Головна
Складання
Патч від вірусу шифрувальника Windows 7. Як оновити Windows, щоб захиститися від WannaCry. Як вилікувати заражену мережу, якщо встановлено стороннє захисне рішення

Патч від вірусу шифрувальника Windows 7. Як оновити Windows, щоб захиститися від WannaCry. Як вилікувати заражену мережу, якщо встановлено стороннє захисне рішення

Вірус WannaCry – це досить новий зразок шкідливих програм, що з'явився лише у травні 2017 року. При попаданні в систему комп'ютера цей мережевий черв'як робить шифрування більшості файлів, які там зберігаються. При цьому за можливість розшифровування необхідних документів вірус вимагає певну грошову суму як своєрідний викуп.

Вірус-вимагач WannaCry вражає комп'ютери незалежно від їхнього власника. Таким чином, під цю своєрідну епідемію потрапляє обладнання, що належить різним структурам, а також представникам населення та бізнес-спільноти. У тому числі відбувається поразка техніки:

  • комерційних компаній;
  • державних структур;
  • фізичних осіб.

Комп'ютерний вірус шифрувальник WannaCry вперше заявив про себе зовсім недавно: це сталося 12 травня поточного року. Перше зараження відбулося на території Іспанії, а потім сталося стрімке поширення шкідливої ​​програми по всьому світу. Внаслідок першої хвилі епідемії найбільше постраждали такі країни:

  • Індія;
  • Україна;
  • Росія.

За порівняно короткий час існування шкідливої ​​програми, що розглядається нами, вона вже встигла перетворитися на проблему глобального масштабу. Крім початкової версії, влітку почали з'являтися нові модифікації зі схожим принципом події. Наприклад, ще один поширений останнім часом вірус Petya - це не що інше, як схожість WannaCry. Багато фахівців з інформаційної безпеки та прості користувачі вважають цю версію ще більш шкідливою для обладнання.

Чи варто чекати на нову хвилю зараження і як убезпечити свій комп'ютер?

Щоб запобігти можливому зараженню важливих файлів, потрібно розуміти, як поширюється небезпечний вірус WannaCry. Перш за все, комп'ютерна техніка працює на певній системі, і деякі їх типи потрапляють в основну зону ризику, в той час як інші, навпаки, автоматично захищають файли, що зберігаються там, від шкідливого впливу. Виявляється, що злісний вірус, який потребує грошового викупу, вражає виключно ті комп'ютери, які працюють на основі операційної системи Windows.

Однак, як відомо, під цією назвою поєднується ціле сімейство різних операційних систем. У такому разі виникає питання, чи власникам яких систем варто особливо сильно побоюватися за збереження своїх важливих документів при атаці вірусу WannaCry? За інформацією російської служби BBC, найчастіше впливає шкідливу програму піддається обладнання, що працює на основі Windows 7. При цьому йдеться виключно про ті пристрої, на яких вчасно не були встановлені недавно випущені компанією Microsoft оновлення, спрямовані на підвищення безпеки комп'ютера.

Яким типом сполуки користується вірус WannaCry? Спочатку програма дізнається IP-адресу комп'ютера для встановлення віддаленого підключення до нього. А завдяки використанню з'єднання з Tor-вузлами мережевому хробакові вдається зберігати анонімність.

За оцінками експертів, від мережевого черв'яка вже встигло постраждати понад 500 тисяч комп'ютерів по всьому світу. Чи можлива нова атака вірусу WannaCry та що говорять про це останні новини? Другу хвилю зараження чекали практично відразу після появи цього феномену. Після цього встигли з'явитися нові модифіковані версії, що діють за схожим принципом вірусом WannaCry. Вони стали відомі у всьому світі під назвами «Петя» та «Миша». Багато фахівців упевнені в тому, що подібні шкідливі програми постійно вдосконалюються, а це означає, що їх повторні атаки не виключені.

Профілактика та лікування

Багато користувачів турбуються з приводу безпеки обладнання, яке вони використовують, і тому цікавляться, як видалити вірус WannaCry у разі його зараження. Перший варіант, який може спасти на думку пересічному користувачеві – це зробити оплату. Проте за можливість розшифровки здирники вимагають не найменшу суму – близько 300 доларів. Згодом первісну суму викупу було підвищено вдвічі – до 600 доларів. Крім того, її виплата зовсім не гарантує відновлення початкового стану вашої системи: все-таки йдеться про зловмисників, яким точно не варто довіряти.

Фахівці вважають цю дію зовсім безглуздою: вони аргументують свою думку тим, що сама опція надання індивідуального ключа для користувача, який вирішив здійснити оплату, розробниками шкідливої ​​програми реалізована з помилкою, що отримала назву «стан гонки». Простих користувачам необов'язково розумітися на її особливостях: набагато важливіше розуміти її зміст, що означає, що ключ для розшифроки, швидше за все, вам так і не буде надіслано.

Таким чином, ефективний захист і лікування від вірусу WannaCry має бути іншим і включати в себе цілий комплекс заходів, які здатні допомогти вам убезпечити свої особисті файли та інформацію, що зберігається в них. Фахівці радять не ігнорувати оновлення системи, що випускаються, особливо ті з них, які стосуються питань безпеки.

Щоб не постраждати від атаки шкідливих програм, необхідно заздалегідь вивчити основні способи захисту від вірусу WannaCry. Насамперед, варто переконатися, що на вашому обладнанні встановлені всі необхідні оновлення, які здатні усунути можливі вразливості системи. Якщо ви розбираєтеся в питаннях інформаційної безпеки, то вам допоможе налаштування перевірки вхідного трафіку за допомогою спеціальної системи управління пакетами IPS. Також рекомендується застосовувати різні системи боротьби з ботами та вірусами: наприклад, програму Threat Emulation у рамках шлюзів безпеки від Check Point.

