Wannacry/wannacrypt: личное дело

Опубликовано: Настройка оборудования
Wanna cry «прокричал» на весь мир – как решить проблему вируса

WannaCry дешифратор, где скачать и возможно ли удалить вирус?

Вирусы шифровальщики относятся к разряду самых «противных» вирусов, т.к. в большинстве случаев, файлы пользователя шифруются 128bit’ным или 256bit’ным ключом. Самое страшное, в каждом случае — ключ уникален и на расшифровку каждого требуются огромные вычислительные мощности, что делает практически невозможным лечение «рядовых» пользователей.

Но, как же быть, если вы стали жертвой WannaCry и нужен дешифратор?

1. Обратитесь на форум поддержки Лаборатории Касперского — https://forum.kaspersky.com/ с описанием проблемы. На форуме работают, как представители компании, так и волонтеры, активно помогающие в решении проблем.

2. Как и в случае с известным шифровальщиком CryptXXX – было найдено универсальное решение для дешифрования файлов, подвергшихся кодированию. С момента обнаружения WannaCry прошло не более недели и специалисты из антивирусных лабораторий еще не успели найти такое решение для него.

3. Кардинальным решением будет — полное удаление OS с компьютера с последующей чистой установкой новой. При таком раскладе – все пользовательские файлы и данные полностью теряются, вместе с удалением WannaCry.

В пятницу, 12 мая началась эпидемия трояна-шифровальщика WannaCry, который атаковал тысячи компьютеров более чем в 70 странах мира.

С помощью эксплойта злоумышленники получают удаленный доступ к компьютеру и установливают на него шифровальщик. Если на компьютере установлен патч, то удаленно взломать компьютер не получится

Но эксперты отдельно обращают внимание , что закрытие уязвимости никак не мешает шифровальщику. Если пользователь каким-либо образом запустит его — патч не спасет

Попав на один компьютер, WannaCry может заразить всю локальную сеть и зашифровать все компьютеры в ней. Поэтому серьезнее всего пострадали крупные компании — чем больше компьютеров в сети, тем больше ущерб.

Что происходит после заражения

После заражения пользователи теряют доступ к данным и видят стандартную в таких случаях заставку с требованием денег. Поначалу киберпреступники требовали 300 долларов в биткоинах, затем — 600 долларов. Также злоумышленники пугают, что через 3 дня сумма выплаты увеличится, а через 7 дней файлы невозможно будет расшифровать.

Специалисты отмечают, что платить злоумышленникам не следует — никаких гарантий, что они вернут данные, получив выкуп, нет. Вообще, по данным «Лаборатории Касперского», на сегодняшний день способов расшифровать файлы, зашифрованные WannaCry — не существует. То есть, если вы уже стали жертвой заражения — остается только смириться.

Как не допустить заражения или хотя бы уменьшить урон:

Регулярное резервное копирование файлов и их хранение на носителях, которые не постоянно подключены к компьютеру (или в надежном облаке). Если есть свежий бэкап — заражение шифровальщиком не превратится в трагедию, а всего лишь потребует нескольких часов на переустановку или чистку системы.
Своевременная установка обновлений ПО. В случае с WannaCry всем пользователям Windows настоятельно рекомендуется установить системное обновление безопасности MS17-010 , тем более что Microsoft выпустила его даже для официально более неподдерживаемых систем вроде Windows XP или Windows 2003

Это важно!
Надежный антивирус. Тут есть варианты, но отметим, что в ситуации с WannaCry далеко не все антивирусы показали свою эффективность — некоторые просто не увидели опасность.

Также отметим, что эти рекомендации касаются и пользователей других операционных систем, считающихся неуязвимыми. Во-первых, неуязвимых ОС не существует в принципе. Во-вторых, бэкап лишним не бывает — помимо шифровальщиков, есть еще масса способов потерять данные.

Подробный пост о WannaCry и защите от него — в блоге «Лаборатории Касперского».

