступ додатків в інтернет.

Малюнок 4. Приклад обмеження доступу в інтернет з додатком за допомогою брандмауера Windows

«Лабораторія Касперського» про шифрувальником "WannaCry"

Фахівці «Лабораторії Касперського» проаналізували інформацію про заражених програмою-шифрувальником, що отримала назву "WannaCry", з якій 12 травня зіткнулися компанії по всьому світу

Фахівці «Лабораторії Касперського» проаналізували інформацію про заражених програмою-шифрувальником, що отримала назву "WannaCry", з якій 12 травня зіткнулися компанії по всьому світу. Як показав аналіз, атака відбувалася через відому мережеву вразливість Microsoft Security Bulletin MS17-010. Потім на заражену систему встановлювався руткит, використовуючи який зловмисники запускали програму-шифрувальник.

Всі рішення «Лабораторії Касперського» детектируют даний шкідливе ПО, які використовувалися в цій атаці, наступними вердиктами:

• Trojan-Ransom.Win32.Scatter.uf
• Trojan-Ransom.Win32.Scatter.tr
• Trojan-Ransom.Win32.Fury.fr
• Trojan-Ransom.Win32.Gen.djd
• Trojan-Ransom.Win32.Wanna.b
• Trojan-Ransom.Win32.Wanna.c
• Trojan-Ransom.Win32.Wanna.d
• Trojan-Ransom.Win32.Wanna.f
• Trojan-Ransom.Win32.Zapchast.i
• Trojan.Win64.EquationDrug.gen
• Trojan.Win32.Generic (для детектування даного зловреда компонент «Моніторинг Системи» повинен бути включений)

За розшифровку даних зловмисники вимагають заплатити викуп у розмірі 600 доларів США в криптовалюта Bitcoin. На даний момент «Лабораторія Касперського» зафіксувала близько 45 000 спроб атак в 74 країнах по всьому світу. Найбільше число спроб заражень спостерігається в Росії.

У разі якщо Ваші файли виявилися зашифровані, категорично не можна використовувати пропоновані в мережі Інтернет або отримані в електронних листах кошти розшифровки. Файли зашифровані крипостійкість алгоритмом і не можуть бути розшифровані, а утиліти, завантажені вами, можуть завдати ще більшої шкоди як вашого комп'ютера, так і комп'ютерів у всій організації, оскільки потенційно є шкідливими і націлені на нову хвилю епідемії.

Якщо ви виявили, що ваш комп'ютер піддався зараженню, слід вимкнути його і звернутися до відділу інформаційної безпеки для отримання подальших інструкцій.

• встановитиофіційний патч відMicrosoft , Який закриває використовувану в атаці вразливість (зокрема вже доступні оновлення для версійWindowsXPіWindows2003);
• Переконатися, що включені захисні рішення на всіх вузлах мережі;
• Якщо використовується захисне рішення «Лабораторії Касперського», переконатися, що його версія включає в себе компонент «Моніторинг Системи» і він включений;
• Запустити завдання сканування критичних областей в захисному рішенні «Лабораторії Касперського», щоб виявити можливе зараження якомога раніше (в іншому випадку детектування відбудеться автоматично протягом 24 годин);
• Після детектування Trojan.Win64.EquationDrug.gen, зробити перезавантаження системи;
• У подальшим для попередження подібних інцидентів використовувати сервіси інформування про загрози, щоб своєчасно отримувати дані про найбільш небезпечних націлених атаках і можливих заражених.

Більш детальну інформацію про атаки "WannaCry" можна знайти в звіті «Лабораторії Касперського»

Нова шкідлива програма-вимагач WannaCry (має також ряд інших назв - WannaCry Decryptor, WannaCrypt, WCry і WanaCrypt0r 2.0), заявила про себе світові 12 травня 2017 року, коли файли на комп'ютерах в декількох закладах охорони здоров'я у Великобританії виявилися зашифровані. Як незабаром з'ясувалося, в подібній ситуації опинилися компанії в десятках країн, а більше за всіх постраждали Росія, Україна, Індія, Тайвань. За даними «Лабораторії Касперського», тільки в перший день атаки вірус був виявлений в 74 країнах.

Чим небезпечний WannaCry? Вірус шифрує файли різних типів (отримуючи расшіреніе.WCRY, файли стають повністю нечитабельним) і потім вимагає викуп у розмірі 600 дол. За розшифровку. Щоб прискорити процедуру переказу грошей, користувача залякують тим, що через три дні сума викупу збільшиться, а через сім днів файли взагалі неможливо буде розшифрувати.

