Вирус Wanna Cry. Защищаем компьютер от вымогателя! Как защититься от вируса WannaCry

12 апреля 2017 года появилась информация о стремительном распространении по всему миру вируса-шифровальщика под названием WannaCry, что можно перевести как «Хочется плакать». У пользователей появились вопросы про обновление Windows от вируса WannaCry.

Вирус на экране компьютера выглядит так:

Нехороший вирус WannaCry, который все шифрует

Вирус шифрует все файлы на компьютере и требует выкуп на кошелек Биткоина в сумме 300$ или 600$ для якобы расшифровки компьютера. Заражению подверглись компьютеры в 150 странах мира, самая пострадавшая – Россия.

Мегафон, РЖД, МВД, Минздрав и другие компании вплотную столкнулись с этим вирусом. Среди пострадавших есть и простые пользователи Интернета.

Перед вирусом практически все равны. Разница, пожалуй, в том, что в компаниях вирус распространяется по всей локальной сети внутри организации и мгновенно заражает максимально возможное количество компьютеров.

Вирус WannaCry шифрует файлы на компьютерах, использующих Windows. В компании Microsoft еще в марте 2017 года были выпущены обновления MS17-010 для различных версий Windows XP, Vista, 7, 8, 10.

Получается, что те, у кого настроено автоматическое обновление Windows, находятся вне зоны риска для вируса, ибо своевременно получили обновление и смогли его избежать. Не берусь утверждать, что так оно и есть на самом деле.

Рис. 3. Сообщение при установке обновления KB4012212

Обновление KB4012212 после установки потребовало перезагрузки ноутбука, что мне не очень понравилось, ибо неизвестно, чем это может закончиться, но куда деваться пользователю? Впрочем, перезагрузка прошла нормально. Значит, живем спокойно до следующей вирусной атаки, а что такие атаки будут – сомневаться, увы, не приходится.

Вирусы одни побеждают, другие появляются снова. Эта борьба будет, очевидно, бесконечной.

Видео “Хочется плакать”: вирус-вымогатель заразил 75 тысяч систем в 99 странах

Получайте актуальные статьи по компьютерной грамотности прямо на ваш почтовый ящик .
Уже более 3.000 подписчиков

.

12 мая около 13:00 началось распространение вируса Wana Decryptor. Практически за пару часов были заражены десятки тысяч компьютеров по всему миру. На настоящий момент подтверждено более 45000 зараженных компьютеров.

Свыше 40 тысяч взломов в 74 странах — интернет-пользователи по всему миру стали свидетелями самой масштабной в истории кибератаки. В списке пострадавших не только обычные люди, но также серверы банков, телекоммуникационных компаний и даже силовых ведомств.

Заражению Wanna Cry вирусом шифровальщиком подверглись компьютеры как обыкновенных пользователей, так и рабочие компьютеры в разных организациях, включая МВД России. К сожалению, но на текущий момент нет возможности расшифровать WNCRY файлы, но можно попробовать восстановить зашифрованные файлы используя такие программы как ShadowExplorer и PhotoRec.

Официальные патчи от Microsoft для защиты от вируса Wanna Cry:

• Windows 7 32bit / x64
• Windows 10 32bit /x64
• Windows XP 32 bit /x64 — патча от WCry нет.

Как защититься от вируса Wanna Cry

Защитится от вируса Wanna Cry можно скачав патч для вашей версии Windows.

Как распространяется Wanna Cry

Распространяется Wanna Cry:

• через файлы
• почтовые сообщения.

Как сообщается российскими СМИ, работа отделений МВД в нескольких регионах России нарушена из-за шифровальщика, поразившего множество компьютеров и грозящего уничтожить все данные. Кроме того, атаке подверглись оператор связи «Мегафон».

Речь идет о трояне-вымогателе WCry (WannaCry или WannaCryptor). Он шифрует информацию на компьютере и требует заплатить выкуп в размере 300 или 600 долларов биткоинами за расшифровку.
Также на форумах и в социальных сетях о заражениях сообщают обычные пользователи:

Эпидемия шифратора WannaCry: что сделать для избежания заражения. Пошаговое руководство

Вечером 12 мая была обнаружена масштабная атака вымогателя WannaCryptor (WannaCry), который шифрует все данные на ПК и ноутбуках под управлением ОС Windows. В качестве выкупа за расшифровку программа требует 300 долларов в биткоинах (около 17 000 рублей).

