Wanna cry izvršne datoteke. Masovna infekcija ransomwareom WannaCry - @ [e-mail zaštićen] Koja su računala zaražena virusom WannaCry

Virus WannaCry je 12. svibnja "zagrmio" cijelim svijetom, tog dana brojne medicinske ustanove u Velikoj Britaniji objavile su da su im mreže zaražene, španjolska telekomunikacijska tvrtka i rusko Ministarstvo unutarnjih poslova izvijestili su o odbijanju hakerskog napada.

WannaCry (u običnom narodu već je dobio nadimak Vona regija) pripada kategoriji ransomware (kriptor) virusa, koji se šifrira kada uđe u PC prilagođene datoteke kriptografski jak algoritam, naknadno - čitanje ovih datoteka postaje nemoguće.

Na ovaj trenutak Poznato je da WannaCry šifrira sljedeće popularne ekstenzije datoteka:

  1. Popularan Microsoftove datoteke Ured (.xlsx, .xls, .docx, .doc).
  2. Arhivske i medijske datoteke (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry - kako se virus širi

Ovu metodu širenja virusa ranije smo spominjali u članku o, dakle - ništa novo.

Na poštanski sandučić korisnik dobiva pismo s "bezopasnim" prilogom - to može biti slika, video, pjesma, ali umjesto standardnog nastavka za te formate, privitak će imati ekstenziju izvršne datoteke - exe. Kada se takva datoteka otvori i pokrene, sustav se "zarazi" i izravno se učita virus koji šifrira korisničke podatke kroz ranjivost u OS Windows.

Možda ovo nije jedina metoda distribucije WannaCry - možete postati žrtva preuzimanjem "zaraženih" datoteka na društvene mreže, torrent trackers i druge stranice.

WannaCry - kako se zaštititi od ransomware virusa

1. Instalirajte zakrpu za Microsoft Windows. 14. svibnja Microsoft izdao hitnu zakrpu za sljedeće verzije - Vista, 7, 8.1, 10, Windows Server. Ovu zakrpu možete instalirati jednostavnim pokretanjem ažuriranja sustava putem usluge ažuriranja sustava Windows.

2. Korištenje antivirusnog softvera s ažuriranim bazama podataka. Poznati programeri sigurnosnog softvera, kao što je Kaspersky, Dr.Web, već su objavili ažuriranje za svoje proizvode koje sadrži informacije o WannaCryju, čime štite svoje korisnike.

3. Važne podatke spremite na zasebne medije. Ako se vaše računalo još ne šalje, najvažnije datoteke možete spremiti na poseban medij (flash disk, disk). Ovim pristupom, čak i ako postanete žrtva, spasit ćete svoje najvrednije datoteke od enkripcije.

U ovom trenutku, sve su to poznate učinkovite načine zaštita od WannaCryja.

WannaCry dekriptor, gdje preuzeti i je li moguće ukloniti virus?

Ransomware virusi spadaju u kategoriju naj»gadnijih« virusa, jer u većini slučajeva, korisničke datoteke šifrirane su 128-bitnim ili 256-bitnim ključem. Najgore je u svakom slučaju to što je ključ jedinstven i potrebna je ogromna računalna snaga za dešifriranje svakog od njih, zbog čega je gotovo nemoguće izliječiti "obične" korisnike.

Ali što ako postanete žrtva WannaCryja i trebate dešifriranje?

1. Idite na Kaspersky Lab forum podrške - https://forum.kaspersky.com/ s opisom problema. Na forumu sudjeluju i predstavnici tvrtki i volonteri koji aktivno pomažu u rješavanju problema.

2. Kao iu slučaju dobro poznatog CryptXXX ransomwarea, pronađeno je univerzalno rješenje za dešifriranje datoteka koje su podvrgnute enkripciji. Nije prošlo više od tjedan dana od otkrića WannaCryja, a stručnjaci iz antivirusnih laboratorija još nisu uspjeli pronaći takvo rješenje za njega.

3. Glavna odluka bi bila - potpuno uklanjanje OS s računala slijedi čista instalacija novi. U ovoj situaciji, sve korisničke datoteke i podaci su potpuno izgubljeni, zajedno s uklanjanjem WannaCry.

Kako javljaju ruski mediji, rad ureda Ministarstva unutarnjih poslova u nekoliko regija Rusije poremećen je zbog ransomwarea koji je pogodio mnoga računala i prijeti uništenjem svih podataka. Osim toga, napadnut je i telekom operater Megafon.

