Θέλετε να κλάψετε εκτελέσιμα αρχεία. Μαζική μόλυνση με WannaCry ransomware - @ [email προστατευμένο]Ποιοι υπολογιστές έχουν μολυνθεί από τον ιό WannaCry

Ο ιός WannaCry «βρόντηξε» σε όλο τον κόσμο στις 12 Μαΐου, εκείνη την ημέρα μια σειρά από ιατρικά ιδρύματα στο Ηνωμένο Βασίλειο ανακοίνωσαν ότι τα δίκτυά τους είχαν μολυνθεί, η ισπανική εταιρεία τηλεπικοινωνιών και το ρωσικό υπουργείο Εσωτερικών ανέφεραν ότι απέκρουσαν επίθεση χάκερ.

Το WannaCry (στον απλό λαό έχει ήδη το παρατσούκλι της περιοχής Vona) ανήκει στην κατηγορία των ιών ransomware (cryptor), που κρυπτογραφεί όταν μπαίνει σε υπολογιστή προσαρμοσμένα αρχείαΚρυπτογραφικά ισχυρός αλγόριθμος, στη συνέχεια - η ανάγνωση αυτών των αρχείων γίνεται αδύνατη.

Στο αυτή τη στιγμήΟι ακόλουθες δημοφιλείς επεκτάσεις αρχείων είναι γνωστό ότι είναι κρυπτογραφημένες από το WannaCry:

  1. Δημοφιλής Αρχεία της MicrosoftΓραφείο (.xlsx, .xls, .docx, .doc).
  2. Αρχεία και αρχεία πολυμέσων (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - πώς εξαπλώνεται ο ιός

Νωρίτερα, αναφέραμε αυτήν τη μέθοδο εξάπλωσης ιών στο άρθρο σχετικά, οπότε - τίποτα νέο.

Στο γραμματοκιβώτιοο χρήστης λαμβάνει ένα γράμμα με ένα "ακίνδυνο" συνημμένο - μπορεί να είναι εικόνα, βίντεο, τραγούδι, αλλά αντί για την τυπική επέκταση για αυτές τις μορφές, το συνημμένο θα έχει μια εκτελέσιμη επέκταση αρχείου - exe. Όταν ανοίγει και εκκινείται ένα τέτοιο αρχείο, το σύστημα «μολύνεται» και ένας ιός που κρυπτογραφεί τα δεδομένα χρήστη φορτώνεται απευθείας μέσω μιας ευπάθειας στο λειτουργικό σύστημα Windows.

Ίσως αυτή δεν είναι η μόνη μέθοδος διανομής WannaCry - μπορείτε να γίνετε θύμα κατεβάζοντας "μολυσμένα" αρχεία στο στα κοινωνικά δίκτυα, torrent trackers και άλλες τοποθεσίες.

WannaCry - πώς να προστατευτείτε από έναν ιό ransomware

1. Εγκαταστήστε την ενημερωμένη έκδοση κώδικα για τα Microsoft Windows. 14 Μαΐου Microsoftκυκλοφόρησε μια ενημέρωση κώδικα έκτακτης ανάγκης για τις ακόλουθες εκδόσεις - Vista, 7, 8.1, 10, Windows Server. Μπορείτε να εγκαταστήσετε αυτήν την ενημέρωση κώδικα απλά εκτελώντας μια ενημέρωση συστήματος μέσω της υπηρεσίας ενημέρωσης των Windows.

2. Χρήση λογισμικού προστασίας από ιούς με ενημερωμένες βάσεις δεδομένων. Γνωστοί προγραμματιστές λογισμικού ασφαλείας, όπως οι Kaspersky, Dr.Web, έχουν ήδη κυκλοφορήσει μια ενημέρωση για τα προϊόντα τους που περιέχει πληροφορίες για το WannaCry, προστατεύοντας έτσι τους χρήστες τους.

3. Αποθηκεύστε σημαντικά δεδομένα σε ξεχωριστά μέσα. Εάν ο υπολογιστής σας δεν υποβάλλει ακόμη, μπορείτε να αποθηκεύσετε τα πιο σημαντικά αρχεία σε ξεχωριστό μέσο (μονάδα flash, δίσκος). Με αυτήν την προσέγγιση, ακόμα κι αν γίνετε θύμα, θα σώσετε τα πιο πολύτιμα αρχεία σας από κρυπτογράφηση.