У разі зараження виникає питання, як усунути вірус WannaCry. Якщо ви не є фахівцем у галузі інформаційної безпеки, то ви можете звернутися за допомогою на спеціалізовані форуми, де вам можуть допомогти впоратися з вашою проблемою.

Чи знаєте ви, як краще розшифрувати файли, зашифровані таким популярним вірусом, як WannaCry? Чи можливо зробити цю операцію без втрати важливих даних? На форумі відомої Лабораторії Касперського у разі зараження радять діяти так:

  • виконати спеціальний скрипт в утиліті АВЗ;
  • перевірити налаштування в системі HijackThis;
  • запустити спеціалізоване програмне забезпечення Farbar Recovery Scan Tool.

У цьому російські фахівці запропонували спеціальних програм, дозволяють розшифрувати заражені файли. Єдиний пропонований ними варіант полягав у рекомендації спробувати зробити їх відновлення з тіньових копій. Натомість було створено французьку утиліту WannaKiwi від компанії Comae Technologies, яка допомагає вилікувати важливі документи на вашому комп'ютері.

Як оновити свою систему з погляду безпеки?

Фахівці з інформаційної безпеки, що своєчасне оновлення Windows 7 здатне надійно захистити обладнання від вірусу WannaCry. Мережевий хробак користувався вразливістю, відому під абревіатурою MS17-010. Своєчасне встановлення офіційних оновлень здатне усунути вказану вразливість, надійно захистивши ваше обладнання.

Якщо вас вразив WannaCry вірус, вам варто встановити патч від компанії Microsoft на свій комп'ютер. Для Windows 7 на офіційному сайті ви зможете знайти оновлення під номером 3212646. Для Windows 8 підійде варіант 3205401. Для версії Windows 10 там же можна знайти наступні версії:

  • 3210720;
  • 3210721;

Також патчі доступні для більш старих версій Windows, а саме для Vista (32 та 64-розрядної) під номером 3177186 та XP під номером 4012598.

Як правильно встановлювати оновлення проти вірусу WannaCry? Це зазвичай дуже просто: вам необхідно тільки завантажити потрібний файл і далі дотримуватися інструкцій, які містяться в майстрі установки. Фактично від вас потрібно лише натискати кнопки «Далі» та «Готово». Після встановлення найкраще перезавантажити систему перед початком її подальшого використання. Для фахівців доступний також спосіб не ручного, а автоматичного встановлення оновлень за допомогою налаштування групових політик своєї системи, а також використання спеціальних фільтрів.

Дякуємо за звернення до компанії «Айдеко».

Сподіваємося, що Ви вказали достатньо контактної інформації, і наші співробітники матимуть змогу зв'язатися з Вами найближчим часом.

Згода на обробку персональних даних

Користувач, реєструючись на сайті, дає свою згоду ТОВ «Айдеко», розташованому за адресою 620144, м. Єкатеринбург, вул. Кулібіна 2, оф.500 на обробку своїх персональних даних з наступними умовами:

  1. Згода надається на обробку своїх персональних даних з використанням засобів автоматизації.
  2. Згода надається на обробку наступних персональних даних:
    1. номери контактних телефонів;
    2. Адреса електронної пошти;
    3. Місце роботи та/або посада;
    4. Місто перебування або реєстрації.
  3. Метою обробки персональних даних є: надання доступу до матеріалів сайту, доступу до сервісу on-line вебінарів або підготовки документів для узгодження варіантів розвитку договірних відносин, включаючи комерційні пропозиції, специфікації, проекти договорів або платіжних документів.
  4. У ході обробки з персональними даними будуть здійснені такі дії: збирання, систематизація, накопичення, зберігання, уточнення, використання, блокування, знищення.
  5. Підставою обробки персональних даних є ст. 24 Конституції Російської Федерації; ст.6 Федерального закону №152-ФЗ «Про персональні дані»; Статут ТОВ «Айдеко», інші федеральні закони та нормативно-правові акти.
  6. Передача персональних даних може здійснюватися третім особам лише у порядку, встановленому законодавством України або при отриманні додаткової згоди Користувача.
  7. Ця згода діє до моменту реорганізації або ліквідації ТОВ «Айдеко». Також Згода може бути відкликана Користувачем шляхом надсилання письмової заяви на поштову адресу ТОВ «Айдеко».
  8. Зберігання персональних даних здійснюється згідно з Наказом Міністерства культури РФ від 25.08.2010 №558 про затвердження «Переліку типових управлінських документів, що утворюються в процесі діяльності державних органів, органів місцевого самоврядування та організацій, із зазначенням термінів зберігання» та інших нормативно-правових актів у галузі архівного справи та архівного зберігання.

Ліцензійну угоду

про надання прав на тестове використання Програмного Комплексу "Інтернет-Шлюз Ideco ICS 6"

Ліцензія ТОВ «Айдеко» на право використання програми для ЕОМ «Програмний комплекс «Інтернет-шлюз Ideco ICS 6» (далі – «Програма»):