Govorimo o WCry ransomware trojancu (WannaCry ili WannaCryptor). On šifrira informacije na računalu i zahtijeva da plati otkupninu od 300 dolara ili 600 dolara u Bitcoinu za dešifriranje.

@[e-mail zaštićen], šifrirane datoteke, ekstenzija WNCRY. Potrebni su uslužni program i upute za dešifriranje.

WannaCry šifrira datoteke i dokumente iz sljedeća proširenja dodavanjem .WCRY na kraju naziva datoteke:

Lay6, .sqlite3, .sqlitedb, .accdb, .java, .class, .mpeg, .djvu, .tiff, .backup, .vmdk, .sldm, .sldx, .potm, .potx, .ppam, .ppsx, .ppsm, .pptm, .xltm, .xltx, .xlsb, .xlsm, .dotx, .dotm, .docm, .docb, .jpeg, .onetoc2, .vsdx, .pptx, .xlsx, .doc

WannaCry napad diljem svijeta

Napadi su zabilježeni u preko 100 zemalja. Najveće probleme imaju Rusija, Ukrajina i Indija. Virus je prijavljen u Velikoj Britaniji, SAD-u, Kini, Španjolskoj, Italiji. Napominje se da je hakerski napad zahvatio bolnice i telekomunikacijske tvrtke diljem svijeta. Interaktivna karta distribucije prijetnje WannaCrypt dostupna je na Internetu.

Kako se infekcija odvija

Prema riječima korisnika, virus ulazi u njihova računala bez ikakvog djelovanja s njihove strane i nekontrolirano se širi mrežama. Na forumu "Kaspersky Lab" naznačite da čak ni uključeni antivirusni program ne jamči sigurnost.

WannaCry ( Wana dešifriranje) javlja se kroz ranjivost Microsoftovog sigurnosnog biltena MS17-010. Zatim je na zaraženi sustav instaliran rootkit pomoću kojeg su cyber kriminalci pokrenuli program za šifriranje. Sva rješenja Kaspersky Laba otkrivaju ovaj rootkit kao MEM: Trojan.Win64.EquationDrug.gen.

Vjerojatno je do infekcije došlo nekoliko dana ranije, no virus se pokazao tek nakon šifriranja svih datoteka na računalu.

Kako ukloniti WanaDecryptor

Prijetnju ćete većinu moći ukloniti antivirusnim programom antivirusni softver već otkrivaju prijetnju. Uobičajene definicije:

Avast Win32: WanaCry-A, PROSJEČAN Otkupnina_r.CFY, Avira TR / FileCoder.ibtft, BitDefender Trojan.Ransom.WannaCryptor.A, DrWeb Trojanac.Encoder.11432, ESET-NOD32 Win32 / Filecoder.WannaCryptor.D, Kaspersky Trojan-Ransom.Win32.Wanna.d, Malwarebytes Ransom.WanaCrypt0r, Microsoft Otkupnina: Win32 / WannaCrypt, Panda Trj / RansomCrypt.F, Symantec Trojan.Gen.2, Ransom.Wannacry

Ako ste već pokrenuli prijetnju na svom računalu i vaše su datoteke šifrirane, gotovo je nemoguće dešifrirati datoteke, jer kada se ranjivost iskoristi, pokreće se mrežni enkriptor. Međutim, već je dostupno nekoliko opcija za alate za dešifriranje:

Bilješka: Ako su vaše datoteke šifrirane i sigurnosna kopija nedostaje, a postojeći alati za dešifriranje nisu pomogli, preporučuje se da spremite šifrirane datoteke prije čišćenja prijetnje na računalu. Oni će vam dobro doći ako se u budućnosti stvori alat za dešifriranje koji radi za vas.

Microsoft: Instaliraj Windows ažuriranja

Microsoft je rekao da će korisnici s uključenim besplatnim antivirusnim programom i Windows Update biti zaštićeni od WannaCryptor napada.

Ažuriranja od 14. ožujka zatvaraju ranjivost sustava kroz koje se širi ransomware trojanac. Danas je detekcija dodana antivirusnim bazama podataka Microsoft Security Essentials / Windows Defender radi zaštite od novog zlonamjernog softvera poznatog kao Ransom: Win32.WannaCrypt.