Αυτή τη στιγμή είναι όλα γνωστά αποτελεσματικούς τρόπουςπροστασία από το WannaCry.

WannaCry decryptor, πού να κατεβάσετε και είναι δυνατόν να αφαιρέσετε τον ιό;

Οι ιοί ransomware ανήκουν στην κατηγορία των πιο «κακών» ιών, γιατί Στις περισσότερες περιπτώσεις, τα αρχεία χρήστη κρυπτογραφούνται με κλειδί 128 bit ή 256 bit. Το χειρότερο, σε κάθε περίπτωση, είναι ότι το κλειδί είναι μοναδικό και χρειάζεται τεράστια υπολογιστική ισχύς για την αποκρυπτογράφηση του καθενός, γεγονός που καθιστά σχεδόν αδύνατη τη θεραπεία των «απλών» χρηστών.

Τι γίνεται όμως αν γίνετε θύμα του WannaCry και χρειάζεστε έναν αποκρυπτογραφητή;

1. Μεταβείτε στο φόρουμ υποστήριξης της Kaspersky Lab - https://forum.kaspersky.com/ με μια περιγραφή του προβλήματος. Στο φόρουμ συμμετέχουν εκπρόσωποι της εταιρείας και εθελοντές που βοηθούν ενεργά στην επίλυση προβλημάτων.

2. Όπως και στην περίπτωση του γνωστού ransomware CryptXXX, βρέθηκε μια καθολική λύση για την αποκρυπτογράφηση αρχείων που έχουν υποστεί κρυπτογράφηση. Δεν έχει περάσει πάνω από μία εβδομάδα από την ανακάλυψη του WannaCry και οι ειδικοί από τα εργαστήρια κατά των ιών δεν έχουν καταφέρει ακόμη να βρουν μια τέτοια λύση για αυτό.

3. Η βασική απόφαση θα ήταν - πλήρης αφαίρεση OS από υπολογιστή που ακολουθείται από καθαρή εγκατάστασηνέος. Σε αυτήν την περίπτωση, όλα τα αρχεία και τα δεδομένα χρήστη χάνονται εντελώς, μαζί με την αφαίρεση του WannaCry.

Όπως αναφέρουν τα ρωσικά μέσα ενημέρωσης, η εργασία των γραφείων του υπουργείου Εσωτερικών σε αρκετές περιοχές της Ρωσίας έχει διακοπεί λόγω ενός ransomware που έχει χτυπήσει πολλούς υπολογιστές και απειλεί να καταστρέψει όλα τα δεδομένα. Επιπλέον, η εταιρεία τηλεπικοινωνιών Megafon δέχτηκε επίθεση.

Μιλάμε για το WCry ransomware Trojan (WannaCry ή WannaCryptor). Κρυπτογραφεί πληροφορίες σε έναν υπολογιστή και απαιτεί να πληρώσει λύτρα 300 ή 600 δολαρίων σε Bitcoin για αποκρυπτογράφηση.

@[email προστατευμένο], κρυπτογραφημένα αρχεία, επέκταση WNCRY. Απαιτούνται ένα βοηθητικό πρόγραμμα και οδηγίες για την αποκρυπτογράφηση.

Το WannaCry κρυπτογραφεί αρχεία και έγγραφα από παρακάτω επεκτάσειςπροσθέτοντας .WCRY στο τέλος του ονόματος αρχείου:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .pp .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Επίθεση WannaCry σε όλο τον κόσμο

Επιθέσεις καταγράφηκαν σε περισσότερες από 100 χώρες. Η Ρωσία, η Ουκρανία και η Ινδία αντιμετωπίζουν τα μεγαλύτερα προβλήματα. Ο ιός έχει αναφερθεί σε Ηνωμένο Βασίλειο, ΗΠΑ, Κίνα, Ισπανία, Ιταλία. Σημειώνεται ότι η επίθεση χάκερ έχει επηρεάσει νοσοκομεία και εταιρείες τηλεπικοινωνιών σε όλο τον κόσμο. Ένας διαδραστικός χάρτης της διανομής της απειλής WannaCrypt είναι διαθέσιμος στο Διαδίκτυο.