Загрозу заразитися вірусом-шифрувальником WannaCry схильні комп'ютери на базі операційних систем Windows. Якщо ви використовуєте ліцензійні версії Windows і регулярно виконуєте оновлення системи, то можете не переживати, що вірус проникне в вашу систему саме цим шляхом.

Користувачам MacOS, ChromeOS і Linux, а також мобільних операційних систем iOS і Android атак WannaCry взагалі не варто боятися.

Що робити, якщо ви стали жертвою WannaCry?

Британське Національне агентство по боротьбі зі злочинністю (NCA) рекомендує малому бізнесу, який став жертвою вимагачів і стурбований поширенням вірусу по мережі, зробити наступні дії:

• Негайно ізолюйте комп'ютер, ноутбук або планшет від корпоративної / внутрішньої мережі. Вимкніть Wi-Fi.
• Поміняйте драйвера.
• Чи не підключаючись до мережі Wi-Fi, безпосередньо підключіть комп'ютер до інтернету.
• Оновлення операційну систему і все інше ПЗ.
• Оновлення та запустіть антивирусник.
• Повторно встановіть з'єднання з мережі.
• Здійсніть моніторинг мережевого трафіку і / або запустіть сканування на віруси, щоб упевнитися в тому, що шифрувальник зник.

Важливо!

Файли, зашифровані вірусом WannaCry, не можуть бути розшифровані ніким, крім зловмисників. Тому не витрачайте час і гроші на тих «ІТ-геніїв», які обіцяють вас позбавити від цього головного болю.

Чи варто платити гроші зловмисникам?

Перші питання, які задають користувачі, які зіткнулися з новим вірусом-шифрувальником WannaCry, - як відновити файли і як видалити вірус. Не знаходячи безкоштовних і ефективних способів вирішення, вони стоять перед вибором - платити гроші вимагача чи ні? Оскільки часто користувачам є що втрачати (в комп'ютері зберігаються особисті документи та фотоархіви), бажання вирішити проблему за допомогою грошей дійсно виникає.

Але NCA наполегливо закликає нЕплатити гроші. Якщо ж ви все-таки зважитеся це зробити, то майте на увазі наступне:

• По-перше, немає ніякої гарантії, що ви отримаєте доступ до своїх даних.
• По-друге, ваш комп'ютер і після оплати як і раніше може залишатися зараженим вірусом.
• По-третє, ви швидше за все просто подаруйте свої гроші кіберзлочинцям.

Як захиститися від WannaCry?

Які дії зробити, щоб запобігти зараженню вірусом, пояснює В'ячеслав Бєлашов, керівник відділу впровадження систем захисту інформації СКБ Контур:

Особливість вірусу WannaCry полягає в тому, що він може проникнути в систему без участі людини на відміну від інших вірусів-шифрувальників. Раніше для дії вірусу потрібно, щоб користувач проявив неуважність - перейшов по сумнівною посиланням з листа, який насправді йому не призначалося, або скачав шкідливе вкладення. У випадку з WannaCry експлуатується вразливість, наявна безпосередньо в самій операційній системі. Тому в першу чергу в групі ризику опинилися комп'ютери на базі Windows, на яких не встановлювалися поновлення від 14 березня 2017 року. Досить однієї зараженої робочої станції зі складу локальної мережі, щоб вірус поширився на інші з наявною вразливістю.

У постраждалих від вірусу користувачів закономірний одне головне питання - як розшифрувати свою інформацію? На жаль, поки гарантованого рішення немає і навряд чи передбачається. Навіть після оплати вказаної суми проблема не вирішується. До того ж ситуація може погіршитися тим, що людина в надії відновити свої дані ризикує використовувати нібито «безкоштовні» дешифровщики, які в дійсності теж є шкідливими файлами. Тому головна порада, яку можна дати, - це бути уважними і зробити все можливе, щоб уникнути подібної ситуації.

Що саме можна і необхідно зробити на даний момент:

1. Встановити останні оновлення.

Це стосується не тільки операційних систем, але і засобів антивірусного захисту. Інформацію по оновленню Windows можна дізнатися.

2. Зробити резервні копії важливої \u200b\u200bінформації.

3. Бути уважними при роботі з поштою і мережею інтернет.