Защититься от Wanna Cry можно, соблюдая несколько простых правил:

вовремя осуществлять обновление системы –все зараженные ПК не были обновлены

пользоваться лицензионной ОС

не открывать сомнительные электронные письма

Как сообщают СМИ, производители антивирусного ПО будут выпускать обновления для борьбы с Wanna Cry, так что обновление антивируса также не стоит откладывать в долгий ящик.

Про атаку шифровальщика WannaCry слышали уже, кажется, все. Мы написали об этом уже два поста — с общим рассказом о том, что же произошло, и с советами для бизнеса. И выяснили, что далеко не все понимают, что, где и как надо обновить, чтобы закрыть в Windows уязвимость, через которую WannaCry проникал на компьютеры. Рассказываем, что надо сделать и где брать патчи.

Техническая составляющая

В Windows для файлового обмена по сети используется протокол SMB, созданный IBM еще в 1983 году и давно устаревший, так как предназначен для решения широкого круга задач. Даже после нескольких обновлений, существенно модернизировавших технологию, кто-то отыскал дыру в самой первой версии SMB с открытым портом TCP 445 и воспользовался ней для запуска WannaCrypt. Работает вирус по следующей схеме.

  1. Проникнув на ПК, запускает процесс распаковки собственного инсталлятора.
  2. После установки вирус загружает анонимный браузер TOR в фоне.
  3. Посредством обозревателя устанавливает соединение с собственными серверами.
  4. Выполняет скрипт, предоставляющий привилегии для шифрования файлов на зараженном ПК.
  5. Завершает системные процессы, которые не отразятся на работоспособности ОС и шифрует все доступные базы данных.
  6. Приступает к кодированию информации.

Шифрованию поддаются файлы более 160 распространенных форматов, в число коих не входят файлы 1C.

К заблокированному объекту добавляется расширение wncry, а в каждый затронутый им каталог копируется текстовик с инструкцией по дешифровке и дешифровщик – @WanaDecryptor@.exe.

  1. Очередным этапом работы WannaCrypt является безвозвратное стирание копий заблокированных объектов (как он поступает в случае, когда для хранения зашифрованных дубликатов на диске недостаточно места, пока не сообщается), дабы избавить юзера возможности восстановить их бесплатно.

Здесь требуются расширенные привилегии со стороны ОС, если служба UAC активирована. В случае отказа вирусу в выполнении действия копии документов останутся, сделав возможным возврат зашифрованной информации совершенно бесплатно.

  1. Дальше отобразится окошко «WannaCrypt0r 2.0» с оповещением о том, что ваши файлы подверглись шифрованию по сложному алгоритму, и дальнейшая работа при таких условиях невозможна.

Дабы её продолжить, необходимо перевести сумму в биткоинах, эквивалентную $300 или $600, на указанный счёт. Если по истечении трёх суток ключ для дешифрования выкуплен не был, сумма удваивается, а через неделю после инфицирования, информация будет безвозвратно удалена. Сообщение переведено на 3 десятка языков, которые выбираются в выпадающем меню. Изначально послание отображается на используемом в системе по умолчанию языке.

Официально вирус называется Ransom:Win32.WannaCrypt, юзерам известен он под названиями: WCry, WannaCrypt, Wanna Cry. Это вирус-шифровальщик, эксплойт – использующее недочеты и уязвимости в ПО приложение для атаки и заражения компьютеров, и ransomware – вредоносный софт, созданный для вымогания денег.

Виновные

Интересно, что Microsoft выпустили патч для исправления уязвимости MS17-010 за 2 месяца до атак – 14.03.2017 года, и все юзеры, которые активно обновляются или оставляют функцию автоматической загрузки и инсталляции апдейтов включённой, не пострадали. В феврале 2017 появились первые, не столь удачные, версии WannaCry, они и вынудили Майкрософт к решительным действиям.

Также софтверная корпорация выпустила обновление для XP, кою перестали поддерживать ещё в 2014 году, для Server 2003 — 2016, Vista, 7, и «восьмерки». Эти заплатки можно и настоятельно рекомендуется загрузить с официального сайта Майкрософт. По крайней мере, на какое-то время проблема будет решена.

