Как решить проблему с wanna decryptor. Как вылечится от вируса-шифровальщика Wana Decrypt0r? Заражение дорожных камер

(WannaCrypt , WCry , WanaCrypt0r 2.0 , Wanna Decryptor) - вредоносная программа, сетевой червь и программа-вымогатель денежных средств. Программа шифрует почти все хранящиеся на компьютере файлы и требует денежный выкуп за их расшифровку. Вредоносных программ такого типа регистрировалось огромное множество за последние годы, но WannaCry на их фоне выделяет ся масштабом распространения и используемыми техниками.

Этот вирус-шифровальщик начал распространение примерно в 10 утра и уже вечером 12 мая СМИ стали сообщать о многочисленных заражениях. В различных изданиях пишут , что совершена хакерская атака на крупнейшие холдинги, в том числе и на «Сбербанк».

Вопрос пользователя. «Мой текущий личный ноутбук, работающий на “Windows 7 Домашняя расширенная”, разного рода патчи устанавливает автоматически, когда я его выключаю...

Да и имеющийся у меня W10-планшет автоматически ставит новые патчи при его включении... Неужели корпоративные настольные ПК не обновляют свои ОС автоматически при включении или выключении?» Действительно - почему?

Через некоторое время полный набор эксплойтов был выложен в открытый доступ вместе с обучающими видео. Воспользоваться им может любой. Что и произошло. В наборе эксплойтов есть инструмент DoublePulsar. При открытом 445 порте и не установленном обновлении MS 17-010, с использованием уязвимости класса Remote code execution (возможность заражения компьютера удаленно (эксплойт NSA EternalBlue)), возможно перехватывать системные вызовы и внедрять в память вредоносный код. Не нужно получать никакого электронного письма - если у вас компьютер с доступом в интернет, с запущенным сервисом SMBv1 и без установленного патча MS17-010, то атакующий найдет вас сам (например, перебором адресов).

Анализ WannaCry

Троянец WannaCry (он же WannaCrypt) шифрует файлы с определенными расширениями на компьютере и требует выкуп - 300 долларов США в биткоинах. На выплату дается три дня, потом сумма удваивается.

Для шифрования используется американский алгоритм AЕS с 128-битным ключом.

В тестовом режиме шифрование производится с помощью зашитого в троянце второго RSA-ключа. В связи с этим расшифровка тестовых файлов возможна.

В процессе шифрования случайным образом выбирается несколько файлов. Их троянец предлагает расшифровать бесплатно, чтобы жертва убедилась в возможности расшифровки остального после выплаты выкупа.

Но эти выборочные файлы и остальные шифруются разными ключами. Поэтому никакой гарантии расшифровки не существует!

Признаки заражения WannaCry

Попав на компьютер, троянец запускается как системная служба Windows с именем mssecsvc2.0 (видимое имя - Microsoft Security Center (2.0) Service).

Червь способен принимать аргументы командной строки. Если указан хотя бы один аргумент, пытается открыть сервис mssecsvc2.0 и настроить его на перезапуск в случае ошибки.

После запуска пытается переименовать файл C:\WINDOWS\tasksche.exe в C:\WINDOWS\qeriuwjhrf, сохраняет из ресурсов троянца-энкодера в файл C:\WINDOWS\tasksche.exe и запускает его с параметром /i. Во время запуска троян получает IP-адрес зараженной машины и пытается подключиться к 445 TCP-порту каждого IP-адреса внутри подсети - производит поиск машин в внутренней сети и пытается их заразить.

Через 24 часа после своего запуска в качестве системной службы червь автоматически завершает работу.

Для собственного распространения вредонос инициализирует Windows Sockets, CryptoAPI и запускает несколько потоков. Один из них перечисляет все сетевые интерфейсы на зараженном ПК и опрашивает доступные узлы в локальной сети, остальные генерируют случайные IP-адреса. Червь пытается соединиться с этими удаленными узлами с использованием порта 445. При его доступности в отдельном потоке реализуется заражение сетевых узлов с использованием уязвимости в протоколе SMB.

Сразу после запуска червь пытается отправить запрос на удаленный сервер, домен которого хранится в троянце. Если ответ на этот запрос получен, он завершает свою работу.