  1. Ця ліцензія на право використання Програми (далі – «Ліцензія») надається особі – кінцевому користувачеві (далі – «Ліцензіат») Ліцензіаром – ТОВ «Айдеко» та містить інформацію про обмеження прав на тестове використання Програми, включаючи будь-які її компоненти.
  2. Якщо Ви не погоджуєтесь з умовами Ліцензії, Ви не маєте права встановлювати, копіювати або в інший спосіб використовувати цю Програму та будь-які її компоненти, та повинні їх видалити.
  3. Ліцензіар надає Ліцензіату невиключне право, яке включає використання Програми та її компонентів такими способами: право на відтворення, обмежене правом інсталяції запуску, в обсягах використання, передбачених цією Ліцензією. Право на використання Програми та її компонентів надається виключно з метою ознайомлення та тестування терміном на 1 (один) місяць з дати, зазначеної у цій ліцензії.
  4. Програма поставляється як є, Ліцензіар усунув усі відомі йому помилки, залишається можливість виявлення помилок при подальшій експлуатації.
  5. Ліцензіату відомі найважливіші функціональні властивості Програми, щодо яких надаються права на використання, та Ліцензіат несе ризик відповідності Програми його очікуванням та потребам, а також ризик відповідності умов та обсягу наданих прав своїм очікуванням та потребам.
  6. Ліцензіар не несе відповідальності за будь-які збитки, збитки, незалежно від причин його виникнення (включаючи, але не обмежуючись цим, особливі, випадкові або непрямі збитки, збитки, пов'язані з недоотриманим прибутком, перериванням комерційної чи виробничої діяльності, втратою ділової інформації, недбалістю, або будь-які інші збитки), що виникли внаслідок використання або неможливості використання Програми та будь-яких її компонентів.
  7. Ліцензіат може інсталювати та використовувати одну копію програми на одному комп'ютері або сервері.
  8. Програма включає технології захисту від копіювання, щоб запобігти її неправомірному копіюванню. Заборонено незаконне копіювання Програми та будь-яких її компонентів, видалення або зміну захисту від копіювання.
  9. Ліцензіат не може модифікувати та декомпілювати Програму та будь-які її компоненти, змінювати структуру програмних кодів, функції програми, з метою створення родинних продуктів, поширювати чи сприяти розповсюдженню неліцензійних копій Програми та будь-яких її компонентів.
  10. Не допускається оренда та передача Програми та будь-яких її компонентів третім особам, а також розповсюдження Програми та будь-яких її компонентів у мережі Інтернет.
  11. Після закінчення тестового періоду використання Програми Ліцензіат зобов'язаний деінсталювати Програму та всі її компоненти (видалити з пам'яті ЕОМ), видалити всі зроблені копії Програми та її компонентів, та повідомити про це Ліцензіара, або придбати право на використання Програми.

Глобальна атака хакерів в даний час торкнулася безліч комп'ютерів в Росії і за кордоном, включаючи мережі великих телекомунікаційних компаній, силових відомств і медичних установ.

Наші технологічні партнери з Лабораторії Касперського за вчорашній день, 12 травня, зафіксували 45 тисяч спроб злому в 74 країнах.

Про вірус

Програма-шифрувальник, що розповсюджується в мережі, отримала назву WannaCry (він же Wana Decryptor, WanaCrypt0r та Wana Decrypt0r). На відміну від інших програм подібного типу, даний шифрувальник поєднує функції вірусного, троянського ПЗ і мережевих черв'яків. Як механізми проникнення використовує як електронну пошту (цей механізм дозволяє йому долати захисні міжмережні екрани), так і опубліковану 14 березня цього року мережеву вразливість протоколу SMB: Microsoft Security Bulletin MS17-010. Ця вразливість дозволяє вірусу поширюватися всередині зараженої мережі та вражати максимальну кількість вразливих пристроїв.

Microsoft не автоматично розповсюджує оновлення безпеки для Windows XP і Windows 2003, тому користувачі, які використовують застаріле ПЗ, найбільш вразливі.

Заражаючи пристрій, вірус зашифровує всі дані користувача на жорсткому диску і вимагає викуп за їх розшифровку.

Ideco ICS заснований на ядрі Linux, всі порти на зовнішніх стандартних інтерфейсах закриті, тому він захищений від атак, що використовують мережні вразливості, подібні до тих, що використовує даний вірус. Технологія NAT також надійно захищає всі мережеві пристрої від підключень ззовні. Серед варіантів поширення вірусу: електронна пошта, можливо, заражені сайти та флеш-диски, також вірус може бути принесений співробітниками разом із ноутбуками, що використовуються в інших мережах. Усі механізми поширення вірусу поки що не вивчені та можуть бути доповнені зловмисниками для посилення атаки у найближчому майбутньому.

Налаштування Ideco ICS

Захист кінцевих пристроїв

  • Встановіть патч для закриття вразливості, що експлуатується вірусом: MS17-010 .
  • Заблокуйте використання протоколу SMBv1, виконавши наступну команду на комп'ютерах та Windows-серверах:
    dism /online /norestart /disable-feature /featurename:SMB1Protocol
  • Переконайтеся, що антивірусне програмне забезпечення на всіх комп'ютерах встановлено, працює та використовує актуальні бази сигнатур.
  • На комп'ютери зі застарілими ОС Windows XP і Windows 2003 необхідно встановити патчі безпеки вручну, завантаживши їх за прямими посиланнями:
    kb4012598 для Windows XP SP3
    kb4012598 для Windows Server 2003 x86
    kb4012598 для Windows Server 2003 x64

Якщо ви використовуєте Windows як інтернет-шлюз

Ми не рекомендуємо використовувати будь-які версії Windows на серверах, підключених безпосередньо до Інтернету. Останнім часом було опубліковано інформацію про велику кількість уразливостей, не всі з яких закриті існуючими оновленнями систем безпеки даних ОС. Зараження подібним до WannaCry вірусом безпосередньо інтернет-шлюзу може призвести до зараження всіх хостів мережі, втрат комерційної інформації, а також участі мережі, як частини ботнета, в атаках на інші ресурси, серед яких можуть виявитися і урядові.

Програмне забезпечення, що використовує Windows як платформу, також може забезпечити необхідний рівень безпеки, т.к. ядро системи все одно буде вразливим. Якщо ви використовуєте таке ПЗ, як , Kerio Winroute, ми рекомендуємо якнайшвидше мігрувати на більш безпечні та сучасні рішення.

