Про масові зараження комп'ютерів трояном-шифрувальником WannaCry («хочеться плакати»), що почалися 12 травня 2017 року, сьогодні не знає, мабуть, тільки дуже далека від Інтернету людина. А реакцію тих, хто знає, я розділив би на 2 протилежні категорії: байдужість і панічний переляк. Про що це каже?

А про те, що уривчасті відомості не дають повного розуміння ситуації, породжують домисли та залишають по собі більше запитань, ніж відповідей. Щоб розібратися, що відбувається насправді, кому і чим це загрожує, як захиститись від зараження та як розшифрувати файли, пошкоджені WannaCry, присвячена сьогоднішня стаття.

Чи так страшний «чорт» насправді

Не зрозумію, що за метушня навколоWannaCry? Вірусів багато, нові з'являються постійно. А це чимось особливий?

WannaCry (інші назви WanaCrypt0r, Wana Decrypt0r 2.0, WannaCrypt, WNCRY, WCry) - не зовсім звичайна кіберзловред. Причина його сумної популярності – гігантські суми завданих збитків. За даними Європолу, він порушив роботу понад 200 000 комп'ютерів під управлінням Windows у 150 країнах світу, а збитки, які зазнали їх власники, становили понад $ 1 000 000 000. І це лише за перші 4 дні поширення. Найбільше постраждалих – у Росії та Україні.

Я знаю, що віруси проникають на комп'ютер через сайти для дорослих. Я таких ресурсів не відвідую, тому мені нічого не загрожує.

Вірус? Теж мені проблема. Коли на моєму комп'ютері заводяться віруси, я запускаю утиліту *** і через півгодини все гаразд. А якщо не допомагає, я встановлюю віндовс.

Вірус вірусу – різниця. WannaCry – троян-вимагач, мережевий черв'як, здатний поширюватися через локальні мережі та Інтернет від одного комп'ютера до іншого без участі людини.

Більшість шкідливих програм, у тому числі шифрувальників, починає працювати тільки після того, як користувач "проковтне наживку", тобто клікне за посиланням, відкриє файл і т.п. щоб заразитись WannaCry, не потрібно робити взагалі нічого!

Опинившись на комп'ютері з Віндовсом, шкідливість за короткий час шифрує основну масу файлів користувача, після чого виводить повідомлення з вимогою викупу в розмірі $300-600, який потрібно перерахувати на вказаний гаманець протягом 3 днів. У разі зволікання він загрожує через 7 днів унеможливити розшифровку файлів.

Одночасно шкідливість шукає лазівки для проникнення інші комп'ютери, і якщо знаходить, заражає всю локальну мережу. Це означає, що резервні копії файлів, що зберігаються на сусідніх машинах, теж стають непридатними.

Видалення вірусу з комп'ютера не призводить до розшифрування файлів!Переустановка операційної системи теж. Навпаки, при зараженні шифрувальниками обидві ці дії можуть позбавити вас можливості відновити файли навіть за наявності валідного ключа.

Так що так, "чорт" цілком собі страшний.

Як поширюється WannaCry

Ви все брешете. Вірус може проникнути на мій комп'ютер, тільки якщо я сам його скачаю. А я пильний.

Багато шкідливих програм вміють заражати комп'ютери (і мобільні девайси, до речі, теж) через уразливості – помилки в коді компонентів операційної системи та програм, які відкривають кібер-зловмисникам можливість використовувати віддалену машину у своїх цілях. WannaCry, зокрема, поширюється через уразливість 0-day у протоколі SMB (уразливістю нульового дня називають помилки, які на момент початку їх експлуатації шкідливим/шпигунським програмним забезпеченням не були виправлені).

Тобто для зараження комп'ютера черв'яком-шифрувальником достатньо двох умов:

• Підключення до мережі де є інші заражені машини (Інтернет).
• Наявності у системі вищеописаної лазівки.

Звідки ця зараза узялася взагалі? Це витівки російських хакерів?

За деякими даними (за достовірність не відповідаю), пролом у мережевому протоколі SMB, який служить для легального віддаленого доступу до файлів та принтерів в ОС Windows, першим виявило Агентство національної безпеки США. Замість того, щоб повідомити про неї в Microsoft, щоб там виправили помилку, в АНБ вирішили скористатися нею самі і розробили для цього експлойт (програму, що експлуатує вразливість).

Візуалізація динаміки розповсюдження WannaCry на сайті intel.malwaretech.com

Згодом цей експлойт (кодове ім'я EternalBlue), який слугував якийсь час АНБ для проникнення на комп'ютери без відома власників, був викрадений хакерами і ліг в основу створення здирника WannaCry. Тобто завдяки не зовсім законним та етичним діям держструктури США вірусописці й дізналися про вразливість.

Я вимкнув інсталяцію оновленьWindows. Нафіг треба, коли і без них працює.

Причина такого швидкого і масштабного поширення епідемії - відсутність на той момент "латки" - оновлення Windows, здатного закрити лазівку Wanna Cry. Адже щоб його розробити, потрібен час.

На сьогоднішній день така латка існує. Користувачі, які оновлюють систему автоматично, отримали її перші години після випуску. А ті, хто вважає, що поновлення не потрібні, досі перебувають під загрозою зараження.

Кому загрожує атака WannaCry та як від неї захиститися

Наскільки я знаю, понад 90% комп'ютерів, зараженихWannaCry, працювало під керуваннямWindows 7. У мене «десятка», отже, мені нічого не загрожує.

Небезпеки зараження WannaCry схильні до всіх операційних систем, які використовують мережевий протокол SMB v1. Це:

• Windows XP
• Windows Vista
• Windows 7
• Windows 8
• Windows 8.1
• Windows RT 8.1
• Windows 10 v 1511
• Windows 10 v 1607
• Windows Server 2003
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016

Підхопити зловреда по мережі сьогодні ризикують користувачі систем, на яких не встановлено критичне оновлення безпеки MS17-010(Доступно для безкоштовного скачування з сайту technet.microsoft.com, на який наведено посилання). Патчі для Windows XP, Windows Server 2003, Windows 8 та інших непідтримуваних ОС можна завантажити з цієї сторінки support.microsoft.com. На ній описані способи перевірки наявності рятівного оновлення.

Якщо ви не знаєте версію ОС на вашому комп'ютері, натисніть комбінацію клавіш Win+R і виконайте winver.

Для посилення захисту, а також у разі неможливості оновити систему зараз, Microsoft наводить інструкції з тимчасового відключення протоколу SMB версії 1. Вони знаходяться і . Додатково, але не обов'язково, можна закрити через брандмауер 445 порт TCP, який обслуговує SMB.

У мене найкращий у світі антивірус ***, з ним я можу робити будь-що і мені нічого не страшно.

Поширення WannaCry може відбуватися не тільки вищеописаним самоходом, а й звичайними способами – через соціальні мережі, електронну пошту, заражені та фішингові веб-ресурси тощо. І такі випадки є. Якщо завантажити та запустити шкідливу програму вручну, то ні антивірус, ні патчі, що закривають уразливості, від зараження не врятують.

Як працює вірус, що шифрує

Та хай шифрує, що хоче. У мене друг програміст, він мені все розшифрує. У крайньому випадку знайдемо ключ шляхом перебору.

Ну, зашифрує пару файлів і що? Це не завадить мені працювати на комп'ютері.

На жаль, не розшифрує, оскільки способів злому алгоритму шифрування RSA-2048, який використовує Wanna Cry, немає і в найближчому майбутньому не з'явиться. І зашифрує він не пару файлів, а майже все.

Наводити детальний опис роботи шкідливості я не буду, кому цікаво, може ознайомитися з його аналізом, наприклад, у блозі експерта Microsoft Matt Suiche. Відзначу лише найзначніші моменти.

Шифрування піддаються файли з розширеннями: .doc, .docx, .xls, .xlsx, .ppt, .pptx, .pst, .ost, .msg, .eml, .vsd, .vsdx, .txt, .csv, .rtf, .123, .wks , .wk1, .pdf, .dwg, .onetoc2, .snt, .jpeg, .jpg, .docb, .docm, .dot, .dotm, .dotx, .xlsm, .xlsb, .xlw, .xlt, . xlm, .xlc, .xltx, .xltm, .pptm, .pot, .pps, .ppsm, .ppsx, .ppam, .potx, .potm, .edb, .hwp, .602, .sxi, .sti, .sldx, .sldm, .sldm, .vdi, .vmdk, .vmx, .gpg, .aes, .ARC, .PAQ, .bz2, .tbk, .bak, .tar, .tgz, .gz, .7z , .rar, .zip, .backup, .iso, .vcd, .bmp, .png, .gif, .raw, .cgm, .tif, .tiff, .nef, .psd, .ai, .svg, . djvu, .m4u, .m3u, .mid, .wma, .flv, .3g2, .mkv, .3gp, .mp4, .mov, .avi, .asf, .mpeg, .vob, .mpg, .wmv, .fla, .swf, .wav, .mp3, .sh, .class, .jar, .java, .rb, .asp, .php, .jsp, .brd, .sch, .dch, .dip, .pl , .vb, .vbs, .ps1, .bat, .cmd, .js, .asm, .h, .pas, .cpp, .c, .cs, .suo, .sln, .ldf, .mdf, . ibd, .myi, .myd, .frm, .odb, .dbf, .db, .mdb, .accdb, .sql, .sqlitedb, .sqlite3, .asc, .lay6, .lay, .mml, .sxm, .otg, .odg, .uop, .std, .sxd, .otp, .odp, .wb2, .slk, .dif, .stc, .sxc, .ots, .ods, .3dm, .max, .3ds , .uot, .stw, .sxw, .ott, .odt, .pem, .p12, .csr, .crt, .key, .pfx, .der.