Основной удар пришелся на российских пользователей и компании. На данный момент WannaCry успел поразить около 57 000 компьютеров, включая корпоративные сети МВД, РЖД и “Мегафона”. Также об атаках на свои системы сообщили Сбербанк и Минздрав.

Рассказываем, что прямо сейчас надо сделать для избежания заражения.

1. Шифратор эксплуатирует уязвимость Microsoft от марта 2017 года. Для минимизации угрозы необходимо срочно обновить свою версию Windows:

Пуск - Все программы - Центр обновления Windows - Поиск обновлений - Загрузить и установить

2. Даже если система не была обновлена и WannaCry попал на компьютер - и корпоративные, и домашние решения ESET NOD32 успешно детектируют и блокируют все его модификации .

5. Для детектирования еще неизвестных угроз в наших продуктах используются поведенческие, эвристические технологии. Если вирус ведет себя как вирус - скорее всего, это вирус. Так, облачная система ESET LiveGrid успешно отражала атаку с 12 мая, еще до обновления сигнатурных баз.

Как правильно называется вирус Wana Decryptor, WanaCrypt0r, Wanna Cry или Wana Decrypt0r?

С момента первого обнаружения вируса, в сети появилось уже много разных сообщений об этом вирусе шифровальщике и часто его называют разными именами. Это произошло по нескольким причинам. Перед тем как появился сам Wana Decrypt0r вирус, была его первая версия Wanna Decrypt0r , основным отличием которого было способ распространения. Этот первый вариант не получил такой широкой известности, как его младший брат, но благодаря этому, в некоторых новостях, новый вирус шифровальщик называют по имени его старшего брата, а именно Wanna Cry, Wanna Decryptor.

Но все же основным именем является Wana Decrypt0r , хотя большинство пользователей вместо цифры «0» набирают букву «o», что приводит нас к имени Wana Decryptor или WanaDecryptor .

И последним именем, под которым часто называют этот вирус-шифровальщик пользователи - это WNCRY вирус , то есть по расширению, которое добавляется к имени файлов, подвергнувшихся шифрованию.

Чтoбы минимизиpoвaть pиcк пoпaдaния виpуca Wanna crу нa кoмпьютepы cпeциaлиcты «Лaбopaтopии Kacпepcкoгo» coвeтуют уcтaнoвить вce вoзмoжныe oбнoвлeния нa тeкущую вepcию Windows. Дeлo в тoм, чтo вpeдoнocнaя пpoгpaммa пopaжaeт тoлькo тe кoмпьютepы, кoтopыe paбoтaют нa этoм ПO.

Вирус Wanna Cry: Как распространяется

Ранее, мы упоминали об этом способе распространения вирусов в статье о безопасном поведении в интернете, так что – ничего нового.

Wanna Cry распространяется следующим образом: На почтовый ящик пользователя приходит письмо с «безобидным» вложением – это может быть картинка, видео, песня, но вместо стандартного расширения для этих форматов, вложение будет иметь расширение исполняемого файла – exe. При открытии и запуске такого файла происходит «инфицирование» системы и через уязвимость в OS Windows загружается непосредственно вирус, шифрующий пользовательские данные, об этом информирует therussiantimes.com.

Вирус Wanna Cry: описание вируса

Wanna Cry (в простонародье его уже успели прозвать Вона край) относится к разряду вирусов шифровальщиков (крипторов), который при попадании на ПК шифрует пользовательские файлы криптостойким алгоритмом, впоследствии – чтение этих файлов становится не возможным.
На данный момент, известны следующие популярные расширения файлов, подвергающиеся шифрованию Wanna Cry:

Популярные файлы Microsoft Office (.xlsx, передает therussiantimes.com.xls, .docx, .doc).
Файлы архивов и медиа (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует «дыру» в системе - Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно. За расшифровку программа требует «выкуп» в размере от 300 до 600 долларов. К слову, в настоящее время на счета хакеров, по данным The Guardian, поступило уже более 42 тысяч долларов.

Вчера, 12 мая, компьютеры под управлением операционных систем Windows по всему миру подверглись самой масштабной атаке за последнее время. Речь идёт о , относящемуся к классу Ransomware, то есть вредоносным программам-вымогателям, шифрующим пользовательские файлы и требующим выкуп за восстановление доступа к ним. В данном случае речь идёт о суммах от $300 до $600, которые жертва должна перечислить на определённый кошелёк в биткойнах. Размер выкупа зависит от времени, прошедшего с момента заражения — через определённый интервал она повышается.

По данным « Лаборатории Касперского» , наибольшее распространение WannaCry получил в России

Чтобы не пополнить ряды тех, чей компьютер оказался заражён, необходимо понимать, как зловред проникает в систему. По данным «Лаборатории Касперского», атака происходит с использованием уязвимости в протоколе SMB, позволяющей удалённо запускать программный код. В его основе лежит эксплойт EternalBlue, созданный в стенах Агентства национальной безопасности США (АНБ) и выложенный хакерами в открытый доступ.

Исправление проблемы EternalBlue корпорация Microsoft представила в бюллетене MS17-010 от 14 марта 2017 года, поэтому первой и главной мерой по защите от WannaCry должна стать установка этого обновления безопасности для Windows. Именно тот факт, что многие пользователи и системные администраторы до сих пор не сделали этого, и послужил причиной для столь масштабной атаки, ущерб от которой ещё предстоит оценить. Правда, апдейт рассчитан на те версии Windows, поддержка которых ещё не прекратилась. Но и для устаревших ОС, таких как Windows XP, Windows 8 и Windows Server 2003, Microsoft также выпустила патчи. Загрузить их можно с этой страницы .

Также рекомендуется быть бдительным в отношении рассылок, которые приходят по электронной почте и другим каналам, пользоваться обновлённым антивирусом в режиме мониторинга, по возможности проверить систему на наличие угроз. В случае обнаружения и ликвидации активности MEM:Trojan.Win64.EquationDrug.gen перезагрузить систему, после чего убедиться в том, что MS17-010 установлен. На текущий момент известно восемь наименований вируса:

• Trojan-Ransom.Win32.Gen.djd;
• Trojan-Ransom.Win32.Scatter.tr;
• Trojan-Ransom.Win32.Wanna.b;
• Trojan-Ransom.Win32.Wanna.c;
• Trojan-Ransom.Win32.Wanna.d;
• Trojan-Ransom.Win32.Wanna.f;
• Trojan-Ransom.Win32.Zapchast.i;
• PDM:Trojan.Win32.Generic.

Вирус « владеет» многими языками

Нельзя забывать и про регулярное резервное копирование важных данных. При этом следует учесть, что мишенью WannaCry являются следующие категории файлов:

• наиболее распространённые офисные документы (.ppt, .doc, .docx, .xlsx, .sxi).
• некоторые менее популярные типы документов (.sxw, .odt, .hwp).
• архивы и медиафайлы (.zip, .rar, .tar, .bz2, .mp4, .mkv)
• файлы электронной почты (.eml, .msg, .ost, .pst, .edb).
• базы данных (.sql, .accdb, .mdb, .dbf, .odb, .myd).
• файлы проектов и исходные коды (.php, .java, .cpp, .pas, .asm).
• ключи шифрования и сертификаты (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
• графические форматы (.vsd, .odg, .raw, .nef, .svg, .psd).
• файлы виртуальных машин (.vmx, .vmdk, .vdi).

И в заключение: если заражения избежать всё же не удалось, платить злоумышленникам всё равно нельзя. Во-первых, даже в случае перечисления денег на указанный Bitcoin-кошелёк никто не гарантирует дешифрование файлов. Во-вторых, нельзя быть уверенным в том, что атака на этот же компьютер не повторится, и при этом киберпреступники не потребуют большую сумму выкупа. И, наконец, в-третьих, оплата «услуги» разблокировки будет поощрением тех, кто ведёт преступную деятельность в Сети и служить им стимулом для проведения новых атак.

Да, этот вирус прокричал на весь мир 12 мая очень громко. Wanna Cry оказался не тем вирусом, который тихо и спокойно распространяется себе по миру от компьютера к компьютеру, с которым постепенно обучаются работать антивирусы и который со временем становится одним из фигурантов таблицы распознаваемых вирусов.

Нет, здесь всё гораздо сложнее. Вирус буквально в несколько часов распространился по всему миру. Особенно пострадали Россия и Китай, какое-то время держалась Австралия, но и она угодила в эту «яму».

Зашифрованные компьютеры отображают выписки за сотню долларов биткойны, без гарантии разблокировки файлов. Эта скорость и масштаб во многом обусловлены рядом факторов. Теперь, когда джинн выходит из бутылки, мы можем ожидать увидеть новые варианты этого выкупа.