Шлюз безпеки Ideco ICS зручний тим, що може бути використаний не тільки як програмно-апаратний комплекс, але і встановлюватися безпосередньо на наявний сервер або може бути розгорнутий як віртуальна машина на гіпервізорі.

Про масові зараження комп'ютерів трояном-шифрувальником WannaCry («хочеться плакати»), що почалися 12 травня 2017 року, сьогодні не знає, мабуть, тільки дуже далека від Інтернету людина. А реакцію тих, хто знає, я розділив би на 2 протилежні категорії: байдужість і панічний переляк. Про що це каже?

А про те, що уривчасті відомості не дають повного розуміння ситуації, породжують домисли та залишають по собі більше запитань, ніж відповідей. Щоб розібратися, що відбувається насправді, кому і чим це загрожує, як захиститись від зараження та як розшифрувати файли, пошкоджені WannaCry, присвячена сьогоднішня стаття.

Чи так страшний «чорт» насправді

Не зрозумію, що за метушня навколоWannaCry? Вірусів багато, нові з'являються постійно. А це чимось особливий?

WannaCry (інші назви WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) - не зовсім звичайна кіберзловред. Причина його сумної популярності – гігантські суми завданих збитків. За даними Європолу, він порушив роботу понад 200 000 комп'ютерів під управлінням Windows у 150 країнах світу, а збитки, які зазнали їх власники, становили понад $ 1 000 000 000. І це лише за перші 4 дні поширення. Найбільше постраждалих – у Росії та Україні.

Я знаю, що віруси проникають на комп'ютер через сайти для дорослих. Я таких ресурсів не відвідую, тому мені нічого не загрожує.

Вірус? Теж мені проблема. Коли на моєму комп'ютері заводяться віруси, я запускаю утиліту *** і через півгодини все гаразд. А якщо не допомагає, я встановлюю віндовс.

Вірус вірусу – різниця. WannaCry – троян-вимагач, мережевий черв'як, здатний поширюватися через локальні мережі та Інтернет від одного комп'ютера до іншого без участі людини.

Більшість шкідливих програм, у тому числі шифрувальників, починає працювати тільки після того, як користувач "проковтне наживку", тобто клікне за посиланням, відкриє файл і т.п. щоб заразитись WannaCry, не потрібно робити взагалі нічого!

Опинившись на комп'ютері з Віндовсом, шкідливість за короткий час шифрує основну масу файлів користувача, після чого виводить повідомлення з вимогою викупу в розмірі $300-600, який потрібно перерахувати на вказаний гаманець протягом 3 днів. У разі зволікання він загрожує через 7 днів унеможливити розшифровку файлів.


Одночасно шкідливість шукає лазівки для проникнення інші комп'ютери, і якщо знаходить, заражає всю локальну мережу. Це означає, що резервні копії файлів, що зберігаються на сусідніх машинах, теж стають непридатними.

Видалення вірусу з комп'ютера не призводить до розшифрування файлів!Переустановка операційної системи теж. Навпаки, при зараженні шифрувальниками обидві ці дії можуть позбавити вас можливості відновити файли навіть за наявності валідного ключа.

Так що так, "чорт" цілком собі страшний.

Як поширюється WannaCry

Ви все брешете. Вірус може проникнути на мій комп'ютер, тільки якщо я сам його скачаю. А я пильний.

Багато шкідливих програм вміють заражати комп'ютери (і мобільні девайси, до речі, теж) через уразливості – помилки в коді компонентів операційної системи та програм, які відкривають кібер-зловмисникам можливість використовувати віддалену машину у своїх цілях. WannaCry, зокрема, поширюється через уразливість 0-day у протоколі SMB (уразливістю нульового дня називають помилки, які на момент початку їх експлуатації шкідливим/шпигунським програмним забезпеченням не були виправлені).

Тобто для зараження комп'ютера черв'яком-шифрувальником достатньо двох умов:

  • Підключення до мережі де є інші заражені машини (Інтернет).
  • Наявності у системі вищеописаної лазівки.

Звідки ця зараза узялася взагалі? Це витівки російських хакерів?

За деякими даними (за достовірність не відповідаю), пролом у мережевому протоколі SMB, який служить для легального віддаленого доступу до файлів та принтерів в ОС Windows, першим виявило Агентство національної безпеки США. Замість того, щоб повідомити про неї в Microsoft, щоб там виправили помилку, в АНБ вирішили скористатися нею самі і розробили для цього експлойт (програму, що експлуатує вразливість).


Візуалізація динаміки розповсюдження WannaCry на сайті intel.malwaretech.com

Згодом цей експлойт (кодове ім'я EternalBlue), який слугував якийсь час АНБ для проникнення на комп'ютери без відома власників, був викрадений хакерами і ліг в основу створення здирника WannaCry. Тобто завдяки не зовсім законним та етичним діям держструктури США вірусописці й дізналися про вразливість.

Я вимкнув інсталяцію оновленьWindows. Нафіг треба, коли і без них працює.

Причина такого швидкого і масштабного поширення епідемії - відсутність на той момент "латки" - оновлення Windows, здатного закрити лазівку Wanna Cry. Адже щоб його розробити, потрібен час.

На сьогоднішній день така латка існує. Користувачі, які оновлюють систему автоматично, отримали її перші години після випуску. А ті, хто вважає, що поновлення не потрібні, досі перебувають під загрозою зараження.

Кому загрожує атака WannaCry та як від неї захиститися

Наскільки я знаю, понад 90% комп'ютерів, зараженихWannaCry, працювало під керуваннямWindows 7. У мене «десятка», отже, мені нічого не загрожує.