< nulldot> 0x1000eff2, 34, 1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sLiY

< nulldot> 0x1000f024, 22, sqjolphimrr7jqw6.onion

< nulldot> 0x1000f1b4, 12, 00000000.eky

< nulldot> 0x1000f270, 12, 00000000.pky

< nulldot> 0x1000f2a4, 12, 00000000.res

Защита от WannaCrypt и других шифровальщиков

Для защиты от шифровальщика WannaCry и его будущих модификаций необходимо:

1. Отключить неиспользуемые сервисы, включая SMB v1.

• Выключить SMBv1 возможно используя PowerShell:
  Set-SmbServerConfiguration -EnableSMB1Protocol $false
• Через реестр:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters, параметр SMB1 типа DWORD = 0
• Можно также удалить сам сервис, отвечающий за SMBv1 (да, за него лично отвечает отдельный от SMBv2-сервис):
  sc.exe config lanmanworkstation depend=bowser/mrxsmb20/nsi
  sc.exe config mrxsmb10 start=disabled

1. Закрыть с помощью брандмауэра неиспользуемые сетевые порты, включая порты 135, 137, 138, 139, 445 (порты SMB).

Рисунок 2. Пример блокировки 445 порта с помощью брандмауэра Windows

Рисунок 3. Пример блокировки 445 порта с помощью брандмауэра Windows

1. Ограничить с помощью антивируса или брандмауэра доступ приложений в интернет.

Рисунок 4. Пример ограничения доступа в интернет приложению с помощью брандмауэра Windows

Эта статья описывает вирус WanaCry , как от него защититься и как его удалить.

12 мая 2017 произошел небольшой компьютерный армагедец. По всему миру, в России тоже, были заражены десятки тысяч компьютеров под управлением различных версий Windows компьютерным вирусом-шифровальщиком.

Самая худшая из разновидностей зловредных программ. Вирусы-шифровальщики зашифровывают пользовательские файлы - документы, фото и т.д. Конкретно этот вирус шифрует даже базы данных 1С. Конечно, после шифрования такие файлы становятся недоступны. То есть прахом идет все что нажито непосильным трудом.

Спросите у бухгалтера, каково это потерять базу данных 1С?

Но теперь собственно о вирусе, который устроил такой переполох в мире. Его называют по разному - Wana Decryptor, Wana Crypt0r, Wana Decrypt0r, Wanna Cry, WNCRY , trojan.encoder.11432 (доктор Вэб), Win32:WanaCry-A (Avast), Trojan-Ransom.Win32.Wanna.m (Kaspersky), Ransom:Win32/WannaCrypt (Защитник Windows) и так далее.

Симптоматика:

• Красное окно приложения, в котором написано, что файлы зашифрованы и нужно заплатить 300 долларов через Биткойн.
• Все пользовательские файлы имеют расширение WNCRY и не открываются в программах.
• В различных папках лежат файлы @[email protected] и @[email protected]

Как вирус @[email protected] заражает компьютеры?

Точно так же как это было лет 10-12 назад с группой вирусов, которые использовали, через сеть, уязвимость Windows XP (тогда это была уязвимость в механизме RPC). Сейчас это уязвимость в протоколе SMB версии 1.

Работает это следующим образом. На зараженном компьютере, запускается сканер портов и этот сканер ищет компьютеры на которых открыт TCP порт 445 (порт протокола SMB). Когда такой компьютер найден, вирус подключается к нему через этот порт посылает туда специальный пакет данных, который вызывает ошибку в работе Windows. В результате такой ошибки на этом компьютере можно выполнить зловредный код (загрузку и запуск вируса), причем этот код будет выполнен внутри легального процесса Windows и антивирусная программа не сможет его обнаружить и заблокировать. Собственно поэтому и случилась эпидемия таких масштабов - антивирусы не могли "увидеть" момент атаки. Дополнительная сложность для антивирусов была в том, что свои вредоносные действия WanaCry выполнял используя стандартные приложения Windows.

Какие компьютеры могут быть заражены вирусом WNCRY?

• На компьютере должна работать Windows (любая версия, начиная с XP).
• Компьютер должен быть подключен к локальной сети или к Интернет. Подключение к Интернет должно быть прямое (без роутера или шлюза). В том числе без шлюза провайдера. То есть с так называемым "белым" IP-адресом. Это такой IP-адрес который доступен в Интернет.

Такое прямое подключение дают многие провайдеры Интернет, которые предоставляют проводной доступ через оптоволокно (FTTB, FTTH), Ethernet или ADSL. Если сетевой кабель провайдера подключается к роутеру пользователя, а уже к роутеру подключен компьютер, тогда волноваться не нужно. Роутер не пропустит атаку на компьютер(ы). Конечно в том случае если на роутере кто-то не сделал проброс порта 445 . Но по умолчанию роутеры не пропускают никакие входящие подключения.

Однако если сетевой кабель провайдера воткнут прямо в компьютер это уже может быть опасно. Тут уже все зависит от конфигурации сети провайдера. Если в ней разрешены входящие подключения тогда компьютер будет атакован из Интернет.

Точно так же есть возможность заражения если роутер в наличии, но он настроен в режиме Моста (Bridge). Таким образом часто настраивают ADSL роутеры.

Как защититься от WanaDecryptor WNCRY?

Прмечание . Если ваша Windows уже заражена, вначале нужно удалить вирус. Об этом ниже в этой статье.

Самое простое и быстрое что можно сделать это редактирование реестра - нужно отключить использование протокола SMB версии 1.

В консоли (Командная строка) выполнить такую команду:

reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "SMB1" /t reg_dword /d 0 /f

Или через regedit в реестре добавить параметр в ключи реестра:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters - тип DWORD, имя SMB1, значение 0.

После этого перезагрузите Windows.

Кроме этого, если ваш компьютер не используется в локальной сети, можно в файерволл добавить правило, которое запрещает входящие подключения на TCP порт 445. Учтите, что для локальной сети это делать нельзя - при закрытии этого порта, к компьютеру нельзя будет подключиться через сеть!

Добавить блокировку можно через консоль (Командная строка):

netsh advfirewall firewall add rule dir=in enable=yes action=block blockprotocol=tcp localport=445 name="Block 445"

для Windows XP:

netsh firewall add rule dir=in enable=yes action=block blockprotocol=tcp localport=445 name="Block 445"

или через Панель Управления - Брандмауэр Windows.

Далее нужно скачать и установить обновление для Windows, которое ликвидирует эту уязвимость. На сайте Microsoft есть список обновлений для всех версий Windows кроме XP: https://technet.microsoft.com/ru-ru/library/security/ms17-010.aspx

Если на вашей Windows включено автоматическое обновление, тогда скорее всего это обновление уже установлено у вас. Оно было выпущено еще в марте этого года.

Проверить можно через консоль (Командная строка):

wmic qfe list | findstr 4012212

dism /online /get-packages | findstr KB4012212

4012212 это номер обновления для Windows 7. Для Windows XP, Vista, 8 и 10 номер другой, смотрите номера на странице ms17-010.aspx !

Или через Панель управления - Установка и удаление программ. В списке программ нужно включить опцию показа обновлений.

Дополнительная мера защиты. Если у вас есть выделенный раздел с данными, который не используется активно, этот раздел можно отмонтировать. Чтобы он не был виден в системе. Это можно сделать через Панель Управления - Администрирование - Управление дисками. И там, для нужного раздела удалить букву диска . Не сам раздел, а присвоенную ему букву!

Насколько известно об этом вирусе, он не обрабатывает отмонтированные разделы.

В сети уже появился онлайн-сервис для проверки уязвимости: http://www.ms17-10.com/

Там нужно вести IP-адрес вашего компьютера и сервис проверит, если у вас эта уязвимость.

Как удалить Wana Decrypt0r?

Если вы совсем не разбираетесь в компьютерах, тогда выключите компьютер и вызывайте специалиста.

Если разбираетесь, тогда вот здесь описан процесс удаления вируса Wana Decrypt0r при помощи программы AVZ:

Можно проще сделать - скачать и запустить Drweb Cureit: https://free.drweb.ru/cureit/

Еще один вариант, удаление вручную. Загрузиться с флешки или DVD в другую ОС, например Linux или MS DaRT. Затем открыть системный раздел зараженной Windows, найти там файлы tasksche.exe, mssecsvc.exe, @[email protected] и удалить их. Затем загрузиться в Windows и удалить из реестра запуск этих файлов.

• Файлы @[email protected] могут быть разбросаны по всем локальным дискам и папкам где есть файлы.
• Файлы tasksche.exe, mssecsvc.exe будут в папке \Windows\ и в папке с произвольным именем в папке \ProgramData\ - из этой папки запускает процесс в виде Службы Windows (раздел реестра Services). Служба "mssecsvc".
• Записи в реестре будут в ключах Run и Services (mssecsvc).

Перед началом лечения нужно отключить компьютер от локальной сети (или Интернет). Или заблокировать порт 445. Для того, чтобы исключить повторное заражение!

После удаления вируса нужно установить обновление!

Восстановление зашифрованных файлов

Вирус, после шифрования файла, удаляет оригинал. Так что можно попробовать восстановить удаленные файлы при помощи программ типа PhotoRec, Recuva, R-Studio и т.п.

Шансы на восстановление зависят от того, как быстро был выключен компьютер, сколько было свободного места на диске на момент заражения и шифрования файлов. А также от количества файлов.

Не забывайте, что восстановление (запись восстановленных файлов) нужно делать на другой носитель! А не на тот же, где находились удаленные файлы. Это важно для повышения шансов на восстановление.

Но прежде всего я советую скопировать все зашифрованные файлы на другой носитель (диск, раздел). Возможно, через какое-то время появится расшифровщик.

Клоны, подражатели и попутчики

Уже есть несколько клонов вируса @WanaDecryptor@ . Такие как например DarkoderCrypt0r.

Кроме того, стал известен еще как минимум один вирус, который работает точно так же, но выполняет другую конечную задачу - Adylkuzz. Этот зловред появился даже раньше, но оказался незамечен, потому, что он не выполняет на зараженном компьютере заметных для пользователя действий.

Вирус Adylkuzz это скрытная вредоносная программа, так называемый "бэкдор". Такие программы используются для управления зараженным компьютером. На сегодняшний день неизвестно количество пораженных этим вирусом компьютеров. По той причине, что Adylkuzz, в отличии от Wana Decrypt0r, незаметен для пользователя компьютера. Он включает пораженный компьютер в ботовую сеть криптовалюты Monero.

Проверка на Adylkuzz:

• На зараженной Windows должен быть файлы mciexev.exe и winsec.exe в папке \Windows\security.
• Exe-файл с произвольным именем в папке C:\Windows\TEMP
• Файл \Program Files\Hardware Driver Management\windriver.exe и разрешающее правило брандмауэр Windows для этого файла.
• Файл \Program Files\Google\Chrome\Application\chrome.txt и разрешающее правило брандмауэр Windows для этого файла.
• Запрещающее правило брандмауэр Windows для TCP порта 445.

Визуальная симптоматика:

• Замедление работы, связанное с высокой нагрузкой на процессор.
• "Отключение" локальной сети - компьютер недоступен по локальной сети. Из-за блокировки TCP порта 445.

Май 2017 года войдет в анналы истории, как черный день для службы информационной безопасности. В этот день мир узнал, что безопасный виртуальный мир может быть хрупким и уязвимым. Вирус вымогатель под названием Wanna decryptor или wannacry захватил более 150 тысяч компьютеров по всему миру. Случаи заражения зафиксированы более чем в ста странах. Конечно, глобальное заражение было остановлено, но ущерб исчисляется миллионами. Волны распространения вируса-вымогателя все еще будоражат некоторые отдельные машины, но эту чуму пока сумели сдержать и остановить.

WannaCry – что это такое и как от него защититься

Wanna decryptor относится к группе вирусов, которые шифруют данные на компьютере и вымогают деньги у владельца. Как правило, сумма выкупа своих данных колеблется в диапазоне от 300 до 600 долларов. За сутки вирус он сумел заразить муниципальную сеть больниц в Великобритании, крупную телевизионную сеть в Европе и даже часть компьютеров МВД России. Остановили его благодаря счастливому стечению обстоятельств зарегистрировав проверочный домен, который был вшит в код вируса его создателями, для ручной остановки распространения.

Вирус заражает компьютер также, как и в большинстве других случаях. Рассылка писем, социальные профили и просто серфинг по сути – эти способы дают вирусу возможность проникнуть в вашу систему и зашифровать все ваши данные, однако может проникнуть и без ваших явных действий через уязвимость системы и открытый порт.

Пролезает WannaCry через 445 порт, используя уязвимость в операционной системе Windows, которая недавно была закрыта выпущенными обновлениями. Так что если данный порт у вас закрыт или вы на днях обновляли Windows с оф. сайта, то можете не переживай о заражении.

Вирус работает по следующей схеме — вместо данных в ваших файлах, вы получаете непонятные закорючки на марсианском языке, а вот чтобы снова получить нормальный компьютер, придется заплатить злоумышленникам. Те, кто спустил эту чуму на компьютеры простых людей, пользуются оплатой биткоинами, так что вычислить владельцев злобного трояна не удастся. Если не платите в течение суток, то сумма выкупа возрастает.

Новая версия трояна переводится как «Хочу плакать» и потеря данных может довести некоторых пользователей до слез. Так что лучше принимать профилактические меры и не допускать заражения.

Шифровальщик использует уязвимость в системе Windows, которую компания Microsot уже устранила. Нужно просто обновить операционную систему до протокола безопасности MS17-010 от 14 марта 2017 года .

Кстати, обновиться могут только те пользователи, у которых стоит лицензированная операционная система. Если же вы к таким не относитесь, то просто скачайте пакет обновлений и установите его вручную. Только скачивать нужно с проверенных ресурсов, чтобы не подхватить заразу вместо профилактики.

Конечно же, защита может быть самого высокого уровня, но многое зависит и от самого пользователя. Помните, что нельзя открывать подозрительные ссылки, которые приходят к вам по почте или в социальном профиле.

Как вылечить вирус Wanna decryptor

Те, чей компьютер уже заразился, должны приготовиться к долгому процессу лечения.

Вирус запускается на компьютере пользователя и создает несколько программ. Одна из них начинает шифровать данные, другая обеспечивает связь с вымогателями. На рабочем мониторе появляется надпись, где вам объясняют, что вы стали жертвой вируса и предлагают побыстрее перечислить деньги. При этом, вы не можете открыть ни один файл, а расширения состоят из непонятных букв.

Первое действие, которое пытается предпринять пользователь – это восстановление данных с помощью встроенных в Windows служб. Но при запуске команды, либо ничего не произойдет, либо ваши старания пройдут впустую — избавиться от Wanna Decryptor не так просто.

Один из самых простых способов вылечить вирус – это просто переустановить систему. При этом, вы потеряете не только те данные, которые были на диске с установленной системой. Ведь для полного выздоровления нужно будет провести форматирование всего жесткого диска. Если вы не готовы на такие кардинальные шаги, то можно попробовать вылечить систему вручную:

1. Скачайте обновление для системы, о котором писалось выше в статье.
2. Далее отключаемся от интернета
3. Запускаем командную строку cmd и блокируем 445 порт, по которому вирус проникает на компьютер. Делается это следующей командой:
   netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=445 name=»Block_TCP-445″
4. Далее запускаем систему в безопасном режиме. При загрузке удерживаем F8, система сама спросит вас, как именно запустить компьютер. Нужно выбрать «Безопасный режим».
5. Находим и удаляем папку с вирусом, найти ее можно кликнув по ярлыку вируса и нажав «Расположение файла».
6. Перезапускаем компьютер в обычном режиме и устанавливаем обновление для системы которое мы скачали, включаем интернет и устанавливаем его.

Wanna cry – как расшифровать файлы

Если вы полностью избавились ото всех проявлений вируса, то самое время заняться расшифровкой данных. И, если вы думаете, что самое сложное позади, то вы сильно ошибаетесь. В истории даже зарегистрирован случай, когда сами создатели шифровальщика не смогли помочь пользователю, который им заплатил и отправили его в службу технической поддержки антивируса.

Оптимальный вариант – это удалить все данные и . Вот только, если такой копии нет, то придется покорпеть. А помогут вам программы дешифровщики. Правда, ни одна программа не может гарантировать стопроцентный результат.

Существует несколько простых программ, которые могут справиться с расшифровкой данных — например Shadow Explorer или Windows Data recovery. Так же стоит заглянуть в лабораторию Касперского, который периодически выпускает декрипторы — http://support.kaspersky.ru/viruses/utility

Очень важно! Запускайте программы декрипторы только после того, как удалили все проявления вируса, иначе рискуете навредить системе или потерять данные снова.

Wanna decryptor показал, насколько хрупкой может быть система безопасности любого крупного предприятия или даже государственного учреждения. Так что май месяц стал показательным для многих стран. Кстати, в МВД России пострадали только те машины, которые использовали Windows, а вот те компьютеры, на которых стояла операционная система российской разработки Эльбрус не пострадали.

А какие способы лечения Wanna decryptor помогли вам? Напишите комментарий к этой статье и поделитесь с другими.

Подпишись на новые статьи, что бы не пропустить!

В пятницу 12 мая сотни тысяч компьютеров по всему миру поразил вирус WannaCry (известный также под названиями WCry и WanaCrypt0r 2.0). Он «атаковал» компьютеры под управлением операционной системы Windows, при этом за несколько часов распространился по всему миру. Новый вирус поразил, как компьютеры частных лиц, так и PC государственных учреждений и крупных компаний. Больше всего от вируса пострадала Россия, где были поражены компьютеры многих правительственных учреждений.

Интересный факт: После распространения вируса WannaCry в России, стали поступать сообщения о приостановке выдачи водительских удостоверений из-за поражений компьютеров МВД. Помимо этого, заражению подверглись PC Следственного комитета и многих крупных компаний, в том числе компании Мегафон.

Что собой представляет вирус WannaCry

Вирус WannaCry является типичным «шифровщиком данных». Данный тип вирусов один из наиболее опасных и сложных с точки зрения противодействия. Подобные вирусы, чаще всего, направлены на вымогательство денег у пользователей, компьютеры которых попадают под заражение, и WannaCry не исключение.

Интересный факт: В данный момент точно неизвестно, кто является создателем вируса WannaCry. При этом предположения высказывают не только в сети, но и на государственном уровне. В частности, президент Российской Федерации Владимир Путин обвинил спецслужбы США в распространении угрозы.

При попадании на компьютер пользователя, вирус WannaCry шифрует данные на нем. Файлы, которые подверглись шифрования, получают расширение «.WNCRY» . В начале имени зашифрованных файлов появляется надпись «WANACRY!» . Расшифровать данные файлы при помощи стандартных антивирусов и дешифраторов, которые используются для борьбы с другими подобными зловредами, практически невозможно.

После шифровки данных пользователя на компьютере, вирус WannaCry выводит на экране окошко с сообщением «Ooops, your files have been encrypted!» . Далее следует информация о том, что собой представляет вирус, можно ли восстановить файлы и так далее.

Интересный факт: Создатели вируса WannaCry позаботились о пользователях в различных регионах, локализовав для них информационное сообщение. В России вирус на русском языке объясняет пользователям, каким образом им разблокировать файлы, зараженные WannaCry.

Как разблокировать файлы зараженные WannaCry

Создатели вируса WannaCry предусмотрели возможность разблокировки файлов пользователей, но только за деньги и в течение ограниченного времени:

• В течение 3 дней после заражения компьютера вы можете отправить на указанный BitCoin-кошелек создателей вируса эквивалент $300, чтобы разблокировать файлы;
• Если в течение 3 дней деньги вымогатели не получат , цена разблокировки возрастет до эквивалента $600 в биткоинах;
• Если на седьмой день заражения вирусом WannaCry компьютера пользователь не перечислит деньги вымогателям, его файлы будут уничтожены.

Стоит отметить, что в информационном окне вируса WannaCry имеются счетчики, которые отсчитывают время до повышения стоимости разблокировки и уничтожения данных.

Интересный факт: Несмотря на то что вирус WannaCry поразил сотни тысяч компьютеров в первый же день, согласно ресурсу The Guardian, всего около сотни человек согласились заплатить вымогателям за разблокировку данных по $300.

Какие компьютеры подвергаются заражению вирусом WannaCry

Вирус WannaCry поражает исключительно компьютеры на операционной системе Windows. При этом он атакует компьютеры, использующие старые версии Windows – XP, Server 2003, 8.

Интересный факт: Еще в марте компания Microsoft выпустила обновление, которое позволяет защитить компьютеры от поражения вирусом WannaCry. Но данный патч вышел только для операционных систем, которые поддерживаются компанией – это Windows 7 и Windows 10 в различных редакциях. Что касается пользователей с другими версиями Windows, они оказались под угрозой и были поражены. Буквально на следующий день после того как стало о массовом заражении компьютеров вирусом WannaCry, корпорация Microsoft выпустила обновление для Windows XP и других старых систем, поддержка которых официально прекращена.