  • Provjerite je li antivirusni program omogućen i instaliran Najnovija ažuriranja.
  • Instalirajte besplatni antivirus ako vaše računalo nema nikakvu zaštitu.
  • Instalirajte najnovija ažuriranja sustava u Windows Update:
    • Za Windows 7, 8.1 Iz izbornika Start otvorite Upravljačka ploča> Windows Update i kliknite na "Provjeri ažuriranja".
    • Za Windows 10 idite na Postavke> Ažuriranje i sigurnost i kliknite Provjeri ažuriranja ..
  • Ako ažuriranja instalirate ručno, instalirajte službenu zakrpu MS17-010 od Microsofta, koja popravlja ranjivost SMB poslužitelja iskorištenu u napadu ransomwarea WanaDecryptor.
  • Ako vaš antivirus ima zaštitu od ransomwarea, omogućite je. Naša web stranica također ima zaseban odjeljak Zaštita od ransomwarea, gdje možete preuzeti besplatne alate.
  • Izvršite antivirusno skeniranje sustava.

Stručnjaci ističu da je najlakši način da se zaštitite od napada zatvoriti port 445.

  • Upišite sc stop lanmanserver i pritisnite Enter
  • Unesite za Windows 10: sc config lanmanserver start = onemogućeno, za ostale verzije Windowsa: sc config lanmanserver start = onemogućeno i pritisnite Enter
  • Ponovno pokrenite računalo
  • U naredbenom retku unesite netstat -n -a | findstr "SLUŠANJE" | findstr ": 445" kako biste bili sigurni da je port onemogućen. Ako postoje prazni redovi, port ne sluša.

Ako je potrebno, vratite port natrag:

  • Pokrenite naredbeni redak (cmd.exe) kao administrator
  • Upišite za Windows 10: sc config lanmanserver start = auto, za ostale verzije Windowsa: sc config lanmanserver start = auto i pritisnite Enter
  • Ponovno pokrenite računalo
Bilješka: Port 445 koristi Windows za dijeljenje datoteka. Zatvaranje ovog porta ne sprječava povezivanje računala s drugim udaljenim resursima, ali druga računala se neće moći spojiti na ovaj sustav.

(WannaCrypt, WCry, WanaCrypt0r 2.0, Wanna Decryptor) je zlonamjerni program, mrežni crv i ransomware. Program šifrira gotovo sve datoteke pohranjene na računalu i zahtijeva otkupninu za njihovo dešifriranje. Zlonamjerni programi Posljednjih je godina registriran ogroman broj ovog tipa, no WannaCry se na njihovoj pozadini ističe razmjerom distribucije i korištenim tehnikama.

Ovaj ransomware virus počeo se širiti oko 10 sati ujutro, a 12. svibnja navečer mediji su počeli izvještavati o brojnim infekcijama. To pišu u raznim publikacijama hakerski napad najvećim holdingima, uključujući Sberbank.

Pitanje korisnika. “Moje trenutačno osobno prijenosno računalo sa sustavom Windows 7 Home Premium automatski instalira razne zakrpe kada ga isključim...

A moj W10 tablet automatski instalira nove zakrpe kada je uključen... Ne ažuriraju li korporativna stolna računala automatski svoj OS kada ga uključe ili isključe?" Stvarno - zašto?

Nakon nekog vremena, cijeli skup exploit-a postao je javno dostupan zajedno s videozapisima za obuku. Svatko ga može koristiti. Što se upravo i dogodilo. Exploit kit uključuje alat DoublePulsar. S otvorenim portom 445 i ne instalirano ažuriranje MS 17-010, koristeći ranjivost klase Remote code execution (sposobnost zaraze računala na daljinu (NSA EternalBlue exploit)), moguće je presresti sistemski pozivi i ubaciti zlonamjerni kod u memoriju. Nema potrebe za primanjem email- ako imate računalo s pristupom Internetu, na kojem je pokrenut SMBv1 servis i bez instalirane zakrpe MS17-010, napadač će vas sam pronaći (na primjer, brute-force napadima).

WannaCry analiza

Trojanac WannaCry (aka WannaCrypt) šifrira datoteke s određenim ekstenzijama na računalu i zahtijeva otkupninu od 300 dolara u bitcoinima. Za plaćanje se daju tri dana, a zatim se iznos udvostručuje.

Za šifriranje se koristi američki AES algoritam sa 128-bitnim ključem.

U testnom načinu, šifriranje se izvodi pomoću drugog RSA ključa ugrađenog u Trojan. U tom smislu moguće je dešifriranje testnih datoteka.

Tijekom enkripcije nasumično odabrano je više datoteka. Trojanac ih nudi besplatno dešifrirati, kako bi se žrtva mogla pobrinuti da se ostatak može dešifrirati nakon što se plati otkupnina.