Πώς γίνεται η μόλυνση

Σύμφωνα με τους χρήστες, ο ιός εισέρχεται στους υπολογιστές τους χωρίς καμία ενέργεια από μέρους τους και εξαπλώνεται ανεξέλεγκτα στα δίκτυα. Στο φόρουμ "Kaspersky Lab" αναφέρετε ότι ακόμη και το περιλαμβανόμενο antivirus δεν εγγυάται ασφάλεια.

The WannaCry ( Wana decryptor) εμφανίζεται μέσω της ευπάθειας του Microsoft Security Bulletin MS17-010. Στη συνέχεια εγκαταστάθηκε ένα rootkit στο μολυσμένο σύστημα, χρησιμοποιώντας το οποίο οι κυβερνοεγκληματίες ξεκίνησαν το πρόγραμμα κρυπτογράφησης. Όλες οι λύσεις της Kaspersky Lab εντοπίζουν αυτό το rootkit ως MEM: Trojan.Win64.EquationDrug.gen.

Προφανώς, η μόλυνση συνέβη λίγες μέρες νωρίτερα, αλλά ο ιός εμφανίστηκε μόνο μετά την κρυπτογράφηση όλων των αρχείων στον υπολογιστή.

Πώς να αφαιρέσετε το WanaDecryptor

Θα μπορείτε να αφαιρέσετε την απειλή με ένα antivirus, τα περισσότερα λογισμικό προστασίας από ιούςήδη εντοπίζουν μια απειλή. Κοινοί ορισμοί:

Avast Win32: WanaCry-A, AVG Ransom_r.CFY, Avira TR / FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32 / Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, MicrosoftΛύτρα: Win32 / WannaCrypt, Αρκτοειδές ζώο της ασίας Trj / RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Εάν έχετε ήδη εκκινήσει μια απειλή στον υπολογιστή σας και τα αρχεία σας έχουν κρυπτογραφηθεί, είναι σχεδόν αδύνατο να αποκρυπτογραφήσετε τα αρχεία, καθώς όταν γίνεται εκμετάλλευση της ευπάθειας, εκκινείται ένας κρυπτογραφητής δικτύου. Ωστόσο, αρκετές επιλογές για εργαλεία αποκρυπτογράφησης είναι ήδη διαθέσιμες:

Σημείωση: Εάν τα αρχεία σας ήταν κρυπτογραφημένα και Αντίγραφο ασφαλείαςλείπει και τα υπάρχοντα εργαλεία αποκρυπτογράφησης δεν βοήθησαν, συνιστάται να αποθηκεύσετε τα κρυπτογραφημένα αρχεία πριν καθαρίσετε την απειλή στον υπολογιστή σας. Θα σας φανούν χρήσιμοι εάν δημιουργηθεί στο μέλλον ένα εργαλείο αποκρυπτογράφησης που λειτουργεί για εσάς.

Microsoft: Εγκατάσταση ενημερώσεις των windows

Η Microsoft είπε ότι οι χρήστες με ενεργοποιημένο το δωρεάν πρόγραμμα προστασίας από ιούς και το Windows Update της εταιρείας θα προστατεύονται από επιθέσεις WannaCryptor.

Οι ενημερώσεις από τις 14 Μαρτίου κλείνουν την ευπάθεια των συστημάτων μέσω των οποίων εξαπλώνεται το ransomware Trojan. Σήμερα, η ανίχνευση έχει προστεθεί στις βάσεις δεδομένων προστασίας από ιούς Microsoft Security Essentials / Windows Defender για προστασία από ένα νέο κακόβουλο λογισμικό γνωστό ως Ransom: Win32.WannaCrypt.