Небезпеки зараження WannaCry схильні до всіх операційних систем, які використовують мережевий протокол SMB v1. Це:

  • Windows XP
  • Windows Vista
  • Windows 7
  • Windows 8
  • Windows 8.1
  • Windows RT 8.1
  • Windows 10 v 1511
  • Windows 10 v 1607
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2012
  • Windows Server 2016

Підхопити зловреда по мережі сьогодні ризикують користувачі систем, на яких не встановлено критичне оновлення безпеки MS17-010(Доступно для безкоштовного скачування з сайту technet.microsoft.com, на який наведено посилання). Патчі для Windows XP, Windows Server 2003, Windows 8 та інших непідтримуваних ОС можна завантажити з цієї сторінки support.microsoft.com. На ній описані способи перевірки наявності рятівного оновлення.

Якщо ви не знаєте версію ОС на вашому комп'ютері, натисніть комбінацію клавіш Win+R і виконайте winver.


Для посилення захисту, а також у разі неможливості оновити систему зараз, Microsoft наводить інструкції з тимчасового відключення протоколу SMB версії 1. Вони знаходяться і . Додатково, але не обов'язково, можна закрити через брандмауер 445 порт TCP, який обслуговує SMB.

У мене найкращий у світі антивірус ***, з ним я можу робити будь-що і мені нічого не страшно.

Поширення WannaCry може відбуватися не тільки вищеописаним самоходом, а й звичайними способами – через соціальні мережі, електронну пошту, заражені та фішингові веб-ресурси тощо. І такі випадки є. Якщо завантажити та запустити шкідливу програму вручну, то ні антивірус, ні патчі, що закривають уразливості, від зараження не врятують.

Як працює вірус, що шифрує

Та хай шифрує, що хоче. У мене друг програміст, він мені все розшифрує. У крайньому випадку знайдемо ключ шляхом перебору.

Ну, зашифрує пару файлів і що? Це не завадить мені працювати на комп'ютері.

На жаль, не розшифрує, оскільки способів злому алгоритму шифрування RSA-2048, який використовує Wanna Cry, немає і в найближчому майбутньому не з'явиться. І зашифрує він не пару файлів, а майже все.

Наводити детальний опис роботи шкідливості я не буду, кому цікаво, може ознайомитися з його аналізом, наприклад, у блозі експерта Microsoft Matt Suiche. Відзначу лише найзначніші моменти.

Шифрування піддаються файли з розширеннями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Як видно, тут і документи, і фото, і відео-аудіо, і архіви, і пошта, і файли, створені в різних програмах... Зловред намагається дотягнутися до кожного каталогу системи.

Зашифровані об'єкти отримують подвійне розширення з припискою WNCRYнаприклад, "Документ1.doc.WNCRY".


Після шифрування вірус копіює у кожну папку виконуваний файл @[email protected] – нібито для дешифрування після викупу, а також текстовий документ @[email protected] з повідомленням користувача.

Далі він намагається винищити тіньові копії та точки відновлення Windows. Якщо в системі працює UAC, користувач має підтвердити цю операцію. Якщо відхилити запит, залишиться шанс відновити дані із копій .

Ключі шифрування ураженої системи WannaCry передає командні центри, розташовані в мережі Tor, після чого видаляє їх з комп'ютера. Для пошуку інших вразливих машин він сканує локальну мережу та довільні діапазони IP в Інтернеті, а знайшовши проникає на все, до чого зможе дістатися.

Сьогодні аналітикам відомо кілька модифікацій WannaCry з різним механізмом поширення, і найближчим часом, слід очікувати, з'являться нові.

Що робити, якщо WannaCry вже заразив комп'ютер

Я бачу, як файли змінюють розширення. Що відбувається? Як це зупинити?

Шифрування – не одномоментний процес, хоч і не надто довгий. Якщо ви помітили його до появи на екрані повідомлення здирника, ви можете врятувати частину файлів, негайно вимкнувши живлення комп'ютера. Не завершенням роботи системи, а висмикуванням вилки з розетки!

При завантаженні Виндовс у нормальному режимі шифрування буде продовжено, тому важливо його не допустити. Наступний запуск комп'ютера повинен відбутися або в безпечному режимі, в якому віруси не активні, або з іншого носія.

Мої файли зашифровані! Вірус вимагає за них викупу! Що робити, як розшифрувати?

Розшифровка файлів після WannaCry можлива лише за наявності секретного ключа, який зловмисники обіцяють надати, щойно постраждалий перерахує їм суму викупу. Однак подібні обіцянки майже ніколи не виконуються: навіщо розповсюджувачам шкідливих трудитися, якщо вони і так отримали що хотіли?

В окремих випадках вирішити проблему можна і без викупу. На сьогоднішній день розроблено 2 дешифратори WannaCry: WannaKey(автор Adrien Guinet) та WanaKiwi(Автор Benjamin Delpy) . Перший працює лише у Windows XP, а другий, створений на основі першого, – у Windows XP, Vista та 7 x86, а також у північних системах 2003, 2008 та 2008R2 x86.

Алгоритм роботи обох дешифраторів заснований на пошуку секретних ключів у пам'яті процесу шифрувальника. Це означає, що шанс на розшифровку є лише ті, хто не встиг перезавантажити комп'ютер. І якщо після шифрування минуло не надто багато часу (пам'ять не була перезаписана іншим процесом).

Отже, якщо ви маєте Windows XP-7 x86, перше, що слід зробити після появи повідомлення з вимогою викупу, це відключити комп'ютер від локальної мережі та Інтернету і запустити дешифратор WanaKiwi, завантажений на іншому пристрої. До виймання ключа не виконуйте жодних інших дій на комп'ютері!

Ознайомитися з описом роботи дешифрувальника WanaKiwi можна ще в одному блозі Matt Suiche.

Після розшифровування файлів запустіть антивірус для видалення зловреда та встановіть патч, що закриває шляхи його розповсюдження.

Сьогодні WannaCry розпізнають практично всі антивірусні програми, за винятком тих, що не оновлюються, тож підійде майже будь-яка.


Як жити це життя далі

Епідемія з самохідними властивостями застала світ зненацька. Для всіляких служб безпеки вона виявилася такою ж несподіваною, як настання зими 1 грудня для комунальників. Причина - безтурботність і може. Наслідки – непоправна втрата даних та збитки. А для творців шкідливості – стимул продовжувати так само.

Як вважають аналітики, WanaCry приніс розповсюджувачам дуже непогані дивіденди, а отже, атаки, подібні до цієї, будуть повторюватися. І тих, кого пронесло зараз, не обов'язково пронесе згодом. Звичайно, якщо не потурбуватися про це наперед.

Отже, щоб вам не довелося будь-коли плакати над шифрованими файлами:

  • Не відмовляйтеся від інсталяції оновлень операційної системи та програм. Це захистить вас від 99% загроз, які поширюються через незакриті вразливості.
  • Тримайте увімкненим .
  • Створюйте резервні копії важливих файлів та зберігайте їх на іншому фізичному носії, а краще – на кількох. У корпоративних мережах оптимально використовувати розподілені бази зберігання даних, домашні користувачі можуть взяти на озброєння безкоштовні хмарні сервіси на кшталт Яндекс Диск, Google Диск, OneDrive, MEGASynk тощо. Не тримайте ці програми запущеними, коли не користуєтеся ними.
  • Вибирайте надійні операційні системи. Віндовс XP такий не є.
  • Встановіть комплексний антивірус класу Internet Security та додатковий захист від здирників, наприклад, Kaspersky Endpoint Security. Або аналоги інших розробників.
  • Підвищуйте рівень грамотності у протидії троянам-шифрувальникам. Наприклад, антивірусний вендор Dr.Web підготував для користувачів та адміністраторів різних систем навчальні курси. Чимало корисної та, що важливо, достовірної інформації міститься в блогах інших розробників A/V.

І головне: навіть якщо ви постраждали, не переказуєте зловмисникам гроші за розшифровку. Імовірність того, що вас обдурять – 99%. Крім того, якщо ніхто платитиме, бізнес на здирництві стане безглуздим. А інакше поширення подібної зарази лише зростатиме.

12 травня близько 13:00 почалося поширення вірусу Wana Decryptor. Практично за кілька годин було заражено десятки тисяч комп'ютерів по всьому світу. На даний момент підтверджено понад 45 000 заражених комп'ютерів.

Понад 40 тисяч зломів у 74 країнах — інтернет-користувачі у всьому світі стали свідками наймасштабнішої в історії кібератаки. У списку постраждалих не лише звичайні люди, а й сервери банків, телекомунікаційних компаній і навіть силових відомств.

Зараження Wanna Cry вірусом шифрувальником зазнали комп'ютери як звичайних користувачів, так і робочі комп'ютери в різних організаціях, включаючи МВС Росії. На жаль, але зараз немає можливості розшифрувати WNCRY файли, але можна спробувати відновити зашифровані файли використовуючи такі програми як ShadowExplorer і PhotoRec.

Офіційні патчі від Microsoft для захисту від вірусу Wanna Cry:

  • Windows 7 32bit/x64
  • Windows 10 32bit/x64
  • Windows XP 32 bit / x64 - патча від WCry немає.

Як захиститися від вірусу Wanna Cry

Захист від вірусу Wanna Cry можна завантаживши патч для вашої версії Windows.

Як поширюється Wanna Cry

Поширюється Wanna Cry:

  • через файли
  • поштові повідомлення.

Як повідомляється російськими ЗМІ, роботу відділень МВС у кількох регіонах Росії порушено через шифрувальника, який вразив безліч комп'ютерів і загрожує знищити всі дані. Крім того, атаку зазнали оператор зв'язку «Мегафон».

Йдеться про трояна-вимагача WCry (WannaCry або WannaCryptor). Він шифрує інформацію на комп'ютері і вимагає заплатити викуп у розмірі 300 або 600 доларів біткоін за розшифровку.
Також на форумах та в соціальних мережах про зараження повідомляють звичайні користувачі:

Епідемія шифратора WannaCry: що зробити, щоб уникнути зараження. Покрокове керівництво

Увечері 12 травня було виявлено масштабну атаку здирника WannaCryptor (WannaCry), який шифрує всі дані на ПК та ноутбуках під керуванням ОС Windows. Як викуп за розшифровку програма вимагає 300 доларів у биткоинах (близько 17 000 рублів).

Основний удар припав на російських користувачів та компанії. На даний момент WannaCry встиг вразити близько 57 000 комп'ютерів, включаючи корпоративні мережі МВС, РЗ та Мегафону. Також про атаки на свої системи повідомили Ощадбанк та МОЗ.

Розповідаємо, що прямо зараз треба зробити, щоб уникнути зараження.

1. Шифратор експлуатує вразливість Microsoft від березня 2017 року. Для мінімізації загрози необхідно терміново оновити свою версію Windows:

Пуск - Всі програми - Windows Update - Пошук оновлень - Завантажити та інсталювати

2. Навіть якщо система не була оновлена ​​і WannaCry потрапив на комп'ютер – і корпоративні, і домашні рішення ESET NOD32 успішно детектують та блокують усі його модифікації.

5. Для детектування ще невідомих загроз у наших продуктах використовуються поведінкові, евристичні технології. Якщо вірус веде себе як вірус – найімовірніше, це вірус. Так, хмарна система ESET LiveGrid успішно відбивала атаку з 12 травня, ще до оновлення сигнатурних баз.

Як правильно називається вірус Wana Decryptor, WanaCrypt0r, Wanna Cry чи Wana Decrypt0r?

З моменту першого виявлення вірусу в мережі з'явилося вже багато різних повідомлень про цей вірус шифрувальника і часто його називають різними іменами. Це сталося з кількох причин. Перед тим, як з'явився сам Wana Decrypt0r вірус, була його перша версія Wanna Decrypt0r, Основною відмінністю якого був спосіб поширення. Цей перший варіант не набув такої широкої популярності, як його молодший брат, але завдяки цьому, в деяких новинах, новий вірус шифрувальник називають на ім'я його старшого брата, а саме Wanna Cry, Wanna Decryptor.

Але все ж таки основним ім'ям є Wana Decrypt0rхоча більшість користувачів замість цифри «0» набирають букву «o», що призводить нас до імені. Wana Decryptorабо WanaDecryptor.

І останнім ім'ям, під яким часто називають цей вірус-шифрувальник - це WNCRY вірус, тобто розширення, яке додається до імені файлів, що зазнали шифрування.

Щоб мінімізувати ризик попадання вірусу Wanna CRу на комп'ютери фахівці «Лабораторії Касперського» рекомендують встановити всі можливі оновлення Windows. Справа в тому, що відроджена програма вражає тільки ті комп'ютери, які працюють на цьому ПО.

Вірус Wanna Cry: Як поширюється

Раніше ми згадували про цей спосіб поширення вірусів у статті про безпечну поведінку в інтернеті, так що нічого нового.

Wanna Cry поширюється так: На поштову скриньку користувача приходить лист із «нешкідливим» вкладенням – це може бути картинка, відео, пісня, але замість стандартного розширення для цих форматів, вкладення матиме розширення файлу – exe. При відкритті та запуску такого файлу відбувається «інфікування» системи і через вразливість в OS Windows завантажується безпосередньо вірус, що шифрує дані користувача, про це інформує therussiantimes.com.

Вірус Wanna Cry: опис вірусу

Wanna Cry (у народі його вже встигли прозвати Вона край) відноситься до розряду вірусів шифрувальників (крипторів), який при попаданні на ПК шифрує користувацькі файли криптостійким алгоритмом, згодом - читання цих файлів стає не можливим.
На даний момент відомі такі популярні розширення файлів, що піддаються шифруванню Wanna Cry:

Популярні файли Microsoft Office (.xlsx, передає therussiantimes.com.xls, .docx, .doc).
Файли архівів та медіа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry є програмою під назвою WanaCrypt0r 2.0, яка атакує виключно ПК на OC Windows. Програма використовує "дірку" в системі - Microsoft Security Bulletin MS17-010, існування якої було раніше невідоме. За розшифрування програма вимагає «викуп» у розмірі від 300 до 600 доларів. До речі, зараз на рахунки хакерів, за даними The Guardian, надійшло вже понад 42 тисячі доларів.

Джерела:

Вірус Wanna Cryз'явився 12 травня 2017 року. Інші назви цього вірусу: WCryабо WanaCrypt0r 2.0

На сьогоднішній день є приблизні дані про те, що вірус вразив 135 тисяч комп'ютерів та ноутбуків у Windows приблизно у 100 країнах світу.

Вірус блокує комп'ютер. При цьому він виводить на екран подібну картинку:

Вірус вражає комп'ютери з Windows. Майкрософт подбав про своїх користувачів і випустив оновлення для всіх версій Windows. Ці оновлення закривають вразливість ОС, що дозволяє уникнути зараження сьогоднішньою версією вірусу Wanna Cry. Потрібно віддати належне Microsoft. Він випустив оновлення навіть для Windows XP, якому майже 17 років, і підтримка якого не здійснюється з 2014 року.


Як же уберегтися від вірусу?


Насамперед:

Щоб Windows був максимально захищений від вірусних атак, необхідно підтримувати його оновлення в актуальному стані. Для цього:

  1. У Windows 7 перейдіть до розділу Панель керування > Система та безпека Windows Update.




    Там ви побачите, чи увімкнено автоматичне оновлення Windows і чи є на даний момент важливі оновлення.
  2. У Windows 10 перейдіть до розділу Установки > Оновлення та безпека .


  3. У Windows 8.1 перейдіть до розділу Панель керування > Система та безпека Центр оновлення Windows .


Увімкнувши автоматичні оновлення, ви успішно пройшли перший етап на шляху захисту від вірусів здирників.

Нижче наведено інструкцію з інсталяції оновлення, що блокує проникнення вірусу Wcry на застарілі версії Windows.

Як інсталювати оновлення на застарілі версії Windows 7, 8.1, XP, Visa.


Нагадую, що x86 у найменуванні Windows означає 32-розрядну версію. А x64 - відповідно 64-розрядну версію Windows.

Windows 10 x64: не вимагає оновлень,

Windows 10 (1511) x86: не вимагає оновлень,

Windows 10 (1511) x64: не вимагає оновлень,

Windows 10 (1607) x86: не вимагає оновлень,

Windows 10 (1607) x64: не вимагає оновлень,

Ви повинні розуміти, що вірус розвиватиметься і змінюватиметься. Тому для захисту від нього будуть потрібні додаткові дії.

Якщо ви бажаєте бути в курсі справи, підписуйтесь на мій канал YouTube (якщо ще не підписано).