Необхідно звертати увагу на вхідні листи з сумнівними посиланнями і вкладеннями. Для роботи з мережею Інтернет рекомендується використовувати плагіни, які дозволяють позбутися від непотрібної реклами і посилань на потенційно шкідливі джерела.

Вірус WannaCry - це досить новий зразок шкідливих програм, що з'явився тільки в травні 2017 року. При попаданні в систему комп'ютера цей мережевий черв'як здійснює шифрування більшості файлів, які там зберігаються. При цьому за можливість розшифровки потрібних документів вірус вимагає певну грошову суму в якості своєрідного викупу.

Вірус-вимагач WannaCry вражає комп'ютери незалежно від їх власника. Таким чином, під цю своєрідну епідемію потрапляє обладнання, що належить різним структурам, а також представникам населення і бізнес-спільноти. У тому числі відбувається ураження техніки:

• комерційних компаній;
• державних структур;
• фізичних осіб.

Комп'ютерний вірус шифрувальник WannaCry вперше заявив про себе зовсім недавно: це сталося 12 травня поточного року. Перше зараження відбулося на території Іспанії, а потім відбулося стрімке поширення шкідливої \u200b\u200bпрограми по всьому світу. В результаті першої хвилі епідемії найбільш сильно постраждали такі країни:

• Індія;
• Україна;
• Росія.

За порівняно короткий час існування даної нами шкідливої \u200b\u200bпрограми вона вже встигла перетворитися на проблему глобального масштабу. Крім первісної версії, влітку стали з'являтися нові модифікації зі схожим принципом дії. Наприклад, ще один поширений останнім часом вірус Petya - це не що інше, як подоба WannaCry. Багато фахівців з інформаційної безпеки і прості користувачі вважають дану версію ще більш шкідливою для обладнання.

Чи варто чекати нової хвилі зараження і як убезпечити свій комп'ютер?

Щоб запобігти можливому зараження важливих файлів, потрібно розуміти, як поширюється небезпечний вірус WannaCry. Перш за все, комп'ютерна техніка працює на певній системі, і деякі їх типи потрапляють в основну зону ризику, в той час як інші, навпаки, автоматично захищають зберігаються там файли від шкідливого впливу. Виявляється, що злісний вірус, що вимагає грошовий викуп, вражає виключно ті комп'ютери, які працюють на основі операційки Windows.

Однак, як відомо, під даною назвою об'єднується ціле сімейство різних операційних систем. В такому випадку виникає питання, власникам яких систем варто особливо сильно побоюватися за збереження своїх важливих документів при атаці вірусу WannaCry? За інформацією російської служби BBC, найбільш часто впливу шкідливої \u200b\u200bпрограми піддається обладнання, яке працює на основі Windows 7. При цьому мова йде виключно про тих пристроях, на яких своєчасно не були встановлені недавно випущені компанією Microsoft оновлення, спрямовані на підвищення безпеки комп'ютера.

Яким типом з'єднання користується вірус WannaCry? Спочатку програма дізнається IP-адреса комп'ютера для встановлення віддаленого підключення до нього. А завдяки використанню з'єднання з Tor-вузлами мережевого хробака вдається зберігати анонімність.

За оцінками експертів, від мережного хробака вже встигло постраждати більше 500 тисяч комп'ютерів по всьому світу. Чи можлива нова атака вірусу WannaCry і що говорять про це останні новини? Другу хвилю зараження чекали практично відразу після появи даного феномена. Після цього встигли з'явитися нові модифіковані версії, які діють за схожим принципом з вірусом WannaCry. Вони стали відомі по всьому світу під назвами «Петя» і «Міша». Багато фахівців упевнені в тому, що подібні шкідливі програми постійно вдосконалюються, а це значить, що їх повторні атаки абсолютно не виключені.

Профілактика і лікування

Багато користувачів турбуються з приводу безпеки використовуваного ними устаткування і тому цікавляться, як видалити вірус WannaCry в разі його зараження. Перший варіант, який може прийти на розум пересічному користувачеві - це здійснити оплату. Однак за можливість розшифровки вимагачі вимагають не найменшу суму - близько 300 доларів. Згодом початкова сума викупу була підвищена в два рази - до 600 доларів. Крім того, її виплата зовсім не гарантує відновлення первісного стану вашої системи: все-таки мова йде про зловмисників, яким вже точно не варто довіряти.

Фахівці вважають дану дію і зовсім безглуздим: вони аргументують свою думку тим, що сама опція надання індивідуального ключа для користувача, який вирішив зробити оплату, розробниками шкідливої \u200b\u200bпрограми реалізована з помилкою, що отримала назву «стан гонки». Простих користувачам необов'язково розбиратися в її особливостях: набагато важливіше розуміти її сенс, що означає, що ключ для расшіфрокі, швидше за все, вам так і не буде надіслано.

Таким чином, ефективний захист і лікування від вірусу WannaCry повинна бути іншою і включати в себе цілий комплекс заходів, які здатні допомогти вам убезпечити свої особисті файли і зберігається в них інформацію. Фахівці радять не ігнорувати випускаються оновлення системи, особливо ті з них, які стосуються питань безпеки.

Щоб не постраждати від атаки шкідливих програм, необхідно заздалегідь вивчити основні способи, як захиститися від вірусу WannaCry. Перш за все, варто переконатися, що на вашому обладнанні встановлені всі необхідні оновлення, які здатні усунути можливі уразливості системи. Якщо ви розбираєтеся в питаннях інформаційної безпеки, то вам може допомогти настройка перевірки вхідного трафіку за допомогою спеціальної системи управління пакетами IPS. Також рекомендується застосовувати різні системи боротьби з ботами і вірусами: наприклад, програму Threat Emulation в рамках шлюзів безпеки від Check Point.

У разі зараження виникає питання, як прибрати вірус WannaCry. Якщо ви не є фахівцем в області інформаційної безпеки, то ви можете звернутися за допомогою на спеціалізовані форуми, де вам можуть допомогти впоратися з вашою проблемою.

Чи знаєте ви, як найкраще розшифрувати файли, зашифровані таким популярним вірусом, як WannaCry? Чи можливо зробити дану операцію без втрати важливих даних? На форумі відомої Лабораторії Касперського в разі зараження радять діяти наступним чином:

• виконати спеціальний скрипт в утиліті АВЗ;
• перевірити настройки в системі HijackThis;
• запустити спеціалізоване програмне забезпечення Farbar Recovery Scan Tool.

При цьому російські фахівці не запропонували спеціальних програм, що дозволяють розшифрувати заражені файли. Єдиний пропонований ними варіант полягав в рекомендації спробувати зробити їх відновлення з тіньових копій. Зате була створена французька утиліта WannaKiwi від компанії Comae Technologies, яка допомагає вилікувати важливі документи на вашому комп'ютері.

Як оновити свою систему з точки зору безпеки?

Фахівці з інформаційної безпеки, що своєчасне оновлення Windows 7 здатне надійно захистити обладнання від вірусу WannaCry. Мережевий черв'як користувався вразливістю, відому під абревіатурою MS17-010. Своєчасна установка офіційних оновлень здатна усунути такий дефект, надійно захистивши ваше обладнання.

Якщо вас вразив WannaCry вірус, то вам варто встановити патч від компанії Microsoft на свій комп'ютер. Для системи Windows 7 на офіційному сайті ви зможете знайти оновлення під номером 3212646. Для системи Windows 8 підійде варіант 3205401. Для версії Windows 10 там же можна знайти такі версії:

• 3210720;
• 3210721;

Також патчі доступні для більш старих версій Windows, а саме для Vista (32 і 64-розрядної) під номером 3177186 і для XP під номером 4012598.

Як правильно встановлювати оновлення проти вірусу з назвою WannaCry? Це зазвичай дуже просто: вам необхідно лише завантажити потрібний файл і далі слідувати інструкціям, що містяться в майстра установки. Фактично від вас вимагається тільки натискати кнопки «Далі» і «Готово». Після установки найкраще перезавантажити систему перед початком її подальшого використання. Для фахівців доступний також спосіб не ручний, а автоматичної установки оновлень за допомогою настройки групових політик своєї системи, а також використання спеціальних фільтрів.

Про масові заражених комп'ютерів трояном-шифрувальником WannaCry ( «хочеться плакати»), що почалися 12 травня 2017 року, сьогодні не знає, мабуть, тільки дуже далекий від Інтернету людина. А реакцію тих, хто знає, я б розділив на 2 протилежних категорії: байдужість і панічний переляк. Про що це говорить?

