6 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Вирус Wanna Cry: защита, лечение, удаление, дешифровка

Вирус Wanna Cry: защита, лечение, удаление, дешифровка

Раз в несколько лет в сети появляется вирус, который способен заразить множество компьютеров в короткий срок. На этот раз таким вирусом стал Wanna Cry (или, как его порой называют пользователи из России – “вона край”, “хочется плакать”). Данное вредоносное ПО заразило около 57000 тысяч компьютеров почти во всех странах мира всего за несколько дней. Спустя какое-то время темпы заражения вирусом снизились, однако все еще появляются новые устройства, которые были подвергнуты инфицированию. На данный момент пострадало более 200000 компьютеров – как у частных пользователей, так и в организациях.

Wanna Cry является самой серьезной компьютерной угрозой 2017 года и вы все еще можете стать ее жертвой. В этой статье мы расскажем вам, что такое Wanna Cry, как он распространяется и как защититься от вируса.

Новый вирус Petya – обязательно узнайте, как не заразиться этим вирусом и не потерять все данные!

Читайте электронную книгу о правилах обеспечения непрерывности бизнеса и смотрите вебинар о том, как организовать удаленную работу сотрудников.

Компании повышают гибкость ключевых рабочих процессов с помощью гибридных инфраструктур. Колокация и облака хорошо влияют на оперативность бизнеса, но защищать ИТ-среды при таком подходе стало куда сложнее. Стратегия четырех из пяти предприятий в этом направлении — провальна, а простои из-за действий киберпреступников в двухлетний период оборачиваются средним ущербом в $67,2 млн.

  • Можно ли интегрировать ИБ-решения во все части гибридной инфраструктуры?
  • Как автоматизировать защиту и сделать ее более интеллектуальной?
  • Какова доля вредоносного ПО в зашифрованном трафике и что с этим могут сделать межсетевые экраны NGFW?

Как защититься от шифровальщика

Для того, чтобы обезопасить себя от возможной атаки вируса-криптора, начните с того, что зайдите в Центр обновления Windows. Если есть доступные обновления — обязательно установите их.

Если по каким-либо причинами Вы не можете воспользоваться Центром обновления, тогда можно пойти другим путём. Необходимо зайти на сайт технической поддержки Майкрософт (ссылка) и скачать оттуда спешно выпущенный разработчиками патч Microsoft MS17-010 для своей версии операционной системы Windows.

Вторым шагом я порекомендовал бы для верности вообще отключить поддержку полностью отключив поддержку уязвимого протокола SMB (Samba) версии 1. Это будет особенно актуально домашним пользователям, у которых один компьютер или ноутбук, да ещё и подключенный без роутера, напрямую к сети провайдера. Чтобы это сделать — запустите командую строку Виндовс с правами Администратора и введите команду:

dism /online /norestart /disable-feature /featurename:SMB1Protocol

Нажимаем клавишу «Enter» и смотрим на результат.

Операция должна быть успешно завершена.

Третьим шагом стоит обязательно проверить настройки своего фаерволла. Желательно чтобы порты 135-139, 445 были закрыты. Хотя бы пока эпидемия вируса-шифровальщика не пройдёт. Если Вы пользуетесь стандартным брандмауэром Windows и ничего стороннего не установлено, то рекомендую создать в нём соответствующие правила. Для этого снова открываем командную строку с правами Администратора и вводим по очереди такие команды:

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=»Block_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=»Block_TCP-137″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=»Block_TCP-138″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=»Block_TCP-139″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=5000 name=»Block_TCP-5000″

После каждой команды нажимаем Enter и смотрим на результат — должно быть «OK». Если для Вас это будет сложно — воспользуйтесь простенькой утилитой Windows Worms Doors Cleaner. Она никаких дополнительных знаний не требует — просто поставьте в Disable все пункты.

Читать еще:  Ошибка Windows занимает много места на жёстком диск?

Четвертый шаг — в обязательном порядке обновите базы своего антивируса! Если у Вас он вообще не установлен, то самое время его поставить.

От себя могу порекомендовать бесплатный антивирус Касперского. Отлично справляется со своими задачами и не жрёт кучу ресурсов.

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп — 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.

Для шифрования используется американский алгоритм AЕS с 128-битным ключом.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.

В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.

Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Что произошло?

О заражениях сообщили сразу несколько крупных организаций, в том числе несколько британских клиник, которым пришлось приостановить работу. По сторонним данным, WannaCry заразил уже более 300 000 компьютеров. Собственно, именно поэтому к нему и приковано столько внимания.

Больше всего атак пришлось на Россию, но также от WannaCry серьезно пострадали Украина, Индия, Тайвань, всего же мы обнаружили WannaCry в 74 странах. И это за один только первый день атаки.

Что такое WannaCry?

В целом WannaCry — это эксплойт, с помощью которого происходит заражение и распространение, плюс шифровальщик, который скачивается на компьютер после того, как заражение произошло.