Наиболее пострадавшими странами, по нашим данным, являются: Россия, Украина, Тайвань, Индия, Бразилия, Таиланд, Румыния, Филиппины, Армения и Пакистан. Более половины попыток нападений, которые мы записали, были в России. Большие учреждения также сильно пострадали, особенно больницы и другие общественные службы. Многие из них полагаются на устаревшие системы для работы и просто не могут обновлять свои системы.

Дело дошло до выступлений ведущих политиков мира. Громогласное заявление сделал и один из руководителей Microsoft, прямо обвинивший спецслужбы США в безответственном поведении. Дело в том, что, оказывается, американское ФБР в течение последних нескольких лет вело исследования системы Windows на наличие всевозможных недоработок и лазеек. Для своих целей, конечно. И лазейки были найдены – в Microsoft тоже работают не боги, им тоже свойственно ошибаться.

Если вы еще этого не сделали, установите обновленный антивирус

Вот некоторые из шагов, которые вы должны предпринять, чтобы оставаться в безопасности. Однако миллионы пользователей проигнорировали эти обновления.

Оставайтесь в поиске фишинговых писем и ссылок

Даже выходит за рамки обнаружения обычных кодовых подписей и просматривает фактическое поведение установленных приложений . Таким образом, даже если он не знает, как будет выглядеть следующий вариант, он будет знать, чтобы поймать его, когда он видит его в действии.

То же самое, что делает шифрование таким мощным инструментом, когда оно используется для защиты информации, также делает его такой проблемой, когда оно используется для лечения. Если вы инфицированы, вот несколько рекомендаций. Мы знаем, что это не очень чувствительно, когда на карту поставлены ваши личные фотографии или важные рабочие файлы. Но нет гарантии, что ваши файлы будут расшифрованы или что преступники не просто убегут с деньгами. Уплата только делает эти схемы более привлекательными. И любой контакт с атакующими дает им больше шансов заразить вас большим количеством вредоносных программ. Изолируйте его из Интернета как можно скорее. Остановите распространение вредоносного ПО на других или получите больше инструкций от тех, кто его создал. Восстановление из резервной копии Если вы используете следуя рекомендациям и сохраняя резервную копию на внешнем жестком диске, вы можете использовать его для восстановления данных. Вы должны иметь доступ к истории версий своих файлы и восстановить их до более ранних, незашифрованных состояний. Мы работаем над инструментом дешифрования, который может восстановить ваши файлы.

• Не платите выкуп.
• Что бы ни случилось, мы не рекомендуем вам платить выкуп.
• Никогда не платите выкуп: нет гарантии, что вы вернете свои файлы.

Эта угроза обнаруживает следующие симптомы зараженных систем.

Проблема только в том, что каким-то образом изыскания сыщиков США вдруг стали известны всему компьютерному миру, вернее тому, кто нашёл возможность на них поживиться.

Собственно говоря, способ распространения вируса Wanna Cry традиционен:

Может запускаться wannacry и через незнакомые exe- или js-файлы, заражение, возможно, происходит и через графический файл (а что может быть заманчивее, чем sexy-картинка).

Защита от вирусов и корпоративных угроз. Защита конечных точек с адаптивной защитой от угроз - реальная защита и динамическое сжатие приложений. Назначение правила = безопасность. Динамическое сдерживание приложений - правила ограничения. Имя правила: выполнение любого дочернего процесса.

Название правила: изменение папок данных пользователей. Название правила: изменение мест регистрации при запуске. Имя правила: чтение или изменение файлов в любом месте сети. Название правила: создание файлов в любом сетевом расположении. Название правила: изменение бит скрытого атрибута.

Известны случаи, когда инфицирование произошло просто потому, что компьютер был в сети. Не обходит он своим внимание и облачные технологии – полностью оказались посрамлены её проповедники, они не так уж и защищены, как об этом нам постоянно говорится. В общем, при первом взгляде на складывающуюся ситуацию – край, из которого нет выхода, спереди стена, а назад некуда.

Эти обновления контента доступны в текущих сборках. Почему вы называете правила защиты доступа в целом? Имена правил не влияют на само правило и могут быть названы как угодно. Начальник Европола предупредил, что угроза кибератаки, которая заняла международные службы, «будет продолжать расти», когда люди вернутся на работу в понедельник.

