Meniul
AcasăFoto și video

Cum să te protejezi de virusul WannaCry. Analizare. Cum să te protejezi de virusul WannaCry care a atacat computerele din întreaga lume

Ieri, 12 mai, computerele care rulează sisteme de operare Windows din întreaga lume au fost supuse celui mai mare atac din memoria recentă. Vorbim despre unul care aparține clasei Ransomware, adică un ransomware rău intenționat care criptează fișierele utilizatorului și solicită o răscumpărare pentru a restabili accesul la ele. În acest caz, vorbim despre sume de la 300 USD la 600 USD, pe care victima trebuie să le transfere într-un anume portofel în bitcoins. Mărimea răscumpărării depinde de timpul care a trecut de la infecție - după un anumit interval crește.

Conform « Kaspersky Lab » , WannaCry a fost cel mai răspândit în Rusia

Pentru a evita alăturarea în rândurile celor ale căror computere sunt infectate, este necesar să înțelegem cum pătrunde malware-ul în sistem. Potrivit Kaspersky Lab, atacul profită de o vulnerabilitate din protocolul SMB, care permite executarea de la distanță a codului programului. Se bazează pe exploit-ul EternalBlue, creat între zidurile Agenției de Securitate Națională a SUA (NSA) și pus la dispoziție publică de hackeri.

Microsoft a introdus o remediere pentru problema EternalBlue în buletinul MS17-010 din 14 martie 2017, așa că prima și cea mai importantă măsură de protecție împotriva WannaCry ar trebui să fie instalarea acestei actualizări de securitate pentru Windows. Faptul că mulți utilizatori și administratori de sistem nu au făcut încă acest lucru a fost motivul unui atac la scară atât de mare, a cărui pagubă nu a fost încă evaluată. Adevărat, actualizarea este concepută pentru acele versiuni de Windows pentru care suportul nu a încetat încă. Dar Microsoft a lansat și patch-uri pentru sistemele de operare vechi, cum ar fi Windows XP, Windows 8 și Windows Server 2003. Le puteți descărca de pe această pagină.

De asemenea, se recomandă să fii vigilent în ceea ce privește e-mailurile care ajung prin e-mail și alte canale, să folosești un antivirus actualizat în modul de monitorizare și, dacă este posibil, să verifici sistemul pentru amenințări. Dacă activitatea MEM:Trojan.Win64.EquationDrug.gen este detectată și eliminată, reporniți sistemul și apoi asigurați-vă că MS17-010 este instalat. În prezent, sunt cunoscute opt nume ale virusului:

  • Trojan-Ransom.Win32.Gen.djd;
  • Trojan-Ransom.Win32.Scatter.tr;
  • Trojan-Ransom.Win32.Wanna.b;
  • Trojan-Ransom.Win32.Wanna.c;
  • Trojan-Ransom.Win32.Wanna.d;
  • Trojan-Ransom.Win32.Wanna.f;
  • Trojan-Ransom.Win32.Zapchast.i;
  • PDM:Trojan.Win32.Generic.

Virus « detine » o multime de limbi straine

Nu trebuie să uităm de backup-urile regulate ale datelor importante. Vă rugăm să rețineți că WannaCry vizează următoarele categorii de fișiere:

  • cele mai comune documente de birou (.ppt, .doc, .docx, .xlsx, .sxi).
  • unele tipuri de documente mai puțin populare (.sxw, .odt, .hwp).
  • arhive și fișiere media (.zip, .rar, .tar, .bz2, .mp4, .mkv)
  • fișiere de e-mail (.eml, .msg, .ost, .pst, .edb).
  • baze de date (.sql, .accdb, .mdb, .dbf, .odb, .myd).
  • fișiere de proiect și coduri sursă (.php, .java, .cpp, .pas, .asm).
  • chei și certificate de criptare (.key, .pfx, .pem, .p12, .csr, .gpg, .aes).
  • formate grafice (.vsd, .odg, .raw, .nef, .svg, .psd).
  • fișierele mașinii virtuale (.vmx, .vmdk, .vdi).

Și în concluzie: dacă infecția nu a putut fi evitată, tot nu poți plăti atacatorii. În primul rând, chiar dacă banii sunt transferați în portofelul Bitcoin specificat, nimeni nu garantează decriptarea fișierelor. În al doilea rând, nu poți fi sigur că un atac asupra aceluiași computer nu va fi repetat și că infractorii cibernetici nu vor cere o răscumpărare mare. Și, în cele din urmă, în al treilea rând, plata pentru „serviciul” de deblocare îi va recompensa pe cei care desfășoară activități criminale pe internet și îi va servi drept stimulent pentru a efectua noi atacuri.

Pe 12 mai, în jurul orei 13:00, virusul Wana Decryptor a început să se răspândească. În aproape câteva ore, zeci de mii de computere din întreaga lume au fost infectate. Până în prezent, au fost confirmate peste 45.000 de computere infectate.

Cu peste 40 de mii de hack-uri în 74 de țări, utilizatorii de internet din întreaga lume au fost martorii celui mai mare atac cibernetic din istorie. Lista victimelor include nu numai oameni obișnuiți, ci și servere ale băncilor, companiilor de telecomunicații și chiar agențiilor de aplicare a legii.

Calculatoarele atât ale utilizatorilor obișnuiți, cât și ale computerelor de lucru din diferite organizații, inclusiv Ministerul rus al Afacerilor Interne, au fost infectate cu virusul ransomware Wanna Cry. Din păcate, în acest moment nu există nicio modalitate de a decripta fișierele WNCRY, dar puteți încerca să recuperați fișierele criptate folosind programe precum ShadowExplorer și PhotoRec.

Patch-uri oficiale de la Microsoft pentru a proteja împotriva virusului Wanna Cry:

  • Windows 7 32bit/x64
  • Windows 10 32 biți/x64
  • Windows XP 32 biți/x64 - nici un patch de la WCry.

Cum să te protejezi de virusul Wanna Cry

Vă puteți proteja de virusul Wanna Cry descărcând un patch pentru versiunea dvs. de Windows.

Cum se răspândește Wanna Cry

Wanna Cry este distribuit:

  • prin fișiere
  • mesaje e-mail.

După cum a raportat presa rusă, activitatea departamentelor Ministerului Afacerilor Interne din mai multe regiuni din Rusia a fost întreruptă din cauza unui ransomware care a infectat multe computere și amenință să distrugă toate datele. În plus, operatorul de comunicații Megafon a fost atacat.

Vorbim despre troianul ransomware WCry (WannaCry sau WannaCryptor). El criptează informațiile de pe computer și cere o răscumpărare de 300 USD sau 600 USD în Bitcoin pentru decriptare.
Utilizatorii obișnuiți raportează, de asemenea, infecții pe forumuri și rețele sociale:

Epidemia de criptare WannaCry: ce să faci pentru a evita infecția. Ghid pas cu pas

În seara zilei de 12 mai, a fost descoperit un atac ransomware WannaCryptor (WannaCry) la scară largă, care criptează toate datele de pe PC-urile și laptopurile care rulează Windows. Programul cere 300 USD în bitcoins (aproximativ 17.000 de ruble) ca răscumpărare pentru decriptare.

Lovitura principală a căzut asupra utilizatorilor și companiilor ruși. În acest moment, WannaCry a reușit să infecteze aproximativ 57.000 de computere, inclusiv rețelele corporative ale Ministerului Afacerilor Interne, Căile Ferate Ruse și Megafon. Sberbank și Ministerul Sănătății au raportat, de asemenea, atacuri asupra sistemelor lor.

Vă spunem ce trebuie să faceți acum pentru a evita infecția.

1. Criptorul exploatează o vulnerabilitate Microsoft din martie 2017. Pentru a minimiza amenințarea, trebuie să vă actualizați urgent versiunea de Windows:

Start - Toate programele - Windows Update - Căutați actualizări - Descărcați și instalați

2. Chiar dacă sistemul nu a fost actualizat și WannaCry a intrat pe computer, atât soluțiile corporative, cât și cele casnice ESET NOD32 detectează și blochează cu succes toate modificările acestuia.

5. Pentru a detecta amenințări încă necunoscute, produsele noastre utilizează tehnologii comportamentale și euristice. Dacă un virus se comportă ca un virus, cel mai probabil este un virus. Astfel, sistemul cloud ESET LiveGrid a respins cu succes atacul din 12 mai, chiar înainte ca bazele de date de semnături să fie actualizate.

Care este numele corect pentru virusul Wana Decryptor, WanaCrypt0r, Wanna Cry sau Wana Decrypt0r?

De la prima descoperire a virusului, multe mesaje diferite despre acest virus ransomware au apărut în rețea și este adesea numit cu nume diferite. Acest lucru s-a întâmplat din mai multe motive. Înainte de apariția virusului Wana Decrypt0r, a existat prima sa versiune Vrei să Decrypt0r, principala diferență fiind metoda de distribuire. Această primă variantă nu era la fel de cunoscută ca fratele său mai mic, dar din această cauză, în unele știri, noul virus ransomware este numit pe numele fratelui său mai mare, și anume Wanna Cry, Wanna Decryptor.

Dar totuși numele principal este Wana Decrypt0r, deși majoritatea utilizatorilor în loc de numărul „0” tastează litera „o”, care ne conduce la nume Wana Decryptor sau WanaDecryptor.

Și numele de familie prin care utilizatorii numesc adesea acest virus ransomware este Virusul WNCRY, adică prin extensia care se adaugă la numele fișierelor care au fost criptate.

Pentru a minimiza riscul ca virusul Wanna Cru să pătrundă pe computer, specialiștii Kaspersky Lab vă recomandă să instalați toate actualizările posibile pe versiunea curentă de Windows. Cert este că malware-ul infectează numai acele computere care rulează acest software.

Virusul Wanna Cry: Cum se răspândește

Anterior, am menționat această metodă de răspândire a virușilor într-un articol despre comportamentul sigur pe Internet, așa că nu este nimic nou.

Wanna Cry este distribuită după cum urmează: O scrisoare este trimisă în căsuța poștală a utilizatorului cu un atașament „inofensiv” - poate fi o imagine, un videoclip, o melodie, dar în loc de extensia standard pentru aceste formate, atașamentul va avea o extensie de fișier executabil. - exe. Când un astfel de fișier este deschis și lansat, sistemul este „infectat” și, printr-o vulnerabilitate, un virus este încărcat direct în sistemul de operare Windows, criptând datele utilizatorului, relatează therussiantimes.com.

Virusul Wanna Cry: descrierea virusului

Wanna Cry (oamenii de rând l-au poreclit deja Wona's Edge) aparține categoriei de viruși ransomware (criptori), care, atunci când ajunge pe un computer, criptează fișierele utilizatorului cu un algoritm criptografic, făcând ulterior imposibilă citirea acestor fișiere.
În prezent, se știe că următoarele extensii de fișiere populare sunt supuse criptării Wanna Cry:

Fișiere Microsoft Office populare (.xlsx, rapoarte therussiantimes.com.xls, .docx, .doc).
Arhivă și fișiere media (.mp4, .mkv, .mp3, .wav, .swf, .mpeg, .avi, .mov, .mp4, .3gp, .mkv, .flv, .wma, .mid, .djvu, .png, .jpg, .jpeg, .iso, .zip, .rar).

WannaCry este un program numit WanaCrypt0r 2.0, care atacă exclusiv computerele care rulează sistemul de operare Windows. Programul exploatează o „găură” în sistem - Buletinul de securitate Microsoft MS17-010, a cărui existență era necunoscută anterior. Programul necesită o răscumpărare de la 300 la 600 USD pentru decriptare. Apropo, în prezent, potrivit The Guardian, peste 42 de mii de dolari au fost deja transferați în conturile hackerilor.

Un virus informatic sub numele original Wanna Crypt (Vreau să criptez) și numele prescurtat corespunzător WannaCry (Vreau să plâng) au blocat zeci de mii de computere din întreaga lume pe 12 mai 2017. Chiar a doua zi epidemia a fost oprită. Cu toate acestea, dezvoltatorii virusului au făcut modificări codului, iar milioane de computere cu sistemul de operare Windows au fost din nou atacate.

Virusul criptează fișierele și solicită o răscumpărare de 300 USD. Victimele au donat deja zeci de mii de dolari, dar încă nu există informații despre decriptare. În orice caz, este mai bine să preveniți infecția și posibilele consecințe decât să încercați să salvați informații după un atac.

1. Instalați actualizări Windows

Descărcați de pe https://technet.microsoft.com/library/security/MS17-010 și instalați patch-ul pentru a vă proteja împotriva WannaCry. Microsoft consideră acest lucru atât de important încât a lansat chiar și o versiune pentru Windows XP (suportul pentru care a fost întrerupt în 2014).

În plus, vulnerabilitatea pe care se bazează atacurile WannaCry a fost remediată într-o actualizare obișnuită a Windows din martie. Actualizați Windows.

2. Faceți copii de rezervă ale fișierelor importante

Salvați fișierele personale și de lucru. Le puteți copia pe un hard disk extern sau pe o unitate flash, le puteți încărca în cloud, le puteți încărca pe un server FTP sau le puteți trimite prin e-mail dvs., unui coleg sau unui prieten. Doar nu suprascrie fișierele „curate” salvate recent cu versiunile lor criptate. Folosiți alte medii. Este mai bine să ai două copii decât niciunul.

3. Închideți porturile 139 și 445

Sună ca ceva dintr-un film cu hackeri, dar nu este atât de dificil. Și este foarte util pentru că vă va proteja computerul de WannaCry. Trebuie să faceți următoarele:

  • Deschideți Windows Firewall (Firewall) - de exemplu, prin „Conexiuni de rețea”;
  • Selectați „Setări avansate”;
  • Găsiți „Reguli pentru conexiunile de intrare” (Reguli de intrare) - în mijlocul ecranului, derulați puțin în jos;
  • În continuare, pornind din meniul principal: „Acțiune / Regulă nouă... / Port / Porturi locale specificate – 139 / Blocați conexiunea”;
  • similar pentru portul 445.

4. Găsiți un administrator de rețea sau Google-l singur

Principalul lucru a fost deja făcut, sunteți relativ în siguranță. De asemenea, trebuie să blocați SMB v1, să inspectați setările VPN și să verificați sistemul pentru viruși. În principiu, este posibil să faci toate acestea singur. Dar va fi mai ușor și mai de încredere să găsești specialiști.

5. Dacă nu puteți finaliza cel puțin pașii 1-2, opriți computerul

Dacă dintr-un motiv oarecare nu ați reușit să instalați un patch de la Microsoft, să actualizați Windows și să salvați fișiere importante pe medii externe, este mai bine să opriți computerul. Doar opriți alimentarea, astfel încât virusul să nu aibă șansa de a vă distruge activele digitale. Ca ultimă soluție, cel puțin dezactivați accesul la internet.

Așteptați să vină specialiștii, pentru lansarea unui decriptor, versiuni speciale de antivirusuri „un singur clic”. Acest lucru nu va dura mult timp, dar va economisi ani de muncă petrecuți pentru crearea tuturor acelor fișiere care sunt acum în pericol.

Virus ransomware Vreau să plâng, sau Wana Decryptor, a afectat zeci de mii de computere din întreaga lume. În timp ce cei care au fost atacați așteaptă o soluție la problemă, utilizatorii care nu au fost încă afectați ar trebui să folosească toate liniile de apărare posibile. Una dintre modalitățile de a te scăpa de infecția cu virus și de a te proteja de răspândirea WannaCry este să închizi porturile 135 și 445, prin care nu numai WannaCry, ci și majoritatea troienilor, ușilor din spate și a altor programe rău intenționate intră în computer. Există mai multe mijloace pentru a acoperi aceste lacune.

Metoda 1. Protecție împotriva WannaCry - folosind Firewall

Un firewall, cunoscut și sub numele de firewall, în sensul clasic este un perete care separă secțiuni de clădiri pentru a le proteja de incendiu. Un firewall de computer funcționează într-un mod similar - protejează un computer conectat la Internet de informații inutile prin filtrarea pachetelor primite. Majoritatea programelor firewall pot fi reglate fin, inclusiv. și închide anumite porturi.

Există multe tipuri de firewall-uri. Cel mai simplu firewall este un instrument standard Windows care oferă protecție de bază și fără de care computerul nu ar rezista 2 minute într-o stare „curată”. Firewall-urile de la terți - cum ar fi cele încorporate în programele antivirus - sunt mult mai eficiente.

Avantajul firewall-urilor este că blochează toate conexiunile care nu respectă un set specificat de reguli, de ex. lucrează conform principiului „tot ce nu este permis este interzis”. Din acest motiv, atunci când utilizați un firewall pentru a vă proteja împotriva virusului WannaCry, este mai probabil să fiți nevoit să deschideți porturile necesare decât să le închideți pe cele inutile. Vă puteți asigura că firewall-ul Windows 10 funcționează deschizând setările programului prin căutare și accesând opțiuni suplimentare. Dacă porturile sunt deschise în mod implicit, puteți închide 135 și 445 creând reguli adecvate prin setările paravanului de protecție din secțiunea conexiuni de intrare.

Cu toate acestea, în unele cazuri, firewall-ul nu poate fi utilizat. Fără acesta, va fi mai dificil să oferiți protecție împotriva malware-ului WannaCry, dar închiderea celor mai evidente găuri va fi posibilă fără prea multe dificultăți.

O metodă eficientă de protecție împotriva Wana Descrypt0r este ilustrată în videoclip!

Metoda 2. Blocați răspândirea virusului cu Windows Worms Doors Cleaner

Ferestre Worms Doors Cleaner- acest program simplu cântărește doar 50 KB și vă permite să închideți porturile 135, 445 și altele cu un singur clic de la virusul WannaCry.

Puteți descărca Windows Worms Doors Cleaner de pe link-ul: http://downloads.hotdownloads.ru/windows_worms_doors_cleaner/wwdc.exe

Fereastra principală a programului conține o listă de porturi (135–139, 445, 5000) și informații scurte despre acestea - pentru ce servicii sunt utilizate, dacă sunt deschise sau închise. Lângă fiecare port există un link către declarațiile oficiale de securitate Microsoft.

  1. Pentru a închide porturile utilizând Windows Worms Doors Cleaner de la WannaCry, trebuie să faceți clic pe butonul Dezactivare.
  2. După aceasta, crucile roșii vor fi înlocuite cu bifă verzi și vor apărea mesaje care indică faptul că porturile au fost blocate cu succes.
  3. După aceasta, programul trebuie să fie închis și computerul trebuie repornit.

Metoda 3. Închiderea porturilor prin dezactivarea serviciilor de sistem

Este logic că porturile sunt necesare nu numai de viruși precum WannaCry - în condiții normale sunt folosite de serviciile de sistem de care majoritatea utilizatorilor nu au nevoie și sunt ușor dezactivate. După aceasta, nu va mai fi nevoie ca porturile să fie deschise, iar malware-ul nu va putea pătrunde în computer.

Închiderea portului 135

Portul 135 este folosit de serviciu DCOM (COM distribuit), care este necesar pentru a conecta obiecte pe diferite mașini din rețeaua locală. Tehnologia practic nu este utilizată în sistemele moderne, astfel încât serviciul poate fi dezactivat în siguranță. Acest lucru se poate face în două moduri - folosind un utilitar special sau prin intermediul registrului.

Folosind utilitarul, serviciul este dezactivat după cum urmează:

Pe Windows Server 2003 și sistemele mai vechi, trebuie să efectuați o serie de operațiuni suplimentare, dar deoarece virusul WannaCry este periculos doar pentru versiunile moderne ale sistemului de operare, nu are rost să atingeți acest punct.

Portul din programul virus WannaCry este închis prin registry după cum urmează:

  1. 1. Pornește editorul de registry (regedit în fereastra Run).
  2. 2. Cheia este căutată pentru HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole.
  3. 3. Parametrul EnableDCOM se modifică de la Y la N.
  4. 4. Computerul repornește.

Puteți edita registrul doar dintr-un cont de administrator.

Închiderea portului 445

Portul 445 este folosit de serviciu NetBT- un protocol de rețea care permite programelor mai vechi care se bazează pe API-ul NetBIOS să funcționeze în rețele moderne TCP/IP. Dacă nu există un astfel de software antic pe computer, portul poate fi blocat în siguranță - acest lucru va închide ușa din față pentru răspândirea virusului WannaCry. Acest lucru se poate face prin setările de conexiune la rețea sau prin editorul de registry.

Prima cale:

  1. 1. Proprietățile conexiunii utilizate sunt deschise.
  2. 2. Proprietățile TCP/IPv4 sunt deschise.
  3. 3. Faceți clic pe butonul „Avansat...”.
  4. 4. În fila WINS, bifați caseta de selectare „Dezactivați NetBIOS prin TCP/IP”.

Acest lucru trebuie făcut pentru toate conexiunile la rețea. În plus, merită să dezactivați serviciul de acces la fișiere și la imprimantă dacă nu este utilizat - sunt cazuri cunoscute când WannaCry a lovit un computer prin intermediul acestuia.

A doua cale:

  1. 1. Se deschide Editorul Registrului.
  2. 2. Căutați parametrii NetBT în secțiunea ControlSet001 a intrărilor de sistem.
  3. 3. Parametrul TransportBindName este eliminat.

Același lucru ar trebui făcut în următoarele secțiuni:

  • ControlSet002;
  • CurrentControlSet.

După finalizarea editării, computerul repornește. Vă rugăm să rețineți că, dacă NetBT este dezactivat, serviciul DHCP nu va mai funcționa.

Concluzie

Astfel, pentru a vă proteja de răspândirea virusului WannaCry, trebuie să vă asigurați că porturile vulnerabile 135 și 445 sunt închise (puteți folosi diverse servicii pentru aceasta) sau să activați un firewall. În plus, trebuie să instalați toate actualizările de sistem Windows. Pentru a evita atacurile viitoare, se recomandă să utilizați întotdeauna cea mai recentă versiune de software antivirus.