Je veux pleurer les fichiers exécutables. Infection massive avec le ransomware WannaCry - @ [email protégé] Quels ordinateurs sont infectés par le virus WannaCry

Le virus WannaCry a "tonné" dans le monde entier le 12 mai. Ce jour-là, un certain nombre d'institutions médicales au Royaume-Uni ont annoncé que leurs réseaux étaient infectés, la société de télécommunications espagnole et le ministère russe de l'Intérieur ont déclaré avoir repoussé une attaque de pirates informatiques.

WannaCry (dans le commun des mortels, il a déjà été surnommé la région de Vona) appartient à la catégorie des virus ransomware (cryptor), qui crypte lorsqu'il pénètre dans un PC fichiers personnalisés algorithme cryptographiquement fort, par la suite - la lecture de ces fichiers devient impossible.

Au ce moment Les extensions de fichiers populaires suivantes sont connues pour être cryptées par WannaCry :

  1. Populaire fichiers Microsoft Office (.xlsx, .xls, .docx, .doc).
  2. Fichiers d'archives et multimédias (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - comment le virus se propage

Plus tôt, nous avons mentionné cette méthode de propagation des virus dans l'article sur, donc - rien de nouveau.

Au boites aux lettres l'utilisateur reçoit une lettre avec une pièce jointe "inoffensive" - ​​il peut s'agir d'une image, d'une vidéo, d'une chanson, mais au lieu de l'extension standard pour ces formats, la pièce jointe aura une extension de fichier exécutable - exe. Lorsque vous ouvrez et exécutez un tel fichier, le système est « infecté » et un virus qui crypte les données utilisateur est chargé directement via une vulnérabilité du système d'exploitation Windows.

Ce n'est peut-être pas la seule méthode de distribution WannaCry - vous pouvez devenir une victime en téléchargeant des fichiers "infectés" sur réseaux sociaux, trackers torrent et autres sites.

WannaCry - comment vous protéger d'un virus ransomware

1. Installez le correctif pour Microsoft Windows. 14 mai Microsoft a publié un correctif d'urgence pour les versions suivantes - Vista, 7, 8.1, 10, Windows Server. Vous pouvez installer ce correctif simplement en exécutant une mise à jour du système via le service de mise à jour Windows.

2. Utilisation d'un logiciel antivirus avec des bases de données à jour. Des développeurs bien connus de logiciels de sécurité, tels que Kaspersky, Dr.Web, ont déjà publié une mise à jour pour leurs produits contenant des informations sur WannaCry, protégeant ainsi leurs utilisateurs.

3. Enregistrez les données importantes sur des supports séparés. Si votre ordinateur ne soumet pas encore, vous pouvez enregistrer les fichiers les plus importants sur un support séparé (lecteur flash, disque). Avec cette approche, même si vous devenez une victime, vous sauverez vos fichiers les plus précieux du cryptage.

Pour le moment, ils sont tous connus moyens efficaces protection contre WannaCry.

Décrypteur WannaCry, où télécharger et est-il possible de supprimer le virus ?

Les virus ransomware appartiennent à la catégorie des virus les plus « méchants », car dans la plupart des cas, les fichiers utilisateur sont cryptés avec une clé 128 bits ou 256 bits. Le pire, dans chaque cas, c'est que la clé est unique et qu'il faut une énorme puissance de calcul pour déchiffrer chacune d'elles, ce qui rend presque impossible de guérir les utilisateurs "ordinaires".

Mais que faire si vous êtes victime de WannaCry et avez besoin d'un décrypteur ?

1. Visitez le forum d'assistance de Kaspersky Lab - https://forum.kaspersky.com/ avec une description du problème. Le forum est fréquenté à la fois par des représentants d'entreprises et des bénévoles qui aident activement à résoudre les problèmes.

2. Comme dans le cas du célèbre ransomware CryptXXX, une solution universelle a été trouvée pour décrypter les fichiers qui ont subi un cryptage. Pas plus d'une semaine s'est écoulée depuis la découverte de WannaCry, et les spécialistes des laboratoires antivirus n'ont pas encore réussi à lui trouver une telle solution.

3. La décision cardinale serait - suppression complète OS à partir d'un ordinateur suivi de installation propre Nouveau. Dans cette situation, tous les fichiers et données utilisateur sont complètement perdus, ainsi que la suppression de WannaCry.