Факт, что пострадали юзеры, не пользующиеся автоматическим обновлением системы вопреки рекомендациям софт-гиганта, наряду с появлением патча, наличие кого не позволяет WannaCrypt действовать, за 2 месяца до массовых заражений, наводит на определенные мысли. Мол, «не хотите обновляться добровольно, мы заставим делать это принудительно». В пользу вывода говорит и устранение уязвимости в Windows 10, известной своим пользовательским соглашением и ограничением свободы действий пользователя.

Эксплоит EternalBlue ранее использовался АНБ, что подтвердили представители международной хакерской группы публикацией инструментов агентства нацбезопасности США, сделав и себя подозреваемыми в осуществлении преступления.

О том, как обнаружить и удалить угрозу

Перед тем, как приступать к расшифровке файлов crypted000007, необходимо найти и удалить вирус с компьютера.

Поэтому настоятельно рекомендую следующее:

  1. После обнаружения хотя-бы одного закодированного файла, незамедлительно выключить компьютер.
  2. Затем с другого устройства скачать антивирусные программы, включая бесплатную утилиту от Доктор Веб, Malwarebytes Anti-Malware и AVZ.
  3. Войти в безопасный режим. Таким образом вы деактивируете вымогатель. Для его запуска при старте компьютера нужно нажимать клавишу «F8» до появления соответствующего окна.
  4. Провести полную проверку системы и вылечить компьютер от найденных угроз.

Ручной способ обнаружения:

  1. Чаще всего шифровальщик crypted000007 встраивается в системный компонент csrss.exe для несения своей вредоносной деятельности. Однако, в некоторых случаях могут использоваться и другие названия. Определить потенциальные угрозы можно открыв диспетчер задач и перейдя во вкладку «Процессы».
  2. Отсортируйте значения и посмотрите, какой процесс больше всего расходует ресурсов процессора или оперативной памяти.
  3. Нажмите по нему правой мышкой и выберите пункт «Открыть место хранения». Также можно воспользоваться обычным поиском через «Мой компьютер».
  4. Удалите найденный компонент с диска.
  5. Откройте редактор реестра комбинацией «WIN+R», выполнив команду «regedit». Перед тем, как начать работу с реестром, рекомендую сделать бэкап.
  6. Нажмите «Ctrl+F» и произведите поиск по названию, в моем случае это csrss.exe.
  7. Удалите найденные упоминания в реестре и перезагрузите компьютер.
  8. Заново откройте диспетчер задач и убедитесь, что опасный процесс был успешно удален из системы.

После того, как удаление вируса crypted000007 будет успешно завершено, можно приступать к расшифровке файлов.

Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название “WannaCry”, с которыми 12 мая столкнулись компании по всему миру

Специалисты «Лаборатории Касперского» проанализировали информацию о заражениях программой-шифровальщиком, получившей название “WannaCry”, с которыми 12 мая столкнулись компании по всему миру. Как показал анализ, атака происходила через известную сетевую уязвимость Microsoft Security Bulletin MS17-010 . Затем на зараженную систему устанавливался руткит, используя который злоумышленники запускали программу-шифровальщик.

Все решения «Лаборатории Касперского» детектируют данный вредоносное ПО, которые использовались в этой атаке, следующими вердиктами:

  • Trojan-Ransom.Win32.Scatter.uf
  • Trojan-Ransom.Win32.Scatter.tr
  • Trojan-Ransom.Win32.Fury.fr
  • Trojan-Ransom.Win32.Gen.djd
  • Trojan-Ransom.Win32.Wanna.b
  • Trojan-Ransom.Win32.Wanna.c
  • Trojan-Ransom.Win32.Wanna.d
  • Trojan-Ransom.Win32.Wanna.f
  • Trojan-Ransom.Win32.Zapchast.i
  • Trojan.Win64.EquationDrug.gen
  • Trojan.Win32.Generic (для детектирования данного зловреда компонент «Мониторинг Системы» должен быть включен)

За расшифровку данных злоумышленники требуют заплатить выкуп в размере 600 долларов США в криптовалюте Bitcoin. На данный момент «Лаборатория Касперского» зафиксировала порядка 45 000 попыток атак в 74 странах по всему миру. Наибольшее число попыток заражений наблюдается в России.

В случае если Ваши файлы оказались зашифрованы, категорически нельзя использовать предлагаемые в сети Интернет или полученные в электронных письмах средства расшифровки. Файлы зашифрованы криптостойким алгоритмом и не могут быть расшифрованы, а утилиты, загруженные вами, могут нанести еще больший вред как вашему компьютеру, так и компьютерам во всей организации, поскольку потенциально являются вредоносными и нацелены на новую волну эпидемии.

Если вы обнаружили, что ваш компьютер подвергся заражению, следует выключить его и обратиться в отдел информационной безопасности для получения последующих инструкций.

  • Установить
    официальный патч от
    Microsoft
     , который закрывает используемую в атаке уязвимость (в частности уже доступны обновления для версий
    Windows
    XP
    и
    Windows
    2003);
  • Убедиться, что включены защитные решения на всех узлах сети;
  • Если используется защитное решение «Лаборатории Касперского», убедиться, что его версия включает в себя компонент «Мониторинг Системы» и он включен;
  • Запустить задачу сканирования критических областей в защитном решении «Лаборатории Касперского», чтобы обнаружить возможное заражение как можно раньше (в противном случае детектирование произойдет автоматически в течение 24 часов);
  • После детектирования Trojan.Win64.EquationDrug.gen, произвести перезагрузку системы;
  • В дальнейшим для предупреждения подобных инцидентов использовать сервисы информирования об угрозах, чтобы своевременно получать данные о наиболее опасных таргетированных атаках и возможных заражениях.

Более подробную информацию об атаках “WannaCry” можно найти в отчете «Лаборатории Касперского»

Май 2017 года войдет в анналы истории, как черный день для службы информационной безопасности. В этот день мир узнал, что безопасный виртуальный мир может быть хрупким и уязвимым. Вирус вымогатель под названием Wanna decryptor или wannacry захватил более 150 тысяч компьютеров по всему миру. Случаи заражения зафиксированы более чем в ста странах. Конечно, глобальное заражение было остановлено, но ущерб исчисляется миллионами. Волны распространения вируса-вымогателя все еще будоражат некоторые отдельные машины, но эту чуму пока сумели сдержать и остановить.

Каких файлов стоит опасаться?

Самая подозрительная категория — это исполняемые файлы (расширения EXE или SCR), а также скрипты Visual Basic или JavaScript (расширения VBS и JS). Нередко для маскировки эти файлы упакованы в архивы (ZIP или RAR).

Вторая категория повышенной опасности — документы MS Office (DOC, DOCX, XLS, XLSX, PPT и тому подобные). Опасность в них представляют встроенные программы, написанные с помощью макрокоманд MS Office. Если при открытии офисного файла вас просят разрешить выполнение макрокоманд, три раза подумайте, стоит ли это делать.

Опасность несут также файлы ярлыков (расширение LNK). Windows может демонстрировать их с любой иконкой, что в сочетании с «безопасно» выглядящим именем позволяет усыпить бдительность.

Важный момент: Windows по умолчанию скрывает расширения известных системе типов файлов. Так что, встретив файл с именем Important_info.txt, не спешите по нему кликать, полагаясь на безопасность текстового содержимого: «txt» может оказаться частью имени, а расширение у файла при этом может быть совсем другим.

Как вылечить вирус Wanna decryptor

Те, чей компьютер уже заразился, должны приготовиться к долгому процессу лечения.

Вирус запускается на компьютере пользователя и создает несколько программ. Одна из них начинает шифровать данные, другая обеспечивает связь с вымогателями. На рабочем мониторе появляется надпись, где вам объясняют, что вы стали жертвой вируса и предлагают побыстрее перечислить деньги. При этом, вы не можете открыть ни один файл, а расширения состоят из непонятных букв.

Первое действие, которое пытается предпринять пользователь – это восстановление данных с помощью встроенных в Windows служб. Но при запуске команды, либо ничего не произойдет, либо ваши старания пройдут впустую — избавиться от Wanna Decryptor не так просто.