  • Βεβαιωθείτε ότι το antivirus είναι ενεργοποιημένο και εγκατεστημένο Τελευταίες ενημερώσεις.
  • Εγκαταστήστε ένα δωρεάν πρόγραμμα προστασίας από ιούς εάν ο υπολογιστής σας δεν διαθέτει προστασία.
  • Εγκαταστήστε τις πιο πρόσφατες ενημερώσεις συστήματος στο Windows Update:
    • Για Windows 7, 8.1Από το μενού Έναρξη, ανοίξτε τον Πίνακα Ελέγχου> Windows Update και κάντε κλικ στο "Έλεγχος για ενημερώσεις".
    • Για Windows 10μεταβείτε στις Ρυθμίσεις> Ενημέρωση και ασφάλεια και κάντε κλικ στο Έλεγχος για ενημερώσεις ..
  • Εάν εγκαθιστάτε ενημερώσεις με μη αυτόματο τρόπο, εγκαταστήστε την επίσημη ενημέρωση κώδικα MS17-010 από τη Microsoft, η οποία διορθώνει την ευπάθεια διακομιστή SMB που εκμεταλλεύεται η επίθεση ransomware WanaDecryptor.
  • Εάν το antivirus σας έχει προστασία από ransomware, ενεργοποιήστε το. Ο ιστότοπός μας διαθέτει επίσης μια ξεχωριστή ενότητα Προστασία από ransomware, όπου μπορείτε να κατεβάσετε δωρεάν εργαλεία.
  • Εκτελέστε σάρωση του συστήματος κατά των ιών.

Οι ειδικοί επισημαίνουν ότι ο ευκολότερος τρόπος για να προστατευτείτε από μια επίθεση είναι να κλείσετε τη θύρα 445.

  • Πληκτρολογήστε sc stop lanmanserver και πατήστε Enter
  • Enter για Windows 10: sc config lanmanserver start = απενεργοποιημένο, για άλλες εκδόσεις Windows: sc config lanmanserver start = απενεργοποιημένο και πατήστε Enter
  • Κάντε επανεκκίνηση του υπολογιστή σας
  • Στη γραμμή εντολών, πληκτρολογήστε netstat -n -a | findstr "ΑΚΡΟΑΣΗ" | findstr ": 445" για να βεβαιωθείτε ότι η θύρα είναι απενεργοποιημένη. Εάν υπάρχουν κενές γραμμές, η θύρα δεν ακούει.

Εάν χρειάζεται, ανοίξτε τη θύρα πίσω:

  • Εκτελέστε τη γραμμή εντολών (cmd.exe) ως διαχειριστής
  • Πληκτρολογήστε για Windows 10: sc config lanmanserver start = auto, για άλλες εκδόσεις Windows: sc config lanmanserver start = auto και πατήστε Enter
  • Κάντε επανεκκίνηση του υπολογιστή σας
Σημείωση: Η θύρα 445 χρησιμοποιείται από τα Windows για κοινή χρήση αρχείων. Το κλείσιμο αυτής της θύρας δεν εμποδίζει τον υπολογιστή να συνδεθεί με άλλους απομακρυσμένους πόρους, αλλά άλλοι υπολογιστές δεν θα μπορούν να συνδεθούν σε αυτό το σύστημα.

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) είναι ένα κακόβουλο πρόγραμμα, σκουλήκι δικτύου και ransomware. Το πρόγραμμα κρυπτογραφεί σχεδόν όλα τα αρχεία που είναι αποθηκευμένα στον υπολογιστή και απαιτεί λύτρα για την αποκρυπτογράφηση τους. Κακόβουλα προγράμματαΈνας τεράστιος αριθμός αυτού του τύπου έχει καταγραφεί τα τελευταία χρόνια, αλλά το WannaCry ξεχωρίζει στο υπόβαθρό τους από την κλίμακα διανομής του και τις τεχνικές που χρησιμοποιούνται.

Αυτός ο ιός ransomware άρχισε να εξαπλώνεται περίπου στις 10 το πρωί και το βράδυ της 12ης Μαΐου, τα μέσα ενημέρωσης άρχισαν να αναφέρουν πολυάριθμες μολύνσεις. Σε διάφορα δημοσιεύματα γράφουν ότι επίθεση χάκερστις μεγαλύτερες συμμετοχές, συμπεριλαμβανομένης της Sberbank.

Ερώτηση χρήστη. «Ο τρέχων προσωπικός μου φορητός υπολογιστής, με Windows 7 Home Premium, εγκαθιστά διάφορες ενημερώσεις κώδικα αυτόματα όταν τον απενεργοποιώ…

Και το tablet W10 μου εγκαθιστά αυτόματα νέες ενημερώσεις κώδικα όταν είναι ενεργοποιημένο... Οι εταιρικοί επιτραπέζιοι υπολογιστές δεν ενημερώνουν αυτόματα το λειτουργικό τους σύστημα όταν το ενεργοποιούν ή το απενεργοποιούν;" Πραγματικά - Γιατί?