В этом и состоит важное отличие WannaCry от большинства прочих шифровальщиков. Для того, чтобы заразить свой компьютер, обычным, скажем так, шифровальщиком, пользователь должен совершить некую ошибку — кликнуть на подозрительную ссылку, разрешить исполнять макрос в Word, скачать сомнительное вложение из письма. Заразиться WannaCry можно, вообще ничего не делая.

WannaCry: эксплойт и способ распространения

Создатели WannaCry использовали эксплойт для Windows, известный под названием EternalBlue. Он эксплуатирует уязвимость, которую Microsoft закрыла в обновлении безопасности MS17-010 от 14 марта этого года. С помощью этого эксплойта злоумышленники могли получать удаленный доступ к компьютеру и устанавливать на него собственно шифровальщик.

Если у вас установлено обновление и уязвимость закрыта, то удаленно взломать компьютер не получится. Однако исследователи «Лаборатории Касперского» из GReAT отдельно обращают внимание на то, что закрытие уязвимости никак не мешает работать собственно шифровальщику, так что, если вы каким-либо образом запустите его, патч вас не спасет.

После успешного взлома компьютера WannaCry пытается распространяться по локальной сети на другие компьютеры, как червь. Он сканирует другие компьютеры на предмет наличия той самой уязвимости, которую можно эксплуатировать с помощью EternalBlue, и если находит, то атакует и шифрует и их тоже.

Получается, что, попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры, в ней присутствующие. Именно поэтому серьезнее всего от WannaCry досталось крупным компаниям — чем больше компьютеров в сети, тем больше ущерб.

WannaCry: шифровальщик

WannaCry как шифровальщик (его еще иногда называет WCrypt, а еще, почему-то, порой зовут WannaCry Decryptor, хотя он, по логике вещей, вовсе даже криптор, а не декриптор) делает все то же самое, что и другие шифровальщики — шифрует файлы на компьютере и требует выкуп за их расшифровку. Больше всего он похож на еще одну разновидность печально известного троянца CryptXXX.

Уберполезный пост! Что такое трояны-вымогатели и шифровальщики, откуда они, чем грозят и как с ними бороться: https://t.co/mQZfXSEuiz pic.twitter.com/RlhAs9bdSx

Он шифрует файлы различных типов (полный список можно посмотреть тут), среди которых, конечно же, есть офисные документы, фотографии, фильмы, архивы и другие форматы файлов, в которых может содержаться потенциально важная для пользователя информация. Зашифрованные файлы получают расширение .WCRY (отсюда и название шифровальщика) и становятся полностью нечитаемыми.

Читать еще:  Рабочий стол мигает чёрным цветом

После этого он меняет обои рабочего стола, выводя туда уведомление о заражении и список действий, которые якобы надо произвести, чтобы вернуть файлы. Такие же уведомления в виде текстовых файлов WannaCry раскидывает по папкам на компьютере — чтобы пользователь точно не пропустил. Как всегда, все сводится к тому, что надо перевести некую сумму в биткоин-эквиваленте на кошелек злоумышленников — и тогда они якобы расшифруют файлы. Поначалу киберпреступники требовали $300, но потом решили поднять ставки — в последних версиях WannaCry фигурирует цифра в $600.

Также злоумышленники запугивают пользователя, заявляя, что через 3 дня сумма выкупа увеличится, а через 7 дней файлы невозможно будет расшифровать. Мы не рекомендуем платить злоумышленникам выкуп — никаких гарантий того, что они расшифруют ваши данные, получив выкуп, нет. Более того, в случае других вымогателей исследователи уже показывали, что иногда данные просто удаляют, то есть и возможности расшифровать не остается физически, хотя злоумышленники требуют выкуп как ни в чем не бывало.

Как регистрация домена приостановила заражение и почему это еще не все

Интересно, что исследователю под ником Malwaretech удалось приостановить заражение, зарегистрировав в Интернете домен с длинным и абсолютно бессмысленным названием.

Оказывается, некоторые образцы WannaCry обращались к этому домену и, если не получали положительного ответа, устанавливали шифровальщик и начинали свое черное дело. Если же ответ приходил (то есть домен был зарегистрирован), то зловред сворачивал какую-либо деятельность.

Обнаружив отсылку к этому домену в коде трояна, исследователь зарегистрировал его, таким образом приостановив атаку. За остаток дня к домену пришло несколько десятков тысяч обращений, то есть несколько десятков тысяч компьютеров удалось спасти от заражения.

Есть версия, что эта функциональность была встроена в WannaCry как рубильник — на случай, если что-то пойдет не так. Другая версия, которой придерживается и сам исследователь: что это способ усложнить анализ поведения зловреда. В исследовательских тестовых средах часто специально делается так, что от любых доменов приходили положительные ответы — и в этом случае в тестовой среде троян бы не делал ничего.