Один из самых простых способов вылечить вирус – это просто переустановить систему. При этом, вы потеряете не только те данные, которые были на диске с установленной системой. Ведь для полного выздоровления нужно будет провести форматирование всего жесткого диска. Если вы не готовы на такие кардинальные шаги, то можно попробовать вылечить систему вручную:

  1. Скачайте обновление для системы, о котором писалось выше в статье.
  2. Далее отключаемся от интернета
  3. Запускаем командную строку cmd и блокируем 445 порт, по которому вирус проникает на компьютер. Делается это следующей командой:netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
  4. Далее запускаем систему в безопасном режиме. При загрузке удерживаем F8, система сама спросит вас, как именно запустить компьютер. Нужно выбрать «Безопасный режим».
  5. Находим и удаляем папку с вирусом, найти ее можно кликнув по ярлыку вируса и нажав «Расположение файла».
  6. Перезапускаем компьютер в обычном режиме и устанавливаем обновление для системы которое мы скачали, включаем интернет и устанавливаем его.

Wanna cry – как расшифровать файлы

Если вы полностью избавились ото всех проявлений вируса, то самое время заняться расшифровкой данных. И, если вы думаете, что самое сложное позади, то вы сильно ошибаетесь. В истории даже зарегистрирован случай, когда сами создатели шифровальщика не смогли помочь пользователю, который им заплатил и отправили его в службу технической поддержки антивируса.

Оптимальный вариант – это удалить все данные и . Вот только, если такой копии нет, то придется покорпеть. А помогут вам программы дешифровщики. Правда, ни одна программа не может гарантировать стопроцентный результат.

Существует несколько простых программ, которые могут справиться с расшифровкой данных — например Shadow Explorer или Windows Data recovery. Так же стоит заглянуть в лабораторию Касперского, который периодически выпускает декрипторы — http://support.kaspersky.ru/viruses/utility

Очень важно! Запускайте программы декрипторы только после того, как удалили все проявления вируса, иначе рискуете навредить системе или потерять данные снова

Wanna decryptor показал, насколько хрупкой может быть система безопасности любого крупного предприятия или даже государственного учреждения. Так что май месяц стал показательным для многих стран. Кстати, в МВД России пострадали только те машины, которые использовали Windows, а вот те компьютеры, на которых стояла операционная система российской разработки Эльбрус не пострадали.

А какие способы лечения Wanna decryptor помогли вам? Напишите комментарий к этой статье и поделитесь с другими.

Подпишись на новые статьи, что бы не пропустить!

Выбор редакции

Вирус Wannacry – как защититься и восстановить данные

Если ваш компьютер или сразу несколько устройств в домашней или рабочей сети поразил вирус Wannacry – читайте нашу статью.

Здесь вы узнаете, как защититься и не допустить заражения, а также как правильно расшировать зашифрованные данный

Важность этих знаний подтверждается информацией о более чем 150 тысячах заражённых в 2017-м году компьютеров, в операционную систему которых попал вредоносный код WC. И, хотя глобальное распространение угрозы было остановлено, не исключено, что следующая версия программы-шифровальщика станет ещё более эффективной, и к её появлению стоит готовиться заранее

И, хотя глобальное распространение угрозы было остановлено, не исключено, что следующая версия программы-шифровальщика станет ещё более эффективной, и к её появлению стоит готовиться заранее.

Cодержание:

Какими ресурсами распространяется вирус?

После того, как произошла такая масштабная атака, многих пользователей, а тем более компании и предприятия волнует вопрос, как распространяется вирус Wanna Cry и как от него уберечься.

Разработчики этого вируса-вымогателя не стали выдумывать ничего нового и использовали существующие способы заражения компьютеров. Поэтому, в том, как распространяется вирус Wanna Cry, нет ничего нового.

Следующим по популярности способом, как распространяется вирус шифровальщик Wanna Cry, являются социальные сети. Исполнительный файл вируса может прикрепляться к ссылкам на фотографию или видео. Пользователь, при попытке использовать этот медиаконтент, самостоятельно выполнит загрузку вируса к себе на ПК.