Comme l'ont rapporté les médias russes, le travail des bureaux du ministère de l'Intérieur dans plusieurs régions de Russie a été perturbé en raison d'un ransomware qui a touché de nombreux ordinateurs et menace de détruire toutes les données. Par ailleurs, l'opérateur télécom Megafon a été attaqué.

Nous parlons du cheval de Troie WCry ransomware (WannaCry ou WannaCryptor). Il crypte les informations sur un ordinateur et exige de payer une rançon de 300 $ ou 600 $ en Bitcoin pour le décryptage.

@[email protégé], fichiers cryptés, extension WNCRY. Un utilitaire et des instructions pour le décryptage sont requis.

WannaCry crypte les fichiers et les documents de extensions suivantes en ajoutant .WCRY à la fin du nom de fichier :

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .docx

Attaque WannaCry dans le monde

Des attaques ont été enregistrées dans plus de 100 pays. La Russie, l'Ukraine et l'Inde connaissent les plus gros problèmes. Le virus a été signalé au Royaume-Uni, aux États-Unis, en Chine, en Espagne et en Italie. Il est à noter que l'attaque de pirate informatique a touché des hôpitaux et des entreprises de télécommunications du monde entier. Une carte interactive de la répartition de la menace WannaCrypt est disponible sur Internet.

Comment se déroule l'infection

Selon les utilisateurs, le virus pénètre dans leurs ordinateurs sans aucune action de leur part et se propage de manière incontrôlable dans les réseaux. Sur le forum "Kaspersky Lab", indiquez que même l'antivirus inclus ne garantit pas la sécurité.

Le WannaCry ( Décrypteur Wana) se produit via la vulnérabilité Microsoft Security Bulletin MS17-010. Ensuite, un rootkit a été installé sur le système infecté, à l'aide duquel les cybercriminels ont lancé le programme de cryptage. Toutes les solutions de Kaspersky Lab détectent ce rootkit comme MEM : Trojan.Win64.EquationDrug.gen.

Vraisemblablement, l'infection s'est produite quelques jours plus tôt, mais le virus ne s'est manifesté qu'après avoir crypté tous les fichiers sur l'ordinateur.

Comment supprimer WanaDecryptor

Vous pourrez supprimer la menace avec un antivirus, la plupart Logiciel antivirus détectent déjà une menace. Définitions courantes :

Avast Win32 : WanaCry-A, MOYENNE Ransom_r.CFY, Avira TR / FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojan.Encoder.11432, ESET-NOD32 Win32 / Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Rançon : Win32 / WannaCrypt, Panda Trj / RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Si vous avez déjà lancé la menace sur votre ordinateur et que vos fichiers ont été cryptés, il est quasiment impossible de décrypter les fichiers, car lorsque la vulnérabilité est exploitée, un crypteur réseau est lancé. Cependant, plusieurs options pour les outils de décryptage sont déjà disponibles :

Noter: Si vos fichiers étaient cryptés et copie de sauvegarde est manquant et que les outils de décryptage existants n'ont pas aidé, il est recommandé d'enregistrer les fichiers cryptés avant de nettoyer la menace sur votre ordinateur. Ils vous seront utiles si un outil de décryptage fonctionnant pour vous est créé à l'avenir.

Microsoft : Installer Mises à jour Windows

Microsoft a déclaré que les utilisateurs disposant de l'antivirus gratuit de la société et de Windows Update activés seraient protégés contre les attaques WannaCryptor.

Les mises à jour du 14 mars mettent fin à la vulnérabilité des systèmes à travers lesquels le cheval de Troie ransomware se propage. Aujourd'hui, la détection a été ajoutée aux bases de données antivirus Microsoft Security Essentials / Windows Defender pour se protéger contre un nouveau malware connu sous le nom de Ransom : Win32.WannaCrypt.

  • Assurez-vous que l'antivirus est activé et installé Dernières mises à jour.
  • Installez un antivirus gratuit si votre ordinateur n'a aucune protection.
  • Installez les dernières mises à jour du système dans Windows Update :
    • Pour Windows 7, 8.1 Dans le menu Démarrer, ouvrez le Panneau de configuration> Windows Update et cliquez sur "Rechercher les mises à jour".
    • Pour Windows 10 allez dans Paramètres> Mise à jour et sécurité et cliquez sur Rechercher les mises à jour ..
  • Si vous installez les mises à jour manuellement, installez le correctif Microsoft officiel MS17-010, qui corrige la vulnérabilité du serveur SMB exploitée dans l'attaque du ransomware WanaDecryptor.
  • Si votre antivirus est protégé contre les ransomwares, activez-le. Notre site dispose également d'une section distincte Protection contre les ransomwares, où vous pouvez télécharger des outils gratuits.
  • Effectuez une analyse antivirus du système.