К сожалению, в новых версиях трояна злоумышленникам достаточно поменять доменное имя, указанное в «рубильнике», чтобы заражение продолжилось. Так что, вероятно, первый день эпидемии WannaCry не станет последним.

Способы защиты от WannaCry

К сожалению, на данный момент способов расшифровать файлы, зашифрованные WannaCry, нет. То есть с заражением можно бороться единственным способом — не допускать его.

Вот несколько советов, как избежать заражения или хотя бы уменьшить нанесенный урон:

WanaDecryptor, Wanna Cry, WanaCrypt или Wana Decryptor — какое название правильное?

На то время, когда началась вирусная атака на глобальную паутину ещё никто не знал как точно называется новая зараза. Сначала её называли Wana Decrypt0r по называнию окна с сообщением, которое возникало на рабочем столе. Несколько позднее появилась новая модификация шифровальщика — Wanna Decrypt0r 2.0. Но опять же, это окно-вымогатель, которое фактически продаёт пользователю ключ-декриптор, который теоретически должен прийти пострадавшему после того, как он переведёт мошенникам требуемую сумму. Сам же вирус, как оказалось, называется Wanna Cry (Ванна Край).
В Интернете же до сих пор можно встретить разные его наименования. Причём часто пользователи вместо буквы «o» ставят цифру «0» и наоборот. Так же большую путаницу вносят различные манипуляции с пробелами, например WanaDecryptor и Wana Decryptor, либо WannaCry и Wanna Cry.

Читать еще:  Как изменить сообщение в ватсап. Семь полезных секретов WhatsApp. Как посмотреть статистику по использованию трафика WhatsApp

Как защититься от вируса-шифровальщика Wannacry

Чтобы никогда не сталкиваться со зловредным вирусом и точно быть уверенным в безопасности работы своей компьютерной техники, выполните следующие действия по wannacry-защите:

Убедитесь, что у вас стоит последнее обновление операционной системы, и все инсталляции обновлений должны происходить автоматически. Конечно, это не дает 100-процентную гарантию защиты от вируса, но зато он точно не попадет к вам из Интернета или локальных ПК. Лучше всего устанавливать обновление безопасности ms17-010, с помощью которого исправляется ошибка в протоколе SMB.

Закройте все уязвимости и настройте Центр обновлений на автоматическую работу:

  • для Windows Vista и Windows 7 зайти в Пуск – Панель управления – Центр управления – убедиться, что есть запись «Windows не требуется обновление», «Вы настроили автоматическую установку обновлений» или «Важные обновления отсутствуют»:

  • для Windows 8 и Windows 8.1 зайти в Пуск – Центр обновления – аналогично вышеописанному по 7-ой версии;
  • для Windows 10 зайти в Пуск – Параметры – Обновление и безопасность.

  • Если вы пользуетесь устаревшей операционкой, например, Windows XP или Windows Server 2003, тогда переходите по этой ссылке https://msrc-blog.microsoft.com/2017/05/12/customer-guidance-for-wannacrypt-attacks/ и найдите патч MS17-010. Если Центр обновлений не работает, нажимайте на Настройку параметров и включайте автоматическое скачивание/установку/запуск средства устранения неполадок. Подробно описано здесь https://support.microsoft.com/ru-ru/help/971058/how-do-i-reset-windows-update-components.
  • Если вы пользуетесь нелицензионной Windows и устанавливаете обновление, есть угроза появления синего экрана смерти при последующем включении компьютера. Здесь нужно быть осторожным.

Убедитесь, что все локальные ПК вашей сети оснащены следующими опциями:

  • работает антивирус со свежей базой;
  • обновления происходят вовремя (установлено ms17-010);
  • браузеры последних версий.

Что такое WannaCry?

WannaCry — программа-вымогатель, которая шифрует все файлы на компьютере, присваивая им расширения .WNCRY. В итоге все файлы оказываются заблокированы, а для возвращения доступа к информации, вирус требует выкуп в размере 300$ за ключ расшифровки. Как правило, жертвы видят одно из следующих сообщений.

Первая версия вируса была обнаружена нами еще в феврале. Сейчас программа-вымогатель, заботливо переведенная на 28 языков, распространяется огромными темпами. Уже к воскресенью вирус был обнаружен в 104 странах, большая часть атак (57%) пришлась на Россию.

Опасность WanaCryptor состоит в том, что заразиться им можно, не выполняя никаких потенциально опасных действий. Если вы не открываете подозрительные вложения, не переходите неизвестным ссылкам, не устанавливаете пиратское ПО или не предоставляете те либо иные права сторонним файлам, вы все равно рискуете стать жертвой этого вируса.

Вирус Wanna Cry: описание вируса

Wanna Cry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится не возможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию Wanna Cry:

Популярные файлы Microsoft Office (.xlsx, , передает therussiantimes.com.xls, .docx, .doc).
Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе — Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.

Источники:

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector