Nou patch de virus pentru Windows. Despre actualizarea Windows de la virusul ransomware WannaCry. Metode de protecție împotriva virusului CRYPTED000007

Noul malware ransomware WannaCry (care are și o serie de alte nume - WannaCry Decryptor, WannaCrypt, WCry și WanaCrypt0r 2.0) s-a făcut cunoscut lumii pe 12 mai 2017, când fișierele de pe computerele din mai multe instituții de sănătate din Marea Britanie au fost criptate. . După cum a devenit clar, companiile din zeci de țări s-au trezit într-o situație similară, iar Rusia, Ucraina, India și Taiwan au avut de suferit cel mai mult. Potrivit Kaspersky Lab, doar în prima zi a atacului, virusul a fost detectat în 74 de țări.

De ce este WannaCry periculoasă? Virusul criptează diferite tipuri de fișiere (folosind extensia .WCRY, făcând fișierele complet ilizibile) și apoi solicită o răscumpărare de 600 USD pentru decriptare. Pentru a accelera procedura de transfer de bani, utilizatorul este intimidat de faptul că în trei zile valoarea răscumpărării va crește și după șapte zile fișierele nu vor mai fi decriptabile.

Calculatoarele care rulează sisteme de operare Windows riscă să fie infectate cu virusul ransomware WannaCry. Dacă utilizați versiuni licențiate de Windows și vă actualizați în mod regulat sistemul, nu trebuie să vă faceți griji că un virus va pătrunde în sistemul dumneavoastră în acest fel.

Utilizatorii MacOS, ChromeOS și Linux, precum și sistemele de operare mobile iOS și Android, nu ar trebui să se teamă deloc de atacurile WannaCry.

Ce să faci dacă ești victima WannaCry?

Agenția Națională a Crimei (NCA) din Marea Britanie recomandă ca întreprinderile mici care au fost victime ale ransomware-ului și sunt îngrijorate de răspândirea virusului online ar trebui să ia următoarele măsuri:

  • Izolați-vă imediat computerul, laptopul sau tableta de rețeaua corporativă/internă. Opriți Wi-Fi.
  • Schimbați driverele.
  • Fără a vă conecta la o rețea Wi-Fi, conectați-vă computerul direct la Internet.
  • Actualizați sistemul de operare și toate celelalte software-uri.
  • Actualizați și rulați software-ul antivirus.
  • Reconectați-vă la rețea.
  • Monitorizați traficul de rețea și/sau rulați o scanare antivirus pentru a vă asigura că ransomware-ul a dispărut.

Important!

Fișierele criptate de virusul WannaCry nu pot fi decriptate de nimeni, cu excepția atacatorilor. Prin urmare, nu pierde timp și bani cu acei „genii IT” care promit să te salveze de această durere de cap.

Merită să plătiți bani atacatorilor?

Primele întrebări puse de utilizatorii care se confruntă cu noul virus ransomware WannaCry sunt: cum să recuperați fișierele și cum să eliminați un virus. Negăsind soluții gratuite și eficiente, aceștia se confruntă cu o alegere: să plătească bani extortionistului sau nu? Deoarece utilizatorii au adesea ceva de pierdut (documentele personale și arhivele foto sunt stocate pe computer), apare cu adevărat dorința de a rezolva problema cu bani.

Dar NCA îndeamnă cu tărie Nuplăti bani. Dacă decideți să faceți acest lucru, țineți cont de următoarele:

  • În primul rând, nu există nicio garanție că veți avea acces la datele dvs.
  • În al doilea rând, computerul poate fi în continuare infectat cu un virus chiar și după plată.
  • În al treilea rând, cel mai probabil veți da pur și simplu banii infractorilor cibernetici.

Cum să te protejezi de WannaCry?

Vyacheslav Belashov, șeful departamentului de implementare a sistemelor de securitate a informațiilor la SKB Kontur, explică ce acțiuni trebuie întreprinse pentru a preveni infectarea cu virusul:

Particularitatea virusului WannaCry este că poate pătrunde într-un sistem fără intervenția umană, spre deosebire de alți viruși de criptare. Anterior, pentru ca virusul să funcționeze, era necesar ca utilizatorul să fie neatent - să urmeze un link dubios dintr-un e-mail care nu i-a fost de fapt destinat sau să descarce un atașament rău intenționat. În cazul WannaCry, este exploatată o vulnerabilitate care există direct în sistemul de operare în sine. Prin urmare, computerele bazate pe Windows care nu au instalat actualizările din 14 martie 2017 au fost în primul rând în pericol. O stație de lucru infectată din rețeaua locală este suficientă pentru ca virusul să se răspândească la alții cu vulnerabilități existente.