Les experts soulignent que le moyen le plus simple de se protéger d'une attaque est de fermer le port 445.

  • Tapez sc stop lanmanserver et appuyez sur Entrée
  • Tapez pour Windows 10 : sc config lanmanserver start = disabled, pour les autres versions de Windows : sc config lanmanserver start = disabled et appuyez sur Entrée
  • Redémarrez votre ordinateur
  • À l'invite de commande, entrez netstat -n -a | findstr "ÉCOUTE" | findstr ": 445" pour vous assurer que le port est désactivé. S'il y a des lignes vides, le port n'écoute pas.

Si nécessaire, rouvrez le port :

  • Exécutez l'invite de commande (cmd.exe) en tant qu'administrateur
  • Tapez pour Windows 10 : sc config lanmanserver start = auto, pour les autres versions de Windows : sc config lanmanserver start = auto et appuyez sur Entrée
  • Redémarrez votre ordinateur
Noter: Le port 445 est utilisé par Windows pour le partage de fichiers. La fermeture de ce port n'empêche pas le PC de se connecter à d'autres ressources distantes, mais les autres PC ne pourront pas se connecter à ce système.

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) est un programme malveillant, un ver de réseau et un ransomware. Le programme crypte presque tous les fichiers stockés sur l'ordinateur et demande une rançon pour les décrypter. Programmes malveillants Un très grand nombre de ce type a été enregistré ces dernières années, mais WannaCry se démarque dans leur contexte par l'ampleur de sa diffusion et les techniques utilisées.

Ce virus ransomware a commencé à se propager vers 10 heures du matin et dans la soirée du 12 mai, les médias ont commencé à signaler de nombreuses infections. Dans diverses publications, ils écrivent que attaque de pirate aux plus grands holdings, dont Sberbank.

Question de l'utilisateur. « Mon ordinateur portable personnel actuel, exécutant Windows 7 Home Premium, installe automatiquement divers correctifs lorsque je le désactive ...

Et ma tablette W10 installe automatiquement de nouveaux correctifs lorsqu'elle est allumée... Les bureaux d'entreprise ne mettent-ils pas automatiquement à jour leur système d'exploitation lorsqu'ils l'allument ou l'éteignent ?" Vraiment - Pourquoi?

Après un certain temps, l'ensemble complet des exploits a été rendu public avec des vidéos de formation. N'importe qui peut l'utiliser. c'est exactement ce qui s'est passé. Le kit d'exploit comprend l'outil DoublePulsar. Avec le port 445 ouvert et non mise à jour installée MS 17-010, utilisant une vulnérabilité de la classe d'exécution de code à distance (capacité d'infecter un ordinateur à distance (exploit NSA EternalBlue)), il est possible d'intercepter appels système et injecter du code malveillant en mémoire. Pas besoin de recevoir e-mail- si vous avez un ordinateur avec accès Internet, exécutant le service SMBv1 et sans le correctif MS17-010 installé, l'attaquant vous trouvera lui-même (par exemple, par adressage par force brute).

Analyse WannaCry

Le cheval de Troie WannaCry (alias WannaCrypt) crypte les fichiers avec certaines extensions sur un ordinateur et exige une rançon de 300 $ en bitcoins. Trois jours sont donnés pour le paiement, puis le montant est doublé.

Pour le cryptage, l'algorithme américain AES avec une clé de 128 bits est utilisé.

En mode test, le chiffrement est effectué à l'aide d'une deuxième clé RSA intégrée au cheval de Troie. À cet égard, le décryptage des fichiers de test est possible.

Pendant le cryptage au hasard plusieurs fichiers sont sélectionnés. Le cheval de Troie propose de les déchiffrer gratuitement afin que la victime puisse être convaincue que le reste peut être déchiffré une fois la rançon payée.

Mais ces exemples de fichiers et le reste sont chiffrés avec des clés différentes. Par conséquent, il n'y a aucune garantie de décryptage!