Μετά από λίγο, το πλήρες σύνολο των εκμεταλλεύσεων έγινε δημόσια διαθέσιμο μαζί με εκπαιδευτικά βίντεο. Οποιοσδήποτε μπορεί να το χρησιμοποιήσει. Αυτό ακριβώς συνέβη. Το κιτ εκμετάλλευσης περιλαμβάνει το εργαλείο DoublePulsar. Με ανοιχτή θύρα 445 και μη εγκατεστημένη ενημέρωση MS 17-010, χρησιμοποιώντας μια ευπάθεια της κλάσης εκτέλεσης κώδικα απομακρυσμένης (η ικανότητα μόλυνσης ενός υπολογιστή από απόσταση (NSA EternalBlue exploit)), είναι δυνατή η υποκλοπή κλήσεις συστήματοςκαι εισάγετε κακόβουλο κώδικα στη μνήμη. Δεν χρειάζεται να λάβετε κανένα ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ- εάν διαθέτετε υπολογιστή με πρόσβαση στο Διαδίκτυο, που εκτελεί την υπηρεσία SMBv1 και χωρίς εγκατεστημένη την ενημερωμένη έκδοση κώδικα MS17-010, ο εισβολέας θα σας βρει ο ίδιος (για παράδειγμα, με επιθέσεις ωμής βίας).

Ανάλυση WannaCry

Το WannaCry Trojan (γνωστός και ως WannaCrypt) κρυπτογραφεί αρχεία με συγκεκριμένες επεκτάσεις σε έναν υπολογιστή και απαιτεί λύτρα 300 $ σε bitcoins. Δίνονται τρεις ημέρες για πληρωμή και στη συνέχεια το ποσό διπλασιάζεται.

Για κρυπτογράφηση, χρησιμοποιείται ο αμερικανικός αλγόριθμος AES με κλειδί 128 bit.

Στη δοκιμαστική λειτουργία, η κρυπτογράφηση εκτελείται χρησιμοποιώντας ένα δεύτερο κλειδί RSA ενσωματωμένο στο Trojan. Από αυτή την άποψη, είναι δυνατή η αποκρυπτογράφηση των δοκιμαστικών αρχείων.

Κατά την κρυπτογράφηση τυχαίαεπιλέγονται πολλά αρχεία. Το Trojan προσφέρει την αποκρυπτογράφηση τους δωρεάν, έτσι ώστε το θύμα να μπορεί να βεβαιωθεί ότι τα υπόλοιπα μπορούν να αποκρυπτογραφηθούν μετά την πληρωμή των λύτρων.

Αλλά αυτά τα δείγματα αρχείων και τα υπόλοιπα είναι κρυπτογραφημένα με διαφορετικά κλειδιά. Επομένως, δεν υπάρχει καμία εγγύηση αποκρυπτογράφησης!

Σημάδια λοίμωξης WannaCry

Όταν βρίσκεται σε έναν υπολογιστή, ο Trojan εκτελείται ως υπηρεσία συστήματος των Windows με το όνομα mssecsvc2.0 (το ορατό όνομα είναι Υπηρεσία Κέντρου ασφαλείας της Microsoft (2.0)).

Το σκουλήκι είναι ικανό να δέχεται επιχειρήματα γραμμή εντολών... Εάν έχει καθοριστεί τουλάχιστον ένα όρισμα, προσπαθεί να ανοίξει την υπηρεσία mssecsvc2.0 και να τη διαμορφώσει ώστε να κάνει επανεκκίνηση σε περίπτωση σφάλματος.

Μόλις εκκινηθεί, προσπαθεί να μετονομάσει το αρχείο C: \ WINDOWS \ tasksche.exe σε C: \ WINDOWS \ qeriuwjhrf, αποθηκεύει από τους πόρους του κωδικοποιητή Trojan στο αρχείο C: \ WINDOWS \ tasksche.exe και το ξεκινά με την παράμετρο / i . Κατά την εκκίνηση, ο Trojan λαμβάνει τη διεύθυνση IP του μολυσμένου μηχανήματος και προσπαθεί να συνδεθεί στη θύρα TCP 445 κάθε διεύθυνσης IP εντός του υποδικτύου - αναζητά μηχανήματα στο εσωτερικό δίκτυο και προσπαθεί να τα μολύνει.