Як видно, тут і документи, і фото, і відео-аудіо, і архіви, і пошта, і файли, створені в різних програмах... Зловред намагається дотягнутися до кожного каталогу системи.

Зашифровані об'єкти отримують подвійне розширення з припискою WNCRYнаприклад, "Документ1.doc.WNCRY".

Після шифрування вірус копіює у кожну папку виконуваний файл @[email protected] – нібито для дешифрування після викупу, а також текстовий документ @[email protected] з повідомленням користувача.

Далі він намагається винищити тіньові копії та точки відновлення Windows. Якщо в системі працює UAC, користувач має підтвердити цю операцію. Якщо відхилити запит, залишиться шанс відновити дані із копій .

Ключі шифрування ураженої системи WannaCry передає командні центри, розташовані в мережі Tor, після чого видаляє їх з комп'ютера. Для пошуку інших вразливих машин він сканує локальну мережу та довільні діапазони IP в Інтернеті, а знайшовши проникає на все, до чого зможе дістатися.

Сьогодні аналітикам відомо кілька модифікацій WannaCry з різним механізмом поширення, і найближчим часом, слід очікувати, з'являться нові.

Що робити, якщо WannaCry вже заразив комп'ютер

Я бачу, як файли змінюють розширення. Що відбувається? Як це зупинити?

Шифрування – не одномоментний процес, хоч і не надто довгий. Якщо ви помітили його до появи на екрані повідомлення здирника, ви можете врятувати частину файлів, негайно вимкнувши живлення комп'ютера. Не завершенням роботи системи, а висмикуванням вилки з розетки!

При завантаженні Виндовс у нормальному режимі шифрування буде продовжено, тому важливо його не допустити. Наступний запуск комп'ютера повинен відбутися або в безпечному режимі, в якому віруси не активні, або з іншого носія.

Мої файли зашифровані! Вірус вимагає за них викупу! Що робити, як розшифрувати?

Розшифровка файлів після WannaCry можлива лише за наявності секретного ключа, який зловмисники обіцяють надати, щойно постраждалий перерахує їм суму викупу. Однак подібні обіцянки майже ніколи не виконуються: навіщо розповсюджувачам шкідливих трудитися, якщо вони і так отримали що хотіли?

В окремих випадках вирішити проблему можна і без викупу. На сьогоднішній день розроблено 2 дешифратори WannaCry: WannaKey(автор Adrien Guinet) та WanaKiwi(Автор Benjamin Delpy) . Перший працює лише у Windows XP, а другий, створений на основі першого, – у Windows XP, Vista та 7 x86, а також у північних системах 2003, 2008 та 2008R2 x86.

Алгоритм роботи обох дешифраторів заснований на пошуку секретних ключів у пам'яті процесу шифрувальника. Це означає, що шанс на розшифровку є лише ті, хто не встиг перезавантажити комп'ютер. І якщо після шифрування минуло не надто багато часу (пам'ять не була перезаписана іншим процесом).

Отже, якщо ви маєте Windows XP-7 x86, перше, що слід зробити після появи повідомлення з вимогою викупу, це відключити комп'ютер від локальної мережі та Інтернету і запустити дешифратор WanaKiwi, завантажений на іншому пристрої. До виймання ключа не виконуйте жодних інших дій на комп'ютері!

Ознайомитися з описом роботи дешифрувальника WanaKiwi можна ще в одному блозі Matt Suiche.

Після розшифровування файлів запустіть антивірус для видалення зловреда та встановіть патч, що закриває шляхи його розповсюдження.

Сьогодні WannaCry розпізнають практично всі антивірусні програми, за винятком тих, що не оновлюються, тож підійде майже будь-яка.

Як жити це життя далі

Епідемія з самохідними властивостями застала світ зненацька. Для всіляких служб безпеки вона виявилася такою ж несподіваною, як настання зими 1 грудня для комунальників. Причина - безтурботність і може. Наслідки – непоправна втрата даних та збитки. А для творців шкідливості – стимул продовжувати так само.

Як вважають аналітики, WanaCry приніс розповсюджувачам дуже непогані дивіденди, а отже, атаки, подібні до цієї, будуть повторюватися. І тих, кого пронесло зараз, не обов'язково пронесе згодом. Звичайно, якщо не потурбуватися про це наперед.

Отже, щоб вам не довелося будь-коли плакати над шифрованими файлами:

• Не відмовляйтеся від інсталяції оновлень операційної системи та програм. Це захистить вас від 99% загроз, які поширюються через незакриті вразливості.
• Тримайте увімкненим .
• Створюйте резервні копії важливих файлів та зберігайте їх на іншому фізичному носії, а краще – на кількох. У корпоративних мережах оптимально використовувати розподілені бази зберігання даних, домашні користувачі можуть взяти на озброєння безкоштовні хмарні сервіси на кшталт Яндекс Диск, Google Диск, OneDrive, MEGASynk тощо. Не тримайте ці програми запущеними, коли не користуєтеся ними.
• Вибирайте надійні операційні системи. Віндовс XP такий не є.
• Встановіть комплексний антивірус класу Internet Security та додатковий захист від здирників, наприклад, Kaspersky Endpoint Security. Або аналоги інших розробників.
• Підвищуйте рівень грамотності у протидії троянам-шифрувальникам. Наприклад, антивірусний вендор Dr.Web підготував для користувачів та адміністраторів різних систем навчальні курси. Чимало корисної та, що важливо, достовірної інформації міститься в блогах інших розробників A/V.

І головне: навіть якщо ви постраждали, не переказуєте зловмисникам гроші за розшифровку. Імовірність того, що вас обдурять – 99%. Крім того, якщо ніхто платитиме, бізнес на здирництві стане безглуздим. А інакше поширення подібної зарази лише зростатиме.

У цій статті ви дізнаєтеся про те, що робити, якщо ваш комп'ютер атакував вірус Wanna Cry, а також які дії робити, щоб не втратити свої файли на жорсткому диску.

Вірус Wcrypt– це здирник, який блокує всі файли на заражених комп'ютерах або мережах і вимагає викуп в обмін на рішення для відновлення даних.

Перші версії цього вірусу з'явилися у лютому 2017 року, і тепер він має різні імена, такі як WannaCry, Wcry, Wncry, WannaCryptor, WannaCrypt0r, WanaCrypt0r 2.0, Wana Decrypt0r, Wana Decrypt0r 20.

Як тільки ця небезпечна програма пробирається до комп'ютерної системи, вона криптує всі дані, що зберігаються на ній за лічені секунди. Під час цієї процедури вірус може додавати розширення файлів.

Відомо, що інші версії цього вірусу додають розширення .wcry або .wncry. Мета такої процедури шифрування – зробити ці жертви марними і вимагати викуп. Жертва може легко ігнорувати інструмент здирництва у випадку, якщо у нього є резервна копія даних.

Однак у більшості випадків комп'ютерні користувачі забувають своєчасно створювати ці копії даних. У такому випадку єдиний спосіб відновити зашифровані файли – це заплатити кібер-злочинцям, проте ми рекомендуємо вам цього не робити.

Пам'ятайте, що шахрайство зазвичай не виявляє інтересу до взаємодії з жертвою після отримання викупу, оскільки гроші – це все, що вони шукають. Натомість ми пропонуємо видалити здирник за допомогою засобів захисту від шкідливих програм, таких як Reimage або Plumbytes, відповідно до посібника з видалення Wcrypt, яке ми надали нижче.

Після шифрування всіх файлів цільової системи вірус змінює шпалери для робочого стола з чорним зображенням з деяким текстом, який говорить, що дані, що зберігаються на комп'ютері, були зашифровані.

Зображення, аналогічно останнім версіям Cryptolocker, пояснює, як відновити файл @WanaDecryptor.exe, якщо антивірусна програма поміщає їх у карантин. Потім шкідлива програма запускає повідомлення жертви, в якому говориться: "Ой, ваші файли були зашифровані!"І надає адресу гаманця біткойнів, ціну викупу (від 300 доларів США) та інструкції з купівлі біткойнів. Вірус приймає викуп лише у криптовалюті біткойнів.

Проте жертва повинна заплатити його протягом трьох днів з моменту зараження. Вірус також обіцяє видаляти всі зашифровані файли, якщо жертва не заплатить за тиждень. Тому ми пропонуємо вам видалити Wcrypt якнайшвидше, щоб він не пошкодив файли на вашому комп'ютері або ноутбуку.

Як розповсюдження вірусу Wcrypt?

Wcrypt, яка також відома як WansCry ransomware, вразила віртуальну спільноту 12 травня 2017 року. Цього дня було проведено масову кібератаку проти користувачів Microsoft Windows. Нападники використовували експлойт EternalBlue для зараження комп'ютерних систем та захоплення всіх файлів жертви.

Крім того, сама вигода працює як робота, яка шукає підключені комп'ютери та реплікується на них. Хоча на даний момент здається, що здирник більше не атакує нових жертв (оскільки дослідник безпеки випадково зупинив кібер-атаку), експерти повідомляють про те, що ще зарано радіти.

Автори шкідливого ПЗ можуть приховувати ще один спосіб розповсюдження вірусу, тому користувачі комп'ютерів повинні вживати всіх можливих заходів для захисту комп'ютера від такої кібер-атаки. Хоча ми рекомендуємо встановлювати програмне забезпечення для захисту вашого ПК від шкідливих програм і регулярно оновлювати всі програми на ньому.

Варто зауважити, що ми також, як і решта рекомендуємо створити копію цінних даних і перенести їх на зовнішній пристрій зберігання даних.

Як видалити вірус Wcrypt? Що робити, якщо на комп'ютері з'явився Wcrypt?

З причин, згаданих вище, вам необхідно якнайшвидше видалити вірус Wcrypt. Зберігати комп'ютер у системі небезпечно, оскільки він може швидко реплікувати інших комп'ютерах чи портативних пристроях, якщо хтось підключить їх до зламаного ПК.

Найбезпечніший спосіб завершити видалення Wcrypt – виконати повну перевірку системи за допомогою антивірусного програмного забезпечення. Щоб запустити його, ви повинні спочатку підготувати комп'ютер. Дотримуйтесь цих вказівок, щоб повністю видалити вірус.

Спосіб 1. Видалення WCrypt у безпечному режимі за допомогою мережі

• Крок 1. Перезавантажте комп'ютер у безпечному режимі за допомогою мережі.

Windows 7 / Vista / XP

1. Натисніть Пуск → Вимкнути → Перезапустити → OK.
2. Коли з'явиться екран, почніть натискати F8 .
3. У списку виберіть Безпечний режим із завантаженням мережевих драйверів.

Windows 10/Windows 8

1. Shift "Перезавантажити".
2. Тепер виберіть "Усунення несправностей" → "Додаткові параметри" → «Налаштування автозавантаження»та натисніть .
3. "Увімкнути безпечний режим із завантаженням мережевих драйверів"у вікні "Параметри завантаження".

• Крок 2: Видаліть WCrypt

Увійдіть у свій заражений обліковий запис і запустіть браузер. Завантажте Reimageчи іншу законну антишпигунську програму. Оновіть його перед повним скануванням системи та видаліть шкідливі файли.

Якщо WCrypt блокує безпечний режим із завантаженням драйверів, спробуйте використовувати інший метод.

Спосіб 2. Видалення WCrypt за допомогою функції відновлення системи

• Крок 1. Перезавантажте комп'ютер у безпечному режимі за допомогою командного рядка.

Windows 7 / Vista / XP

1. Натисніть Пуск → Вимкнення → Перезавантажити → OK.
2. Коли ваш комп'ютер стане активним, почніть натискати F8кілька разів, доки не побачите вікно «Додаткові параметри завантаження».
3. Виберіть «Безпечний режим із підтримкою командного рядка»з списку.

Windows 10/Windows 8

1. Натисніть кнопку живлення на екрані входу до Windows. Тепер натисніть та утримуйте Shift, який знаходиться на вашій клавіатурі, та натисніть "Перезавантажити".
2. Тепер виберіть "Усунення несправностей" → "Додаткові параметри" → «Налаштування автозавантаження»та натисніть .
3. Коли ваш комп'ютер стане активним, виберіть «Включити безпечний режим із підтримкою командного рядка»у вікні "Параметри завантаження".

• Крок 2. Відновіть системні файли та налаштування.

1. Коли з'явиться вікно командного рядка, введіть cd restoreта натисніть Enter.

2. Тепер введіть rstrui.exeі знову натисніть Enter.

3. Коли з'явиться нове вікно, натисніть «Далі»та виберіть точку відновлення, що передує інфільтрації WCrypt. Після цього натисніть "Далі".

4. Тепер натисніть «Так», щоб продовжити процес.

5. Після цього натисніть кнопку «Готово», щоб запустити відновлення системи.

• Після відновлення системи до попередньої дати завантажте та відскануйте комп'ютер за допомогою Reimage та переконайтеся, що видалення WCrypt виконано успішно.

Сподіваємося, що ця стаття допомогла вам вирішити проблему з вірусом WCrypt!

Відео: Вірус Wanna Cry продовжує заражати комп'ютерні системи по всьому світу

По всьому світу прокотилася хвиля нового вірусу-шифрувальника WannaCry (інші назви Wana Decrypt0r, Wana Decryptor, WanaCrypt0r), який зашифровує документи на комп'ютері і вимагає 300-600 USD за їхнє декодування. Як дізнатися, чи заражено комп'ютер? Що потрібно зробити, щоб не стати жертвою? І що зробити, щоб вилікуватись?

Після встановлення оновлень комп'ютер потрібно буде перевантажити.

Як вилікується від вірусу-шифрувальника Wana Decrypt0r?

Коли антивірусна утиліта виявить вірус, вона або видалить його відразу, або запитає у вас лікувати чи ні? Відповідь – лікувати.

Як відновити зашифровані файли Wana Decryptor?

Нічого втішного зараз повідомити не можемо. Поки інструмента розшифровування файлів не створили. Поки що залишається лише почекати, коли дешифрувальник буде розроблено.

За даними Брайана Кребса (Brian Krebs), експерта з комп'ютерної безпеки, наразі злочинці отримали лише 26'000 USD, тобто лише близько 58 осіб погодилося заплатити викуп здирникам. Чи відновили вони свої документи, ніхто не знає.

Як зупинити поширення вірусу в мережі?

У випадку з WannaCry вирішенням проблеми може стати блокування 445 порту на Firewall (міжмережевий екран), через яке відбувається зараження.

Цю кібератаку вже назвали наймасштабнішою в історії. Понад 70 країн, десятки тисяч заражених комп'ютерів. Вірус-вимагач на ім'я Wanna Cry («Хочу плакати») не шкодує нікого. Під ударом – лікарні, залізниці, урядові установи.

У Росії атака була наймасовішою. Повідомлення, які зараз надходять, нагадують зведення з комп'ютерних фронтів. З останнього: в РЖД заявили, що вірус намагався проникнути в їхню IT-систему, він уже локалізований і його намагаються знищити. Також про спроби злому говорили у Центробанку, МВС, МНС, компаніях зв'язку.

Так виглядає вірус, який паралізував десятки тисяч комп'ютерів у всьому світі. Зрозумілий інтерфейс та текст, перекладений десятками мов - «у вас є лише три дні, щоб заплатити». Шкідлива програма, яка шифрує файли, вимагає за їхнє розблокування, за різними даними, від 300 до 600 доларів. Тільки у кібервалюті. Шантаж у прямому розумінні на межі життя та смерті.

«Я був повністю готовий до операції, навіть крапельницю вже поставили, і тут приходить хірург і каже, що мають проблеми з обладнанням через кібератаку», - розповідає Патрік Уорд.

Вакцини від комп'ютерного вірусу не знайшлося ні в сорока британських клініках, яких атакували першими, ні в найбільшій іспанській телекомунікаційній компанії «Телефоніка». Сліди, як кажуть експерти, є однією з наймасштабніших хакерських атак у світовій історії навіть на табло вокзалів у Німеччині. В одному із семи диспетчерських центрів німецького залізничного перевізника «Дойче Бан» вийшла з ладу система управління. Наслідки були катастрофічними.

Загалом жертвами кібератаки вже стали 74 країни. Не зворушені хіба що Африка та кілька держав в Азії та Латинській Америці. Невже тільки поки що?

«Це все зроблено для одержання грошей організованою злочинністю. Немає жодного політичного підґрунтя чи прихованих мотивів. Чистий шантаж», - каже експерт із антивірусів IT-компанії Бен Рапп.

Британські ЗМІ, втім, політичне підґрунтя відразу знайшли. І звинуватили в усьому російських хакерів, щоправда, без жодних доказів, зв'язавши кібератаку з авіаударом американців Сирії. Нібито вірус-вимагач став помстою Москви. При цьому, за даними тих же британських ЗМІ, Росія в цій атаці найбільше постраждала. І з цим, абсолютно точно, посперечатися важко. Тільки в МВС було атаковано понад тисячу комп'ютерів. Втім, безуспішно.

Відбили атаки в МНС та МОЗ, в Ощадбанку та в Мегафоні». Стільниковий оператор навіть на якийсь час припинив роботу кол-центру.

«Указ президента про створення російського сегменту Мережі – це закритий інтернет довкола держчиновників. Оборонка давно за цим щитом стоїть. Швидше за все, я гадаю, постраждали прості комп'ютери звичайних співробітників. Навряд чи постраждав саме доступ до баз даних – вони, як правило, на інших операційних системах і перебувають, як правило, у провайдерів», – повідомив радник президента Росії з розвитку інтернету Герман Клименко.

Програма, як стверджують розробники антивірусів, заражає комп'ютер, якщо користувач відкрив підозрілий лист та ще й не оновив Windows. Це добре помітно на прикладі серйозно постраждалого Китаю - жителі Піднебесної, як відомо, мають особливу любов до піратських операційок. Але чи варто платити, необдумано клікнувши мишкою, запитують по всьому світу

«Якщо компанія не має резервної копії, вони можуть втратити доступ до даних. Тобто, наприклад, якщо зберігається база даних пацієнтів лікарні разом із історіями хвороб у єдиній копії на цьому сервері, куди потрапив вірус, то лікарня ці дані вже більше ніяк не відновить», - каже експерт з кібербезпеки Ілля Скачков.

Поки що, як з'ясували блогери, в електронному гаманці шахраїв не більше чотирьох тисяч доларів. Дрібниця, враховуючи список жертв - витрати на злом їхніх вінчестерів явно не можна порівняти. Британське видання Financial Times припустило, що вірус-вимагач - це не що інше, як модифікована зловмисниками шкідлива програма Агентства національної безпеки США. Колись її створили для того, щоб проникати в закриті американські системи. Це підтвердив і колишній його співробітник Едвард Сноуден.

З "Твіттера" Сноудена: "Ого, рішення АНБ створювати інструменти атаки на американське програмне забезпечення тепер ставить під загрозу життя пацієнтів лікарень".

WikiLeaks, втім, також неодноразово попереджав, що через маніакальне бажання стежити за світом американські спецслужби поширюють шкідливі програми. Але навіть якщо це не так, постає питання про те, як програми АНБ потрапляють до рук зловмисників. Цікавим є й інше. Врятувати світ від вірусу пропонує інша американська спецслужба – Міністерство національної безпеки.

Як би там не було, справжні масштаби цієї атаки ще належить оцінити. Зараження комп'ютерів по всьому світу продовжується. «Вакцина» тут одна – обережність та передбачливість. Важливо не відкривати підозрілі вкладені файли. При цьому експерти попереджають, що далі буде більше. Частота та масштаби кібератак тільки наростатимуть.

Збір інформації.

12 травня почалася епідемія шкідливого ПЗ Wana Decryptor, який шифрує дані на комп'ютері користувача.

Як Wana Decryptor заражає комп'ютери?
Wana Decrypt0r використовує вразливість у службі SMB операційної системи Windows. Ця вразливість є у всіх сучасних версіях Windows, від Windows 7 до Windows 10.

Ця вразливість закривається патчем MS17-010(Оновлення безпеки для Windows SMB Server) який був ще випущений 14 березня 2017(якщо у вас вимкнено автоматичне оновлення, встановіть патч вручну)

Завантажити виправлення безпеки.

Як працює Wana Decryptor.
Безкоштовно Автоматичний Malware Analysis Service - Powered by VxStream Sandbox - Відображення онлайн файлу analysis results for "@ [email protected]"

При першому запуску шкідливість витягує файл у ту ж папку, що й інсталятор. Файл є запаролений архів 7zipфайли з якого використовуються в роботі шкідливого ПЗ

У повідомленні про викуп використовується та сама мова, яку використовує користувач комп'ютера. На даний момент Wana Decrypt0r підтримує такі мови:

Bulgarian, Chinese (simplified), Chinese (traditional), Croatian, Czech, Danish, Dutch, English, Filipino, Finnish, French, Німеччина, Greek, Indonesian, Italian, Japanese, Korean, Latvian, Norwegian, Polish, Portuguese, Romanian, Російський, Slovak, Spanish, Swedish, Turkish, Vietnamese,

Далі WanaCrypt0rзавантажує TOR браузер (Download Tor), який використовується для зв'язку з серверами управління вірусу-шифрувальника. Коли цей процес виконано, вірус виконує команду, за допомогою якої встановлює повний доступ до всіх доступних каталогів та файлів.