Utilizatorii afectați de virus au în mod natural o întrebare principală: cum să-și decripteze informațiile? Din păcate, nu există încă o soluție garantată și este puțin probabil să fie prevăzută. Chiar și după achitarea sumei specificate, problema nu este rezolvată. În plus, situația poate fi agravată de faptul că o persoană, în speranța de a-și recupera datele, riscă să folosească decriptoare presupuse „gratuite”, care în realitate sunt și fișiere rău intenționate. Prin urmare, principalul sfat care poate fi dat este să fii atent și să faci tot posibilul pentru a evita o astfel de situație.

Ce anume se poate și trebuie făcut în acest moment:

1. Instalați cele mai recente actualizări.

Acest lucru se aplică nu numai sistemelor de operare, ci și instrumentelor de protecție antivirus. Informații despre actualizarea Windows pot fi găsite aici.

2. Faceți copii de rezervă ale informațiilor importante.

3. Aveți grijă când lucrați cu poșta și internetul.

Trebuie să fiți atenți la e-mailurile primite cu link-uri și atașamente dubioase. Pentru a lucra cu Internetul, este recomandat să utilizați pluginuri care vă permit să scăpați de reclamele inutile și de link-uri către surse potențial rău intenționate.

  • Peste 200.000 de computere au fost deja infectate!
Principalele ținte ale atacului au vizat sectorul corporativ, urmat de companiile de telecomunicații din Spania, Portugalia, China și Anglia.
  • Cea mai mare lovitură a fost dată utilizatorilor și companiilor ruși. Inclusiv Megafon, Căile Ferate Ruse și, conform informațiilor neconfirmate, Comitetul de Investigație și Ministerul Afacerilor Interne. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.
Pentru decriptarea datelor, atacatorii cer o răscumpărare de 300 până la 600 de dolari în bitcoini (aproximativ 17.000-34.000 de ruble).

Actualizare Windows 10 versiunea 1909

Hartă interactivă a infecțiilor (CLICK PE HARTĂ)
Fereastra de răscumpărare
Criptează fișierele cu următoarele extensii

În ciuda faptului că virusul vizează sectorul corporativ, utilizatorul mediu nu este, de asemenea, imun la pătrunderea WannaCry și la posibila pierdere a accesului la fișiere.
  • Instrucțiuni pentru protejarea computerului și a datelor de pe acesta împotriva infecțiilor:
1. Instalați aplicația Kaspersky System Watcher, care este echipată cu o funcție încorporată pentru a anula modificările cauzate de acțiunile unui criptator care a reușit să ocolească măsurile de securitate.
2. Utilizatorilor de software antivirus de la Kaspersky Lab li se recomandă să verifice dacă funcția „Monitor sistem” este activată.
3. Utilizatorii programului antivirus de la ESET NOD32 pentru Windows 10 au fost introduși pentru a verifica dacă există noi actualizări ale sistemului de operare. Dacă ați avut grijă în avans și ați activat-o, atunci toate actualizările Windows necesare noi vor fi instalate și sistemul dumneavoastră va fi complet protejat de acest virus WannaCryptor și alte atacuri similare.
4. De asemenea, utilizatorii produselor ESET NOD32 au o astfel de funcție în program precum detectarea amenințărilor încă necunoscute. Această metodă se bazează pe utilizarea tehnologiilor comportamentale, euristice.

Dacă un virus se comportă ca un virus, cel mai probabil este un virus.