У многих также возникают вопросы, как можно заразиться вирусом Wanna Cry, используя обычные сайты с информационными ресурсами. На этих платформах также можно встретить вредоносную программу, которая может предоставляться, как некий рекламный баннер. Пользователь, увидев выгодное предложение магазина, решит им воспользоваться, а на самом деле получит на свой компьютер вредоносного вымогателя.

Как поражает ПК пользователя?

Многие пользователи задаются вопросом о том, как происходит заражение вирусом Wanna Cry так просто. Ведь получается, что заразиться им можно на любом современном информационном ресурсе, доступ к которому могли получить или взломать кибер-злоумышленники.

Дело в том, что операционная система Windows имела упоминаемую выше уязвимость MSB-MS17-010. Именно из-за нее и реализуются все способы заражения вирусом Wanna Cry. Дело в том, что такая уязвимость присутствовала даже в-последних, наиболее используемых версиях – от Windows 7 до Windows 10. Учитывая этот фактор и получилось, что большое число компьютеров, использующих эти операционные системы, оказались в зоне риска, независимо от того был это корпоративный или домашний ПК. Главное, чтобы он имел доступ к сети.

Карта распространения вируса по миру

Какие признаки появления вируса?

После того, как рассмотрен способ того, как проникает вирус Wanna Cry на ПК важно остановиться на тех факторах, при появлении которых пользователь может понять, что на компьютер попал вымогатель:

  • беспричинная большая загрузка процессора;
  • непрерывная нагрузка на накопитель компьютера;
  • появление в автозагрузке лишних приложений;
  • неизвестные процессы в диспетчере задач;
  • попытка получить права администратора для удаления резервных и теневых копий файлов, которые могут применяться для восстановления информации.

Что нужно делать, чтобы исключить заражение ПК?

Зная, как заражает вирус Wanna Cry компьютерную систему, можно определиться с теми действиями, которые позволят избежать заражения и защитят информацию от шифрования и искажения.

Первым делом нужно как можно раньше установить обновление операционной системы Windows, чтобы нейтрализовать ее уязвимость. После проведения такой мощной кибератаки компания Microsoft разработала «заплатки» даже уже не поддерживаемые ею версии Windows, которые еще применяются пользователями.

Чтобы исключить способ распространения вируса Wanna Cry через электронную почту, важно аккуратно ею пользоваться. Если приходит письмо с неизвестного адреса и непонятным содержимым лучше его не открывать, уже не говоря о том, что нельзя открывать ссылки, которые могут быть в таком письме

Зная то, как заражает вирус Wanna Cry через соц. сети и информационные порталы, нужно пользоваться только проверенными ресурсами и не переходить по всяким подозрительным рекламным баннерам, интригующим новостным заметкам и особо выгодным предложениям со стороны малоизвестных компаний.

Заключение

Если подытожить вышесказанное, то можно прийти к вводу, что как просто вирус Wanna Cry попадает в компьютер, так же просто можно от него и защититься. Для этого следует не пренебрегать рекомендациями безопасности в использовании определенных версий Windows, использовать актуальные обновления как антивируса, так и ОС, а также быть внимательным и аккуратным при работе с информационными ресурсами. Если же заражения ПК не удалось избежать, нельзя спешить платить выкуп злоумышленникам. Ведь в таком случае можно потерять и информацию, и деньги. Лучше обратиться за помощью к квалифицированным специалистам, которые обязательно найдут оптимальный выход в сложившейся ситуации.

Похожие записи:

  1. Подключение и настройка wi-fi роутера asus rt-n12. подробно и с картинками
  2. Как обжать кабель (витую пару) для сети и интернета
  3. Eltex nv 102 настроить под любой провайдер
  4. Как настроить роутер huawei hg532e для ростелекома
0
Понравилась статья? Поделиться с друзьями:
ПоватТех

Похожие записи:

  1. Подключение и настройка wi-fi роутера asus rt-n12. подробно и с картинками
  2. Как обжать кабель (витую пару) для сети и интернета
  3. Eltex nv 102 настроить под любой провайдер
  4. Как настроить роутер huawei hg532e для ростелекома
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами и принимаете условия пользовательского соглашения.