Роб Уэйнрайт, директор Европола, сказал, что нападение ударит как в частном, так и в государственном секторах.

Меня беспокоит то, как цифры будут продолжать расти, когда люди пойдут на работу и вернут свои машины в понедельник утром. Он сказал: В настоящий момент мы сталкиваемся с нарастающей угрозой, цифры растут, меня беспокоит то, как цифры будут продолжать расти, когда люди приступают к работе и превращают свои машины в понедельник утром.

Сначала создавалось впечатление, что объектом внимания вируса становится только системный диск “C:” . Но по мере развития ситуации оказалось, что вирус распространился и на съёмные диски, что неожиданно – на Windows 10. Про флешки и говорить не приходится, они просто «горят, как свечки».

Вины Microsoft нет

Многие из них будут предприятиями, включая крупные корпорации. Национальный центр кибербезопасности опубликовал свой последний совет по вирусу. Как узнать, заражен ли компьютер? На экране появится сообщение с требованием выкупа, таймер обратного отсчета и биткойн-кошелек для внесения средств.

Крупнейшие кибератаки, хаки и нарушения данных

От вирусов к нарушениям данных киберпреступность далека от современного изобретения - вот список сайтов из самых больших атак в истории. Каков наилучший способ защитить вашу систему? Для особо уязвимых систем они должны быть закрыты в качестве окончательного отказоустойчивого способа остановить выкуп.

Как проявляется

WannaCry представляет собой программу под названием WanaCrypt0r 2.0, которая атакует исключительно ПК на OC Windows. Программа использует "дыру" в системе - Microsoft Security Bulletin MS17-010, существование которой было ранее неизвестно.

Вирус WannaCry распространяется через электронную почту. После открытия вложения в письме со спамом запускается шифратор и зашифрованные файлы после этого восстановить практически невозможно.

3 На что нужно обращать внимание, чтобы не заразить компьютер вирусом WannaCry?

Внимательно смотрите, что вам присылают по электронной почте. Не раскрывайте файлы с такими расширениями: .exe , .vbs и .scr . Мошенники могут использовать несколько расширений, чтобы замаскировать вредоносный файл как видео, фото или документ (например, avi.exe или doc.scr ), пишет ru24.top.

Гендиректор компании по предотвращению и расследованию киберпреступлений Group-IB Илья Сачков советует: "В случае с WannaCry решением проблемы может стать блокировка 445 порта на Firewall (межсетевой экран), через которое идет заражение". Для обнаружения потенциально вредоносных файлов нужно включить опцию "Показывать расширения файлов" в настройках Windows.

4 Что предприняла компания Microsoft, чтобы защитить OC Windows от вируса WannaCry?

Microsoft уже выпустила "заплатку" - достаточно запустить обновление Windows Update до последней версии . Стоит отметить, что защитить свой компьютер и данные смогут только пользователи, купившие лицензионную версию Windows - при попытке обновить "пиратку" система просто не пройдет проверку. Также необходимо помнить, что Windows XP уже не обновляется, как, разумеется, и более ранние версии , сообщает Rorki.ru.

5 Простейшие способы защиты от вируса WannaCry

Чтобы не "поймать" на свой компьютер вирус WannaCry, нужно следовать нескольким простым правилам безопасности:

• вовремя осуществлять обновление системы - все зараженные ПК не были обновлены,
• пользоваться лицензионной ОС,
• не открывать сомнительные электронные письма,
• не переходить по сомнительным ссылкам, оставленных пользователями, не вызывающими доверия.

6 Что нужно делать, если вы "поймали" вирус WannaCry на свой компьютер?

Если вы подозреваете, что ваш компьютер заражен вирусом WannaCry, нужно в обязательном порядке отключить устройство от интернета или Wi-Fi - это позволит предотвратить распространение вируса, советуют в Group-IB. Рекомендации специалистов: никогда не платить выкуп мошенникам, так как нет никакой гарантии, что злоумышленники отправят ключ дешифрования, советует alldaynews24.ru.

6 Как минимизировать ущерб от возможного заражения вирусом WannaCry?

"Лаборатория Касперского" предлагает регулярно делать резервные копии файлов: "Храните копии на носителях, которые не постоянно подключены к компьютеру. Если есть свежая резервная копия , то заражение шифровальщиком - не трагедия, а всего лишь потеря нескольких часов на переустановку или чистку системы".