Din 12 mai, tehnologia sistemului cloud ESET LiveGrid a respins cu mare succes toate atacurile acestui virus și toate acestea s-au întâmplat chiar înainte ca baza de date de semnături să fie actualizată.
5. Tehnologiile ESET oferă securitate și pentru dispozitivele care rulează sisteme vechi Windows XP, Windows 8 și Windows Server 2003 ( Vă recomandăm să încetați să utilizați aceste sisteme învechite). Datorită unui nivel foarte ridicat de amenințare care a apărut pentru aceste sisteme de operare, Microsoft a decis să lanseze actualizări. Descărcați-le.
6. Pentru a minimiza amenințarea de a vă deteriora computerul, trebuie să vă actualizați urgent versiunea de Windows 10: Start - Setări - Actualizare și securitate - Verificați actualizările (în alte cazuri: Start - Toate programele - Windows Update - Căutați actualizări - Descarca si instaleaza).
7. Instalați patch-ul oficial (MS17-010) de la Microsoft, care remediază eroarea serverului SMB prin care poate pătrunde virusul. Acest server este implicat în acest atac.
8. Asigurați-vă că toate instrumentele de securitate disponibile rulează și funcționează pe computer.
9. Scanați-vă întregul sistem pentru viruși. La expunerea unui atac rău intenționat numit MEM:Trojan.Win64.EquationDrug.gen, reporniți sistemul.
Și încă o dată vă recomand să verificați dacă sunt instalate patch-urile MS17-010.

În prezent, specialiștii de la Kaspersky Lab, ESET NOD32 și alte produse antivirus lucrează activ la scrierea unui program de decriptare a fișierelor care va ajuta utilizatorii computerelor infectate să restabilească accesul la fișiere.

Potrivit primelor rapoarte, virusul de criptare activat de atacatori marți a fost clasificat ca membru al familiei deja cunoscute de ransomware Petya, dar ulterior s-a dovedit că aceasta era o nouă familie de malware cu funcționalități semnificativ diferite. Kaspersky Lab a numit noul virus ExPetr.

„Analiza efectuată de experții noștri a arătat că inițial victimele nu au avut nicio șansă să-și recupereze dosarele. „Cercetătorii de la Kaspersky Lab au analizat partea din codul malware care este asociată cu criptarea fișierelor și au descoperit că, odată ce discul este criptat, creatorii virusului nu mai au capacitatea de a-l decripta înapoi”, raportează laboratorul.

După cum observă compania, decriptarea necesită un identificator unic pentru o anumită instalare troiană. În versiunile cunoscute anterior ale criptoarelor similare Petya/Mischa/GoldenEye, identificatorul de instalare conținea informațiile necesare pentru decriptare. În cazul ExPetr, acest identificator nu există. Aceasta înseamnă că creatorii malware-ului nu pot obține informațiile de care au nevoie pentru a decripta fișierele. Cu alte cuvinte, victimele ransomware-ului nu au cum să-și recupereze datele, explică Kaspersky Lab.

Virusul blochează computerele și solicită 300 de dolari în bitcoini, a declarat Group-IB pentru RIA Novosti. Atacul a început marți în jurul orei 11:00. Potrivit informațiilor din presă, miercuri, la ora 18:00, portofelul Bitcoin care a fost specificat pentru transferul de fonduri către estorcatori a primit nouă transferuri. Ținând cont de comisionul pentru transferuri, victimele au transferat hackerilor circa 2,7 mii de dolari.

În comparație cu WannaCry, acest virus este considerat mai distructiv, deoarece se răspândește folosind mai multe metode - folosind Windows Management Instrumentation, PsExec și exploit-ul EternalBlue. În plus, ransomware-ul include utilitarul gratuit Mimikatz.

Numărul utilizatorilor atacați de noul virus de criptare „noul Petya” a ajuns la 2 mii, a anunțat miercuri Kaspersky Lab, care investighează valul de infecții computerizate.

Potrivit companiei antivirus ESET, atacul a început în Ucraina, care a suferit mai mult decât alte țări. Potrivit ratingului companiei pentru țările afectate de virus, Italia se află pe locul doi după Ucraina, iar Israelul pe locul trei. Primele zece au inclus și Serbia, Ungaria, România, Polonia, Argentina, Cehia și Germania. Rusia a ocupat locul 14 în această listă.

În plus, Avast a spus care sisteme de operare au fost cele mai afectate de virus.

Windows 7 a fost pe primul loc - 78% din toate computerele infectate. Urmează Windows XP (18%), Windows 10 (6%) și Windows 8.1 (2%).

Astfel, WannaCry a învățat comunitatea globală practic nimic - computerele au rămas neprotejate, sistemele nu au fost actualizate, iar eforturile Microsoft de a emite patch-uri chiar și pentru sistemele învechite au fost pur și simplu irosite.