Signes d'une infection WannaCry

Une fois sur un ordinateur, le cheval de Troie s'exécute en tant que service système Windows nommé mssecsvc2.0 (le nom visible est Microsoft Security Center (2.0) Service).

Le ver est capable d'accepter des arguments ligne de commande... Si au moins un argument est spécifié, essaie d'ouvrir le service mssecsvc2.0 et de le configurer pour qu'il redémarre en cas d'erreur.

Une fois lancé, il essaie de renommer le fichier C:\WINDOWS\tasche.exe en C:\WINDOWS\qeriuwjhrf, enregistre les ressources de l'encodeur Trojan dans le fichier C:\WINDOWS\tasche.exe et le démarre avec le paramètre /i . Lors du lancement, le cheval de Troie obtient l'adresse IP de la machine infectée et essaie de se connecter au port TCP 445 de chaque adresse IP du sous-réseau - il recherche les machines sur le réseau interne et essaie de les infecter.

24 heures après son lancement en tant que service système le ver sort automatiquement.

Pour sa propre distribution, le malware initialise Windows Sockets, CryptoAPI et lance plusieurs threads. L'un d'eux liste tout Interfaces réseau sur le PC infecté et interroge les nœuds disponibles dans réseau local, les autres génèrent des adresses IP aléatoires. Le ver essaie de se connecter à ces hôtes distants en utilisant le port 445. S'il est disponible, il infecte les hôtes du réseau en utilisant une vulnérabilité dans le protocole SMB dans un thread séparé.

Immédiatement après son lancement, le ver essaie d'envoyer une requête à un serveur distant dont le domaine est stocké dans le cheval de Troie. Si une réponse à cette demande est reçue, elle se termine.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Protection contre WannaCrypt et autres ransomwares

Pour vous protéger contre le ransomware WannaCry et ses futures modifications, vous devez :

  1. Désactivez les services inutilisés, y compris SMB v1.
  • Il est possible de désactiver SMBv1 à l'aide de PowerShell :
    Set-SmbServerConfiguration -EnableSMB1Protocol $ false
  • Via le registre :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Paramètres, paramètre SMB1 de type DWORD = 0
  • Vous pouvez également supprimer le service lui-même responsable de SMBv1 (oui, un service distinct de SMBv2 en est personnellement responsable) :
    sc.exe config lanmanworkstation dépend = bowser / mrxsmb20 / nsi
    sc.exe config mrxsmb10 start = désactivé
  1. Fermer avec le pare-feu inutilisé ports réseau, y compris les ports 135, 137, 138, 139, 445 (ports SMB).

Figure 2. Exemple de blocage du port 445 avec un pare-feules fenêtres

Figure 3. Exemple de blocage du port 445 avec un pare-feules fenêtres

  1. Restreindre l'accès des applications à Internet à l'aide d'un antivirus ou d'un pare-feu.

Figure 4. Exemple de restriction de l'accès Internet à une application à l'aide du pare-feu Windows

Le vendredi 12 mai, des centaines de milliers d'ordinateurs à travers le monde ont été infectés par le virus WannaCry (également connu sous le nom de WCry et WanaCrypt0r 2.0). Il a "attaqué" des ordinateurs exécutant le système d'exploitation Windows, alors qu'en quelques heures il s'est répandu dans le monde entier. Le nouveau virus a infecté à la fois les ordinateurs des particuliers et les ordinateurs des agences gouvernementales et grandes entreprises... La Russie a le plus souffert du virus, où les ordinateurs de nombreuses agences gouvernementales ont été touchés.

Fait amusant : après la distribution Virus WannaCry en Russie, des rapports ont commencé à arriver sur la suspension de la délivrance des permis de conduire en raison des pannes des ordinateurs du ministère de l'Intérieur. De plus, les PC du comité d'enquête et de nombreuses grandes entreprises, dont Megafon, ont été infectés.

Qu'est-ce que le virus WannaCry

Le virus WannaCry est un "crypteur de données" typique. Ce type les virus sont l'un des plus dangereux et difficiles du point de vue de la lutte. Ces virus visent le plus souvent à extorquer de l'argent aux utilisateurs dont les ordinateurs sont infectés, et WannaCry ne fait pas exception.

Fait intéressant : pour le moment, on ne sait pas exactement qui est le créateur du virus WannaCry. Dans le même temps, des hypothèses sont exprimées non seulement sur le réseau, mais également au niveau de l'État. En particulier, le président Fédération Russe Vladimir Poutine a accusé les services de renseignement américains de propager la menace.