А про те, що уривчасті відомості не дають повного розуміння ситуації, породжують домисли і залишають після себе більше запитань, ніж відповідей. Щоб розібратися, що відбувається насправді, кому і чим це загрожує, як захиститися від зараження і як розшифрувати файли, пошкоджені WannaCry, присвячена сьогоднішня стаття.

Чи такий страшний «чорт» насправді

Не розумію, що за метушня навколоWannaCry? Вірусів багато, нові з'являються постійно. А цей ніж особливий?

WannaCry (інші назви WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) - не зовсім звичайний кіберзловред. Причина його сумної популярності - гігантські суми заподіяного збитку. За даними Європолу, він порушив роботу більше 200 000 комп'ютерів під управлінням Windows в 150 країнах світу, а збиток, який понесли їх власники, склав більше $ 1 000 000 000. І це тільки за перші 4 дні поширення. Найбільше постраждалих - в Росії та Україні.

Я знаю, що віруси проникають на ПК через сайти для дорослих. Я такі ресурси не відвідую, тому мені нічого не загрожує.

Вірус? Теж мені проблема. Коли на моєму комп'ютері заводяться віруси, я запускаю утиліту *** і через півгодини все в порядку. А якщо не допомагає, я перевстановлювати Віндовс.

Вірус вірусу - різниця. WannaCry - троян-здирник, мережевий черв'як, здатний поширюватися через локальні мережі та Інтернет від одного комп'ютера до іншого без участі людини.

Більшість шкідливих програм, в тому числі шифрувальників, починає працювати тільки після того, як користувач «проковтне наживку», тобто клацне по посиланню, відкриє файл і т. П. А щоб заразитися WannaCry, не потрібно робити взагалі нічого!

Опинившись на комп'ютері з Віндовс, шкідливий за короткий час шифрує основну масу призначених для користувача файлів, після чого виводить повідомлення з вимогою викупу в розмірі $ 300-600, який потрібно перерахувати на вказаний гаманець протягом 3 днів. У разі зволікання він загрожує через 7 днів зробити розшифровку файлів неможливою.

Одночасно шкідливий шукає лазівки для проникнення на інші комп'ютери, і якщо знаходить, заражає всю локальну мережу. Це означає, що резервні копії файлів, що зберігаються на сусідніх машинах, теж приходять в непридатність.

Видалення вірусу з комп'ютера не приводить до розшифровки файлів! Перевстановлення операційної системи - теж. Навпаки, при зараженні шифрувальником обидва цих дії можуть позбавити вас можливості відновити файли навіть при наявності валидного ключа.

Так що так, «чорт» цілком собі страшний.

Як поширюється WannaCry

Ви все брешете. Вірус може проникнути на мій комп, тільки якщо я сам його скачаю. А я пильний.

Багато шкідливі програми вміють заражати комп'ютери (і мобільні девайси, до речі, теж) через уразливості - помилки в коді компонентів операційної системи і програм, які відкривають кібер-зловмисникам можливість використовувати віддалену машину в своїх цілях. WannaCry, зокрема, поширюється через уразливість 0-day в протоколі SMB (уразливими нульового дня називають помилки, які на момент початку їх експлуатації шкідливим / шпигунським ПЗ не були виправлені).

Тобто для зараження комп'ютера хробаком-шифрувальником досить двох умов:

• Підключення до мережі, де є інші заражені машини (Інтернет).
• Наявності в системі вищеописаної лазівки.

Звідки ця зараза взагалі взялася? Це витівки російських хакерів?

За деякими даними (за достовірність не відповідаю), пролом в мережевому протоколі SMB, який служить для легального віддаленого доступу до файлів і принтерів в ОС Windows, першим виявило Агентство національної безпеки США. Замість того щоб повідомити про неї в Microsoft, щоб там виправили помилку, в АНБ вирішили покористуватися нею самі і розробили для цього експлойт (програму, яка експлуатує уразливість).

Візуалізація динаміки поширення WannaCry на сайті intel.malwaretech.com

Згодом цей експлойт (кодове ім'я EternalBlue), що служив якийсь час АНБ для проникнення на комп'ютери без відома власників, був вкрадений хакерами і ліг в основу створення вимагача WannaCry. Тобто завдяки не зовсім законним і етичним діям держструктури США вірусопісци і дізналися про уразливість.

Я відключив установку оновленьWindows. Нафіг треба, коли і без них все працює.