Pe 1 și 2 mai 2017, a avut loc un atac de viruși pe scară largă pe computere care rulează sistemul de operare Windows. Numai în Rusia, aproximativ 30.000 de computere au fost infectate. Printre victime nu s-au numărat doar utilizatori obișnuiți, ci și multe organizații și agenții guvernamentale. Potrivit rapoartelor din rețea, Curtea Constituțională a Ministerului Afacerilor Interne al Federației Ruse și rețeaua Magathon au fost parțial infectate. De asemenea, o serie de alte organizații, mai puțin cunoscute, au suferit de atacul WannaCry, sau așa cum este mai des numit – WCry. Nu se știe încă cum a pătruns virusul ransomware în astfel de dispozitive protejate. Nu se raportează dacă aceasta a fost o consecință a unei erori a unuia dintre utilizatori sau dacă aceasta este o vulnerabilitate generală a rețelei Ministerului. Primele informații despre RuNet au apărut pe site-ul web Kaspersky (într-un formular), unde s-a discutat activ despre noul virus.

Ce fel de virus este acesta?

După ce pătrunde în computer, virusul se despachetează, instalând propriile coduri de criptare a sistemului pentru datele utilizatorului, iar în fundal începe să cripteze toate informațiile de pe computer cu propriile coduri de tip filename.wncry. Iată ce se întâmplă după ce computerul prinde un virus:

  • Imediat după intrarea în sistem, virusul începe să controleze complet sistemul, blocând lansarea oricărui software, chiar și fără instalare,
  • Antivirusurile și utilitățile care nu necesită instalare, care sunt lansate imediat după conectarea unității la sistem, de asemenea, nu dau niciun rezultat și pur și simplu nu pornesc,
  • Toate porturile și unitățile USB nu mai funcționează,
  • Ecranul va fi blocat de bannerul Wana DecryptOr 2.0, care vă va informa că computerul este infectat cu un virus, toate datele de pe acesta sunt criptate și trebuie să plătiți ransomware-ul.
Proprietarii virusului oferă utilizatorului să transfere în contul său o sumă echivalentă cu 300 USD în bitcoini. Există, de asemenea, informații că dacă nu plătiți suma cerută în termen de 3 zile, suma de plată va fi dublată. Dacă plata nu este primită în decurs de o săptămână, virusul va șterge toate datele utilizatorului de pe computer. Judecând după informațiile de la unii dintre utilizatorii noștri, această schemă de sincronizare nu este aceeași pentru toată lumea și există dispozitive pe care perioada de plată pentru ransomware este de 14 zile.

Cum să te protejezi de virus.

Nu este nevoie să intrați în panică; virusul nu este nou și nu poate fi protejat. Acesta este un criptator obișnuit, ai cărui analogi i-am întâlnit deja de mai multe ori. Pentru a evita contractarea unui virus informatic, aveți grijă când utilizați toate programele. Nu recomandăm să actualizați niciun software, chiar și cel încorporat, până când nu se stabilește cu exactitate modul în care virusul pătrunde în sistem. Suntem înclinați să credem că virusul pătrunde în computer prin vulnerabilități ale unor programe. Iar vulnerabilitățile din programe apar cel mai adesea după o actualizare dezvoltată fără succes, în care există o „gaură” atât de mare care permite virușilor să intre în sistem. Dacă aveți experiența și capacitățile, instalați un firewall terț de înaltă calitate și consolidați monitorizarea activității sistemului și a rețelei pentru o perioadă.

Ajutând victimele

Vineri, 12 mai, un client obișnuit, un designer, ne-a contactat cu un laptop pe care erau stocate machetele, sursele și alte fișiere grafice ale acestuia. Calculatoarele sale au fost infectate cu virusul WannaCryptor. Au fost efectuate o serie de „experimente” care au dat rezultate! Iată ce ne-a ajutat:

  • Am dezasamblat computerul, am scos hard disk-ul cu date,
  • Conectat unitatea la iMac,
  • Căutând prin decriptoare, am găsit câteva care au ajutat la extragerea unor date din unitatea D.
  • Ulterior, clientul a decis să reinstaleze sistemul și să șteargă datele rămase,
  • Pentru orice eventualitate, am făcut o imagine de sistem pe dispozitivul nostru de stocare, de îndată ce apare o soluție la problemă, vom salva datele rămase.
Dragi prieteni, dacă ați devenit victimă a acestui virus, vă rugăm să ne contactați, vom încerca să vă ajutăm. Facem experimente gratuit) Și aici vă spunem în detaliu cum. Să luptăm împreună cu răul!