Ali ove datoteke uzoraka i ostale šifrirane su različitim ključevima. Stoga ne postoji jamstvo za dešifriranje!

Znakovi WannaCry infekcije

Jednom na računalu, trojanac radi kao usluga sustava Windows pod nazivom mssecsvc2.0 (vidljivi naziv je Microsoft Security Center (2.0) Service).

Crv je sposoban prihvatiti argumente naredbeni redak... Ako je naveden barem jedan argument, pokušava otvoriti uslugu mssecsvc2.0 i konfigurirati je za ponovno pokretanje u slučaju pogreške.

Nakon pokretanja, pokušava preimenovati datoteku C: \ WINDOWS \ tasksche.exe u C: \ WINDOWS \ qeriuwjhrf, sprema iz resursa trojanskog kodera u datoteku C: \ WINDOWS \ tasksche.exe i pokreće je parametrom / i . Tijekom pokretanja, trojanac dobiva IP adresu zaraženog stroja i pokušava se spojiti na TCP port 445 svake IP adrese unutar podmreže – traži strojeve na internoj mreži i pokušava ih zaraziti.

24 sata nakon lansiranja kao usluga sustava crv automatski izlazi.

Za vlastitu distribuciju, zlonamjerni softver inicijalizira Windows Sockets, CryptoAPI i pokreće nekoliko niti. Jedan od njih nabraja sve mrežna sučelja na zaraženom računalu i provjerava dostupne čvorove u lokalna mreža, ostali generiraju nasumične IP adrese. Crv se pokušava povezati s tim udaljenim hostovima pomoću porta 445. Ako je dostupan, inficira mrežne hostove koristeći ranjivost u SMB protokolu u zasebnoj niti.

Odmah nakon pokretanja, crv pokušava poslati zahtjev udaljenom poslužitelju čija je domena pohranjena u Trojancu. Ako se primi odgovor na ovaj zahtjev, on se prekida.

< nulldot>0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot>0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot>0x1000f1b4, 12, 00000000.eky

< nulldot>0x1000f270, 12, 00000000.pky

< nulldot>0x1000f2a4, 12, 00000000.res

Zaštita od WannaCrypt i drugog ransomwarea

Da biste se zaštitili od ransomwarea WannaCry i njegovih budućih modifikacija, trebate:

  1. Onemogućite nekorištene usluge uključujući SMB v1.
  • Moguće je onemogućiti SMBv1 pomoću PowerShell-a:
    Set-SmbServerConfiguration -EnableSMB1Protocol $ false
  • Putem registra:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ LanmanServer \ Parametri, SMB1 parametar tipa DWORD = 0
  • Također možete izbrisati samu uslugu odgovornu za SMBv1 (da, odvojena usluga od SMBv2 je osobno odgovorna za to):
    sc.exe konfiguracija lanmanworkstation ovisi = bowser / mrxsmb20 / nsi
    sc.exe konfiguracija mrxsmb10 start = onemogućeno
  1. Zatvorite neiskorištenim vatrozidom mrežni portovi, uključujući priključke 135, 137, 138, 139, 445 (SMB portovi).

Slika 2. Primjer blokiranja porta 445 vatrozidomWindows

Slika 3. Primjer blokiranja porta 445 vatrozidomWindows

  1. Ograničite pristup aplikacijama internetu pomoću antivirusnog programa ili vatrozida.

Slika 4. Primjer ograničavanja pristupa Internetu aplikaciji pomoću Windows vatrozida

U petak, 12. svibnja, stotine tisuća računala diljem svijeta zaraženo je virusom WannaCry (također poznatim kao WCry i WanaCrypt0r 2.0). “Napao” je računala s operacijskim sustavom Windows, a proširio se svijetom u nekoliko sati. Novi virus zarazio je i računala pojedinaca i računala vladinih agencija i velike tvrtke... Od virusa je najviše stradala Rusija, gdje su zahvaćena računala mnogih vladinih agencija.

Zanimljiva činjenica: nakon distribucije Virus WannaCry u Rusiji su počele stizati dojave o obustavi izdavanja vozačkih dozvola zbog kvarova računala Ministarstva unutarnjih poslova. Osim toga, zaražena su računala Istražnog odbora i mnogih velikih tvrtki, uključujući Megafon.

Što je virus WannaCry

Virus WannaCry tipičan je "kriptator podataka". Ovaj tip virusi su jedni od najopasnijih i najtežih sa stajališta suzbijanja. Takvi virusi najčešće imaju za cilj iznuđivanje novca od korisnika čija računala potpadaju pod zarazu, a WannaCry nije iznimka.