24 ώρες μετά την κυκλοφορία του ως υπηρεσία συστήματοςτο σκουλήκι εξέρχεται αυτόματα.

Για τη δική του διανομή, το κακόβουλο λογισμικό προετοιμάζει τα Windows Sockets, το CryptoAPI και εκκινεί πολλά νήματα. Ένα από αυτά απαριθμεί τα πάντα διεπαφές δικτύουστον μολυσμένο υπολογιστή και δημοσκοπεί τους διαθέσιμους κόμβους τοπικό δίκτυο, τα υπόλοιπα δημιουργούν τυχαίες διευθύνσεις IP. Ο ιός τύπου worm προσπαθεί να συνδεθεί σε αυτούς τους απομακρυσμένους κεντρικούς υπολογιστές χρησιμοποιώντας τη θύρα 445. Εάν είναι διαθέσιμος, μολύνει κεντρικούς υπολογιστές δικτύου χρησιμοποιώντας μια ευπάθεια στο πρωτόκολλο SMB σε ξεχωριστό νήμα.

Αμέσως μετά την εκκίνηση, το worm προσπαθεί να στείλει ένα αίτημα σε έναν απομακρυσμένο διακομιστή του οποίου ο τομέας είναι αποθηκευμένος στον Trojan. Εάν ληφθεί απάντηση σε αυτό το αίτημα, τερματίζεται.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.κρεμμύδι

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Προστασία έναντι WannaCrypt και άλλου ransomware

Για να προστατευτείτε από το WannaCry ransomware και τις μελλοντικές του τροποποιήσεις, πρέπει:

  1. Απενεργοποιήστε τις υπηρεσίες που δεν χρησιμοποιούνται, συμπεριλαμβανομένου του SMB v1.
  • Είναι δυνατό να απενεργοποιήσετε το SMBv1 χρησιμοποιώντας το PowerShell:
    Set-SmbServerConfiguration -EnableSMB1Protocol $ false
  • Μέσω του μητρώου:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parameters, παράμετρος SMB1 τύπου DWORD = 0
  • Μπορείτε επίσης να διαγράψετε την ίδια την υπηρεσία που είναι υπεύθυνη για το SMBv1 (ναι, μια ξεχωριστή υπηρεσία από την SMBv2 είναι προσωπικά υπεύθυνη για αυτήν):
    sc.exe config lanmanworkstation εξαρτάται = bowser / mrxsmb20 / nsi
    sc.exe config mrxsmb10 start = απενεργοποιημένη
  1. Κλείσιμο με τείχος προστασίας αχρησιμοποίητο θύρες δικτύου, συμπεριλαμβανομένων των θυρών 135, 137, 138, 139, 445 (θύρες SMB).

Εικόνα 2. Παράδειγμα αποκλεισμού της θύρας 445 με τείχος προστασίαςWindows

Εικόνα 3. Παράδειγμα αποκλεισμού της θύρας 445 με τείχος προστασίαςWindows

  1. Περιορίστε την πρόσβαση εφαρμογών στο Διαδίκτυο χρησιμοποιώντας προστασία από ιούς ή τείχος προστασίας.

Εικόνα 4. Ένα παράδειγμα περιορισμού της πρόσβασης στο Διαδίκτυο σε μια εφαρμογή χρησιμοποιώντας το Τείχος προστασίας των Windows

Την Παρασκευή, 12 Μαΐου, εκατοντάδες χιλιάδες υπολογιστές σε όλο τον κόσμο μολύνθηκαν από τον ιό WannaCry (γνωστός και ως WCry και WanaCrypt0r 2.0). «Επιτέθηκε» σε υπολογιστές με λειτουργικό Windows, ενώ εξαπλώθηκε σε όλο τον κόσμο μέσα σε λίγες ώρες. Ο νέος ιός μόλυνε τόσο τους υπολογιστές ιδιωτών όσο και τους υπολογιστές κρατικών υπηρεσιών και μεγάλες εταιρείες... Η Ρωσία υπέφερε τα περισσότερα από τον ιό, όπου επλήγησαν υπολογιστές πολλών κρατικών υπηρεσιών.