Причина такого швидкого і масштабного поширення епідемії - відсутність на той момент «заплатки» - оновлення Windows, здатного закрити лазівку Wanna Cry. Адже щоб його розробити, був потрібен час.

На сьогоднішній день така латка існує. Користувачі, які оновлюють систему автоматично, отримали її в перші години після випуску. А ті, хто вважає, що оновлення не потрібні, до сих пір знаходяться під загрозою зараження.

Кому загрожує атака WannaCry і як від неї захиститися

Наскільки я знаю, більше 90% комп'ютерів, зараженихWannaCry, працювало під керуваннямWindows 7. У мене «десятка», значить, мені нічого не загрожує.

Небезпеки зараження WannaCry піддаються всі операційні системи, які використовують мережевий протокол SMB v1. це:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v 1607
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

Підхопити зловреда по мережі сьогодні ризикують користувачі систем, на яких не встановлено критичне оновлення безпеки MS17-010 (Доступно для безкоштовного скачування з сайту technet.microsoft.com, на який наведено посилання). Патчі для Windows XP, Windows Server 2003, Windows 8 і інших підтримуються ОС можна завантажити з цієї сторінки support.microsoft.com . На ній же описані способи перевірки наявності рятівного поновлення.

Якщо ви не знаєте версію ОС на вашому комп'ютері, натисніть комбінацію клавіш Win + R і виконайте команду winver.

Для посилення захисту, а також при неможливості відновити систему зараз, Microsoft призводить інструкції з тимчасового відключення протоколу SMB версії 1. Вони знаходяться і. Додатково, але не обов'язково можна закрити через брандмауер 445 порт TCP, який обслуговує SMB.

У мене найкращий в світі антивірус ***, з ним я можу робити що завгодно і мені нічого не страшно.

Поширення WannaCry може відбуватися не тільки вищеописаним самоходом, а й звичайними способами - через соціальні мережі, електронну пошту, заражені і фішингові веб-ресурси і т. Д. І такі випадки є. Якщо завантажити і запустити шкідливу програму вручну, то ні антивірус, ні патчі, що закривають уразливості, від зараження не врятують.

Як працює вірус, що шифрує

Так нехай шифрує, що хоче. У мене друг програміст, він мені все розшифрує. В крайньому випадку знайдемо ключ методом перебору.

Ну зашифрує пару файлів і що? Це не завадить мені працювати на комп'ютері.

На жаль, не розшифрує, оскільки способів злому алгоритму шифрування RSA-2048, який використовує Wanna Cry, немає і в найближчому майбутньому не з'явиться. І зашифрує він не пару файлів, а практично все.

Наводити детальний опис роботи шкідливий я не буду, кому цікаво, може ознайомитися з його аналізом, наприклад, в блозі експерта Microsoft Matt Suiche. Зазначу тільки найбільш значущі моменти.

Шифруванню піддаються файли з розширеннями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt,. xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg,. djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf,. ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds, .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx , .der.

Як видно, тут і документи, і фото, і відео-аудіо, і архіви, і пошта, і файли, створені в різних програмах ... зловредів намагається дотягнутися до кожного каталогу системи.

Зашифровані об'єкти отримують подвійне розширення з припискою WNCRY, Наприклад, «Документ1.doc.WNCRY».

Після шифрування вірус копіює в кожну папку виконуваний файл @[Email protected] - нібито для дешифрування після викупу, а також текстовий документ @[Email protected] з повідомленням для користувача.

Далі він намагається винищити тіньові копії та точки відновлення Windows. Якщо в системі працює UAC, користувач повинен підтвердити цю операцію. Якщо відхилити запит, залишиться шанс відновити дані з копій.

Ключі шифрування ураженої системи WannaCry передає в командні центри, розташовані в мережі Tor, після чого видаляє їх з комп'ютера. Для пошуку інших вразливих машин він сканує локальну мережу і довільні діапазони IP в Інтернеті, а знайшовши, проникає на все, до чого зможе дістатися.

Сьогодні аналітикам відомо кілька модифікацій WannaCry з різним механізмом поширення, і найближчим часом, треба очікувати, з'являться нові.

Що робити, якщо WannaCry вже уразив комп'ютер

Я бачу, як файли змінюють розширення. Що відбувається? Як це зупинити?

Шифрування - не одномоментний процес, хоча і не дуже довгий. Якщо вам вдалося помітити його до появи на екрані повідомлення вимагача, ви можете врятувати частину файлів, негайно вимкніть живлення комп'ютера. Чи не завершенням роботи системи, а висмикуванням вилки з розетки!