CMD/BATCH:

Icacls. /grant Everyone:F /T /C /Q

Це необхідно для того, щоб зашифрувати якнайбільше файлів на зараженому комп'ютері.
А також намагається завершити такі процеси:

CMD/BATCH:

taskkill.exe /f /im mysqld.exe taskkill.exe /f /im sqlwriter.exe taskkill.exe /f /im sqlserver.exe taskkill.exe /f /im MSExchange* taskkill.exe /f /im Microsoft.Exchange. *

Це дозволить зашифрувати бази даних.

Здирник шифрує файли з наступними розширеннями

Код:

Der, .pfx, .key, .crt, .csr, .pem, .odt, .ott, .sxw, .stw, .uot, .max, .ods, .ots, .sxc, .stc, .dif, .slk, .odp, .otp, .sxd, .std, .uop, .odg, .otg, .sxm, .mml, .lay, .lay6, .asc, .sqlite3, .sqlitedb, .sql, .accdb .mdb, .dbf, .odb, .frm, .myd, .myi, .ibd, .mdf, .ldf, .sln, .suo, .cpp, .pas, .asm, .cmd, .bat, . vbs, .dip, .dch, .sch, .brd, .jsp, .php, .asp, .java, .jar, .class, .wav, .swf, .fla, .wmv, .mpg, .vob, .mpeg, .asf, .avi, .mov, .mkv, .flv, .wma, .mid, .djvu, .svg, .psd, .nef, .tiff, .tif, .cgm, .raw, .gif , .png, .bmp, .jpg, .jpeg, .vcd, .iso, .backup, .zip, .rar, .tgz, .tar, .bak, .tbk, .PAQ, .ARC, .aes, . gpg, .vmx, .vmdk, .vdi, .sldm, .sldx, .sti, .sxi, .hwp, .snt, .onetoc2, .dwg, .pdf, .wks, .rtf, .csv, .txt, .vsdx, .vsd, .edb, .eml, .msg, .ost, .pst, .potm, .potx, .ppam, .ppsx, .ppsm, .pps, .pot, .pptm, .pptx, .ppt , .xltm, .xltx, .xlc, .xlm, .xlt, .xlw, .xlsb, .xlsm, .xlsx, .xls, .dotx, .dotm, .dot, .docm, .docb, .docx, . doc

Зашифровані файли мають додаткове розширення WNCRYпісля стандартного

Після шифрування файлів каталогу додаються два файли:

• @[email protected]- повідомлення здирника
• @[email protected]- дешифрувальник

Далі робиться спроба очистити тіньові копії та інші можливості відновити файли вбудованими засобами Windows (відновлення системи, резервні копії тощо)

CMD/BATCH:

C:\Windows\SysWOW64\cmd.exe /c vssadmin delete shadow /all /quiet & wmic shadowcopy delete & bcdedit /set (default) boostatuspolicy ignoreallfailures & bcdedit /set (default) recoveryenabled no & wbadmin delete catalog -quiet

!!При спробі виконати команди очищення спрацює запит UAC і якщо відповісти НІ, то команда не буде виконана, що дає високі шанси відновити інформацію.Якщо у вас вимкнено UAC (наприклад, якщо у вас серверна OS), то прийміть мої співчуття.

Коли користувач натиснув кнопку перевірити платіж, то здирник підключиться серверам TOR C2, щоб перевірити, чи було здійснено платіж. Якщо платіж було здійснено, файли будуть розшифровані в автоматичному режимі, якщо платіж не був зроблений, ви побачите відповідь, аналогічну наведеному нижче.

Як запобігти зараженню шифрувальником-вимагачем?

1. Абсолютного захисту немає.
2. Не вимикайте автоматичне оновлення Windows, це дозволить оперативно (більш-менш) закривати вразливості OS.
3. Використовуйте антивірус або будьте готовими до ліквідації наслідків.
4. Не довіряйте нікомуу мережі, не відкривайте неперевірені файли, які ви отримали без антивірусної перевірки.
5. Використовуйте резервне копіювання, і чим важливіша інформація тим більше уваги приділяйте питанню збереження копій.

Програма яка допоможе уникнути активації шифрувальника - Підключення до інтернету