Вирус WannaCry поражает компьютеры через скрипты, рассылаемые по почте и через различные сайты.

Важно: Если вы видите на почте сообщение (особенно от неизвестного отправителя) с вложениями файлов (в расширении.exe или.js), не загружайте их к себе на компьютер, даже если встроенный в браузер антивирус не видит проблем с файлами!

Как защититься свой компьютер от вируса WannaCry

Помимо того что не нужно посещать непроверенные сайты и загружать с почты сомнительные файлы, есть еще несколько рекомендаций, которые позволят избежать заражения компьютера вирусом WannaCry:

Стоит отметить: Существует несколько форм вируса WannaCry. Некоторые из них можно устранить, если загрузить компьютер в безопасном режиме с сетевыми драйверами, после чего проверить компьютер антивирусами SpyHunter Anti-Malware Tool, Malwarebytes Anti-malware или STOPZilla, а далее подобрать декриптор для расшифровки данных. Но этот способ действителен, только если ваш компьютер подвергся заражению ранними версиями вируса WannaCry.

Вирус WannaCry – это достаточно новый образец вредоносных программ, появившийся только в мае 2017 года. При попадании в систему компьютера этот сетевой червь производит шифровку большинства файлов, которые там хранятся. При этом за возможность расшифровки нужных документов вирус требует определенную денежную сумму в качестве своеобразного выкупа.

Вирус-вымогатель WannaCry поражает компьютеры вне зависимости от их владельца. Таким образом, под эту своеобразную эпидемию попадает оборудование, принадлежащее различным структурам, а также представителям населения и бизнес-сообщества. В том числе происходит поражение техники:

• коммерческих компаний;
• государственных структур;
• физических лиц.

Компьютерный вирус шифровальщик WannaCry впервые заявил о себе совсем недавно: это произошло 12 мая текущего года. Первое заражение произошло на территории Испании, а затем произошло стремительное распространение вредоносной программы по всему миру. В результате первой волны эпидемии наиболее сильно пострадали следующие страны:

• Индия;
• Украина;
• Россия.

За сравнительно короткое время существование рассматриваемой нами вредоносной программы она уже успела превратиться в проблему глобального масштаба. Помимо первоначальной версии, летом стали появляться новые модификации со схожим принципом действия. Например, еще один распространенный в последнее время вирус Petya – это не что иное, как подобие WannaCry. Многие специалисты по информационной безопасности и простые пользователи считают данную версию еще более вредоносной для оборудования.

Стоит ли ждать новой волны заражения и как обезопасить свой компьютер?

Чтобы предотвратить возможное заражение важных файлов, требуется понимать, как распространяется опасный вирус WannaCry. Прежде всего, компьютерная техника работает на определенной системе, и некоторые их типы попадают в основную зону риска, в то время как другие, напротив, автоматически защищают хранящиеся там файлы от вредоносного воздействия. Оказывается, что злостный вирус, требующий денежный выкуп, поражает исключительно те компьютеры, которые работают на основе операционки Windows.

Однако, как известно, под данным названием объединяется целое семейство различных операционных систем. В таком случае возникает вопрос, владельцам каких систем стоит особенно сильно опасаться за сохранность своих важных документов при атаке вируса WannaCry? По информации русской службы BBC, наиболее часто воздействию вредоносной программы подвергается оборудование, работающее на основе Windows 7. При этом речь идет исключительно о тех устройствах, на которых своевременно не были установлены недавно выпущенные компанией Microsoft обновления, направленные на повышение безопасности компьютера.

Каким типом соединения пользуется вирус WannaCry? Первоначально программа узнает IP-адрес компьютера для установления удаленного подключения к нему. А благодаря использованию соединения с Tor-узлами сетевому червю удается сохранять анонимность.

По оценкам экспертов, от сетевого червя уже успело пострадать более 500 тысяч компьютеров по всему миру. Возможна ли новая атака вируса WannaCry и что говорят об этом последние новости? Вторую волну заражения ждали практически сразу после появления данного феномена. После этого успели появиться новые модифицированные версии, действующие по схожему принципу с вирусом WannaCry. Они стали известны по всему миру под названиями «Петя» и «Миша». Многие специалисты уверены в том, что подобные вредоносные программы постоянно совершенствуются, а это значит, что их повторные атаки абсолютно не исключены.