Zanimljivost: Trenutno se ne zna točno tko je kreator virusa WannaCry. Istodobno, pretpostavke se prave ne samo na mreži, već i na državnoj razini. Konkretno, predsjednik Ruska Federacija Vladimir Putin optužio je američke obavještajne agencije za širenje prijetnje.

Kada dođe do računala korisnika, virus WannaCry šifrira podatke na njemu. Datoteke koje su podvrgnute enkripciji dobivaju ekstenziju ".WNCRY"... Na početku naziva šifriranih datoteka pojavljuje se natpis "VANACRY!"... Gotovo je nemoguće dešifrirati ove datoteke pomoću standardnih antivirusnih programa i dekriptora koji se koriste za borbu protiv drugih sličnih zlonamjernih programa.

Nakon šifriranja korisničkih podataka na računalu, virus WannaCry prikazuje prozor s porukom "Ups, vaše datoteke su šifrirane!"... Nakon toga slijede informacije o tome što je virus, je li moguće oporaviti datoteke i tako dalje.

Zanimljivost: Kreatori virusa WannaCry pobrinuli su se za korisnike u različitim regijama tako što su im lokalizirali informativnu poruku. U Rusiji virus na ruskom objašnjava korisnicima kako deblokirati datoteke zaražene WannaCryjem.

Kako deblokirati datoteke zaražene WannaCry-om

Kreatori virusa WannaCry predvidjeli su mogućnost otključavanja korisničkih datoteka, ali samo za novac i na ograničeno vrijeme:

  • Tijekom 3 dana nakon infekcije računala možete poslati protuvrijednost 300 USD na navedeni BitCoin novčanik kreatora virusa za deblokiranje datoteka;
  • Ako iznuđivači ne dobiju novac u roku od 3 dana, cijena otključavanja će se povećati na protuvrijednost od 600 dolara u bitcoinima;
  • Ako sedmog dana virusne infekcije Korisnik računala WannaCry neće prenijeti novac na ransomware, njegove će datoteke biti uništene.

Treba napomenuti da se u informacijskom prozoru virusa WannaCry nalaze brojači koji odbrojavaju vrijeme do povećanja cijene otključavanja i uništavanja podataka.

Zanimljivost: Unatoč činjenici da je virus WannaCry već prvog dana zarazio stotine tisuća računala, prema The Guardianu, samo stotinjak ljudi pristalo je platiti ransomwareu 300 dolara za otključavanje svojih podataka.

Koja su računala zaražena virusom WannaCry

Virus WannaCry inficira samo računala u operacijskoj sali Windows sustav... Istovremeno napada računala koja koriste stare verzije Windowsa - XP, Server 2003, 8.

Zanimljiva činjenica: Microsoft je još u ožujku objavio ažuriranje koje pomaže zaštiti računala od zaraze virusom WannaCry. Ali ova je zakrpa objavljena samo za operativni sustavi koje tvrtka podržava su Windows 7 i Windows 10 u raznim izdanjima. S obzirom na korisnike s drugima Windows verzije, prijetili su im i preplavljeni. Već sljedeći dan nakon što je počela masovna zaraza računala virusom WannaCry, Microsoft je objavio ažuriranje za Windows XP i druge starije sustave, koji službeno više nisu podržani.

Virus WannaCry inficira računala putem skripti koje se šalju poštom i putem raznih web stranica.

Važno: Ako vidite poruku u svojoj pošti (posebno od nepoznatog pošiljatelja) s privitcima datoteke (u .exe ili .js ekstenziji), nemojte ih preuzimati na svoje računalo, čak i ako antivirus ugrađen u preglednik ne vidi bilo kakvih problema s datotekama!

Kako zaštititi svoje računalo od virusa WannaCry

Osim činjenice da ne morate posjećivati ​​neprovjerene stranice i preuzimati sumnjive datoteke s pošte, postoji još nekoliko preporuka koje će vam pomoći da izbjegnete zarazu računala virusom WannaCry:

Vrijedi napomenuti: postoji nekoliko oblika virusa WannaCry. Neki od njih se mogu riješiti pokretanjem računala siguran način s mrežnim upravljačkim programima, zatim provjerite računalo pomoću SpyHunter Anti-Malware alata, Malwarebytes Anti-malware ili STOPZilla, a zatim odaberite dešifriranje za dešifriranje podataka. Međutim, ova metoda vrijedi samo ako je vaše računalo zaraženo ranim verzijama virusa WannaCry.