Важливо! >

  1. за Windows 10ситуація прояснилася небагато. Всі, хто намагався інсталювати оновлення на Windows 10, зробити це не змогли.
    Майкрософт тему вірусу здирника моніторить. Вони стверджують, що Windows 10, не схильний до зараження даним вірусом. Тільки якщо у нього включені автоматичні оновлення, вони успішно встановлюються. Тому власникам Windows 10 достатньо переконатися в цьому, і не потрібно завантажувати та намагатися встановити оновлення, посилання на які є нижче.
    Кому цікаво, може почитати блог тих. підтримки Майкрософт, чистою англійською 🙂
  2. Щодо так званих «піраток». Тобто Windows, встановлені неофіційно, активовані всілякими хитрими ключами, активаторами і т.д.
    Я самостійно встановив оновлення на кілька комп'ютерів та ноутбуків з таким Windows. Крім того, у багатьох моїх передплатників встановлено саме піратки. Я зіткнувся з проблемою при встановленні лише один раз. Та й то потім виявилося, що оновлення там уже було встановлено. Тому говорити про те, що від цього оновлення «злітає активація Windows», на мій погляд не можна.
  3. І головне! Вся інформація, представлена ​​в цій статті та на моєму блозі, має виключно інформаційний характер. Все, що ви робитимете на ваших ПК і ноутбуках (якщо будете), ви робитимете за вашою власною ініціативою.
    Всю відповідальність за ваші дії та результат цих дій несете тільки ви.
    Якщо ви не впевнені у своїх силах, краще зверніться до фахівців.

Помилки >, що виникають при спробі інсталювати оновлення.

  1. Windows 7 x64. Помилка 0х80240037. Швидше за все це пов'язано зі штучним обмеженням Microsoft, яке він ввів у січні 2016 р. для Windows 7 та Windows 8.1. Суть коротко така. Майкрософт хоче, щоб користувачі встановлювали на сучасне залізо (найновіші процесори та материнські плати) тільки Windows 10. Йому набридло підтримувати застарілі версії Windows і він не дає встановлювати ряд оновлень на ПК та ноутбуки із сучасним залізо.
    Очевидно, що комп'ютери тих, у кого ця помилка з'явилася, потрапляють до розряду «сучасних». Докладніше можна почитати.
  2. Windows 7 x64. Помилка 0x80070422. За цією помилкою є ціла онуча від Майкрософт, на її втому.
    Вона.
    Оскільки це оновлення пов'язане з роботою портів, то цілком можливий зв'язок даної помилки з включенням Брендмауера.
    Чи виконувати все те, що там написано, вирішувати вам. Зрозуміло, на якусь гарантію того, що після цього «все запрацює» Майкрософт вам не дасть.
Чи допомагають антивіруси боротися з вірусом здирником Wanna Cry?

На блозі антивірусної програми Avast написано так: Avast detects all known versions of WannaCry.Це можна перекласти так: Аваст виявляє всі відомі версії WannaCry.

Можна по-різному ставитися до цієї заяви. Але якщо у вас встановлений антивірус Аваст, то вам неважко оновити його бази та повністю просканувати комп'ютер [ноутбук].

Якщо у вас немає антивірусу, скачайте його безкоштовно та перевірте свій ПК та ноутбук.

У мене є докладна відео інструкція, як завантажити та встановити Avast. Відео.

Чи є залізобетонна гарантія від вірусу?

Багато хто запитує: Якщо я встановлю і включу автоматичні оновлення, просканую комп'ютер антивірусом, зроблю все - чи буде це 100% гарантією від цього вірусу?

Зрозуміло, ні. Адже в реальному житті не буває універсальних ліків від усіх хвороб. У віртуальному, комп'ютерному житті його теж немає.

По-перше, всі перелічені вище заходи лише допоможуть з великою часткою ймовірності уникнути самостійного проникнення вірусуздирника Wanna Cry на ваш комп'ютер | ноутбук.

Але вірус вам можуть надіслати електронною поштою, у вигляді вкладення. Якщо ви самі запустите його, то, швидше за все, він заразить ваш комп'ютер. Так само, ви можете натиснути на якийсь підозрілий рекламний банер і теж завантажите і запустіть вірус.

Зрештою, розробники вірусу видозмінюють його. І старі гроші вже не допомагають.

Чи варто зневірятися? Зрозуміло ні! Ви вжили запобіжних заходів, активували автоматичні оновлення на вашому комп'ютері | ноутбук, у вас регулярно оновлюється антивірусна програма і ви скануєте їй ваш ПК?

Чудово! Продовжуйте жити звичайним активним комп'ютерним життям. Тільки будьте трохи уважнішими та обережнішими, особливо на порно сайтах… Жарт! 🙂

Все буде добре!

При створенні цієї статті використано відомості з сайту https://geektimes.ru/

Ваші друзі, близькі та колеги по роботі будуть вдячні вам за інформацію, яка представлена ​​на цій сторінці. Вони також хочуть уберегтися від вірусу здирника Wanna Cry. Поділіться з ними статтею за допомогою кнопок нижче.

Навігація за записами

Вірус здирник Wanna Cry як захиститися. Проста інструкція.: 26 коментарів

    Версія 10.0.10586
    Системна папка на 32,
    А я не можу знайти відповідне посилання, напевно, не існує для моєї системи!?
    Відео урок зрозумілий, шкода, що не можу скористатися вашими рекомендаціями.

  1. Здрастуйте, Євгене. Я встановила оновлення, перезавантажила комп'ютер. А командний рядок відповідає, що не вдається відкрити List і GFE. Як це зрозуміти? Встановити ще раз?

    Євгене! Це знову я. Наразі спробувала ще раз. Прийшла правильна відповідь, УФ. Велике дякую, що допомагаєте нам. Оперативно інформуєте, навчайте захищатися. Тетяна.

  2. Олександр

    Спасибі за допомогу!

    3. Здравствуйте,Евген.Посмотрел я ваше відео воно дуже пізнавальне,але у мене нічого не вийшло.Я все робив як ви показуєте. На екрані з'являється "Оновлення не прийнятне до цього комп'ютера."

  3. Фролов Олексій

    Здравствуйте,Евгений.Посмотрел я ваше відео,робив все начебто правильно але оновлення не встановлюється. В мене Windows7х64. з'являється вікно Автономний інсталятор оновлень-пошук оновлень на цьому комп'ютері.

  4. Сальникова Тетяна
Складання

Вам також може сподобатися