Профилактика и лечение

Многие пользователи беспокоятся по поводу безопасности используемого ими оборудования и поэтому интересуются, как удалить вирус WannaCry в случае его заражения. Первый вариант, который может прийти на ум рядовому пользователю – это произвести оплату. Однако за возможность расшифровки вымогатели требуют не самую маленькую сумму – порядка 300 долларов. Впоследствии первоначальная сумма выкупа была повышена в два раза – до 600 долларов. Кроме того, ее выплата вовсе не гарантирует восстановления первоначального состояния вашей системы: все-таки речь идет о злоумышленниках, которым уж точно не стоит доверять.

Специалисты считают данное действие и вовсе бессмысленным: они аргументируют свое мнение тем, что сама опция предоставления индивидуального ключа для пользователя, решившего совершить оплату, разработчиками вредоносной программы реализована с ошибкой, получившей название «состояние гонки». Простых пользователям необязательно разбираться в ее особенностях: намного важнее понимать ее смысл, означающий, что ключ для расшифроки, скорее всего, вам так и не будет прислан.

Таким образом, эффективная защита и лечение от вируса WannaCry должна быть иной и включать в себя целый комплекс мероприятий, которые способны помочь вам обезопасить свои личные файлы и хранящуюся в них информацию. Специалисты советуют не игнорировать выпускаемые обновления системы, особенно те из них, которые касаются вопросов безопасности.

Чтобы не пострадать от атаки вредоносных программ, необходимо заранее изучить основные способы, как защититься от вируса WannaCry. Прежде всего, стоит убедиться, что на вашем оборудовании установлены все необходимые обновления, которые способны устранить возможные уязвимости системы. Если вы разбираетесь в вопросах информационной безопасности, то вам может помочь настройка проверки входящего трафика при помощи специальной системы управления пакетами IPS. Также рекомендуется применять различные системы борьбы с ботами и вирусами: например, программу Threat Emulation в рамках шлюзов безопасности от Check Point.

В случае заражения возникает вопрос, как убрать вирус WannaCry. Если вы не являетесь специалистом в области информационной безопасности, то вы можете обратиться за помощью на специализированные форумы, где вам могут помочь справиться с вашей проблемой.

Знаете ли вы, как лучше всего расшифровать файлы, зашифрованные таким популярным вирусом, как WannaCry? Возможно ли произвести данную операцию без потери важных данных? На форуме известной Лаборатории Касперского в случае заражения советуют действовать следующим образом:

• выполнить специальный скрипт в утилите АВЗ;
• проверить настройки в системе HijackThis;
• запустить специализированное программное обеспечение Farbar Recovery Scan Tool.

При этом российские специалисты не предложили специальных программ, позволяющих расшифровать зараженные файлы. Единственный предлагаемый ими вариант заключался в рекомендации попробовать произвести их восстановление из теневых копий. Зато была создана французская утилита WannaKiwi от компании Comae Technologies, которая помогает вылечить важные документы на вашем компьютере.

Как обновить свою систему с точки зрения безопасности?

Специалисты по информационной безопасности, что своевременное обновление Windows 7 способно надежно защитить оборудование от вируса WannaCry. Сетевой червь пользовался уязвимостью, известную под аббревиатурой MS17-010. Своевременная установка официальных обновлений способна устранить указанную уязвимость, надежно защитив ваше оборудование.

Если вас поразил WannaCry вирус, то вам стоит установить патч от компании Microsoft на свой компьютер. Для системы Windows 7 на официальном сайте вы сможете найти обновление под номером 3212646. Для системы Windows 8 подойдет вариант 3205401. Для версии Windows 10 там же можно найти следующие версии:

• 3210720;
• 3210721;

Также патчи доступны для более старых версий Windows, а именно для Vista (32 и 64-разрядной) под номером 3177186 и для XP под номером 4012598.

Как правильно устанавливать обновление против вируса с названием WannaCry? Это обычно очень просто: вам необходимо только скачать нужный файл и далее следовать инструкциям, содержащимся в мастере установки. Фактически от вас требуется только нажимать кнопки «Далее» и «Готово». После установки лучше всего перезагрузить систему перед началом ее дальнейшего использования. Для специалистов доступен также способ не ручной, а автоматической установки обновлений при помощи настройки групповых политик своей системы, а также использования специальных фильтров.