Fun fact: Μετά τη διανομή Ιός WannaCryστη Ρωσία άρχισαν να φτάνουν αναφορές για αναστολή της έκδοσης αδειών οδήγησης λόγω καταστροφών των υπολογιστών του Υπουργείου Εσωτερικών. Επιπλέον, μολύνθηκαν οι Η/Υ της Ερευνητικής Επιτροπής και πολλών μεγάλων εταιρειών, μεταξύ των οποίων και η Megafon.

Τι είναι ο ιός WannaCry

Ο ιός WannaCry είναι ένας τυπικός «κρυπτογραφητής δεδομένων». Αυτός ο τύποςΟι ιοί είναι από τους πιο επικίνδυνους και δύσκολους από την άποψη της αντιμετώπισης. Τέτοιοι ιοί στοχεύουν συχνότερα στην εκβίαση χρημάτων από χρήστες των οποίων οι υπολογιστές εμπίπτουν στη μόλυνση και το WannaCry δεν αποτελεί εξαίρεση.

Ενδιαφέρον γεγονός: Προς το παρόν, δεν είναι γνωστό ποιος ακριβώς είναι ο δημιουργός του ιού WannaCry. Ταυτόχρονα, υποθέσεις γίνονται όχι μόνο στο δίκτυο, αλλά και σε κρατικό επίπεδο. Συγκεκριμένα, ο πρόεδρος Ρωσική ΟμοσπονδίαΟ Βλαντιμίρ Πούτιν κατηγόρησε τις υπηρεσίες πληροφοριών των ΗΠΑ για διάδοση της απειλής.

Όταν φτάσει στον υπολογιστή του χρήστη, ο ιός WannaCry κρυπτογραφεί τα δεδομένα σε αυτόν. Τα αρχεία που έχουν υποστεί κρυπτογράφηση λαμβάνουν την επέκταση ".WNCRY"... Στην αρχή του ονόματος των κρυπτογραφημένων αρχείων εμφανίζεται μια επιγραφή "ΠΡΟΚΛΗΣΗ!"... Είναι σχεδόν αδύνατο να αποκρυπτογραφήσετε αυτά τα αρχεία χρησιμοποιώντας τυπικά προγράμματα προστασίας από ιούς και αποκρυπτογραφητές, τα οποία χρησιμοποιούνται για την καταπολέμηση άλλων παρόμοιων κακόβουλων προγραμμάτων.

Μετά την κρυπτογράφηση των δεδομένων χρήστη στον υπολογιστή, ο ιός WannaCry εμφανίζει ένα παράθυρο με το μήνυμα "Ωχ, τα αρχεία σας έχουν κρυπτογραφηθεί!"... Ακολουθούν πληροφορίες σχετικά με το τι είναι ιός, αν είναι δυνατή η ανάκτηση αρχείων κ.λπ.

Ενδιαφέρον γεγονός: Οι δημιουργοί του ιού WannaCry φρόντισαν τους χρήστες σε διαφορετικές περιοχές εντοπίζοντας ένα ενημερωτικό μήνυμα για αυτούς. Στη Ρωσία, ένας ιός στα ρωσικά εξηγεί στους χρήστες πώς να ξεμπλοκάρουν αρχεία που έχουν μολυνθεί με WannaCry.

Πώς να ξεμπλοκάρετε αρχεία που έχουν μολυνθεί με WannaCry

Οι δημιουργοί του ιού WannaCry έχουν προβλέψει τη δυνατότητα ξεκλειδώματος των αρχείων χρήστη, αλλά μόνο για χρήματα και για περιορισμένο χρονικό διάστημα:

  • Στη διάρκεια 3 ημέρες μετά τη μόλυνση του υπολογιστήμπορείτε να στείλετε το ισοδύναμο των 300 $ στο καθορισμένο πορτοφόλι BitCoin των δημιουργών του ιού για να ξεμπλοκάρετε τα αρχεία.
  • Αν οι εκβιαστές δεν λάβουν τα χρήματα εντός 3 ημερών, η τιμή ξεκλειδώματος θα αυξηθεί στο ισοδύναμο των 600 $ σε bitcoins.
  • Αν την έβδομη ημέρα μόλυνσης από τον ιόΟ χρήστης υπολογιστή WannaCry δεν θα μεταφέρει χρήματα στο ransomware, τα αρχεία του θα καταστραφούν.