При завантаженні Віндовс в нормальному режимі шифрування буде продовжено, тому важливо його не допустити. Наступний запуск комп'ютера повинен відбутися або в безпечному режимі, в якому віруси не активні, або з іншого придатного до завантаження носія.

Мої файли зашифровані! Вірус вимагає за них викуп! Що робити, як розшифрувати?

Розшифровка файлів після WannaCry можлива лише при наявності секретного ключа, який зловмисники обіцяють надати, як тільки потерпілий перерахує їм суму викупу. Однак подібні обіцянки майже ніколи не виконуються: навіщо розповсюджувачам зловреда напружуватися, якщо вони і так отримали що хотіли?

В окремих випадках вирішити проблему можна і без викупу. На сьогоднішній день розроблено 2 дешифратора WannaCry: WannaKey(Автор Adrien Guinet) і WanaKiwi(Автор Benjamin Delpy). Перший працює тільки в Windows XP, а другий, створений на основі першого, - в Windows XP, Vista і 7 x86, а також в північних системах 2003 2008 і 2008R2 x86.

Алгоритм роботи обох дешифраторів заснований на пошуку секретних ключів в пам'яті процесу шифрувальника. Це означає, що шанс на розшифровку є тільки у тих, хто не встиг перезавантажити комп'ютер. І якщо після шифрування пройшло не надто багато часу (пам'ять не була переписана іншим процесом).

Отже, якщо ви користувач Windows XP-7 x86, перше, що слід зробити після появи повідомлення з вимогою викупу, це відключити комп'ютер від локальної мережі та Інтернету і запустити дешифратор WanaKiwi, скачаний на іншому пристрої. До вилучення ключа не виконуйте ніяких інших дій на комп'ютері!

Ознайомитися з описом роботи дешіфровщіка WanaKiwi можна в ще в одному блозі Matt Suiche.

Після розшифровки файлів запустіть антивірус для видалення зловредів і встановіть патч, що закриває шляхи його поширення.

Сьогодні WannaCry розпізнають практично всі антивірусні програми, за винятком тих, що не оновлюються, тому підійде майже будь-яка.

Як жити це життя далі

Е підем з самохідними властивостями застала світ зненацька. Для всіляких служб безпеки вона виявилася настільки ж несподіваною, як наступ зими 1 грудня для комунальників. Причина - безтурботність і авось. Наслідки - непоправна втрата даних і збитки. А для творців шкідливий - стимул продовжувати в тому ж дусі.

Як вважають аналітики, WanaCry приніс розповсюджувачам дуже непогані дивіденди, а значить, атаки, подібні до цієї, будуть повторюватися. І тих, кого пронесло зараз, не обов'язково пронесе потім. Звичайно, якщо не потурбуватися про це заздалегідь.

Отже, щоб вам не довелося коли-небудь плакати над шифрованими файлами:

• Не відмовляйтеся від установки оновлень операційної системи і додатків. Це захистить вас від 99% загроз, які поширюються через незачинені уразливості.
• Тримайте включеним.
• Створюйте резервні копії важливих файлів і зберігайте їх на іншому фізичному носії, а краще - на кількох. У корпоративних мережах оптимально використовувати розподілені бази зберігання даних, домашні користувачі можуть взяти на озброєння безкоштовні хмарні сервіси типу Яндекс Диск, Google Диск, OneDrive, MEGASynk і т. Д. Не тримайте ці додатки запущеними, коли не користуєтеся ними.
• Вибирайте надійні операційні системи. Віндовс XP такою не є.
• Встановіть комплексний антивірус класу Internet Security і додатковий захист від здирників, наприклад, Kaspersky Endpoint Security. Або аналоги інших розробників.
• Підвищуйте рівень грамотності в протидії троянам-шифрувальник. Наприклад, антивірусний вендор Dr.Web підготував для користувачів і адміністраторів різних систем навчальні курси. Чимало корисної і, що важливо, достовірної інформації міститься в блогах інших розробників A / V.

І головне: навіть якщо ви постраждали, не перекладайте зловмисникам гроші за розшифровку. Імовірність того, що вас обдурять, - 99%. Крім того, якщо ніхто платитиме, бізнес на вимаганні стане безглуздим. А інакше поширення подібної зарази буде тільки рости.