Lorsqu'il atteint l'ordinateur de l'utilisateur, le virus WannaCry crypte les données qu'il contient. Les fichiers qui ont subi un cryptage reçoivent l'extension ".WNCRY"... Une inscription apparaît au début du nom des fichiers cryptés « WANACRY !... Il est presque impossible de décrypter ces fichiers à l'aide d'antivirus et de décrypteurs standard, qui sont utilisés pour lutter contre d'autres logiciels malveillants similaires.

Après avoir crypté les données de l'utilisateur sur l'ordinateur, le virus WannaCry affiche une fenêtre avec le message « Oups, vos fichiers ont été cryptés ! »... Viennent ensuite des informations sur ce qu'est un virus, s'il est possible de récupérer des fichiers, etc.

Fait intéressant : les créateurs du virus WannaCry se sont occupés des utilisateurs dans différentes régions en localisant un message d'information pour eux. En Russie, un virus en russe explique aux utilisateurs comment débloquer les fichiers infectés par WannaCry.

Comment débloquer les fichiers infectés par WannaCry

Les créateurs du virus WannaCry ont prévu la possibilité de déverrouiller les fichiers des utilisateurs, mais uniquement pour de l'argent et pour une durée limitée :

  • Pendant 3 jours après l'infection de l'ordinateur vous pouvez envoyer l'équivalent de 300 $ au portefeuille BitCoin spécifié des créateurs du virus pour débloquer les fichiers ;
  • Si les extorqueurs ne reçoivent pas l'argent dans les 3 jours, le prix de déverrouillage passera à l'équivalent de 600 $ en bitcoins ;
  • Si le septième jour de l'infection virale L'utilisateur de l'ordinateur WannaCry ne transférera pas d'argent vers le ransomware, ses fichiers seront détruits.

Il convient de noter que dans la fenêtre d'information du virus WannaCry, il existe des compteurs qui décomptent le temps jusqu'à ce que le coût de déverrouillage et de destruction des données augmente.

Fait intéressant : malgré le fait que le virus WannaCry ait infecté des centaines de milliers d'ordinateurs dès le premier jour, selon The Guardian, seulement une centaine de personnes ont accepté de payer le ransomware 300 $ pour déverrouiller leurs données.

Quels ordinateurs sont infectés par le virus WannaCry

Le virus WannaCry n'infecte que les ordinateurs de la salle d'opération Système Windows... Dans le même temps, il attaque les ordinateurs utilisant d'anciennes versions de Windows - XP, Server 2003, 8.

Fait intéressant : en mars, Microsoft a publié une mise à jour qui aide à protéger les ordinateurs contre l'infection par le virus WannaCry. Mais ce patch n'a été publié que pour systèmes d'exploitation pris en charge par la société sont Windows 7 et Windows 10 dans différentes éditions. Quant aux utilisateurs avec d'autres Versions Windows, ils ont été menacés et dépassés. Dès le lendemain de la découverte de l'infection massive des ordinateurs par le virus WannaCry, Microsoft a publié une mise à jour pour Windows XP et d'autres systèmes plus anciens, qui ne sont officiellement plus pris en charge.

Le virus WannaCry infecte les ordinateurs via des scripts envoyés par courrier et via divers sites Web.

Important : Si vous voyez un message dans votre courrier (en particulier d'un expéditeur inconnu) avec des pièces jointes (dans l'extension .exe ou .js), ne les téléchargez pas sur votre ordinateur, même si l'antivirus intégré au navigateur ne voit pas aucun problème avec les fichiers !

Comment protéger votre ordinateur contre le virus WannaCry

En plus du fait que vous n'avez pas besoin de visiter des sites non vérifiés et de télécharger des fichiers douteux à partir de la messagerie, il existe plusieurs autres recommandations qui vous aideront à éviter d'infecter votre ordinateur avec le virus WannaCry :

À noter : il existe plusieurs formes du virus WannaCry. Certains d'entre eux peuvent être résolus en démarrant l'ordinateur dans mode sans échec avec les pilotes réseau, puis vérifiez l'ordinateur avec SpyHunter Anti-Malware Tool, Malwarebytes Anti-Malware ou STOPZilla, puis choisissez un décrypteur pour décrypter les données. Cependant, cette méthode n'est valable que si votre ordinateur a été infecté par les premières versions du virus WannaCry.