Να σημειωθεί ότι στο παράθυρο πληροφοριών του ιού WannaCry υπάρχουν μετρητές που μετρούν αντίστροφα μέχρι να αυξηθεί το κόστος ξεκλειδώματος και καταστροφής δεδομένων.

Ενδιαφέρον γεγονός: Παρά το γεγονός ότι ο ιός WannaCry μόλυνε εκατοντάδες χιλιάδες υπολογιστές την πρώτη κιόλας μέρα, σύμφωνα με τον The Guardian, μόνο περίπου εκατό άτομα συμφώνησαν να πληρώσουν στο ransomware 300 $ για να ξεκλειδώσουν τα δεδομένα τους.

Ποιοι υπολογιστές έχουν μολυνθεί από τον ιό WannaCry

Ο ιός WannaCry μολύνει μόνο τους υπολογιστές στο χειρουργείο Σύστημα Windows... Ταυτόχρονα, επιτίθεται σε υπολογιστές χρησιμοποιώντας παλιές εκδόσεις των Windows - XP, Server 2003, 8.

Ενδιαφέρον γεγονός: Τον Μάρτιο, η Microsoft κυκλοφόρησε μια ενημέρωση που βοηθά στην προστασία των υπολογιστών από τη μόλυνση από τον ιό WannaCry. Αλλά αυτό το patch κυκλοφόρησε μόνο για λειτουργικά συστήματαπου υποστηρίζονται από την εταιρεία είναι τα Windows 7 και Windows 10 σε διάφορες εκδόσεις. Όσον αφορά τους χρήστες με άλλους εκδόσεις Windows, απειλήθηκαν και καταπλακώθηκαν. Την επόμενη κιόλας μέρα μετά την έναρξη της μαζικής μόλυνσης των υπολογιστών με τον ιό WannaCry, η Microsoft κυκλοφόρησε μια ενημέρωση για τα Windows XP και άλλα παλαιότερα συστήματα, τα οποία επίσημα δεν υποστηρίζονται πλέον.

Ο ιός WannaCry μολύνει τους υπολογιστές μέσω σεναρίων που αποστέλλονται μέσω ταχυδρομείου και μέσω διαφόρων ιστοσελίδων.

Σημαντικό: Εάν δείτε ένα μήνυμα στην αλληλογραφία σας (ειδικά από έναν άγνωστο αποστολέα) με συνημμένα αρχεία (στην επέκταση .exe ή .js), μην τα πραγματοποιήσετε λήψη στον υπολογιστή σας, ακόμα κι αν το πρόγραμμα προστασίας από ιούς που είναι ενσωματωμένο στο πρόγραμμα περιήγησης δεν βλέπει οποιοδήποτε πρόβλημα με τα αρχεία!

Πώς να προστατέψετε τον υπολογιστή σας από τον ιό WannaCry

Εκτός από το γεγονός ότι δεν χρειάζεται να επισκέπτεστε μη επαληθευμένους ιστότοπους και να κάνετε λήψη αμφίβολων αρχείων από το ταχυδρομείο, υπάρχουν πολλές ακόμη συστάσεις που θα σας βοηθήσουν να αποφύγετε τη μόλυνση του υπολογιστή σας με τον ιό WannaCry:

Αξίζει να σημειωθεί: Υπάρχουν διάφορες μορφές του ιού WannaCry. Ορισμένα από αυτά μπορούν να επιλυθούν με την εκκίνηση του υπολογιστή λειτουργία ασφαλείαςμε προγράμματα οδήγησης δικτύου και, στη συνέχεια, ελέγξτε τον υπολογιστή με το SpyHunter Anti-Malware Tool, Malwarebytes Anti-malwareή STOPZilla και, στη συνέχεια, επιλέξτε έναν αποκρυπτογραφητή για την αποκρυπτογράφηση των δεδομένων. Ωστόσο, αυτή η μέθοδος είναι έγκυρη μόνο εάν ο υπολογιστής σας έχει μολυνθεί με πρώιμες εκδόσεις του ιού WannaCry.